局域網(wǎng)安全隱患及應(yīng)對策略(共6頁)

1、局域網(wǎng)的信息安全和安全防護(hù)策略趙蕾 中國核工業(yè)華興建設(shè)有限公司紅沿河項(xiàng)目部摘要：本文主要討論局域網(wǎng)的信息安全所面臨的威脅，以及針對這些威脅所采取的一些措施。關(guān)鍵詞：局域網(wǎng) 安全威脅 措施Abstract: The paper focuses on the threats faced by the local area network information，and the strategies it carries out.Keywords: Local Area Network, Security Threats, Strategy1 引言隨著計算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，廣域網(wǎng)已經(jīng)有了相對完善的安

2、全防御體系，例如：防火墻、漏洞掃描、防病毒1等等。為了方便內(nèi)部員工工作，越來越多的單位更傾向于組建局域網(wǎng)，相對于廣域網(wǎng)，局域網(wǎng)的安全防御體系比較脆弱。本文第二節(jié)主要闡述局域網(wǎng)所面臨的威脅，第三節(jié)主要陳述面對威脅采用的防御策略。2 局域網(wǎng)所面臨的威脅局域網(wǎng)是指在某一區(qū)域內(nèi)由服務(wù)器和多臺計算機(jī)組成的工作組互聯(lián)網(wǎng)絡(luò)，通過交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)的每一臺計算機(jī)。相對于廣域網(wǎng)，局域網(wǎng)具有傳輸速率高，數(shù)據(jù)共享等優(yōu)點(diǎn)。然而，局域網(wǎng)的多變性、復(fù)雜性和信息的開放性導(dǎo)致了局域網(wǎng)易受局域網(wǎng)內(nèi)、外病毒、惡意軟件的惡意攻擊。2.1 服務(wù)器區(qū)域未進(jìn)行獨(dú)立防護(hù) 局域網(wǎng)的傳輸速率和資源共享性使得局域網(wǎng)內(nèi)客戶端的病毒快速傳播。如

3、果服務(wù)器沒有進(jìn)行很好的獨(dú)立防護(hù)，且感染到病毒的計算機(jī)通過服務(wù)器進(jìn)行數(shù)據(jù)傳播，則病毒傳播至服務(wù)器內(nèi)，且經(jīng)過服務(wù)器進(jìn)行數(shù)據(jù)傳播的其它客戶端也很容易感染到病毒，從而導(dǎo)致整個局域網(wǎng)絡(luò)的癱瘓。2.2 欺騙性的軟件是數(shù)據(jù)安全性降低由于局域網(wǎng)資源共享的優(yōu)勢，使得數(shù)據(jù)很容易被刪除或者篡改。因此，數(shù)據(jù)的安全性很低。例如：釣魚軟件，它通過大量發(fā)送聲稱來自于銀行或其它知名機(jī)構(gòu)的欺騙性垃圾郵件，試圖引誘收信人給予敏感信息（如：帳號、用戶名或者信用卡的詳細(xì)信息）的一種攻擊方式。它通常冒充諸如騰訊、支付寶等大型網(wǎng)站從而騙取客戶信任，最終造成相關(guān)重要數(shù)據(jù)的丟失2。2.3 計算機(jī)病毒及惡意代碼的威脅局域網(wǎng)內(nèi)的網(wǎng)絡(luò)用戶，由于網(wǎng)

4、絡(luò)安全意識單薄，不及時安裝防毒軟件和操作系統(tǒng)補(bǔ)丁或者不及時更新病毒庫。一些黑客會利用這些漏洞編寫計算機(jī)病毒，使局域網(wǎng)內(nèi)的計算機(jī)受到攻擊，或者對數(shù)據(jù)信息進(jìn)行篡改，或者造成數(shù)據(jù)的丟失。對于我們公司，由于圖紙較多，一旦受到攻擊有可能導(dǎo)致圖紙的丟失，從而造成不可估量的損失。2.4 IP地址沖突局域網(wǎng)用戶，在同一個網(wǎng)段經(jīng)常有IP地址沖突的現(xiàn)象。這樣每次啟動計算機(jī)就會頻繁出現(xiàn)地址沖突的提示，以至于計算機(jī)無法正常工作；如果網(wǎng)絡(luò)上某項(xiàng)應(yīng)用的安全策略（諸如訪問權(quán)限，存取控制等）是基于IP地址進(jìn)行的，這種非法的IP用戶會對應(yīng)用系統(tǒng)的安全造成嚴(yán)重威脅3。2.5 局域網(wǎng)用戶安全意識薄弱 局域網(wǎng)用戶經(jīng)常使用移動設(shè)備進(jìn)行

5、用戶之間的數(shù)據(jù)傳遞，若用戶安全意識薄弱，則經(jīng)常會將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的入侵提供了方便，增加了數(shù)據(jù)泄密的可能性。另外，筆記本電腦使用方便，許多用戶也會將連接過互聯(lián)網(wǎng)的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)網(wǎng)，也可能造成病毒的傳播3 防御策略局域網(wǎng)內(nèi)的安全威脅主要來源于服務(wù)器端、客戶端和傳輸線路，其中服務(wù)器端的數(shù)據(jù)完整性和客戶端的數(shù)據(jù)安全性是構(gòu)建局域網(wǎng)安全的關(guān)鍵。3.1 服務(wù)器系統(tǒng)安全服務(wù)器區(qū)域進(jìn)行獨(dú)立防護(hù)，禁止一些服務(wù)，關(guān)閉不必要的端口，打開審核策略。并且，安裝殺毒軟件，以便監(jiān)測所有運(yùn)行在局域網(wǎng)絡(luò)上的計算機(jī)，防止

6、病毒的侵入，防范是對付計算機(jī)病毒最有效積極的措施，要比發(fā)現(xiàn)和消除病毒更重要。其次，利用反病毒軟件及時發(fā)現(xiàn)病毒入侵，對它進(jìn)行監(jiān)控、跟蹤等操作，以保證網(wǎng)絡(luò)的安全。同時，也要注意自然災(zāi)害(如：雷電，可能造成對網(wǎng)絡(luò)主機(jī)的損壞)以及意外災(zāi)害對服務(wù)器的損壞。對于紅沿河項(xiàng)目部，針對自然災(zāi)害以及意外災(zāi)害也做了相應(yīng)的準(zhǔn)備，例如：防止突然斷電的UPS組，防止服務(wù)器硬盤損壞造成數(shù)據(jù)丟失的數(shù)據(jù)備份等。3.2 防火墻技術(shù)防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，是建立在現(xiàn)代通信網(wǎng)絡(luò)和信息安全基礎(chǔ)上的安全技術(shù)，它可以是硬件，也可以是軟件，也可能是軟件和硬件的結(jié)合，它通常安裝在單獨(dú)的計算機(jī)上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與Int

7、ernet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，它不僅能保護(hù)網(wǎng)絡(luò)資源不受外部入侵者的接近，還可以攔截從被保護(hù)網(wǎng)絡(luò)向外傳送有價值的信息。由此可以說防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有：1）深度數(shù)據(jù)包處理。2）IP/URL過濾。3）TCP/IP終止。4）訪問網(wǎng)絡(luò)進(jìn)程跟蹤4。3.3 建立分層安全管理中心建立多級安全層次，將網(wǎng)絡(luò)安全系統(tǒng)分為不同的級別?？刂颇男┯脩裟軌虻卿浀椒?wù)器并獲取資源，用戶和用戶組被賦予一定的權(quán)限，控制用戶和用戶組可以訪問的目錄、文件和資源，并指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。3.4 綁定MAC地址和IP地址標(biāo)識網(wǎng)

8、絡(luò)中的一臺計算機(jī)，一般至少有3種方法：域名地址、IP地址和MAC地址，分別對應(yīng)應(yīng)用層、管理層、物理層。網(wǎng)絡(luò)管理一般是對IP地址進(jìn)行管理，但因?yàn)镮P地址用戶可以自行更改，不便于管理，MAC地址是網(wǎng)卡唯一編號，是廠商生產(chǎn)的網(wǎng)卡的地址，所以將IP地址和計算機(jī)綁定在一起，可將用戶的使用權(quán)限和機(jī)器的MAC地址綁定起來，限制用戶只能在固定的機(jī)器上網(wǎng)，保障安全，防止帳號盜用，IP 和MAC 綁定還可以保護(hù)路由器和網(wǎng)絡(luò)不受IP欺騙的攻擊，防止計算機(jī)亂發(fā)偽造的ARP數(shù)據(jù)包，是解決ARP攻擊的最好辦法。這樣，就不會出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況，可以有效保證局域網(wǎng)內(nèi)的安全和用戶的應(yīng)用。3.5 提高網(wǎng)絡(luò)

9、用戶安全意識 提高局域網(wǎng)內(nèi)部人員的安全意識，有效杜絕病毒感染。就可以大大降低網(wǎng)絡(luò)威脅，保證局域網(wǎng)的安全性，具體來說，做到以下幾點(diǎn)：1. 病毒、黑客程序可以通過移動存儲設(shè)備，郵件，瀏覽網(wǎng)頁，下載軟件等進(jìn)行傳播，所以不要隨便打開來歷不明的電子郵件、運(yùn)行別人傳來的程序、下載不知名的軟件。2. 安全、受限使用移動設(shè)備。設(shè)置權(quán)限，授權(quán)某些網(wǎng)絡(luò)用戶具有移動設(shè)備使用權(quán)，屏蔽其他用戶的USB接口。這些授權(quán)用戶在使用移動設(shè)備進(jìn)行數(shù)據(jù)共享前先殺毒，確定無病毒的前提下進(jìn)行其他操作。3. 按照安全規(guī)定操作，不要將自己的賬戶隨意轉(zhuǎn)借他人或與別人共享，不要隨便將未授權(quán)的計算機(jī)接入局域網(wǎng)內(nèi)，避免對網(wǎng)絡(luò)安全帶來威脅。4. 盡

10、量不暴露自己的IP，保護(hù)自己的IP地址很重要，事實(shí)上即使你的電腦中了木馬，如果沒有你的IP，攻擊者也沒有辦法，所以保護(hù)IP的最好辦法是設(shè)置代理服務(wù)器。5. 安裝制定殺毒軟件強(qiáng)制安裝策略并及時安裝補(bǔ)丁。例如：紅沿河項(xiàng)目部利用服務(wù)器對各網(wǎng)絡(luò)客戶端強(qiáng)制安裝卡巴斯基殺毒軟件。4 總結(jié)綜上所述，局域網(wǎng)的信息安全與病毒防治是一項(xiàng)長期而艱巨的任務(wù)，防止病毒的入侵要比發(fā)現(xiàn)和消除病毒更重要。單純依靠技術(shù)手段是不可能十分有效地杜絕和防止病毒的蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來，提高人們的防范意識，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。參考文獻(xiàn):1 鮑春麗, 劉雪玲. 局域網(wǎng)的信息安全與病毒防治J. 信息安全, 2012, 4(35).2 高煥芝,