局域网安全控制与病毒防治策略探析.docx

局域网安全控制与病毒防治策略探析 摘 要：随着网络的普及，网络安全日显重要，为了保证网络信息安全以及网络硬件及软件系统的正常顺利运转，计算机网络和系统安全建设就显得尤为重要。文章主要介绍了局域网安全控制与病毒防治的一些策略。 下载 关键词：网络安全；防火墙；病毒；网络管理 中图分类号：TP393.1 文献标识码：A 文章编号：1006-8937（2014）8-0068-02 1 局域网的安全现状 如今的局域网络技术比较成熟，已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。一些局域网内部的计算机和互联网相连，却并未安装相应的比较高级的杀毒软件及防火墙，用户就经常遭受到一些网内已中病毒计算机的ARP攻击，一些计算机系统或多或少都存在着各种的漏洞。局域网面临着黑客攻击、目录共享导致信息的外泄、计算机操作人员的安全意识不足等安全隐患。 2 网络不安全因素 2.1 局域网网络安全管理体系不够完善 目前，许多网络用户管理层对网络安全并不清晰，只是普遍认为网络管理员只要加强技术，一切网络安全问题就可得到解决。事实上技术上的建设只是网络安全中的一个方面，管理体系的建设才是重点。在花费大量资金购买设备和软件，在技术上虽然能够达到一定的标准，但如果管理制度不够完善，可能导致管理出现失控的现象，使软件有时无法正常使用或操作。如网络服务器对服务器操作系统设置的缺陷、对内部用户权限未作合理的限制导致非授权访问、无限制的文件存储导致服务器系统长期在超负荷的状态下工作、操作系统本身的漏洞等等。出现随意更换IP地址导致地址冲突而无法上网，病毒库无法更新等问题出现。 2.2 局域网用户安全意识不强 许多用户在使用网络的时候常常忽略网络安全问题，缺乏安全意识。如使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外用户在电脑上下载和安装网上不可靠站点未经严格验证的应用软件也会带入病毒，甚至打开匿名邮件都可能被计算机病毒感染，造成病毒的传入和信息的泄密。 2.3 计算机病毒及恶意代码的威胁 无孔不入的计算机病毒、恶意的黑客攻击是计算机网络最大的威胁，这也是让网络管理员较为头痛的问题。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响内部网络安全的主要因素。 3 局域网安全控制与病毒防治策略 3.1 建立网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持，在网络安全中，除采用技术措施之外，加强网络的安全管理，制定有关的规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。在网络安全管理中，我们应根据网络安全的要求和服务规范建设合理的安全制度，加强流程要求，并不断规范和完善制度，提高可执行性和可操作性。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程包括服务器以及个人主机安全管理、包括个级别权限管理，制定网络系统的维护制度和应急措施等。 3.2 安全备份 对局域网内部存在的非常重要的信息，必须及时对这些信息进行完整的备份，以便在出现问题的时候及时恢复。备份一方面包括对局域网内部的重要数据的备份，另一方面，也包括对于核心设备和线路的备份。对于局域网中的核心设备的系统配置必须进行定期和不定期的检查和备份，从而在设备发生问题的时候，可以进行紧急恢复。对于局域网内部的核心线路，应该保持完备和做出适当的备份，从而在一些线路发生问题的时候，可以及时采用备份线路来维持整个局域网的正常工作。对关键的路由器，配置出一个一样的来放起备用。为每台电脑做系统备份。并把备份编号收集起来，以备不时之需。 3.3 建立局域网统一防病毒系统 传统的单机防病毒形式已经不能满足局域网安全的需要，必须建立局域网统一防病毒系统，利用全方位的防病毒产品，对于局域网内部各个可能的病毒攻击点都进行对应的防病毒软件的安装，来实现全方位、多层次的病毒防治功能。与此同时，实现局域网统一防病毒系统的定期自动升级，更好的避免病毒的攻击。防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒需要：增加安全意识和安全知识，文件共享时尽量控制权限和增加字码，对来历不明的文件运行前进行查杀等。小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀，也可把病毒拒绝在外。防病毒体系是建立在每个局域网的防病毒系统上的。局域网统一防病毒系统的病毒库能够实现及时方便的更新，也可以实现统一彻底的病毒防杀，同时具备操作简单快捷的特点，因此，是非常有利于局域网的病毒防治的。 3.4 合理安装配置防火墙 防火墙是一种用来阻止外面未经授权的用户非法访问网络的设备工具，它通常是软件和硬件的结合体。防火墙在网络通讯时执行一种访问控制尺度，在它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。防火墙的基本准则有： 过滤不安全服务。基于这个准则，防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放，对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。 过滤非法用户和访问特殊站点。防火墙应先允许所有的用户和站点对内部网络的访问，然后管理员根据IP地址对未授权的用户或不信任的站点进行逐项屏蔽。 通过合理安装配置防火墙，可以在利用局域网进行通讯的时候执行一种访问控制列表，允许合法的人和数据来访问局域网，并且拒绝非法的用户和数据对于局域网的访问，从而使黑客对于局域网的攻击行为得到最大限度的阻止，避免黑客对于局域网上的重要信息的随意更改、移动甚至删除。 3.5 运用VLAN技术 VLAN 的英文全称是Virtual Local Area Network，也就是虚拟局域网，利用它来实现对内部子网的物理隔离。通过在交换机上划分VLAN 可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止一个网段的问题穿过整个网络传播。这对于限制非法用户对于局域网的访问起到非常巨大的作用。划分VLAN有以下优点：控制广播风暴；增强网络的安全性；增强网络管理。 VLAN 的划分方法分三种：基于端口的划分。这是最常用、最有效的一种VLAN 划分方法，目前绝大多数VLAN 协议的交换机都提供这种VLAN 配置方法。基于MAC地址的划分。这是最常用、最有效的一种VLAN 划分方法，目前绝大多数VLAN 协议的交换机都提供这种VLAN 配置方法。基于网络层的VLAN，基于第3层的VLAN是采用在路由器中常用的方法：IP子网和IPX网络号等。 3.6 运用访问控制技术 通过访问控制技术的运用，可以保证局域网内部的数据不被非法使用或者非法访问。它是保证网络安全最重要的核心策略之一。主要有以下七种方式： 入网访问控制。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。属性安全控制。当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络监测和锁定控制。网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。网络端口和节点的安全控制。端口是虚拟的“门户”，信息通过它进入和驻留于计算机中，网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。 3.7 控制IP地址 封存所有空闲的IP地址，启动IP地址绑定，采用上网计算机IP地址与MCA地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。 3.8 提高使用网络人员的安全意识 要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，也正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法，从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。切实保证局域网日常的维护及管理工作，利用最为先进的技术来防治局域网的各种安全隐患。 4 结 语 局域网安全控制是一项长期而艰巨的任务，针对于局域网存在的安全隐患的防治工作不是一劳永逸的，而是一项复杂艰巨的系统工程。在实际工作中既需要综合运用以上方法，还要将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，又需要规范和创建必要的安全管理