探析局域網的安全控制與病毒防治策略

摘要：隨著計算機網絡的不斷發(fā)展和普及，計算機網絡帶來了無窮的資源，但隨之而來的網絡安全問題也顯得尤為重要，文章重點介紹了局域網安全控制與病毒防治的1些策略。關鍵詞：LAN；威脅；安全控制；病毒防治

隨著信息化的不斷擴展，各類網絡版應用軟件推廣應用，計算機網絡在提高數據傳輸效率，實現數據集中、數據共享等方面發(fā)揮著越來越重要的作用，網絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網絡信息安全以及網絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提，因此計算機網絡和系統(tǒng)安全建設就顯得尤為重要。

1、局域網安全現狀

廣域網絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監(jiān)控下，來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡，形成極大的安全隱患。目前，局域網絡安全隱患是利用了網絡系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。

2、局域網安全威脅分析

局域網（LAN）是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每1臺電腦，因此局域網內信息的傳輸速率比較高，同時局域網采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類：

（1）欺騙性的軟件使數據安全性降低

由于局域網很大的1部分用處是資源共享，而正是由于共享資源的“數據開放性”，導致數據信息容易被篡改和刪除，數據安全性較低。例如“網絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于1些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細信息等的1種攻擊方式。最常用的手法是冒充1些真正的網站來騙取用戶的敏感的數據。以往此類攻擊的冒名的多是大型或著名的網站，但由于大型網站反應比較迅速，而且所提供的安全功能不斷增強，網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段，因此會造成經常性的信息丟失等現象發(fā)生。

（2）服務器區(qū)域沒有進行獨立防護

局域網內計算機的數據快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網中服務器區(qū)域不進行獨立保護，其中1臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網中任何1臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網內部的攻擊。

（3）計算機病毒及惡意代碼的威脅

由于網絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crimeware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年，預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長，寄生軟件的總量預計將增長20%。

（四）局域網用戶安全意識不強

許多用戶使用移動存儲設備來進行數據的傳遞，經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外1機兩用甚至多用情況普遍，筆記本電腦在內外網之間平凡切換使用，許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用，造成病毒的傳入和信息的泄密。

（五）IP地址沖突

局域網用戶在同1個網段內，經常造成IP地址沖突，造成部分計算機無法上網。對于局域網來講，此類IP地址沖突的問題會經常出現，用戶規(guī)模越大，查找工作就越困難，所以網絡管理員必須加以解決。

正是由于局域網內應用上這些獨特的特點，造成局域網內的病毒快速傳遞，數據安全性低，網內電腦相互感染，病毒屢殺不盡，數據經常丟失。

3、局域網安全控制與病毒防治策略

（1）加強人員的網絡安全培訓

安全是個過程，它是1個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看，主要涉及管理、技術和應用3個層面。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網絡安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網絡的人員的管理，注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質。同時要加強法制建設，進1步完善關于網絡安全的法律，以便更有利地打擊不法分子。對局域網內部人員，從下面幾方面進行培訓：

1、加強安全意識培訓，讓每個工作人員明白數據信息安全的重要性，理解保證數據信息安全是所有計算機使用者共同的責任。

2、加強安全知識培訓，使每個計算機使用者掌握1定的安全知識，至少能夠掌握如何備份本地的數據，保證本地數據信息的安全可靠。

3、加強網絡知識培訓，通過培訓掌握1定的網絡知識，能夠掌握IP地址的配置、數據的共享等網絡基本知識，樹立良好的計算機使用習慣。

（2）局域網安全控制策略

安全管理保護網絡用戶資源與設備以及網絡管理系統(tǒng)本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分，對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患，對于內部網絡終端安全管理主要從終端狀態(tài)、行為、事件3個方面進行防御。利用現有的安全管理軟件加強對以上3個方面的管理是當前解決局域網安全的關鍵所在。1、利用桌面管理系統(tǒng)控制用戶入網。入網訪問控制是保證網絡資源不被非法使用，是網絡安全防范和保護的主要策略。它為網絡訪問提供了第1層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予1定的權限，網絡控制用戶和用戶組可以訪問的目錄、文件和