傅杰华

（广西工联工业工程咨询设计有限公司，广西 南宁 530003）

随着信息技术的发展，Internet已成为全球重要的信息传播工具。网络已经渗透到当今社会的各个领域，在社会生产、日常生活中的作用日益显著。在网络给人们带来方便的同时，随之而来的网络安全问题也日益严重。各种计算机病毒和网上黑客对网络的攻击越来越激烈，如何保障网络安全也显得愈加重要。文章分析现今局域网网络安全威胁的因素，以及相关的安全管理技术。

1 局域网安全威胁分析

局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。局域网内信息的传输速率较高，同时局域网采用的技术比较简单，安全措施较少，这给病毒传播提供了有效的通道，也给数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：

1.1 欺骗性的软件使数据安全性降低

局域网大部分的用处是资源共享，正是由于共享资源的“数据开放性”，导致数据信息易被篡改和删除，数据安全性较低。例如：“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息，如用户名、口令、账号ID、ATM、信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感数据，由于用户缺乏数据备份等数据安全方面的知识和手段，因此经常有信息丢失等现象发生。

1.2 服务器区域没有进行独立防护

局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断外来攻击，但无法抵挡来自局域网内部的攻击。

1.3 计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改计算机上现有的软件，在自己寄生的文件中注入新的代码。近几年，随着犯罪软件汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。在脱离网络环境的情况下，病毒和恶意代码即失去感染计算机的主要机会，同时也失去窃取用户数据、财产、隐私等信息的机会。

1.4 局域网用户安全意识不强

许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查就通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便，同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间频繁切换使用，许多用户将在 Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。

1.5 IP地址冲突

局域网用户在同一个网段内，经常造成IP地址冲突，导致部分计算机无法连接上网络。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。

2 局域网安全管理技术

2.1 物理安全管理措施

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。保证物理安全主要包括以下3个方面：

2.1.1 环境安全

对系统所在环境的安全保护，如区域保护和灾难保护，应认真执行国家标准《电子信息系统机房设计规范》（GB50174－2008）、《电子计算机场地通用规范》（GB2887－2000）、《计算机场地安全要求》（GB9361－200X）。

2.1.2 设备安全

主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。

2.1.3 媒体安全

包括媒体数据的安全及媒体本身的安全。

2.2 网络结构安全管理措施

安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，要主要考虑网络结构、系统和路由的优化。

网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。网络结构的优化，在网络拓扑上要考虑到冗余链路，防火墙的设置和入侵检测的实时监控等。

2.3 网络系统安全措施

2.3.1 防火墙技术

防火墙技术是使用最广泛的网络安全技术。防火墙技术的实现通常是基于“包过滤”技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般由网络管理人员在防火墙设备的访问控制清单中设定。除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用。到后来演变为与路由器相结合，执行 NAT（网络地址转换 Network Address Translation）、IPSEC VPN以及URL过滤、SSL VPN、防病毒以及防垃圾邮件等。而最近，防火墙已经开始与IPS（互联网协议群Internet Protocol Suite）结合来提供真正应用程序级别的过滤以及用户访问。未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为网络提供更安全的保障。

对局域网用户来说，防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有根据本单位的安全策略选择的应用协议才能通过防火墙，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外，所以内部网络环境变得更安全。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个计算机上相比，防火墙的集中管理更安全。同时也可以通过利用防火墙对内部网络的划分，可实现局域网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有不足之处：无法防范通过防火墙以外的其他途径的攻击，不能防止来自内部网络的攻击和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

2.3.2 入侵检测技术

入侵检测（Intrusion Detection）是指通过旁路监听的方式不间断对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。入侵检测技术能够帮助系统对付网络攻击，作为一种积极主动地安全、防护技术，它提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，扩展了网络管理人员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。

进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System）。与其他安全产品不同，入侵检测系统需要更多的智能，它必须将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理人员的工作，不但可使管理人员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南；而且入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等，保证网络安全的运行。

2.3.3 安全管理措施

面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络安全管理规范的建立。因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络管理人员的重视。

（1）加强安全意识培训，让每个计算机使用者明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。

（2）加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。

（3）加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。

3 结束语

网络安全是一个综合性的课题，涉及技术、管理、使用等诸方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，不是万能的。随着计算机技术和网络技术在社会各个领域中的渗透，社会各种活动对计算机网络的依赖程度也越来越深。增强社会安全意识教育，普及计算机网络安全教育，提高计算机网络安全技术水平，改善其安全现状，成为当务之急。

1 王继龙、安淑梅等编著.局域网安全管理实践教程［M］.北京：清华大学出版社，2009.07

2 王石等编著.局域网安全与攻防［M］.北京：电子工业出版社，2006.09