局域網安全策略

【摘要】 局域網安全問題越來越受關注。本文詳細分析了局域網面臨的各類安全風險，從物理安全、網絡訪問控制和網絡安全管理三個層面研究網絡安全策略，從密碼加密、權限控制、安全軟件、安全檢測四方面研究局域網計算機的安全防護，由外而內，層層防護，確保局域網設備和信息安全。對提升局域網安全性具有較高參考價值。

【關鍵詞】局域網  安全風險  安全策略

當今時代，計算機網絡已經成為人類社會必需品，我們在享受網絡便利的同時，也面臨網絡安全的巨大威脅。尤其是涉及國家、軍隊、商業秘密的網絡，安全威脅更是致命的。本文分析了局域網面臨的安全風險，研究網絡安全防護的有效策略，對保護局域網安全提供參考。

局域網存在的安全隱患

計算機網絡主要面臨對網絡中信息和設備的兩大威脅。組建局域網時不得不考慮安全防護問題。要保護局域網安全，首先得分析局域網存在哪些安全隱患。結合多年從事網絡安全工作的經驗，本文從以下幾個方面分析局域網安全風險。

1.自然災害損壞設備。局域網包括很多網絡設備，易受自然災害及環境的影響。

2.使用人安全意識不強。用戶口令設置簡單或不管不慎、隨意使用U盤等移動存儲介質等，都給覬覦網絡信息的人可乘之機。

3.黑客惡意攻擊。黑客攻擊破壞網絡中信息的有效性和完整性，甚至使網絡癱瘓;截獲、竊取秘密信息。

4.軟件的漏洞和“后門”。軟件先天設計的缺陷產生漏洞，程序設計者故意留的“后門”，都為黑客攻擊網絡大開方便之門。

5.計算機病毒。計算機感染病毒后，輕則系統工作效率下降，重則死機或毀壞。局域網計算機傳播擴散的速度很快，整個網絡都會面臨嚴重危險。更為嚴重的是，計算機病毒在局域網內很容易“死灰復燃”，是局域網的“頑疾”。

6.網絡安全管理缺失。組建局域網的單位是否有嚴格的網絡管理制度和制度的落實力度也直接關系局域網安全，技術的“漏洞”容易彌補，管理“漏洞”不可預知不可控。

局域網安全防護策略

本章針對局域網安全風險，提出以下三類應對策略，有效抵御風險。

網絡物理安全策略

網絡的物理安全策略主要是防止網絡中的服務器、交換機、路由器、防火墻、打印機、通信線路等設備受到自然災害、人為破壞和惡意攻擊。設置合適的物理安全策略是保護局域網安全的首要環節。

具體措施包括：建設防盜搶的安全設施設備;嚴格按照安全規范建設機房;建設必要的電磁泄漏防護措施;實現局域網與互聯網物理隔離。

網絡訪問控制策略

網絡訪問控制的主要目的是為了保護局域網信息安全，避免信息的非法訪問與惡意盜取。有效的訪問控制策略通常包括以下幾種：

1.入網安全控制。

入網控制為局域網提供了第一層安全控制。包括WHO，WHEN，WHERE等控制要素，即誰有資格登錄網絡服務器，何時能夠入網，那臺計算機可以入網。對WHO的控制分三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。對WHEN的控制主要是針對不同用戶進行訪問時段和時長的限制，服務器對某些用戶只提供定時訪問，不在時間段內的訪問都會被拒絕。對WHERE的控制分為MAC地址、IP地址、MAC地址與IP地址綁定等限制方式。

2.訪問安全控制。

合法用戶登錄網絡之后，也不能放任其隨意訪問和操作網絡，否則對局域網的安全性仍有威脅。需對局域網進行訪問安全控制，每個用戶只能擁有適當權限，訪問有限數據，執行有限操作。訪問安全控制主要有權限控制、屬性控制、服務器控制臺控制等安全控制策略。

權限控制即控制不同用戶對目錄、文件、設備的訪問權限。系統管理員具有最高權限，可以創建目錄、文件，也具有對其進行讀、寫、修改、刪除等操作的權限。系統管理員為普通用戶定制權限，控制用戶對服務器的訪問和操作，滿足使用需求的同時最大限度防止資源被竊取。

屬性控制是指系統管理員在創建文件、目錄時，給文件、目錄設定訪問屬性，包括修改文件、拷貝文件、刪除目錄或文件、查看目錄和文件、執行文件、隱藏文件、共享文件等。屬性安全在權限安全的基礎上提供更進一步的安全性。屬性設置可以保護重要的目錄和文件，防止用戶誤刪除、讀寫、修改、顯示等。

服務器控制臺控制是指防止通過服務器控制臺對局域網實施破壞，要設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據;要設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔;管理員離開是要鎖定服務器控制臺，防止他人操作。

3.監測安全控制。

局域網服務器的端口和節點要嚴格保護，防止非法訪問和惡意入侵，同時應具有網絡行為的監測與非法行為報警功能。服務器端口使用自動回呼設備防止假冒用戶登錄，使用靜默調制解調器防范黑客自動撥號程序的攻擊，還要以加密形式識別節點的合法身份。安裝網絡監測軟件，設置監測的行為和報警的條件，并以圖表的形式分析數據流量和網絡行為。

網絡安全管理策略

網絡世界的攻防戰愈演愈烈，單純依靠技術來防范網絡攻擊很難，安全管理是一個低成本高效率的方法。包括以下方面：

1.網絡技術文檔管理：網絡拓撲結構、設備配置方案、IP地址和域名分配方案、系統操作規范、數據備份策略和安全應急方案等文檔應完備。

2.網絡設施管理：網絡機房嚴格控制、網絡安全設備定期檢測、電磁環境檢測、通信線路定期巡視與維護、終端計算機的使用規范和安全管理。

3.人員管理：;按照網絡管理員、安全員和普通用戶職責進行分工，各司其職。

4.網絡維護制度：記錄網絡設備和安全系統日志;定期評估網絡安全性;定期掃描網絡漏洞并更新補丁;及時升級防病毒軟件。

局域網內計算機安全策略

組成局域網的一個重要部分是計算機，對計算機進行有效的安全設置是保障局域網安全的有效措施。對計算機的安全設置主要包括以下幾個方面：

密碼與加密

計算機應設置密碼，不同用戶設置不同密碼，嚴格保護密碼。密碼安全性由高到低分別為系統啟動密碼、用戶密碼、BIOS密碼。其中系統啟動密碼在【開始】【運行】中輸入“SYSKEY”設置，用戶密碼在【控制面板】【用戶賬戶】中點擊該用戶設置，BIOS密碼在CMOS設置的“Advanced BIOS Features”里設置。

設置密碼是第一道防線，計算機內重要信息需建立第二道防線，即加密。常見方法有4種：一是使用組策略工具把存放重要信息的硬盤分區設置為不可訪問;二是設置注冊表，在HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer中新建一個DWORD值，命名為NoDriv并賦上相應驅動器的值，隱藏該驅動器。三是使用WinRAR 數據加密，把想要隱藏的文件和文件夾【添加壓縮文件】，選擇【高級】【設置密碼】加密。四是使用專業的加密軟件，如：《文件夾加密超級大師》、《文件保護3000》、《超級秘密文件夾》等。

操作權限管理

按照權限最小原則為不同用戶分別配屬權限，合理使用系統資源。計算機默認用戶組比較多，實際有Administrators和Users兩個用戶組就足夠了，建議刪除Guests組。關閉計算機用戶不使用的系統服務，特別是可以遠程控制計算機的服務，如RemoteDesktop、RealVNC和NetBIOS等。

安全防護軟件

給計算機安裝一些安全防護軟件，也可提高計算機安全性。常見的有：

1.防病毒軟件。為局域網每臺計算機安裝殺毒軟件。

2.防火墻。安裝個人防火墻并正確設置它，指定可信程序連接網絡，阻止其它計算機、網絡和網址連接計算機。

3.保密管理程序。對保密要求較高的計算機安裝專業保密管理程序，監測該計算機的所有行為，并對數據流出進行限制。

定期安全檢測

定期對計算機做以下9方面的安全檢查可以讓用戶了解計算機存在哪些安全隱患。

1.上網記錄：檢查計算機訪問過的網址和訪問時間;

2.近期處理過的文件：檢查計算機近期處理過的文件;

3.操作系統和補丁信息：檢查計算機的操作系統信息和已安裝的補丁包信息;

4.系統用戶：檢查操作系統的用戶、用戶權限、用戶描述;

5.共享目錄：檢查操作系統共享的文件夾名稱和路徑;

6.開放端口：檢查操作系統開放的網絡端口情況，包括協議、地址、端口號、狀態等;

7.運行進程：檢查系統當前運行的進程、進程ID等;

8.系統服務：檢查系統的服務名稱，服務當前的狀態等;

9.USB存儲設備：檢查系統使用過的所有USB存儲設備名稱、類型和硬件編號。

局域網安全是一個很有意義的研究方向，可以解決國家企事業單位、政府機構、軍隊、公司企業等內部信息需要保密的單位對局域網安全的擔憂。本文分析了局域網面臨哪些安全風險，從如何設置網絡安全策略和局域網計算機安全防護兩個方面研究局域網安全策略，對保護局域網安全提供參考。但是網絡技術飛速發展，黑客攻擊手段層出不窮，要筑牢局域網的安全防線，網絡安全技術的發展也要與時俱進。未來發展還有很多新變化，網絡安全的前路還很漫長。

【參考文獻】

[1]Yan Ye. Text Image Compression Based on Pattern Matching[D]. University of California，2002

[2]Kia Omid E， Doermann David S， Rosenfeld Azriel， et al. Symbolic Compression and Processing of Document Images[J]. Computer Vision and Image Understanding， 1998，70（3）：335-349