局域网网络安全及防护措施

2023年12月7日发(作者：)

Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ・信息安全・网络控制　局域网网络安全及防护措施　齐桂芳　（山东省东营市胜利油田物资供应处信息中心山东东营２５７０２４）　【摘要】文章介绍了局域网的安全与防护措施。为企业内部加强网络安全，保证局域网提供可靠安全稳定的服务提　供参考。　【关键词】局域网；安全；防火墙；ＶＬＡＮ；病毒防护　ＬＡＮ　Ｓｅｃｕ　ｒｉｔｙ　ａｎｄ　Ｐｒｏｔｅｃｔｉｏｎ　Ｍｅａｓｕ　ｒｅｓ　Ｑ｜Ｇｕｉ－ｆａｎｇ　（Ｉｎｆｏｒｍａｔｉｏｎ　ＣｅｎｔｅｒｏｆＳｕｐｐｌｙＤｅｐａｒｔｍｅｎｔｏｆＳｈｅｎｇｌｉ　ＯｉｌＦｉｅｌｄ　Ｄｏｎｇｙｉｎｇ　Ｓｈａｎｄｏｎｇ　Ｐｒｏｖｉｎｃｅ　【Ａｂｓｔｒａｃｔ】Ｔｈｉｓ　ａｒｔｉｃｌｅ　ｉｎｔｒｏｄｕｃｅｓ　ｍｅａｓｕｒｅｓ　ｆｏｒ　ＬＡＮ　ｓｅｃｕｒｉｔｙ　ａｎｄ　ｐｒｏｔｅｃｔｉｏｎ．Ｉｔ　ｐｒｏｖｉｄｅｓ　ａ　ｖａｌｕａｂｌｅ　ｒｅｆｅｒｅｎｃｅ　ｆｏｒ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｅｎｈａｎｃｅｍｅｎｔ　ａｎｄ　ｅｎｓｕｒｅｓ　ａ　ｍｕｃｈ　ｓａｆｅｒ　ａｎｄ　ｍｏｒｅ　ｒｅｌｉａｂｌｅ　ｓｅｒｖｉｃｅ　０ｆ　ＬＡＮ　ｗｉｔｈｉｎ　ｔｈｅ　ｅｎｔｅｒｐｒｉｓｅ　【Ｋｅｙｗｏｒｄｓ】ＬＡＮ：ｓｅｃ　ｌｙ：　ｒｅｗａ　ＶＬＡＮ＝ｖｉｒｕｓ　ｐｒｏｔｅｃｔｉｏｎ　Ｏ　引言　今网络技术飞速发展，它已经和我们日常工作生　活息息相关，办公自动化、网上银行、网络购物、收发电子　网络之间架起一道屏障，以防止发生不可预测的、潜存的　破坏性侵入。　１．２防火墙主要控制手段　防火墙通常使用的安全控制手段主要有包过滤、状　态检测。　１－２．１包过滤　邮件等更是依赖于网络。随着网络的不断普及和延伸，互　联网的开放性和匿名性即给我们带来了方便，也带来了　来自各方面的各种进攻和威胁。如果安全措施不到位就　有可能会导致机密泄漏、数据丢失、网络滥用、非法入侵　包过滤技术是一种简单、有效的安全控制技术，它通　等。为了确保工作的顺利进行，就要确保网络信息安全以　及网络硬件及软件系统的正常运转。所以我们必须加强　计算机网络和系统安全建设。　局域网是指在一定范围内（通常是企业、组织内部）　由各种计算机、外部设备和数据库系统组成的网络。局域　网内信息的传输速率很高，但安全隐患却不少。目前多种　技术可以用于加强局域网络安全。　过在网络间相互连接的设备上加载允许、禁止来自某些　特定的源地址、目的地址、ＴＣＰ端口号等规则，对通过设　备的数据包进行检查，限制数据包进出内部网络　１－２．２状态检测　状态检测是比包过滤更为有效的安全控制方法。对　新建的应用连接，状态检测检查预先设置的安全规则，允　许符合规则的连接通过，并在内存中记录下该连接的相　１防火墙技术　１．１什么是防火墙　防火墙是指设置存不同网络（如可信任的企业内部　网和不可信的公共网）或网络安全域之间的一系列防火　关信息，生成状态表。对该连接的后续数据包，只要符合　状态表，就可以通过。　２　访问控制和授权　内部用户访问服务器需要被授权和用户身份认证，　防止服务器共享数据被删除或篡改。用户和用户组被赋　予一定的权限，网络控制用户和用户组可以访问的目录、　墙部件的组合。它是不同网络或网络安全域之间信息的　唯一ｆ“人口，通过监测、限制、更改跨越防火墙的数据流，　尽可能地对外部网络屏蔽掉网络内部的信息、结构和运　行状况，有选择地接受外部访问，对内部强化设备监管、　控制对服务器与外部网络的访问，在被保护网络和外部　・文件和其它资源，町以指定用户对这些文件、Ｅｌ录、设备　能够执行的操作。启用密码策略，强制计算机用户设置符　合安全要求的密码，包括设置口令锁定服务器控制台，以　２６・２０１２年３月・ＷＷＷ．ｉｎｆｏｓｔｉｎｇ．ｏｒｇ　网络控制・信息安全・Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　防止非法用户修改。设定服务器登录时间限制、检测非法　访问．对密码不符合要求的计算机在多次警告后阻断其　连网。　况：自动反馈计算机的硬件变化和软件安装、卸载状况，　建立资产变动记录。通过资产收集，网络管理员可以及时　了解终端计算机的软件、硬件资产的配置情况。　３　病毒防护　病毒的侵入对系统资源构成很大的威胁，可影响系　５．２网络接人管理功能　网络接人管理功能包括可管理的（企业台式机、手提　电脑、服务器１以及不可管理的（外部访客、合作伙伴、客　户）终端。能够强制提升企业网络终端的安全，保证企业网　络保护机制不被间断，配置正确无误，以及补丁拥有最新　统的正常运行甚至导致系统瘫痪。特别是通过网络传播　的计算机病毒，能在很短的时间内使整个计算机网络崩　溃，从而造成巨大的损失。防毒的重点是控制病毒的传　染。目前推荐采用杀毒软件强制安装策略，监测所有运行　在局域网络上的计算机，对没有安装杀毒软件的计算机　采用警告和阻断的方式强制使用人安装杀毒软件。这样　可以保证已有的病毒会被及时查杀，避免通过网络快速　传播。　４　ＶＬＡＮ的划分　为了克服以太网的广播问题，还可以运用ＶＬＡＮ（虚　拟局域网）技术，将以太网通信变为点到点通信，防止大　部分基于网络侦听的入侵。ＶＬＡＮ技术主要有三种：基于　交换机端口的ＶＬＡＮ、基于节点ＭＡＣ地址的ＶＬＡＮ和　基于应用协议的ＶＬＡＮ。基于端口的ＶＬＡＮ虽然稍欠灵　活，但却比较成熟，在实际应用中效果显著；基于ＭＡＣ地　址的ＶＬＡＮ为移动计算提供了可能性，但同时也潜藏着　遭受ＭＡＣ欺诈攻击的隐患；而基于协议的ＶＬＡＮ，理论　上非常理想，但实际应用却尚不成熟。　在集中式网络环境下．我们通常将中心的所有主机　系统集中到一个ＶＬＡＮ里．在这个ＶＬＡＮ里不允许有任　何用户节点，从而较好地保护敏感的主机资源。在分布式　网络环境下。我们可以按机构或部门的设置来划分　ＶＬＡＮ。各部门内部的所有服务器和用户节点都在各自的　ＶＬＡＮ内，互不侵扰。ＶＬＡＮ内部的连接采用交换实现，　而ＶＬＡＮ与ＶＬＡＮ之间的连接则采用路由实现。　５　桌面管理系统的应用　局域网用户在同一个网段内，会经常出现ｒＰ地址冲　突。造成正常的用户不能上网。对于局域网来说用户规模　越大此类ＩＰ地址冲突的问题出现越多，查找就越困难。推　荐的解决方法是强制用户安装桌面管理系统，它可以实　现桌面设备管理自动化，涵盖软件分发、补丁管理、资产　管理、应用程序管理、外设管理、远程控制和上网行为监　控等功能，并提供灵活的警报系统、丰富的报表报告和周　密的系统配置．桌面管理系统将网络管理人员日常繁杂　的工作简单化、智能化，可实现分布式防护、集中式分级　管理功能。　５．１资产管理　资产管理可自动侦测计算机详细的软硬件资产状　的时效性．使网络安全得到更有效提升。与此同时基于设　备接入控制网关，还可以对于远程接入企业内部网络的　计算机进行身份、唯一性及安全认证。　５．３软件分发　软件分发能够自动给指定的或全部终端计算机分发　及安装应用软件包，保证终端计算机始终处于最佳工作　状态，大大减轻管理员批量部署程序的负担。软件分发满　足了大型分布式网络软件统一和数据更新的需求。　５．４补丁管理　补丁管理自动下载并安装补丁、及时更新病毒库等，　避免因病毒侵袭及应用系统漏洞而导致损失。　５．５应用程序管理　应用程序管理可以实时汇总网络内所有曾经运行过　的应用程序名称；可制定运行策略，如禁止某些计算机运　行指定的软件或应用程序；可查询和统计应用程序的使　用记录。　５．６外设管理　外设管理可以允许或禁止客户端计算机的ＵＳＢ接　口、光驱、软驱、并口、串口、Ｍｏｄｅｍ等外部存储设备的访　问使用，强化内部安全控制机制。此外，远程管理：可在管　理端直接遥控和操作任何一台电脑；可远程获取客户机　的应用程序、网络连接、进程、系统信息等基本资料和运　行情况。　５．７上网行为管理　上网行为管理能监控员工从开机以后的一切操作，　包括上网监控、聊天监控、邮件监控及游戏监控等。　可以强制要求每个网络用户必须注册安装用户安装　桌面管理系统，这样网络管理员可以通过这个软件很方　便的管理用户的ＩＰ及计算机。还可以封存所有空闲的ＩＰ　地址，可以有效防止ＩＰ地址引起的网络中断和非授权计　算机随意上内部局域网络造成病毒传播和数据泄密。　６用户安全培训　局域网内计算机的数据传输快速、便捷，造就了病毒　感染的直接和迅速性，如果局域网中服务器区域不进行　独立保护，其中一台电脑感染病毒，并且通过服务器进行　信息安全与技术・２０１２年３月・２７・　Ｉｎｆｏｒｍａｔ　ｉ０ｎ　Ｓｅｃｕｒｉ　ｔｙ・信息安全・网络控制　信息传递，就会感染服务器，这样局域网中任何一台通过　服务器信息传递的电脑，就有町能会感染病毒。虽然在网　络　口有防火墙阻断对外来攻击，但无法抵挡来自局域　内部的攻击　７　结束语　局域网安全控制与病毒防治是一项长期而艰巨的任　务，需要不断的研究和探索。随着网络应用的发展计算机　病毒形式及传播途径日趋多样化，安全问题日益复杂化。　网络安全建设已不再像单台计算安全防护那样简单　汁　算机网络安全需要建立多层次的、立体的防护体系，要具　备完善的管理系统来设置和维护对安全的防护策略。　日前网络管理工作量最大的部分是客户端安全部　分，对网络的安全运行威胁最大的也同样是客户端安全　管理。只有解决网络内部的安全问题，才可以排除网络巾　最大的安全隐患．．这就要加强对使用网络的内部人员的　管理．加强丁作人员的安全培训，增强他们的安全防范意　识，指导用户如何配置网络参数、要求他们所使用的电脑　要安装防病毒软件．学会查杀病毒和备份重要的数据．在　使用外来移动存储设备之前．要先进行病毒的扫描和查　杀，确认安全后再使用，防止外来移动存储设备将木马、　蠕虫等病毒传人本地电脑系统，减少数据泄密的机会，提　高内部管理人员整体素质　参考文献　［１】张公忠主编．现代网络技术教程．电子Ｔ业出版社．　［２］Ａｎｄｒｅｗ　Ｓ．Ｔａｎｅｎｂａｕｍ．计算机网络．清华大学出版社　［３】Ｗｉｌｌｉａｍ　Ｓｔａｌｌｉｎｇｓ．局域网与城域网．电子１二业出版社　作者简介：　齐桂芳（１９６６一），女，山东东营人，本科，网络Ｔ程师；研究方向　网络安全与ＥＲＰ管理。　【上接第１９页】　时或触发式地向各类用户提供标准信息。该架构中还提　供应用程序接口和授权管理，使各个系统能通过程序接　口访问标准数据库。　统一认证和授权管理，应用集成接口　匾臣　一　～一　匡　４结论与展望　新式的标准信息存储模式，不但满足了传统的标准　信息检索要求．而且提供了标准资源的框架，其它的各类　系统可以通过服务接口直接访问。此外，其它系统还可以　｛厂———一—叶］Ｊ　ｌ一厂———一…—　二　ｌ元数据题数＿录据　ｌｌ要ｌ｝　素ｌ　＝避离　１　——　一——　ｉ　—　一——．。．　结合本地信息资源，根据一定的智能化算法，自动形成有　利于指导或管理某个领域发展的信息。　参考文献　图３　［１］ＧＢ／Ｔ　１．１—２００９．标准化工作导则第１部分：标准的结构和编　写［Ｓ］　标准信息采集：目前主要关注的是纸介文件和电子　文档如何录入进库里。　［２】白殿一．标准的编写［Ｍ］．北京：中国标准出版社，２００９．　［３］萨师煊，王珊．数据库系统概论（第三版）［Ｍ］．北京：高等教育出　版丰十．２０００．　标准信息存储：标准文献里面含有文字、图片、图表、　公式等信息，向各类应用提供标准信息，且要求支持各种　文件格式进行浏览。故此，可以采用元数据库、要素内容　数据库和题录数据库进行存储标准信息，待查看时自动　生成各种文件格式的全文，以满足各种数据规范要求。　标准信息发布：架构标准信息的发布平台，准确、及　［４］于美梅．Ｔ业企业标准化［Ｍ］．北京：中国标准出版社，２００３．　作者简介：　陈洪江（１９７９一），男，主任助理，标准化助理１．程师，计算机软件　高级职称；研究方向：标准信息化。　２８・２０１２年３月・ＷＷＷｉｎｆｏｓｔｉｎｇ　ｏｒｇ