局域网网络安全防护工作剖析

曾金繁

江西省兴国县信息中心 江西 342400

0 前言

办公局域网一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intra-net，它具有开放性，因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决，就可能出现商业秘密泄露、设备损坏、数据丢失、系统瘫痪等严重后果，给正常的工作造成极大的负面影响。

网络本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安全方面的规划则非常有限。这样，伴随计算机与通信技术的迅猛发展，网络攻击与防御技术循环递升，原来网络固有优越性的开放性和互联性变成信息的安全性隐患之便利桥梁。网络安全已变成越来越棘手的问题，只要是接入到因特网中的主机都有可能被攻击或入侵了，而遭受安全问题的困扰。

网络安全缺陷产生的原因主要有：

第一、TCP/IP的脆弱性：因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多，并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

第二、网络结构的不安全性：因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

1 办公局域网常见的安全问题

1.1 欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号 ID等信息的一种攻击方式，最常用的手法是冒充一些真正的网站来骗取用户的信任。

1.2 服务器区域没有进行独立防护

计算机病毒及恶意代码的威胁、局域网用户安全意识不强、IP地址冲突，造成网络不稳定，出现经常掉网现象。

1.3 黑客入侵与病毒感染

黑客入侵：目前的办公局域网基本上都采用以广播为技术基础的以太网。在同一以太网中，任何两个节点之间的通信数据包，不仅可以为这两个节点的网卡所接收，也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外，为了工作方便，办公局域网都备有与外网和国际互联网相互连接的出入口，因此，外网及国际互联网中的黑客只要侵入网络内部中的任意节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息；而本网络中的黑客则有可能非常方便的截取任何数据包，从而造成信息的失窃。

病毒感染：随着计算机和网络的进步和普及，计算机病毒也不断出现，总数已经超过20000种，并以每月300种的速度增加，其破环性也不断增加，而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染，就可能造成系统损坏、数据丢失，使网络服务器无法起动，应用程序和数据无法正确使用，甚至导致整个网络瘫痪，造成不可估量的损失。

网络病毒普遍具有较强的再生机制，可以通过网络扩散与传染。一旦某个公用程序染了毒，那么病毒将很快在整个网络上传播，感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染，其解毒所需的时间将是单机的几十倍以上。

1.4 数据破坏

在办公局域网系统中，有多种因素可能导致数据的破坏。

首先是黑客侵入，黑客基于各种原因侵入网络，其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据，可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。

其次是病毒破坏，病毒可能攻击系统数据区，包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区，使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件；病毒还可能攻击CMOS，破坏系统CMOS中的数据。

第三是灾难破坏，由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失，会造成企业经营困难、人力、物力、财力的巨大浪费。

2 网络安全防护措施

网络安全防护的主要技术：认证、加密、防火墙及入侵检测、虚拟专用网(VPN)技术和数据异地备份。

2.1 加强内部网络管理人员以及使用人员的安全意识

很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最轻易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。

2.2 网络防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的非凡网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被答应，并监视网络运行状态(如图1)。

图1 网络防火墙技术

2.3 安全加密技术

加密技术的出现为全球电子商务提供了保证，从而使基于 Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是 21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。

2.4 病毒防治

相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能，如果没有管理功能，很难完成网络防毒的任务。只有管理与防范相结合，才能保证系统正常运行。

计算机病毒的预防在于完善操作系统和应用软件的安全机制。在网络环境下，病毒传播扩散快，仅用单机防杀病毒产品已经难以清除网络病毒，必须有适用于局域网、广域网的全方位防杀病毒产品。为实现计算机病毒的防治，可在局域网上安装网络病毒防治服务器，并在内部网络服务器上安装网络病毒防治软件，在单机上安装单机环境的反病毒软件。安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。本地网络与其它网络间的数据交换、本地网络工作站与服务器间的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤，这样就保证了网络病毒的实时查杀与防治。

2.5 虚拟专用网(VPN)技术

虚拟专用网络(VPN)能实现不同网络的组件和资源之间的相互连接(图2)。

虚拟专用网络能够利用 Internet或其他公共互连网络的基础设施为用户创建隧道，并提供和专用网络相同的安全和功能保障。同时，要加强 VPN的安全管理，分配的用户名和密码进行复杂性设置，采用MAC网卡绑定等方法，对于临时的 VPN通道接入，则可采用手机发短信的认证方式，确保VPN安全运行。

图2 虚拟专用网(VPN)技术

2.6 数据备份

网络遭到破坏之后，最重要的是要确保内部数据的完整，而其数据恢复程度依赖于数据备份方案。

数据备份的目的在于尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：实时高速度、大容量自动的数据存储、备份与恢复；定期的数据存储、备份与恢复；通过“云”技术或异地服务器实现异地备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。因此，要确实保证数据的完整与安全，应定期做好数据备份工作，条件允许的要做好数据异地备份。

3 总结

随着 Internet技术的发展，网络安全将会面临更加严峻的挑战。本文从网络安全角度出发，从网络自身现状到安全防护等进行了详细的介绍，希望能对不同的用户提供参考。

[1] 谢希仁.计算机网络[M].北京：电子工业出版社.2008.

[2] 胡道元.计算机局域网[M].北京：清华大学出版社.2010.

[3] 苏剑飞,王景伟.网络攻击技术与网络安全探析[J].通信技术.2010.

[4] 杜向文.中小企.业的网络安全[J].计算机安全.2006.

[5] 叶安新.网络安全与防火墙技术[J].大众标准化.2005.