局域网安全策略

孙吉花 倪雪飞

【摘要】 局域网安全问题越来越受关注。本文详细分析了局域网面临的各类安全风险，从物理安全、网络访问控制和网络安全管理三个层面研究网络安全策略，从密码加密、权限控制、安全软件、安全检测四方面研究局域网计算机的安全防护，由外而内，层层防护，确保局域网设备和信息安全。对提升局域网安全性具有较高参考价值。

【关键词】局域网  安全风险  安全策略

当今时代，计算机网络已经成为人类社会必需品，我们在享受网络便利的同时，也面临网络安全的巨大威胁。尤其是涉及国家、军队、商业秘密的网络，安全威胁更是致命的。本文分析了局域网面临的安全风险，研究网络安全防护的有效策略，对保护局域网安全提供参考。

局域网存在的安全隐患

计算机网络主要面临对网络中信息和设备的两大威胁。组建局域网时不得不考虑安全防护问题。要保护局域网安全，首先得分析局域网存在哪些安全隐患。结合多年从事网络安全工作的经验，本文从以下几个方面分析局域网安全风险。

1.自然灾害损坏设备。局域网包括很多网络设备，易受自然灾害及环境的影响。

2.使用人安全意识不强。用户口令设置简单或不管不慎、随意使用U盘等移动存储介质等，都给觊觎网络信息的人可乘之机。

3.黑客恶意攻击。黑客攻击破坏网络中信息的有效性和完整性，甚至使网络瘫痪;截获、窃取秘密信息。

4.软件的漏洞和“后门”。软件先天设计的缺陷产生漏洞，程序设计者故意留的“后门”，都为黑客攻击网络大开方便之门。

5.计算机病毒。计算机感染病毒后，轻则系统工作效率下降，重则死机或毁坏。局域网计算机传播扩散的速度很快，整个网络都会面临严重危险。更为严重的是，计算机病毒在局域网内很容易“死灰复燃”，是局域网的“顽疾”。

6.网络安全管理缺失。组建局域网的单位是否有严格的网络管理制度和制度的落实力度也直接关系局域网安全，技术的“漏洞”容易弥补，管理“漏洞”不可预知不可控。

局域网安全防护策略

本章针对局域网安全风险，提出以下三类应对策略，有效抵御风险。

网络物理安全策略

网络的物理安全策略主要是防止网络中的服务器、交换机、路由器、防火墙、打印机、通信线路等设备受到自然灾害、人为破坏和恶意攻击。设置合适的物理安全策略是保护局域网安全的首要环节。

具体措施包括：建设防盗抢的安全设施设备;严格按照安全规范建设机房;建设必要的电磁泄漏防护措施;实现局域网与互联网物理隔离。

网络访问控制策略

网络访问控制的主要目的是为了保护局域网信息安全，避免信息的非法访问与恶意盗取。有效的访问控制策略通常包括以下几种：

1.入网安全控制。

入网控制为局域网提供了第一层安全控制。包括WHO，WHEN，WHERE等控制要素，即谁有资格登录网络服务器，何时能够入网，那台计算机可以入网。对WHO的控制分三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。对WHEN的控制主要是针对不同用户进行访问时段和时长的限制，服务器对某些用户只提供定时访问，不在时间段内的访问都会被拒绝。对WHERE的控制分为MAC地址、IP地址、MAC地址与IP地址绑定等限制方式。

2.访问安全控制。

合法用户登录网络之后，也不能放任其随意访问和操作网络，否则对局域网的安全性仍有威胁。需对局域网进行访问安全控制，每个用户只能拥有适当权限，访问有限数据，执行有限操作。访问安全控制主要有权限控制、属性控制、服务器控制台控制等安全控制策略。

权限控制即控制不同用户对目录、文件、设备的访问权限。系统管理员具有最高权限，可以创建目录、文件，也具有对其进行读、写、修改、删除等操作的权限。系统管理员为普通用户定制权限，控制用户对服务器的访问和操作，满足使用需求的同时最大限度防止资源被窃取。

属性控制是指系统管理员在创建文件、目录时，给文件、目录设定访问属性，包括修改文件、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享文件等。属性安全在权限安全的基础上提供更进一步的安全性。属性设置可以保护重要的目录和文件，防止用户误删除、读写、修改、显示等。

服务器控制台控制是指防止通过服务器控制台对局域网实施破坏，要设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据;要设定服务器登录时间限制、非法访问者检测和关闭的时间间隔;管理员离开是要锁定服务器控制台，防止他人操作。

3.监测安全控制。

局域网服务器的端口和节点要严格保护，防止非法访问和恶意入侵，同时应具有網络行为的监测与非法行为报警功能。服务器端口使用自动回呼设备防止假冒用户登录，使用静默调制解调器防范黑客自动拨号程序的攻击，还要以加密形式识别节点的合法身份。安装网络监测软件，设置监测的行为和报警的条件，并以图表的形式分析数据流量和网络行为。

网络安全管理策略

网络世界的攻防战愈演愈烈，单纯依靠技术来防范网络攻击很难，安全管理是一个低成本高效率的方法。包括以下方面：

1.网络技术文档管理：网络拓扑结构、设备配置方案、IP地址和域名分配方案、系统操作规范、数据备份策略和安全应急方案等文档应完备。

2.网络设施管理：网络机房严格控制、网络安全设备定期检测、电磁环境检测、通信线路定期巡视与维护、终端计算机的使用规范和安全管理。

3.人员管理：;按照网络管理员、安全员和普通用户职责进行分工，各司其职。

4.網络维护制度：记录网络设备和安全系统日志;定期评估网络安全性;定期扫描网络漏洞并更新补丁;及时升级防病毒软件。

局域网内计算机安全策略

组成局域网的一个重要部分是计算机，对计算机进行有效的安全设置是保障局域网安全的有效措施。对计算机的安全设置主要包括以下几个方面：

密码与加密

计算机应设置密码，不同用户设置不同密码，严格保护密码。密码安全性由高到低分别为系统启动密码、用户密码、BIOS密码。其中系统启动密码在【开始】【运行】中输入“SYSKEY”设置，用户密码在【控制面板】【用户账户】中点击该用户设置，BIOS密码在CMOS设置的“Advanced BIOS Features”里设置。

设置密码是第一道防线，计算机内重要信息需建立第二道防线，即加密。常见方法有4种：一是使用组策略工具把存放重要信息的硬盘分区设置为不可访问;二是设置注册表，在HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer中新建一个DWORD值，命名为NoDriv并赋上相应驱动器的值，隐藏该驱动器。三是使用WinRAR 数据加密，把想要隐藏的文件和文件夹【添加压缩文件】，选择【高级】【设置密码】加密。四是使用专业的加密软件，如：《文件夹加密超级大师》、《文件保护3000》、《超级秘密文件夹》等。

操作权限管理

按照权限最小原则为不同用户分别配属权限，合理使用系统资源。计算机默认用户组比较多，实际有Administrators和Users两个用户组就足够了，建议删除Guests组。关闭计算机用户不使用的系统服务，特别是可以远程控制计算机的服务，如RemoteDesktop、RealVNC和NetBIOS等。

安全防护软件

给计算机安装一些安全防护软件，也可提高计算机安全性。常见的有：

1.防病毒软件。为局域网每台计算机安装杀毒软件。

2.防火墙。安装个人防火墙并正确设置它，指定可信程序连接网络，阻止其它计算机、网络和网址连接计算机。

3.保密管理程序。对保密要求较高的计算机安装专业保密管理程序，监测该计算机的所有行为，并对数据流出进行限制。

定期安全检测

定期对计算机做以下9方面的安全检查可以让用户了解计算机存在哪些安全隐患。

1.上网记录：检查计算机访问过的网址和访问时间;

2.近期处理过的文件：检查计算机近期处理过的文件;

3.操作系统和补丁信息：检查计算机的操作系统信息和已安装的补丁包信息;

4.系统用户：检查操作系统的用户、用户权限、用户描述;

5.共享目录：检查操作系统共享的文件夹名称和路径;

6.开放端口：检查操作系统开放的网络端口情况，包括协议、地址、端口号、状态等;

7.运行进程：检查系统当前运行的进程、进程ID等;

8.系统服务：检查系统的服务名称，服务当前的状态等;

9.USB存储设备：检查系统使用过的所有USB存储设备名称、类型和硬件编号。

局域网安全是一个很有意义的研究方向，可以解决国家企事业单位、政府机构、军队、公司企业等内部信息需要保密的单位对局域网安全的担忧。本文分析了局域网面临哪些安全风险，从如何设置网络安全策略和局域网计算机安全防护两个方面研究局域网安全策略，对保护局域网安全提供参考。但是网络技术飞速发展，黑客攻击手段层出不穷，要筑牢局域网的安全防线，网络安全技术的发展也要与时俱进。未来发展还有很多新变化，网络安全的前路还很漫长。

【参考文献】

[1]Yan Ye. Text Image Compression Based on Pattern Matching[D]. University of California，2002

[2]Kia Omid E， Doermann David S， Rosenfeld Azriel， et al. Symbolic Compression and Processing of Document Images[J]. Computer Vision and Image Understanding， 1998，70（3）：335-349