基于网络安全的科研机构局域网管理探讨

任竹 刘楠楠 鲁广宇 陈磊

[摘 要]网络安全不仅是当今学术界研究的重點课题，同时也是现代信息化建设的主要制约因素之一。本文从网络安全的角度出发，就当前科研机构局域网存在的问题，从多方面经过深入探讨提出了完善的安全管理方案。

[关键词]科研机构;网络安全;局域网管理

doi：10.3969/j.issn.1673 - 0194.2018.20.071

[中图分类号]TP393.08[文献标识码]A[文章编号]1673-0194（2018）20-0-02

互联网的发展已经成为不可逆转的趋势，局域网技术也随之逐渐普及。为了提高办公的质量，众多科研机构也使用局域网进行管理，但是随着网络安全问题日益严重，科研机构的局域网管理也面临着诸多新的挑战。因此，为了保证局域网能够良好运作，本文探讨了基于网络安全的科研机构局域网管理。

1     科研机构局域网管理概述

科研机构建立的局域网通过以太网与外界的互联网进行连接，一般采用防火墙来进行网络管理和对威胁因素进行隔离防护。但是随着木马病毒的泛滥以及网络攻击形式的多样化，仅靠防火墙管理已经无法满足当前的管理需要了。科研机构局域网管理面临着新的挑战，经过分析总结，主要原因来自以下两个方面。

1.1   用户管理问题

从局域网使用者角度进行分析，总结为两个方面。一方面，科研机构的局域网有效使用率很低，很大一部分都是被与办公无关的应用浪费，这些用户的行为极大地占用了网络带宽，给局域网网络带来了拥堵。另一方面，由于一些用户的安全意识薄弱和网络安全知识匮乏，在访问一些钓鱼网站、下载一些带有病毒的应用或打开安全性未知的邮件时，恶意入侵者或者病毒会进入局域网，造成信息泄露，或者直接导致整个网

络瘫痪。

1.2   网络管理问题

从局域网管理者角度进行分析，同样总结为两个方面。一方面，科研机构局域网在管理方面并没有一套完善的管理规则，缺乏对上网信息进行严格的把关，不能及时地对有害信息进行分辨及过滤处理。另一方面，局域网管理人员的网络维护意识亟需提高，对于网络中需要应用的更新和补丁没有及时安装，导致病毒或黑客入侵。另外，安全问题预防、紧急事件处理以及灾后恢复能力，从现阶段看来都是远远不够的。

2     科研机构局域网管理的对策

科研机构局域网的网络安全问题，重在防微杜渐。针对局域网的安全现状，本文从两方面进行讨论，在每个方面又进行细化分析，最大化地对局域网实现安全管理。

2.1   针对用户方面的安全管理

在科研局域网遇到的安全问题中，除了外在恶意的攻击之外，很多安全问题都是由于局域网中计算机用户的不合理上网行为导致的。只有首先规范用户的上网行为，局域网管理者才能在此基础上去解决其他方面的安全问题。针对用户使用的不同阶段，分别提出了几点管理措施。

2.1.1   接入阶段：计算机准入机制管理

至今仍存在很多科研机构对于外来计算机的接入不做任何识别和安全检测，对于无线终端的接入更没有准入控制。如果新接入的终端带有病毒，将对整个局域网造成极大的安全威胁，因此必须对试图连接局域网的新用户进行准入控制。准入机制的原理很简单，用户的计算机或者无线终端在试图接入时，必须进行严格的身份认证，只有符合安全状态下的用户才允许接入局域网，不符合安全条件的用户被分入隔离区。另外，局域网中如果某台计算机感染了病毒，准入机制就会自动将此计算机隔离到隔离区进行修复（包括病毒查杀、取消代理、升级病毒库等操作），直到修复为安全状态才能正常接入局域网使用。计算机的准入机制，是真正实现了检查、隔离、修复为一体的安全预防机制。

2.1.2   分配阶段：网络地址管理

对于符合准入机制的用户，局域网管理者需要对新用户进行IP地址的分配与管理，如果分配不合理，则会对网络造成严重的破坏，比如重复的IP地址会导致用户无法上网，非法的IP地址可能会使入侵者发动IP地址欺骗攻击。新一代的IP管理，能够实现高性能DHCP服务，采用IP地址与MAC地址进行绑定的方法，不仅避免了IP地址冲突，还可以减少ARP攻击。另外，IP地址按照部门分段，由管理者统一分配，从而便于管理部门间的计算机，一旦出现问题也能更好地进行定位。

2.1.3   使用阶段：用户上网以及行为管理

对于局域网内的用户，控制其上网行为也非常重要，由于部分用户的安全意识薄弱和安全知识匮乏，很容易造成不安全的上网行为，从而导致信息泄露或者病毒感染，所以对用户的上网以及行为进行管理十分必要。下面从两个方面进行分析。

（1）用户访问权限控制。局域网管理员会对安全问题提供防御策略以及对用户的上网日志进行审查，一般通过对防火墙或者系统参数进行安全设置，这些特定的文件以及设置好的参数，禁止用户访问和进行删改操作。另外，按部门管理计算机设备，不同的部门间禁止相互访问。最后，对于未经安全认证的外网，也禁止用户访问。

（2）用户上网流量控制。很多用户借用局域网下载视频或者使用与工作无关的应用占用大量的网络带宽，轻则影响网速，重则会因操作不当感染病毒。因此，需要控制用户的使用流量，限制其带宽。对于迅雷、各类网盘以及视频网站的下载流量应该进行严格控制，封闭所有页游以及在线小说网站的端口。对上下行流量进行严格控制，是减少用户因访问感染病毒的有效方法，也是保证网络畅通的有效手段。

2.2   针对技术方面的安全管理

除了用户层面的管理外，更重要的取决于局域网管理者的管理。局域网管理者需要从技术方面进行多维的安全部署和防范，以及出现安全问题后对问题的排查以及灾后的恢复，都是局域网管理中的核心所在。下面从两个方面进行探讨。

2.2.1   流量的監控以及带宽的管理

通过流量分析以及带宽管理，进行网络优化和安全防御。如果局域网内某个计算机感染了病毒，最常见的表现就是大量发送数据，导致大量的带宽被占用，从而出现网络异常或者瘫痪。对此，防御策略主要从3个方面进行讨论。

第一，对局域网内端口的流量都设置一个阈值，当使用的流量超过这个阈值时则发出安全警报，对超出部分进行区间划分，超出越多则表明安全问题越严重，通过设立严重级别的方式进行流量分级。第二，部署入侵检测系统。入侵检测系统是防火墙的补充，是第二道安全防线，通过实时监测网络中的报文和流量，进而做出响应。入侵检测系统对局域网中的异常流量进行监控和分析，精准定位局域网中哪台计算机有异常，从而进行处理。第三，应用QoS（质量管理）技术对带宽进行管理。当用户的不当操作或者感染病毒时，带宽被大量消耗，导致网络拥塞严重，管理者可以借助QoS技术有效增加网络带宽、降低网络延迟。QoS技术通过利用区分服务模型区分不同类型的数据流量，进而保障各种网络数据流量得到相应的带宽使用。

2.2.2   防范病毒

随着网络攻击形式的多样化，计算机病毒破坏造成的损失非常巨大，因具有复制性和传染性，一旦局域网内某台计算机感染了病毒，则很可能造成整个网络瘫痪。因此管理者必须要有完善的防御措施。

（1）安全意识和习惯。这一点不论是局域网的用户还是管理者都应该做到，要让科研机构局域网的所有使用者都能正确认识计算机病毒以及带来的危害，普及相关的网络安全常识，做到定期使用杀毒软件杀毒、定期对系统应用进行更新、及时处理安全补丁、不打开未知文件和不明链接。用户能做到这些就能在很大程度上避免安全威胁。

（2）防御技术。在局域网内使用虚拟专用网络，即两个设备之间不通过物理连接，而是网络虚拟化来实现临时的、安全的连接。并且它还提供防火墙技术、加密解密技术以及身份认证技术，可以从根本上减少黑客入侵以及病毒威胁。另外，对于不常用端口或者不需要的服务（如共享服务、Telnet等），管理员都可以进行关闭，避免成为攻击的目标。

3     结 语

在互联网技术高速发展的今天，局域网技术也被应用于各个领域。随着网络安全技术的日益成熟，科研机构局域网的安全问题也越来越引起了人们的重视。在现有的研究状况下，虽然不能完全杜绝计算机病毒的感染和百分百防御黑客的攻击，但是局域网内相关人员必须认识到安全问题的严重性，通过了解网络攻防的基础知识，制订一套有效可行的管理方案，尽最大可能地保证局域网环境的安全和稳定。局域网用户需要增强安全意识以及养成安全习惯，局域网的管理人员则需要做到事前预防、事中处理以及事后恢复，从而才能保证科研机构局域网能够正常运行，不断提高工作效率。

注：陈磊，通讯作者

主要参考文献

[1]聂凯，周清雷，朱维军，等.基于时序逻辑的3种网络攻击建模[J].计算机科学，2018（2）.

[2]孙庚欣.浅谈高校VPS主机安全风险及解决方案[J].中小企业管理与科技，2015（2）.

[3]张晓峰.交换机端口安全防护措施在内网中的应用[J].电子技术与软件工程，2017（21）.

[4]马占飞，陈虎年，杨晋，等.一种基于IPSO-SVM算法的网络入侵检测方法[J].计算机科学，2018（2）.

[5]林仪.基于集中存储的文件系统的安全和保密研究（内网安全管理系统的研究）[D].兰州：兰州大学，2012.

[6]刘家玉，荀广连，曹萌，等.基于安全域的省级农业科研单位网络安全建设研究[J].江苏农业科学，2018（6）.

[7]叶峻.关于计算机无线局域网网络的安全建设研究[J].计算机光盘软件与应用，2012（1）.

[8]杨慧娟.科研机构信息系统的信息安全管理评价方法研究[D].北京：北京交通大学，2009.