張 巍

（中國聯(lián)合網(wǎng)絡(luò)通信有限公司太原市分公司，山西 太原 030001）

在計算機(jī)進(jìn)入網(wǎng)絡(luò)的時代，把各自獨(dú)立的計算機(jī)通過通信介質(zhì)互相連接，并按照一定的協(xié)議相互訪問，就能實(shí)現(xiàn)信息和資源的共享。局域網(wǎng)作為一種計算機(jī)網(wǎng)絡(luò)，在網(wǎng)絡(luò)協(xié)議上根據(jù)OSI模型，該網(wǎng)絡(luò)基于TCP/IP技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)的傳輸和處理功能。由于局域網(wǎng)短距離、高速率、低延時、低出錯等特點(diǎn)，被眾多企事業(yè)應(yīng)用。如何狠抓實(shí)際利用現(xiàn)有的資源，提高維護(hù)效率，是每個網(wǎng)絡(luò)維護(hù)管理工作者的職責(zé)，科學(xué)靈活地運(yùn)用局域網(wǎng)的理論和技術(shù)來規(guī)劃、設(shè)計、管理局域網(wǎng)是網(wǎng)管人員需要研究的內(nèi)容。

1 網(wǎng)絡(luò)現(xiàn)狀

某公司拓?fù)鋱D見圖1。

圖1 某公司拓?fù)渚W(wǎng)

該公司使用HIPER 4240 NB高速智能寬帶路由器，下聯(lián)核心交換機(jī)，連接到服務(wù)器，各個部門通過匯聚層、核心層設(shè)備組成一個小型局域網(wǎng)，使用路由器接入互聯(lián)網(wǎng)。根據(jù)以上對某公司組網(wǎng)結(jié)構(gòu)的分析，可以看出其可能受到的攻擊及安全方面的缺陷主要有以下幾方面：

1.1 有害信息的傳播

內(nèi)網(wǎng)與Internet融為一體，公司員工都可以通過網(wǎng)絡(luò)在自己的機(jī)器上輕易地進(jìn)入Internet。目前Internet上充斥著各種各樣海量的信息，其中不乏一些包含有色情、暴力之類不健康內(nèi)容的文章、網(wǎng)頁、網(wǎng)站，難免通過網(wǎng)絡(luò)進(jìn)入內(nèi)網(wǎng)進(jìn)行傳播，造成不良的影響。

1.2 病毒破壞

通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒無法比擬的。特別是在公司接入廣域網(wǎng)后，為外面病毒進(jìn)入公司內(nèi)網(wǎng)大開方便之門，并對自身的局域網(wǎng)造成干擾與破壞。

1.3 惡意破壞

對計算機(jī)的硬件系統(tǒng)和軟件系統(tǒng)的惡意破壞，這包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞，它們出現(xiàn)問題會造成網(wǎng)絡(luò)部分或全部的癱瘓。另一方面是利用黑客技術(shù)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞，表現(xiàn)在對公司網(wǎng)站的主頁面進(jìn)行修改破壞公司的形象，向服務(wù)器發(fā)送大量信息使整個網(wǎng)絡(luò)陷于癱瘓兩方面。

1.4 口令入侵

用戶非法獲得口令入侵，破壞網(wǎng)絡(luò)，并有可能造成或引發(fā)相應(yīng)敏感信息的泄露。

1.4.1 維護(hù)原則

針對網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，維護(hù)時應(yīng)遵循以下原則：①大幅度地提高系統(tǒng)的安全性和保密性；②保持網(wǎng)絡(luò)原有的性能特點(diǎn)；③易于操作、維護(hù)，并便于自動化管理；④盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；⑤安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；⑥安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；⑦分步實(shí)施原則：分級管理，分步實(shí)施。

1.4.2 安全策略

（1）采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

（2）采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要包括：防火墻技術(shù)、NAT技術(shù)、VPN、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、認(rèn)證、多層次多級別的企業(yè)級的防病毒系統(tǒng)、對內(nèi)部網(wǎng)絡(luò)實(shí)施實(shí)時的監(jiān)測，通過這些安全技術(shù)構(gòu)筑的防御系統(tǒng)能夠更好地保證公司網(wǎng)絡(luò)信息安全。

（3）實(shí)時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實(shí)時響應(yīng)與恢復(fù)能力。

（4）建立分層管理和各級安全管理中心。

1.4.3 安全服務(wù)

網(wǎng)絡(luò)是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整、網(wǎng)絡(luò)配置的變化等。即使最初制定的安全策略十分可行，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時進(jìn)行相應(yīng)的調(diào)整。

1.4.4 網(wǎng)管守則

廢除或修改系統(tǒng)所有默認(rèn)的賬號和密碼。關(guān)閉可能引發(fā)“黑客”攻擊系統(tǒng)的網(wǎng)絡(luò)服務(wù)。使用復(fù)雜的密碼，如6~8位的字母數(shù)字式密碼，并盡量使用字符數(shù)字字母的混合的方式來設(shè)置密碼。限制用戶嘗試登錄到系統(tǒng)的次數(shù)。記錄違反安全性的情況并對安全記錄進(jìn)行復(fù)查。對于重要的或敏感的信息作加密處理。修改網(wǎng)絡(luò)配置文件，以便將來自外部的TCP連接限制到最少數(shù)量的端口。不允許諸如tftp，sunrpc，printer，rlogin或rexec之類的協(xié)議。使用chmod將所有系統(tǒng)目錄變更為711模式。這樣，攻擊者們將無法看到它們當(dāng)中有什么東西，而用戶仍可執(zhí)行。每周對公司所有服務(wù)器、用戶PC機(jī)進(jìn)行安全維護(hù)即殺查病毒，如遇到強(qiáng)大病毒，馬上進(jìn)行隔離處理，阻斷所有傳播途徑。

1.4.5 日志記錄

網(wǎng)絡(luò)上經(jīng)常會出現(xiàn)各種各樣的問題，當(dāng)出現(xiàn)問題時需要及時檢查和排除，并需要同步記錄，這是一個不可缺少的環(huán)節(jié)，因為有了記錄，就可以為今后出現(xiàn)的同樣問題提供解決方法，并可讓網(wǎng)管一目了然，知道最近網(wǎng)絡(luò)出現(xiàn)過什么問題，因此要了解日志的重要性及寫日志的方法。

2 硬件設(shè)備及軟件維護(hù)

2.1 網(wǎng)絡(luò)硬件連接設(shè)備的檢查及維護(hù)

2.1.1 網(wǎng)卡

網(wǎng)卡是局域網(wǎng)中計算機(jī)聯(lián)網(wǎng)用到的最基本的設(shè)備。要保證局域網(wǎng)絡(luò)的正常運(yùn)行，首先要確保網(wǎng)卡驅(qū)動正確安裝并與計算機(jī)操作系統(tǒng)兼容。目前一般的局域網(wǎng)絡(luò)采用以太網(wǎng)卡，網(wǎng)卡類型多數(shù)為16位ISA總線接口。在使用時，需要配置中斷請求（IRQ）、基本輸入輸出（I/O）地址及高端內(nèi)存3個參數(shù)。網(wǎng)絡(luò)中需要的網(wǎng)卡數(shù)量依據(jù)網(wǎng)絡(luò)結(jié)構(gòu)等情況而定，因此在前期安裝調(diào)試時就涉及到了網(wǎng)卡的設(shè)置問題。若網(wǎng)卡設(shè)置有誤導(dǎo)致不能正常工作，則局域網(wǎng)內(nèi)系統(tǒng)也就無法正常運(yùn)行。建議網(wǎng)絡(luò)維護(hù)人員在網(wǎng)卡安裝調(diào)試過程中要做好網(wǎng)卡的管理工作，切實(shí)做到對網(wǎng)卡相關(guān)數(shù)據(jù)有據(jù)可查。這樣，在網(wǎng)絡(luò)維護(hù)過程中，無論網(wǎng)卡出現(xiàn)何種故障，都可以快速確定問題所在并及時排除，從而確保系統(tǒng)安全可靠運(yùn)行。

2.1.2 交換機(jī)和路由器

交換機(jī)是組網(wǎng)過程中使用的最為頻繁的網(wǎng)絡(luò)設(shè)備。其工作狀態(tài)下指示燈如果出現(xiàn)閃爍或常亮黃燈的情況，則表明在該網(wǎng)絡(luò)上有擁塞，需要檢查網(wǎng)絡(luò)中是否存在IP地址沖突等情況。如果網(wǎng)線和IP地址都沒有問題，則應(yīng)該測量網(wǎng)絡(luò)設(shè)備的地線和零線之間的電壓是否超過3 V，超過了則表明交換機(jī)的供電系統(tǒng)出現(xiàn)了問題，影響了數(shù)據(jù)信號的傳輸。

路由器是一種連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，一般用于把局域網(wǎng)連入到Internet等廣域網(wǎng)，或者用于不同結(jié)構(gòu)子網(wǎng)之間的相互連接。作為不同網(wǎng)絡(luò)之間相互連接的紐帶，路由器系統(tǒng)構(gòu)成了基于TCP/IP的Internet的主要部分。

2.1.3 UTP雙絞線的標(biāo)準(zhǔn)使用

UTP雙絞線由于安裝容易、成本低、使用方便、操作簡單，是目前最廣泛使用的網(wǎng)絡(luò)連接介質(zhì)。因此，雙絞線的正確連接非常重要。對8根4對雙絞線的不正確連接使用，會影響通訊效果。在10 Base-T標(biāo)準(zhǔn)中，第1、第2為一對線，第3、第6為一對線。在成對使用的線路傳輸中，由于線路雙絞的特性，能夠?qū)u流互相抵消，從而減少數(shù)據(jù)信號在傳輸過程中的衰減。

2.2 軟件方面的維護(hù)

軟件可分為公司網(wǎng)絡(luò)中服務(wù)器及用戶終端電腦使用的軟件，要特別注意服務(wù)器上使用的軟件。公司網(wǎng)絡(luò)中服務(wù)器是其核心內(nèi)容，公司內(nèi)部重要內(nèi)容都放置在上面，因此要極力保障此類信息的安全。具體內(nèi)容包括：

（1）服務(wù)器上軟件的維護(hù)。其主要包括操作系統(tǒng)、文件服務(wù)器等軟件。要定期檢查這些軟件的運(yùn)行情況。當(dāng)服務(wù)器出現(xiàn)異常情況時，維護(hù)人員應(yīng)盡快作出相應(yīng)處理，保障網(wǎng)絡(luò)安全有效運(yùn)行。

（2）定期查殺病毒。由于公司網(wǎng)絡(luò)之間要經(jīng)常進(jìn)行信息傳遞，在信息傳遞過程中難免會受到病毒的感染，因此，對于公司服務(wù)器及終端電腦要及時更新病毒庫，定期進(jìn)行病毒查殺，以防止公司內(nèi)部信息泄露。

（3）定期的數(shù)據(jù)備份。軟件無論設(shè)計多么優(yōu)秀，在運(yùn)行當(dāng)中都會或多或少出現(xiàn)這樣那樣的問題。因此，作為維護(hù)人員在平時的工作中就要不定期地對軟件進(jìn)行更新，對重要數(shù)據(jù)內(nèi)容做到定期備份，以備在今后網(wǎng)絡(luò)系統(tǒng)運(yùn)行出現(xiàn)問題時，避免因數(shù)據(jù)丟失給公司帶來不必要的損失。

3 結(jié)束語

網(wǎng)絡(luò)的維護(hù)問題，不僅是安全、技術(shù)的問題，更是管理的問題。對于公司網(wǎng)絡(luò)的管理人員來講，一定要提高網(wǎng)絡(luò)安全意識，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握，注重對公司員工的網(wǎng)絡(luò)安全知識培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。

局域網(wǎng)的維護(hù)及相應(yīng)的管理策略是一個需要長期關(guān)注的實(shí)用研究課題。在網(wǎng)絡(luò)的使用實(shí)踐過程中，牢固樹立安全意識、不斷采用新技術(shù)、完善管理規(guī)章制度才能有效地保證公司網(wǎng)絡(luò)正常、安全地運(yùn)行。在具體的工作中，可以根據(jù)人力、財力、物力的資源情況，在一定的安全目標(biāo)預(yù)期下，進(jìn)行適當(dāng)組織，綜合制定一個行之有效的最佳方案，保證網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)行。