摘要如今辦公局域網已經基本普及，但隨之而來的安全隱患，也成為不容忽視的問題。如何保證網內數據、資料、信息等安全，不僅要加強網絡的安全，還要提高網絡管理員的業(yè)務素質，加強內部人員的安全意識。本文就局域網存在的安全問題及如何解決提出了幾點方法，為計算機網絡進入各領域提供一定的理論依據。

關健詞局域網 網絡安全硬件軟件 網絡管理防火墻

中圖分類號:TP393文獻標識碼:A

1 局域網的組成

局域網由網絡硬件和網絡軟件兩大系統(tǒng)組成。網絡硬件用于實現局域網的物理連接，其作用是為聯在網上的計算機之間的通信提供一條物理通道。也可以說，網絡硬件系統(tǒng)主要任務就是負責鋪就一條信息公路，使通信雙方能夠相互傳遞信息。網絡軟件主要用于控制，并具體實現信息傳送和網絡資源的分配與共享。這兩大組成部分相互依賴、缺一不可，由它們共同完成局域網的通信功能。

2 局域網存在的安全隱患

目前，計算機網絡已進入千家萬戶，把獨立的計算機通過介質相互連接，達到資源共享，相互訪問，這是局域網首要的任務。局域網作為一種小型網絡，采用TCP/IP技術。但由于局域網的高速率、低延時、低出錯、短距離等特點，在應用于許多企事業(yè)單位的同時，也存在同于一般網絡的許多安全隱患。目前，計算機網絡安全問題主要圍繞在硬件和軟件之間，安全性問題表現在以下幾個方面:網絡的物理安全問題、網絡系統(tǒng)安全和拓撲結構安全問題、應用系統(tǒng)安全和網絡管理的安全問題。(1)硬件的安全問題局域網自身的缺陷以及薄弱的認證環(huán)節(jié)，使得系統(tǒng)極易受到監(jiān)控，網絡容易遭到威脅和攻擊。對于機房而言，有效的屏蔽和防輻射設施，也可以防止電磁泄漏露引起的信息泄露。此外，由于操作系統(tǒng)的工作人員的用戶口令簡單，引起的口令破譯也是信息失竊的一個重要因素。(2)軟件的安全問題一直以來，病毒就是計算機安全的主要威脅。目前，病毒的種類和傳染方式不斷增加，國際空間的病毒總數已達上萬甚至更多。這些病毒一旦入侵我們的網絡，就會造成極大的危害，導致極為嚴重的后果。與此同時，網絡的漏洞也會成為攻擊者的入口。黑客采用種種手段，對網絡及其計算機系統(tǒng)進行攻擊，侵占系統(tǒng)資源、對網絡和計算機設備進行破壞、以及竊取或破壞重要數據和信息。

3 局域網的安全解決措施與分析

(1)網絡分段通過防火墻將內部不同部門的網絡劃分為不同的網段。網絡分段通常被認為是控制網絡廣播風暴的一種基本手段，但其實也是保證網絡安全的一項重要措施。目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽。分段后不僅保護了內部網，使其不受來自Internet的攻擊，也保護了各部門網絡，使其不受來自企業(yè)內部其它部門的網絡的攻擊。如果某一部門的網絡受到攻擊，網段就使其控制在這一個部門，防止蔓延擴大。

(2)虛擬局域網技術(VLAN)VLAN是以交換式網絡為基礎，把網絡上的用戶(終端設備)劃分為若干個邏輯工作組，每個邏輯工作組就是一個VLAN。也就是說VLAN就是將整個網絡邏輯上劃分的一些虛擬工作組。它允許網絡管理員使用軟件實現按業(yè)務功能、網絡應用、組織機構或其他任何需要，靈活地劃分VLAN，增加或刪除VLAN成員。VLAN將局域網上的一組設備配置成好像在同一條線路上進行通信，而實際上它們相當于獨立的網段。一個VLAN等效于一個廣播域，廣播信息僅發(fā)送給同一個VLAN的成員，從而可以隔離廣播信息，縮小了廣播域，提高了網絡的安全性，改善了網絡的性能。

(3)入網訪問控制，入網訪問控制可以保證網絡資源不被非法使用，是防范和保護網絡安全的重要措施之一。基于角色的訪問控制能達到安全、高效的效果，它兼有自主訪問控制和強制訪問控制的性質。這種訪問控制方法將訪問許可權分配給角色，用戶通過賦予不同的角色獲得角色所擁有的訪問許可權。其主要作用是保證網絡資源不被非法使用和訪問。它控制授權用戶能登錄到服務器并獲取資源，并控制用戶入網的時間。這種方法可以防止合法用戶越權操作、也能防范非法用戶登錄到服務器。用戶的入網訪問控制分為三個階段:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。用戶只要其中任何一關沒有通過，那么用戶都不能進入系統(tǒng)。權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限，通過權限控制用戶和用戶組可以訪問的目錄、文件和其他資源。同時指定用戶對這些文件、目錄、資源能夠執(zhí)行的操作，從而達到通過設置不同的權限保證了網絡的安全。除了基于角色的訪問和權限控制，還可以啟用啟用密碼策略，包括設置密碼鎖定服務器以防止非法用戶修改。設定服務器登錄時間限制用來檢測非法訪問。管理員要去掉所有的測試用戶、共享用戶，刪除已經不再使用的用戶，防止黑客通過這些通道入侵系統(tǒng)。

(4)安裝網絡防病毒軟件局域網也常常由于操作者的不安全操作而引起一系列的安全問題?，F代化的移動存儲介質極易把病毒帶進網絡，造成系統(tǒng)數據丟失等問題，更嚴重的可以使整個系統(tǒng)崩潰。因此，預防病毒的重點是控制病毒的傳染，病毒傳染的途徑多種多樣，不同渠道來的U盤、來歷不明的軟件、游戲盤等是最基本的傳染途徑，同時好多病毒都是從網絡中感染。預防病毒關鍵是對病毒行為進行判斷，預防病毒主要從以下幾個方面來制定針對防病毒防范體系:增加安全意識和加強網絡的管理，對工作人員定期培訓;禁止使用來歷不明的軟件，謹慎使用移動存儲設備，在使用移動存儲設備之前進行病毒的掃描和查殺;定期進行病毒檢測，及時預防或阻止病毒傳染;購買網絡正版殺毒軟件，并通過網絡進行升級。啟用殺毒軟件自動監(jiān)控策略，監(jiān)測所有運行在局域網絡上的計算機，采用警告的方式，對沒有安裝殺毒軟件的計算機，建議安裝殺毒軟件來進一步確保局域網的安全。

(5)運用防火墻技術。所謂防火墻是一項協助確保信息安全的設備，根據特定的規(guī)則允許或限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件，在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。防火墻具有IP地址過濾功能用來檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定，對數據包進行接受或者是拒絕。防火墻技術使內部網絡與Internet之間或與其他外部網絡互相隔離，防火墻不僅對外部網絡的通信連接和數據包要進行過濾，而且對內部網絡用戶的部分連接請求和數據包同樣需要過濾，防火墻允許符合安全策略的數據通過。它可以執(zhí)行安全管制措施，記錄所有可疑事件，是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。目前的防火墻主要有三類;第一類是軟件防火墻，這類防火墻的缺點是運行速度較慢;第二類防火墻是硬件防火墻，它的速度明顯優(yōu)于軟件防火墻，但是它的升級、管理卻非常麻煩;第三類防火墻是軟硬結合的防火墻，這類防火墻的最大特點是具有以上兩類防火墻的雙重優(yōu)點。對于一般的小型局域網，安裝軟件防火墻就可以了。

(6)運用網絡入侵檢測，入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。它通過收集和分析網絡行為、審計數據來檢查網絡中是否存在違反安全的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護。入侵檢測系統(tǒng)集入侵檢測、網絡管理和網絡監(jiān)視功能于一體，能實時捕獲內外網之間傳輸的所有數據，入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網絡攻擊。檢測網絡上發(fā)生的入侵行為和異常，并在數據庫中記錄有關事件，供管理員事后分析。

(7)網絡中硬件系統(tǒng)的物理安全在安全領域中，最容易被忽視的方面就是網絡的物理安全性。物理安全是指在物理介質層次上，對存儲和通信鏈路進行保護，是網絡信息安全的基本保障。物理安全的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。物理安全體系結構應從以下幾個方面考慮:一是自然災害(地震、火災、洪水);二是物理損壞(硬盤損壞、外力損壞);三是設備故障(停電斷電、電磁干擾)。在局域網中盡量使設備完整，遠離電磁干擾，這樣從物理上保證了網絡的安全性。

4 結束語

本文主要針對局域網的安全解決策略進行了簡要的介紹。局域網作為一種小型辦公網絡人仍然存在很多安全隱患，因此，只有提高多方面的安全措施，做好相應的安全策略，采用最新的技術成果，才能保證我們的網絡更安全、更高效，進而發(fā)揮更大的作用。

參考文獻

[1]陳明.網絡設備教程.清華大學出版社，2004.

[2]SHARMA R K.Cisco網絡安全寶典.趙剛，譯.電子工業(yè)出版社.

[3]謝希仁.計算機網絡[M].北京:電子工業(yè)出版社，2001.

[4]袁津生，吳硯農.計算機網絡安全基礎.人民郵電出版社，2003.7.

[5]萬振凱.網絡安全與維護.清華大學出版社，2004.6.

[6]胡道元.計算機局域網.清華大學出版社，1996.

[7]張立云，馬皓，孫辨華.計算機網絡基礎教程.清華大學出版社;北方交通大學出版社，2003.