洪超善

（廣西區(qū)腫瘤醫(yī)院放療中心，廣西 南寧 530000）

淺談局域網(wǎng)的信息安全與病毒防治策略

洪超善

（廣西區(qū)腫瘤醫(yī)院放療中心，廣西 南寧 530000）

針對局域網(wǎng)的信息安全，文章主要從局域網(wǎng)安全威脅分析、局域網(wǎng)安全控制與病毒防治策略這兩個方面進行闡述，以供參考。

網(wǎng)絡(luò)；局域網(wǎng)；信息安全；病毒防治

局域網(wǎng)（LAN）是指在小范圍內(nèi)，將服務(wù)器、外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)。由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高。但由于局域網(wǎng)采用的技術(shù)比較簡單，缺乏必要的安全管理措施，安全威脅較大，易造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失，形成極大的安全隱患。在此，本文就局域網(wǎng)的信息安全與病毒防治策略進行探討，以供參考。

1 局域網(wǎng)安全威脅分析

1.1 欺騙性的軟件使數(shù)據(jù)安全性降低

由于局域網(wǎng)很大一部分作用是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。同時，由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

1.2 服務(wù)器區(qū)域沒有進行獨立防護

目前，很多局域網(wǎng)尚未獨立保護服務(wù)器區(qū)域，這樣其中一臺電腦感染病毒，就會極易感染服務(wù)器，那么在局域網(wǎng)內(nèi)，只要通過服務(wù)器進行信息傳遞的電腦，都會被病毒感染，造成整個局域網(wǎng)癱瘓。

1.3 計算機病毒及惡意代碼的威脅

由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫，而造成計算機病毒的入侵，特別是當接入廣域網(wǎng)后，為外面病毒進入局域網(wǎng)內(nèi)大開方便之門，并對自身的局域網(wǎng)造成干擾和破壞。另外，惡意代碼是指黑客們編寫的擾亂社會和人的，起著破壞作用的計算機程序。這些惡意破壞，會造成網(wǎng)絡(luò)部分或全部的癱瘓。據(jù)CNCERT檢測指出，2009年8月病毒、木馬等惡意代碼威脅程度相對較高，這些惡意代碼正是利用了用戶的弱點，通過已公布的系統(tǒng)和應(yīng)用軟件漏洞來傳播病毒和惡意代碼等。

1.4 局域網(wǎng)用戶安全意識不強

許多用戶使用移動存儲設(shè)備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便，同時也增加了數(shù)據(jù)泄密的可能性。同時，將筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。另外，還有人認為，網(wǎng)絡(luò)安全問題與個人無關(guān)，只需要網(wǎng)絡(luò)管理員加強安全技術(shù)，網(wǎng)絡(luò)的安全威脅問題就不會出現(xiàn)。由于網(wǎng)絡(luò)安全意識的淡薄，導(dǎo)致網(wǎng)絡(luò)安全問題愈發(fā)嚴重。

1.5 IP地址沖突

局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常IP地址沖突，造成部分計算機無法使用網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)應(yīng)用大力推廣，網(wǎng)絡(luò)客戶急劇膨脹，由于靜態(tài)IP地址分配，IP地址沖突帶來的麻煩相繼而來。IP地址沖突造成了很壞的影響，首先，網(wǎng)絡(luò)客戶不能正常工作，只要網(wǎng)絡(luò)上存在沖突的機器，只要電源打開，在客戶機上都會頻繁出現(xiàn)地址沖突的提示；如果網(wǎng)絡(luò)上某項應(yīng)用的安全策略（諸如訪問權(quán)限，存取控制等）是基于IP地址進行的，這種非法的IP用戶會對應(yīng)用系統(tǒng)的安全造成嚴重威脅。

1.6 網(wǎng)絡(luò)安全維護資金投入嚴重不足

很多網(wǎng)絡(luò)管理部門不想投入過多的資金進行網(wǎng)絡(luò)維護，也沒有指定正確的網(wǎng)絡(luò)維護費用量，導(dǎo)致費用年年萎縮，計算機信息系統(tǒng)未得到更新，信息數(shù)據(jù)易被人盜取。所以，大多網(wǎng)絡(luò)管理部門只能力爭，能否爭取到或者爭取多少運維費用存在很大變數(shù)，這造成計算機系統(tǒng)硬件設(shè)備的落后，網(wǎng)絡(luò)安全無法得到保障。

2 局域網(wǎng)安全控制與病毒防治策略

2.1 局域網(wǎng)安全控制策略

2.1.1 用桌面管理系統(tǒng)控制用戶入網(wǎng)

入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護的主要策略，它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全性，對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。

2.1.2 配置防火墻

防火墻技術(shù)通常安裝在單獨的計算機上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度的保護內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，防止局域網(wǎng)信息被隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效的網(wǎng)絡(luò)安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，根據(jù)不同網(wǎng)絡(luò)的安裝需求，要做好防火墻內(nèi)服務(wù)器及客戶端的各種規(guī)則配置，更加有效利用防火墻。

一般采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有以下幾種：①深度數(shù)據(jù)包處理。在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)；②IP/URL過濾。一旦應(yīng)用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，一般URL過濾可以阻止通常的腳本類型的攻擊；③TCP/IP終止；④網(wǎng)絡(luò)進程跟蹤，以判斷進程訪問網(wǎng)絡(luò)的合法性，并進行有效攔截。

2.1.3 封存所有空閑的IP地址

采用無空閑IP地址策略，可有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動計算機隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。

2.1.4 網(wǎng)絡(luò)屬性安全控制

可保護重要的目錄和文件，可防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。

2.1.5 用殺毒軟件強制安裝策略

監(jiān)測所有運行在局域網(wǎng)絡(luò)上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

2.2 網(wǎng)絡(luò)病毒的防治

病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運行，特別是通過網(wǎng)絡(luò)傳播的計算機病毒，傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品，即需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，加強網(wǎng)上計算機的安全；如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。

一般網(wǎng)絡(luò)病毒的防治策略有以下幾種：①增加工作人員的安全意識和安全知識，使其能意識到病毒的危害，在文件共享的時候盡量控制權(quán)限和增加密碼，對來歷不明的文件運行前進行查殺等，以很好地防止病毒在網(wǎng)絡(luò)中的傳播；②在使用移動存儲設(shè)備之前，先進行病毒的掃描和查殺，以把病毒拒絕在外；③挑選網(wǎng)絡(luò)版殺毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監(jiān)測，使網(wǎng)絡(luò)免受病毒的侵襲，現(xiàn)在網(wǎng)絡(luò)版殺毒軟件比較多，如瑞星、江民、卡巴斯基等；④網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的權(quán)限設(shè)置，選擇不同的口令對應(yīng)用程序數(shù)據(jù)進行控制，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。只有加強網(wǎng)絡(luò)病毒的防治策略，才能及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中存在的問題，快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點，及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡(luò)。

2.3 加強人員的網(wǎng)絡(luò)安全培訓(xùn)

人是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，因此須加強對使用網(wǎng)絡(luò)的人員的管理，①加強安全意識培訓(xùn)，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任；②加強安全知識培訓(xùn)，使每個計算機使用者掌握一定的安全知識，如讓其能熟悉掌握如何備份數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠；③加強網(wǎng)絡(luò)知識培訓(xùn)，通過培訓(xùn)使其掌握一定的網(wǎng)絡(luò)知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機使用習慣。

3 結(jié)束語

綜上所述，隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，計算機病毒形式及傳播途徑日趨多樣化，致使局域網(wǎng)安全問題日益復(fù)雜化。但由于每個單位局域網(wǎng)有著自己不同的特點，這就要求局域網(wǎng)管理員應(yīng)根據(jù)自己網(wǎng)絡(luò)的特點，建立適合于自己的、多層次的、立體的防護體系，使得局域網(wǎng)速度、安全得到更大的提高。

1 王華.淺談計算機網(wǎng)絡(luò)安全技術(shù)應(yīng)用［J］.科技經(jīng)濟市場，2010（9）

2 李星.淺談局域網(wǎng)的維護和安全［J］.中國電子商務(wù)，2010（9）

3 米強.局域網(wǎng)的安全控制與病毒防治策略［J］.教育教學論壇，2010（3）

Discusses Local Area Network’s Information Security and the Viral Prevention Strategy

Hong Chaoshan

In view of local area network’s information security article mainly from the local area network security threat analysis, the local area network safety control and viral prevention plan slightly these two aspects carries on the elaboration, supplies the reference.

network; local area network; information security; viral prevention

TP309.5

A

1000－8136（2011）06－0147－02