梁曉睿

（大慶油田第七采油廠敖包塔作業(yè)區(qū)，黑龍江 大慶 163000）

引言

隨著網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用，計算機(jī)網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率，實現(xiàn)數(shù)據(jù)集中、共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項工作的重要基礎(chǔ)設(shè)施。因此計算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)就變得尤為重要。

1 作業(yè)區(qū)局域網(wǎng)安全隱患現(xiàn)狀分析

隨著作業(yè)區(qū)網(wǎng)絡(luò)資源的發(fā)展，其開放性，共享性，互連程度擴(kuò)大，這就給病毒傳播提供了有效的通道，數(shù)據(jù)信息的安全埋下了隱患。主要可以歸結(jié)為以下幾點：

1.1 開放的共享資源使數(shù)據(jù)安全性降低

由于作業(yè)區(qū)網(wǎng)絡(luò)資源一部分是資源共享，包括共享文件和FTP等，正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，安全性較低，同時由于用戶缺乏備份等數(shù)據(jù)安全方面的意識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

1.2 服務(wù)器區(qū)域沒有進(jìn)行獨立防護(hù)

局域網(wǎng)內(nèi)計算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造成了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨立保護(hù)，其中一臺電腦感染病毒，并通過服務(wù)器進(jìn)行信息傳遞，就會感染服務(wù)器，這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

1.3 計算機(jī)病毒及惡意代碼的威脅

由于作業(yè)區(qū)大部分網(wǎng)絡(luò)用戶不能接入Internet，系統(tǒng)漏洞補(bǔ)丁不能自動下載、安裝，另外存在私自卸載防病毒軟件現(xiàn)象，并且使用的是固定IP地址,這就會給計算機(jī)病毒入侵提供可乘之機(jī)，更容易受到ARP等外部攻擊。

1.4 局域網(wǎng)用戶安全意識不強(qiáng)

許多用戶經(jīng)常將沒經(jīng)過安全檢查的外部數(shù)據(jù)通過移動存儲設(shè)備帶入局域網(wǎng)內(nèi)部，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的侵入提供了方便，同時增加了數(shù)據(jù)泄密的可能性。另外存在個別用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入局域網(wǎng)絡(luò)內(nèi)部使用，造成病毒的傳入和信息泄漏。

1.5 IP地址沖突

同一個網(wǎng)段內(nèi)的局域網(wǎng)中，個別計算機(jī)用戶擅改IP地址，造成IP地址沖突，無法正常上網(wǎng)。由于作業(yè)區(qū)計算機(jī)用戶眾多，所以查找工作困難。正是由于存在這些網(wǎng)絡(luò)安全隱患，易造成網(wǎng)內(nèi)電腦相互感染，病毒快速傳遞，屢殺不盡；數(shù)據(jù)安全性低，數(shù)據(jù)易丟失。為了解決這些安全問題，各種安全機(jī)制、策略和工具被研究和應(yīng)用。

2 作業(yè)區(qū)局域網(wǎng)安全控制與病毒防治策略

2.1 作業(yè)區(qū)局域網(wǎng)安全控制策略

目前作業(yè)區(qū)網(wǎng)絡(luò)管理難度最大的是客戶端安全部分，對網(wǎng)絡(luò)的安全運行威脅最大的也是客戶端的安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才能排除網(wǎng)絡(luò)中最大的安全隱患，對內(nèi)部網(wǎng)絡(luò)終端安全管理主要有防御、監(jiān)督和利用現(xiàn)有的安全管理軟件加強(qiáng)對局域網(wǎng)安全控制幾個手段。

2.1.1 屬性安全控制。當(dāng)使用文件、目錄和網(wǎng)絡(luò)設(shè)備時，應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來，在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。對網(wǎng)絡(luò)上的資源訪問都應(yīng)預(yù)先標(biāo)出一組安全屬性的控制表，來表明用戶對網(wǎng)絡(luò)資源的訪問能力。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對目錄和文件的誤操作等。

2.1.2 啟用密碼策略。強(qiáng)制計算機(jī)用戶設(shè)置符合安全要求的密碼，如機(jī)器密碼、共享文件密碼，并設(shè)置使用權(quán)限等，以增強(qiáng)文件安全性。

2.1.3 采用防火墻技術(shù)。通過安裝網(wǎng)絡(luò)防火墻，限制網(wǎng)絡(luò)互訪，可以有效地實現(xiàn)計算機(jī)對外界信息的過濾，實時監(jiān)控網(wǎng)絡(luò)中的信息流，執(zhí)行安全管制措施，記錄可疑事件，保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入。

2.1.4 關(guān)閉邊界網(wǎng)絡(luò)。嚴(yán)禁在礦區(qū)內(nèi)部使用二級代理、VPN及撥號上網(wǎng)?？刂仆ㄟ^代理接入互聯(lián)網(wǎng)的權(quán)限。

2.1.5 加強(qiáng)服務(wù)器管理。對作業(yè)區(qū)服務(wù)器的帳號、用戶權(quán)限、網(wǎng)絡(luò)訪問以及文件訪問等實行嚴(yán)格的控制和管理，定期做好監(jiān)視、審計和事件日志記錄和分析。一方面減少各類違規(guī)訪問，另一方面，通過系統(tǒng)日志記下來的警告和報錯信息，很容易發(fā)現(xiàn)相關(guān)問題的癥結(jié)所在。并及時升級操作系統(tǒng)，減少系統(tǒng)漏洞，盡可能關(guān)閉不需要的端口，以彌補(bǔ)系統(tǒng)漏洞帶來的各類隱患。

2.1.6 屏蔽IP地址更改窗口。通過修改組策略或卸載動態(tài)庫文件，來屏蔽網(wǎng)絡(luò)連接窗口，限制IP地址更改，可以有效防止IP地址沖突而引起的網(wǎng)絡(luò)中斷。

2.2 作業(yè)區(qū)局域網(wǎng)病毒防治策略

2.2.1 網(wǎng)絡(luò)病毒、木馬預(yù)防

病毒和木馬的侵入必將對系統(tǒng)資源構(gòu)成嚴(yán)重威脅，能在短時間內(nèi)使整個網(wǎng)絡(luò)處于癱瘓狀態(tài)，造成巨大損失。因此，防止病毒的侵入是作業(yè)區(qū)局域網(wǎng)病毒防治的首要工作。通過嚴(yán)格控制傳染途徑來斬斷病毒源頭。主要從以下幾個方面制定有針對性的防病毒策略：

2.2.1.1 啟用Symantec殺毒軟件強(qiáng)制安裝策略，并確保病毒庫及時更新。同時開啟自動防護(hù)，定期全面掃描計算。

2.2.1.2 安裝360安全衛(wèi)士和保險箱。開啟360安全衛(wèi)士的防火墻，采用主動防御技術(shù)攔截木馬，定期查殺木馬及惡意插件。保險箱可以阻止盜號木馬對網(wǎng)游、聊天等程序的侵入，幫助用戶保護(hù)網(wǎng)游、聊天、網(wǎng)銀、炒股等帳號，防止由于帳號丟失導(dǎo)致的虛擬資產(chǎn)和真實資產(chǎn)受到損失。

2.2.1.3 提高防病毒意識。首先明確病毒的危害，減少共享文件夾的數(shù)量，一旦不需要共享應(yīng)立即關(guān)閉，文件共享應(yīng)盡量控制權(quán)限和設(shè)置密碼等，避免自由地訪問共享文件；網(wǎng)絡(luò)使用過程中提高警惕性；使用新設(shè)備和新軟件之前要檢查等，都可以很好地預(yù)防病毒在網(wǎng)絡(luò)中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。

2.2.1.4 補(bǔ)全重要漏洞。由網(wǎng)絡(luò)管理人員分發(fā)系統(tǒng)重要漏洞補(bǔ)丁，為局域網(wǎng)用戶提供操作系統(tǒng)升級服務(wù)。

2.2.1.5 小心使用移動存儲設(shè)備。在使用移動存儲設(shè)備之前進(jìn)行病毒的掃描和查殺，也可把病毒拒絕在外。

網(wǎng)絡(luò)病毒、攻擊治理

2.2.2 盡管我們能采用多種方法防范病毒，但也不能保證網(wǎng)絡(luò)不再中毒，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中有異常信息傳遞,將采取以下方案處理:

2.2.2.1 立即斷掉發(fā)出異常信息的計算機(jī)網(wǎng)絡(luò)連接；

2.2.2.2 采用專用軟件對異常信息進(jìn)行分析；

2.2.2.3 是病毒的用病毒清殺工具清除病毒；

2.2.2.4 是惡意攻擊的,立即上報上級業(yè)務(wù)主管部門處理。

通過以上策略的設(shè)置，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中存在的問題，快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等安全威脅的切入點，并及時、準(zhǔn)確的切斷源頭。

2.3 加強(qiáng)作業(yè)區(qū)人員的網(wǎng)絡(luò)安全培訓(xùn)

網(wǎng)絡(luò)安全是個匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。這個系統(tǒng)的具體操作是人，人也是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強(qiáng)對網(wǎng)絡(luò)使用人員的安全培訓(xùn)。增強(qiáng)他們的安全防范意識，掌握一定的網(wǎng)絡(luò)安全知識。

結(jié)語

作業(yè)區(qū)局域網(wǎng)安全控制與病毒防治是一項長期艱巨的任務(wù)，需要不斷的探索。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計算機(jī)病毒形式及傳播途徑日趨多樣化，安全問題日益復(fù)雜，網(wǎng)絡(luò)安全已不再像單臺計算安全防護(hù)那樣簡單，需要建立多層次的、立體的防護(hù)體系，要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對安全的防護(hù)策略。

[1]鐘平.校園網(wǎng)安全防范技術(shù)研究[DB].CNKI系列數(shù)據(jù)庫,2007.

[2]李輝.計算機(jī)網(wǎng)絡(luò)安全與對策[J].濰坊學(xué)院學(xué)報,2007.