近年來(lái)隨著計(jì)算機(jī)信息化建設(shè)的飛速發(fā)展，計(jì)算機(jī)在工作生活中已得到普遍的應(yīng)用，人們對(duì)網(wǎng)絡(luò)的依賴也不斷上升，網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項(xiàng)工作的重要基礎(chǔ)設(shè)施。然而網(wǎng)絡(luò)安全的戰(zhàn)場(chǎng)已經(jīng)從互聯(lián)網(wǎng)蔓延到用戶內(nèi)部網(wǎng)絡(luò)，特別是局域網(wǎng)，為了確保各項(xiàng)工作的安全高效運(yùn)行，保證網(wǎng)絡(luò)信息安全，做好局域網(wǎng)絡(luò)安全就顯得尤為重要。

1局域網(wǎng)安全現(xiàn)狀

廣域網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過(guò)到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。目前，局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過(guò)程的疏漏更增加了安全問(wèn)題的嚴(yán)重程度。

2局域網(wǎng)安全威脅分析

局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于是通過(guò)服務(wù)器和交換機(jī)連接網(wǎng)內(nèi)的每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，給病毒傳播提供了有效的通道同時(shí)也給數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類(lèi)：

2.1 ARP欺騙

ARP欺騙可以使整個(gè)網(wǎng)絡(luò)的ARP紊亂，嚴(yán)重時(shí)所有內(nèi)部PC無(wú)法上網(wǎng)。ARP在局域網(wǎng)特別是以太網(wǎng)中的作用就是查詢IP地址和MAC地址的映射，ARP協(xié)議是個(gè)很古老的協(xié)議，當(dāng)時(shí)的網(wǎng)絡(luò)帶寬小，很多協(xié)議都設(shè)計(jì)得特別經(jīng)濟(jì)，甚至忽略了必要的結(jié)果驗(yàn)證，希望以此減少發(fā)送量來(lái)節(jié)約帶寬，由此也帶來(lái)了漏洞，為現(xiàn)今日益猖獗的ARP欺騙埋下了隱患。

2.2 服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)

局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來(lái)攻擊，但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的攻擊。

2.3 局域網(wǎng)用戶安全意識(shí)不強(qiáng)

許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。另外一機(jī)兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在Internet網(wǎng)上使用過(guò)的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。

3局域網(wǎng)安全控制與病毒防治策略

3.1技術(shù)方面

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有實(shí)時(shí)掃描技術(shù)、實(shí)時(shí)監(jiān)測(cè)技術(shù)、防火墻、完整性檢驗(yàn)保護(hù)技術(shù)、病毒情況分析報(bào)告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來(lái)，技術(shù)層面可以采取以下對(duì)策：

3.1.1網(wǎng)絡(luò)訪問(wèn)控制。訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

3.1.2采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上，與網(wǎng)絡(luò)的其余部分隔開(kāi)，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。

3.1.3封存所有空閑的IP地址。

啟動(dòng)IP地址綁定方可上網(wǎng)，計(jì)算機(jī)IP地址與MCA地址一一對(duì)應(yīng)，網(wǎng)絡(luò)沒(méi)有空閑IP地址的策略。由于采用了無(wú)空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。

3.1.4啟用殺毒軟件強(qiáng)制安裝策略。監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī)，對(duì)沒(méi)有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。

3.2管理方面

計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，包括對(duì)計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能等方面。教育計(jì)算機(jī)用戶和全體工作人員，應(yīng)自覺(jué)遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度，加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員的教育管理，使他們能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí)，樹(shù)立良好的計(jì)算機(jī)使用習(xí)慣。

3.3病毒防治

病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運(yùn)行。特別是通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)癱瘓，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點(diǎn)是控制病毒的傳染，主要從以下幾個(gè)方面制定有針對(duì)性的防病毒策略：

3.3.1增加安全意識(shí)和安全知識(shí)，對(duì)工作人員定期培訓(xùn)。首先明確病毒的危害，文件共享的時(shí)候盡量控制權(quán)限和增加密碼，對(duì)來(lái)歷不明的文件運(yùn)行前進(jìn)行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。

3.3.2小心使用移動(dòng)存儲(chǔ)設(shè)備。在使用移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的掃描和查殺，或者對(duì)計(jì)算機(jī)移動(dòng)存儲(chǔ)接口進(jìn)行統(tǒng)一管理也可把病毒拒絕在外。

3.3.3挑選網(wǎng)絡(luò)版殺毒軟件。選擇一個(gè)合適的殺毒軟件并定時(shí)進(jìn)行統(tǒng)一查殺對(duì)于局域網(wǎng)的安全也能起到很好的保護(hù)作用。

3.4物理安全層面對(duì)策

要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠，必須保證系統(tǒng)實(shí)體有個(gè)安全的物理環(huán)境條件也就是機(jī)房的設(shè)施，主要包括以下內(nèi)容：

3.4.1計(jì)算機(jī)系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、電氣干擾等方面，都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn)。

3.4.2機(jī)房場(chǎng)地環(huán)境的選擇。選擇計(jì)算機(jī)房場(chǎng)地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場(chǎng)地抗電磁干擾性，避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。同時(shí)注意出入口的管理。方便管理人員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問(wèn)題，快速有效的定位網(wǎng)絡(luò)中病毒等網(wǎng)絡(luò)安全威脅的切入點(diǎn)，及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計(jì)算機(jī)病毒形式及傳播途徑日趨多樣化，安全問(wèn)題日益復(fù)雜化，網(wǎng)絡(luò)安全建設(shè)已不再像單臺(tái)計(jì)算安全防護(hù)那樣簡(jiǎn)單。局域網(wǎng)安全控制與病毒防治是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，需要我們不斷的去探索和研究。