【摘 要】本人通過在高校計算機多年來的工作經(jīng)驗，對計算機網(wǎng)絡方面的了解，以及在工作中未解決的問題進行了分析和討論，提出以下幾點關于網(wǎng)絡安全與防范的管理措施，建議供高校計算機網(wǎng)絡相關管理者探討。

【關鍵詞】網(wǎng)絡；計算機；安全

隨著信息化的不斷擴展，各類網(wǎng)絡版應用軟件推廣應用，計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率，實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提，因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。

一、局域網(wǎng)安全威脅分析

局域網(wǎng)（LAN）是指在小范圍內由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。由于通過交換機和服務器連接網(wǎng)內每一臺電腦，因此局域網(wǎng)內信息的傳輸速率比較高，同時局域網(wǎng)采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類：

1.欺騙性的軟件使數(shù)據(jù)安全性降低

由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。

2.服務器區(qū)域沒有進行獨立防護

局域網(wǎng)內計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內部的攻擊。

3.計算機病毒及惡意代碼的威脅

由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。

4.局域網(wǎng)用戶安全意識不強

許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內部局域網(wǎng)，同時將內部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內外網(wǎng)之間平凡切換使用，許多用戶將在In ternet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內部局域網(wǎng)絡使用，造成病毒的傳入和信息的泄密。

5.IP地址沖突

局域網(wǎng)用戶在同一個網(wǎng)段內，經(jīng)常造成IP地址沖突，造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講，此類IP地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡管理員必須加以解決。

二、局域網(wǎng)安全控制與病毒防治策略

（一）局域網(wǎng)安全控制策略

安全管理保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問。目前網(wǎng)絡管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內部的安全問題，才可以排除網(wǎng)絡中最大的安全隱患。

1.利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡資源不被非法使用，是網(wǎng)絡安全防范和保護的主要策略。它為網(wǎng)絡訪問提供了第一層訪問控制.用戶和用戶組被賦予一定的權限，網(wǎng)絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼.

2.采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上，與網(wǎng)絡的其余部分隔開，它使內部網(wǎng)絡與In ternet之間或與其他外部網(wǎng)絡互相隔離，限制網(wǎng)絡互訪。采用防火墻技術發(fā)現(xiàn)及封阻應用攻擊所采用的技術有：

①深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當中有多個數(shù)據(jù)包，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免應用時帶來時延。

②IP/U RL過濾。一旦應用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查URL，還能檢查請求的其余部分。其實，如果把應用響應考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。

③TCP/IP終止。應用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。

④訪問網(wǎng)絡進程跟蹤。訪問網(wǎng)絡進程跟蹤。這是防火墻技術的最基本部分，判斷進程訪問網(wǎng)絡的合法性，進行有效攔截。

3.封存所有空閑的IP地址，啟動IP地址綁定采用上網(wǎng)計算機IP地址與MCA地址唯一對應，網(wǎng)絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡中斷和移動計算機隨意上內部局域網(wǎng)絡造成病毒傳播和數(shù)據(jù)泄密。

4.屬性安全控制。它能控制以下幾個方面的權限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡的屬性可以保護重要的目錄和文件。

5.啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網(wǎng)絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

（二）病毒防治

病毒的侵入必將對系統(tǒng)資源構成威脅，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳播的計算機病毒，能在很短的時間內使整個計算機網(wǎng)絡處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要主要從以下幾個方面制定有針對性的防病毒策略：

1.增加安全意識和安全知識，對工作人員定期培訓。

2.小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。

3.挑選網(wǎng)絡版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡殺毒軟件的三大要素。

4.通過以上策略的設置，能夠及時發(fā)現(xiàn)網(wǎng)絡運行中存在的問題，快速有效的定位網(wǎng)絡中病毒、蠕蟲等網(wǎng)絡安全威脅的切入點，及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡。

局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。

三、廣域網(wǎng)安全

Internet的開放性以及其他方面因素導致了網(wǎng)絡環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。

（一）網(wǎng)絡的開放性帶來的安全問題

然而，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

1.每一種安全機制都有一定的應用范圍和應用環(huán)境。

2.安全工具的使用受到人為因素的影響。一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當?shù)脑O置就會產生不安全因素。

3.系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題，多數(shù)情況下，這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺；

4.只要有程序，就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據(jù)可查。

5.黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

（二）防范措施

加強內部網(wǎng)絡管理人員以及使用人員的安全意識很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進程中，最容易和最經(jīng)濟的方法之一。

1.在網(wǎng)絡上，軟件的安裝和管理方式是十分關鍵的。要在網(wǎng)關上設防，在網(wǎng)絡前端進行殺毒。

2.網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡，訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。

3.安全加密技術。對稱加密是常規(guī)的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。

4.網(wǎng)絡主機的操作系統(tǒng)安全和物理安全措。防火墻作為網(wǎng)絡的第一道防線并不能完全保護內部網(wǎng)絡，必須結合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高，分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內核安全、系統(tǒng)服務安全、應用服務安全和文件系統(tǒng)安全；同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。

四、結束語

總之，網(wǎng)絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。

參考文獻：

[1]William Stallings.網(wǎng)絡安全基礎應用與標準（第三版）[M].清華大學出版社，2011（01）.

[2]葉忠杰.計算機網(wǎng)絡安全技術[N].科學出版社，2003（08）.

[3]黎連業(yè)，張維.防火墻及其應用技術[D].清華大學，2004（07）.

作者簡介：謝沛陽（1984-），男，遼寧本溪人，大連職業(yè)技術學院現(xiàn)代教育技術中心實驗師，具有多年計算機網(wǎng)絡管理及實驗室管理工作經(jīng)驗，曾發(fā)表過論文：《淺析高校公共機房的管理模式》、參與課題：《高職院?，F(xiàn)代教學設施集中控制與管理研究》、《校企合作工學結合的課程模式改革的研究》。