【摘 要】本文分析了計算機網絡局域網系統(tǒng)安全存在的問題，并且提出了局域網系統(tǒng)安全防范策略。

【關鍵詞】局域網系統(tǒng) 安全 問題

一、引言

隨著計算機網絡的不斷發(fā)展和普及，計算機網絡帶來了無窮的資源，但隨之而來的網絡安全問題也顯得尤為重要。由于來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡，形成極大的安全隱患。目前，局域網絡安全隱患是利用了網絡系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。

二、計算機網絡局域網系統(tǒng)安全存在的問題

（一）欺騙性的軟件使數據安全性降低

由于局域網很大的一部分用處是資源共享，而正是由于共享資源的“數據開放性”，導致數據信息容易被篡改和刪除，數據安全性較低。例如“網絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息，如用戶名、口令、賬號ID、ATM、PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據。以往此類攻擊的冒名的多是大型或著名的網站，但由于大型網站反應比較迅速，而且所提供的安全功能不斷增強，網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段，因此會造成經常性的信息丟失等現象發(fā)生。

（二）計算機病毒及惡意代碼的威脅

對計算機局域網絡安全造成威脅的主要問題在于病毒的危害。由于網絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。因為局域網絡在數據共享上給用戶提供方便的同時，也便于病毒的傳播。近些年來，網絡病毒層出不窮，其中蠕蟲病毒和木馬病毒最為嚴重，一旦出現蠕蟲病毒，整個網絡就會陷于癱瘓，無法進行正常的運行，而木馬病毒能將用戶的各種信息盜竊，致使用戶的工作和生活受到嚴重威脅。許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。

（三）破壞數據庫完整性

由于數據庫作為所有業(yè)務系統(tǒng)的數據處理和存儲的平臺，存儲了大量重要信息，因此極易受到非法者的攻擊。非法者利用各種工具監(jiān)視、收集網絡中傳輸的信息，當他們截獲用戶賬號或者口令后即可隨意進出數據庫，對數據庫進行篡改、偽造，竊取。另外，若數據庫的個別帳戶權限過大，容易造成合法用戶的非授權訪問，例如：訪問、修改其他合法用戶的信息等，從而造成數據庫信息紊亂，丟失等嚴重后果。

三、計算機網絡局域網系統(tǒng)安全防范策略

（一）采用VLAN（虛擬局域網）技術

VLAN是一種不受網絡用戶的物理位置限制而根據用戶需求進行網絡分段的虛擬局域網，其具有靈活性和擴張性等特點，利于網絡的維護和管理。在局域網中，對VLAN技術進行有效利用，可以為局域網解決沖突域、廣播域、寬帶問題，從而大大提高網絡運行效率。VLAN在劃分后，可以縮小廣播域，從而大大降低網絡中廣播包消耗帶寬所占的比例，大幅度提高網絡的安全性能。由于是通過網絡層的路來實現不同VLAN之間的數據傳輸，因此，采用VLAN技術，結合數據鏈路層和網絡層的交換設備，可以搭建安全可靠的網絡。

（二）應用防火墻技術

防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。防火墻高可靠性網絡部署是為了避免因為網絡的故障和設備的停工造成的損失。配置防火墻冗余總共需要三套IP地址，其中每個防火墻有一套自己真實的地址（內部地址、外部地址和DMZ區(qū)地址），另外兩個防火墻還共享一套虛擬的地址，而真正起到作用的正是這套真實的地址，內部用戶的網關以及外部的一些相關的路由設置都需要指向這個虛擬的地址。

分布式的環(huán)境一般分為一個中心節(jié)點和多個分支節(jié)點，一般來說，中心節(jié)點采用性能高的防火墻，可以采用雙機熱備份的模式，保證網絡的可靠性；另外也可以通過對VPN功能實現與總部的信息通訊的安全；對于沒有專線的分支節(jié)點，可以采用防火墻自帶的對子網撥號的VPN功能，也能夠實現與總部之間的安全通訊。

（三）局域網防病毒技術

對于局域網防病毒技術主要有以下幾種：分布式殺毒技術。是一種建立在集中式管理基礎上的網絡防病毒技術。安裝在網絡系統(tǒng)中特定計算機的中央控制臺和安裝在每臺計算機的殺毒軟件，共同構筑成協(xié)調一致的病毒防護體系。網絡管理員只需要通過控制臺就可管理整個網絡的所有殺毒程序，掌管全網各節(jié)點的病毒防護狀況，對各節(jié)點同一實施病毒特征代碼庫和殺毒軟件的聯(lián)網升級和更新；病毒源監(jiān)控技術。密切關注和測控外部網絡中的病毒動向，將所有病毒堵截在網絡入口處，是當前網絡防病毒技術的一個重點。例如用于Internet訪問代理服務器的模塊、用于郵件服務器的模塊、用于文件服務器的模塊和用與計算機的模塊，形成一個全方位的防病毒解決方案，構成了一道網關防毒網；數字免疫系統(tǒng)。采用該技術的網絡防病毒產品能夠應付網絡病毒爆發(fā)和極端惡意事件的發(fā)生。在網絡系統(tǒng)的管理中，數字免疫系統(tǒng)能夠根據網絡管理員的要求，自動進行病毒檢測和分析，還可以自動監(jiān)視計算機和網絡中的可疑行為，為網絡防病毒產品對付未知病毒提供依據。

（四）加強數據庫的信息保密防護

文件和數據庫網絡中兩種數據組織形式，缺乏共享性的文件組織形式的數據已成為現在網絡存儲數據的主要形式。由于在對系統(tǒng)的操作過程中，對數據庫沒有進行特殊的保密措施，而數據庫的數據就會以可讀的形式存儲系統(tǒng)中，因此，須要采取另外的方法進行數據庫的保密。例如，可以針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。

四、結束語

綜上所訴，局域網安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。

參考文獻：

[1]吳儉.局域網安全內部防范措施的思考[J].信息與電腦（理論版）.2010（12）

[2]凌金波.局域網的安全管理與維護[J].科技傳播.2010（21）