◆羅傳軍 崇曉峰 陳凱華

（天津市氣象局 天津 300074）

局域網(wǎng)安全防范探析

◆羅傳軍 崇曉峰 陳凱華

（天津市氣象局 天津 300074）

局域網(wǎng)是計算機網(wǎng)絡(luò)重要組成部分，對我們的工作與生活有重要影響，安全防范是其必須解決的重要問題。本文分析了局域網(wǎng)存在的安全隱患，從邊界防護、內(nèi)部管控、安全管理制度三方面闡述了防范措施。

局域網(wǎng)安全；邊界防護；內(nèi)部管控；安全管理制度

0 前言

計算機網(wǎng)絡(luò)技術(shù)極大地推動了社會進步，改變了我們的日常工作和生活方式。局域網(wǎng)具有開放性、便捷性等特點造成了其安全問題較為突發(fā)，如非法接入、信息泄露、病毒攻擊等。局域網(wǎng)常常與互聯(lián)網(wǎng)、廣域網(wǎng)連接，不同網(wǎng)絡(luò)區(qū)域邊界需要安全防護，防止來自其他網(wǎng)絡(luò)區(qū)域的攻擊。局域網(wǎng)內(nèi)部開放性很大，并且用戶安全意識薄弱，需采取安全手段增強網(wǎng)絡(luò)內(nèi)部安全控制能力。安全管理制度的制定和執(zhí)行能夠有效提升局域網(wǎng)整體安全管理水平，是局域網(wǎng)安全運行的保障。

1 邊界防護

局域網(wǎng)由于業(yè)務(wù)需求，常常需要訪問互聯(lián)網(wǎng)、廣域網(wǎng)、同城用戶網(wǎng)等，需要在局域網(wǎng)與其他網(wǎng)絡(luò)連接的邊界增強安全防范。特別是局域網(wǎng)與互聯(lián)網(wǎng)連接邊界，更需增強安全設(shè)備。常用的邊界安全設(shè)備有防火墻、入侵防御系統(tǒng)、上網(wǎng)行文管理系統(tǒng)等。

1.1 防火墻

防火墻是局域網(wǎng)與其他網(wǎng)絡(luò)隔離的屏障，傳統(tǒng)的功能包含數(shù)據(jù)包過濾、地址轉(zhuǎn)換。數(shù)據(jù)包過濾主要是分析數(shù)據(jù)包的源地址、目的地址、端口，允許的數(shù)據(jù)包才能通過。地址轉(zhuǎn)換是將數(shù)據(jù)包中的地址轉(zhuǎn)換為其他地址與外界通訊，實現(xiàn)真實地址隱藏。防火墻技術(shù)迅速發(fā)展，出現(xiàn)了可以根據(jù)內(nèi)容過濾的應(yīng)用層級的防火墻，還包含流量管理、防DDoS攻擊等多種安全功能。

1.2 入侵防御系統(tǒng)

入侵防護系統(tǒng)集成了網(wǎng)絡(luò)數(shù)據(jù)包分析系統(tǒng)、風(fēng)險特征庫、網(wǎng)絡(luò)響應(yīng)系統(tǒng)等多種內(nèi)在安全措施[1]。入侵防御系統(tǒng)檢索需要通過的數(shù)據(jù)包，根據(jù)風(fēng)險特征庫信息，判斷數(shù)據(jù)包是否具有安全風(fēng)險和攻擊行為，將有風(fēng)險的數(shù)據(jù)包攔截，運行安全的數(shù)據(jù)包通過。

2 內(nèi)部管控

局域網(wǎng)將內(nèi)部多個信息點連接，提供了一個快速、靈活、方便的通信平臺，存在巨大的安全隱患，需防止非法用戶網(wǎng)絡(luò)接入，網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)授權(quán)訪問，對用戶的行為記錄和審計。局域網(wǎng)常見的安全防護手段包括防病毒軟件、綜合審計系統(tǒng)、網(wǎng)絡(luò)綜合管理系統(tǒng)、堡壘機等，如圖1所示。

2.1 防病毒軟件

防病毒軟件是PC機、服務(wù)器常用安全軟件，為客戶機提供有效防護。產(chǎn)品一般可一鍵式安裝，由服務(wù)器統(tǒng)一管理，病毒庫及時更新。具有實時監(jiān)控病毒、木馬、廣告軟件、惡意插件、隱蔽軟件等功能[2]，對多層數(shù)的存檔和壓縮格式包內(nèi)病毒掃描和清除，可基于IP地址、傳輸方向、端口、傳輸協(xié)議、應(yīng)用程序網(wǎng)絡(luò)行為創(chuàng)建防火墻規(guī)則，具備系統(tǒng)和應(yīng)用程序行為監(jiān)控能力，通過云掃描技術(shù)殺毒，防病毒軟件還具備端點控制、管理控制多種能力，如提供操作系統(tǒng)和應(yīng)用程序漏洞檢測和修復(fù)功能、網(wǎng)絡(luò)流量控制功能。

2.2 網(wǎng)絡(luò)綜合審計系統(tǒng)

網(wǎng)絡(luò)綜合審計系統(tǒng)可記錄局域網(wǎng)內(nèi)用戶上網(wǎng)行為、設(shè)備訪問、系統(tǒng)登錄、軟件使用等，實現(xiàn)局域網(wǎng)有效監(jiān)督，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險防范。網(wǎng)絡(luò)綜合審計系統(tǒng)獲取的信息來源包含各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全系統(tǒng)、主機操作系統(tǒng)、數(shù)據(jù)庫、種應(yīng)用系統(tǒng)等，通過syslog、snmp trap、netflow、agent代理等多種方式完成各種日志的收集功能。日志采用統(tǒng)一的日志查詢界面，用戶可以自定義各種查詢場景。日志實時分析和統(tǒng)計，快速識別安全事故。分析統(tǒng)計結(jié)果包含柱圖、餅圖、曲線圖等形式，圖表數(shù)據(jù)可下載，還具備可視化展現(xiàn)、日志在線挖掘、日志關(guān)聯(lián)分析告警、報表管理等功能。

圖1 網(wǎng)絡(luò)安全設(shè)備部署拓?fù)鋱D

3 安全管理制度

安全管理制度建設(shè)是局域網(wǎng)安全保障體系建設(shè)的重要環(huán)節(jié)，建立完善的信息安全管理制度，構(gòu)建自上而下的各級信息安全管理組織架構(gòu)，制定信息安全方針和信息安全策略。健全信息系統(tǒng)信息安全的制度和操作規(guī)范，強化信息安全風(fēng)險評估和風(fēng)險管理[3]。明確機房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復(fù)和事件處置等管理內(nèi)容，落實可行的應(yīng)急預(yù)案，定期對各項制度的落實情況進行自查和監(jiān)督檢查。建立信息安全培訓(xùn)機制，根據(jù)組織建立的信息安全培訓(xùn)制度與計劃，開展多層次的信息安全宣傳、技能培訓(xùn)和考核，持續(xù)增強全體人員的安全防范意識。

4 總結(jié)

局域網(wǎng)的安全防范對對局域網(wǎng)的正常使用有重要影響，應(yīng)制定可行的網(wǎng)絡(luò)安全實施方案，部署網(wǎng)絡(luò)邊界、內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備，對安全威脅信息過濾、防御、審計。加強局域網(wǎng)安全制度管理和執(zhí)行，通過安全技術(shù)和制度全方位保障局域網(wǎng)安全運行。

[1]單廣翠．局域網(wǎng)安全防范體系建設(shè)方案[J]．自動化與儀器儀表，2015．

[2]陳繼剛．計算機網(wǎng)絡(luò)安全漏洞防范探析[J]．科技創(chuàng)新與應(yīng)用，2015．

[3]劉思遠(yuǎn)．企業(yè)局域網(wǎng)安全與維護策略探討[J]．中小企業(yè)管理與科技，2015．