◆張 瑩

（上海鐵路局杭州貨運中心 浙江 310009）

改進型防御對策在辦公局域網安全分析中的應用

◆張 瑩

（上海鐵路局杭州貨運中心 浙江 310009）

局域網所使用的技術非常簡單，而且局域網當中并沒有涉及過多的安全措施，正是由于這些原因，所以經常會有病毒傳播，這對局域網來說損害非常大，一旦遭到病毒侵害就會使得局域網當中的文件收到破壞，影響工作效率和質量，更嚴重的是，在數(shù)據(jù)庫當中的數(shù)據(jù)也會損壞或者是發(fā)生丟失，服務就會進入癱瘓狀態(tài)，從而影響計算機局域網的安全性和可靠性。

辦公局域網；網絡安全；分析；對策

1 局域網面臨的主要威脅

1.1 局域網面臨的外部威脅

（1）網絡體系結構缺陷

在一定程度上，局域網可以免受外來攻擊的侵害，這是因為在網絡出口處設置了防毒墻和防火墻等特殊保護邊界，盡管如此，局域網仍然面臨著一些威脅，因為局域網和每一臺電腦都有相連，主要是通過交換機和服務器進行連接，所以如果沒有對服務器做好獨立的保護措施，那么當其中一臺電腦受到病毒侵害之后就會對服務器產生影響，其他的與服務器進行信息交換的電腦同樣也會受到病毒的感染，對電腦的安全造成嚴重的威脅。

（2）病毒威脅

計算機病毒的影響范圍非常廣，而且還會對信息造成嚴重的威脅，信息安全性得不到保障，所以計算機病毒是安全威脅程度最高的。在局域網運行過程當中，若是其中一臺電腦受到計算機病毒的侵害，那么病毒就會以非?？斓乃俣仍谄渌娔X當中進行快速傳播。計算機被病毒感染之后，會使得計算機系統(tǒng)運行受到影響，計算機開關機速度將會變慢，也會造成死機，嚴重的話可能會使得文件自動刪除，或者是計算機硬盤發(fā)生破壞，而且計算機相關硬件也會受到損害。所以由此看來，計算機病毒威脅程度非常高，如果計算機主機被病毒感染會使得整個計算機的防毒程序崩潰。

（3）漏洞威脅

計算機漏洞也會造成相應的安全問題，通常來說，計算機當中的木馬病毒都是通過漏洞而對計算機安全系統(tǒng)進行侵襲?，F(xiàn)階段計算機操作系統(tǒng)和應用程序做得并不是很完善，存在著很多的缺陷和安全問題，其一是軟件系統(tǒng)方面的漏洞問題，比如說office漏洞或者是操作系統(tǒng)漏洞等，其二是硬件方面的漏洞問題，這主要包括路由器漏洞、產品漏洞和防火墻漏洞等。

（4）黑客威脅

電腦黑客也能夠造成一定的安全問題，電腦黑客可以通過計算機系統(tǒng)當中存在的安全漏洞對計算機進行侵襲，比如說可以編寫計算機病毒或者是惡意攻擊計算機網站，從而侵入計算機系統(tǒng)當中，對計算機當中的數(shù)據(jù)資料進行刪除或者徹底銷毀等，黑客技術水平比較高，甚至可以說比先進的網絡科技技術更勝一籌。局域網一直以來都利用的是傳統(tǒng)的安全防護措施，所以局域網環(huán)境安全性非常低，經常受到黑客的攻擊。

（5）木馬威脅

木馬病毒能夠對計算機進行遠程控制，而且破壞程度非常大，能對計算機安全造成非常嚴重的威脅，通常來說，木馬威脅分為客戶端和服務器端。所謂的客戶端，指的是本地使用的控制臺，而服務器端指的是就要對別人的計算機進行運行服務，通過運行服務之后計算機可以被完全控制，木馬與計算機病毒不一樣，因為木馬不會對計算機文件造成感染。

1.2 局域網面臨的內部威脅

（1）內部網絡攻擊

現(xiàn)階段對內部網絡進行攻擊的主要方法包括以下幾個方面，首先是非授權訪問和破壞數(shù)據(jù)的完整性，其次是拒絕服務攻擊和利用網絡進行傳播病毒。其中非授權訪問指的是，在沒有經過同意的前提下，就隨意地利用計算機網絡資源。拒絕服務攻擊指的是，對計算機網絡系統(tǒng)進行強有力的干擾，從而使得計算機系統(tǒng)非正常的執(zhí)行其他程序，擾亂其應有的作業(yè)流程，對系統(tǒng)的運行速度造成嚴重的影響，甚至是造成系統(tǒng)癱瘓，給用戶帶來困擾，有些合法的用戶也會因此不能夠進入到計算機網絡當中享受服務。破壞數(shù)據(jù)完整性指的是通過各種不合法的惡意方式對數(shù)據(jù)進行破壞，造成數(shù)據(jù)使用的困難，還會對數(shù)據(jù)進行惡意的刪除或修改，甚至是徹底損壞數(shù)據(jù)。利用網絡傳播病毒指的是借助于網絡系統(tǒng)傳播信息數(shù)據(jù)資源，通過此途徑感染計算機原有的系統(tǒng)，從而使計算機受到安全威脅，這樣的威脅使得用戶防范非常困難。

（2）人為因素

人為因素指的是通過人為故意破壞網絡正常系統(tǒng)。通過對數(shù)據(jù)的調查發(fā)現(xiàn)，通過人為惡意攻擊對計算機產生的損失非常嚴重，甚至比黑客病毒帶來的影響更加嚴重。這是因為內部人員可能會對機密文件數(shù)據(jù)進行惡意刪改或者是對數(shù)據(jù)造成徹底損壞，而且內部人員可能會偷竊信息數(shù)據(jù)，對信息系統(tǒng)造成破壞。

2 局域網的安全防范對策

2.1 系統(tǒng)平臺安全

應用系統(tǒng)的安全會受到各方面的影響，而且涉及的范圍非常廣。為了保證系統(tǒng)的安全性，必須要構建起有安全保證的系統(tǒng)平臺，同時還需要對安全軟件的漏洞進行查找并修復，從而保證系統(tǒng)的安全性。

2.2 網絡系統(tǒng)配置合理

在局域網的內部有頻繁的信息交換，計算機的安全程度和級別都是不同的，因此一定要按照安全規(guī)定和要求來進行，嚴禁攻擊性的信息流，最終提高內部網絡安全性和順暢性。

2.3 安裝防火墻

防火墻的作用是非常大的，這是一系列的組合部件，同時存在于不同的網絡或者是網絡安全域之間。通過防火墻能夠對出入網絡的信息流進行控制，避免出現(xiàn)跨越權限的數(shù)據(jù)訪問，而且還可以對網絡信息安全進行保護，保證數(shù)據(jù)安全可靠性，不僅如此，防護網自身還具有很強的攻擊防護能力。

2.4 漏洞掃描

計算機存在漏洞會對計算機造成非常嚴重的破壞，大多數(shù)的計算機病毒都是通過安全漏洞侵入到計算機當中的，惡意破壞份子也可以通過漏洞侵入到他人的電腦中，對電腦進行破壞，基于此必須要對漏洞進行安全掃描，及時更新系統(tǒng)補丁，對系統(tǒng)配置進行優(yōu)化和更新，修復安全漏洞，將系統(tǒng)的安全隱患消除。

2.5 病毒防護

計算機網絡木馬病毒危害性非常大，只要計算機受到網絡木馬病毒的侵害很快就會陷入癱瘓狀態(tài)，局域網安全受到嚴重的威脅，所以必須要做好防毒工作，可以說這比查殺病毒更為重要。首先，在局域網當中的每一臺電腦上都應該建立防毒體系，所以必須要選擇全方位的防毒產品。其次，每隔一段時間都要對系統(tǒng)漏洞進行修補，這樣能夠避免計算機系統(tǒng)受到網絡木馬病毒的侵害。然后還應該對相關的人員進行培訓和教育，讓大家學習防毒知識，提高工作人員的安全意識，要對文件進行加密和殺毒，保證網絡的安全。最后，相關工作人員在對計算機進行操作和使用的過程當中一定要注意經常殺毒，防止計算機被病毒感染，若是有一臺電腦被病毒侵害，需要馬上對其進行隔離，防止其他電腦也被感染病毒。

2.6 訪問控制

訪問控制技術屬于網絡安全技術的一種，使用這種技術可以對用戶進入系統(tǒng)進行控制，此項技術的最重要的任務就是進行保護系統(tǒng)的安全，主要的做法是通過對用戶權限的認證或者是確認來保證網絡安全，首先核查其用戶是否有權限進入，從而防止非法用戶的入侵。為了對客戶的身份進行審查和認證，可以進行多層次的訪問控制或者是對其權限進行適當?shù)目刂?，可以進行口令加密等，用戶在對目錄進行訪問使用的時候，也需要設置權限，最終提高數(shù)據(jù)的安全性，也能夠對局域網進行保護。

3 結束語

為了保證局域網的安全運行，必須要針對具體的問題采取相應的措施，需要分析現(xiàn)階段網絡的具體特點，在此基礎上及時的發(fā)現(xiàn)網絡運行過程中的威脅和問題，并對這些問題進行解決，最終為局域網的安全提供保證。

[1]柳繼，龍波.計算機局域網網絡的安全現(xiàn)狀及對策分析[J].電腦知識與技術，2014.

[2]張宇.計算機局域網網絡的安全現(xiàn)狀與對策分析[J].網絡安全技術與應用，2014.

[3]郭志宏.高校辦公網絡安全管理現(xiàn)狀及對策分析[J].計算機光盤軟件與應用，2014.

[4]王琳琳.基于辦公自動化系統(tǒng)的Internet蠕蟲的研究與防治[D].山東科技大學，2005.

[5]劉雅娟.企業(yè)網組建及安全對策[D].北京郵電大學，2010.

圖1 方案整體架構

4 實施與管理階段

完成存儲架構對數(shù)據(jù)透明的轉變。該階段的工作要考慮到與其它虛擬化的關聯(lián)，尤其是服務器的虛擬化；要結合設計的目標和階段性，制定各階段的實施計劃；要做好數(shù)據(jù)遷移與系統(tǒng)切換的準備，降低停機的影響；對新環(huán)境的管理和監(jiān)控要做到集中管理、集中監(jiān)控、集中審批資源申請和變更；要監(jiān)控新的架構下存儲系統(tǒng)的使用狀況，包括資源使用率、整體性能和對未來發(fā)展的預估等；要實現(xiàn)預警存儲系統(tǒng)發(fā)生的問題，能結合相應的自動化工具，自動應對虛擬化系統(tǒng)的相關問題。

按照方案，通過比選，硬件平臺一期建設先選用2臺2.6 GHz 8C 雙CPU、64GB 內存的服務器、20T 存儲設備和2臺冗余交換機；通過使用相應的虛擬技術，利用了它的高可用性和數(shù)據(jù)保護性性能，為信息系統(tǒng)的穩(wěn)定、安全運行保駕護航。

虛擬高可用群集一般具有一個包括兩個或者兩個以上虛擬主機的系統(tǒng)。在此類群集中，每一臺虛擬主機配有一個心跳功能，持續(xù)不斷地互相檢測系統(tǒng)中其他主機的心跳信號。假如其中一臺在連續(xù)一段時間間隔后沒有發(fā)出心跳信號，那么該主機就被默認為發(fā)生了故障或者與網絡的連接出現(xiàn)了問題。在這種情況下，原本在該主機上運行的虛擬服務器就會立即自動地轉移到群集中的其他虛擬主機上。在實施虛擬化服務器的過程中，由于專業(yè)應用系統(tǒng)多數(shù)采用USB KEY，受服務器物理接口數(shù)限制，我們建立虛擬化USB設備池，將每一個設備共享給需要的專門應用服務器。集中化的管理使USB設備能夠更方便、更高效的為公司信息化應用系統(tǒng)服務，同時又順利解決了服務器USB口資源不夠使用的情況。

虛擬機數(shù)據(jù)保護性支持完整虛擬機和文件級的恢復，甚至關機狀態(tài)的虛擬機也能受保護，數(shù)據(jù)內容被頻繁地備份和保護，備份時由于未變化的舊數(shù)據(jù)被清除，后續(xù)的數(shù)據(jù)備份將只需要極小的存儲空間，最終備份新數(shù)據(jù)時需要的存儲空間約等于刪除舊的數(shù)據(jù)量之后的剩余值。經優(yōu)化調試后，備份數(shù)據(jù)的存儲空間占用率穩(wěn)定在總存儲空間的80%以下，而恢復一臺故障的虛擬機所使用的時間成本要遠遠低于維修一臺損壞的物理機所用的時間，因此可大大提高服務器故障恢復效率，使應用系統(tǒng)能在一個相對安全、穩(wěn)定的環(huán)境下高效運行。

經過一定時間的監(jiān)控，同量應用系統(tǒng)的硬件平臺設備采購和運維等各個方面成本節(jié)約超過了60%。近期，根據(jù)業(yè)務需求，我們在虛擬服務器群中添加了物理服務器，進一步擴大了虛擬群集，它的靈活擴展性、安全性、高效性正在不斷彰顯。

隨著公司業(yè)務需求的不斷提高，信息化建設要不斷完善，通過虛擬化技術的實施，企業(yè)可以有效降低IT設備采購成本和運維成本，同時，提高服務器資源的利用率，著眼于長期發(fā)展，建設一個便于管理、安全且擴展性大、功能完善、結構簡單的信息化架構，將會更好地為企業(yè)高速發(fā)展服務。

參考文獻：

[1]魯松.計算機虛擬化技術及應用[M].北京：機械工業(yè)出版社，2008.

[2]英特爾開源軟件技術中心.系統(tǒng)虛擬化--原理與實現(xiàn)[M].北京：清華大學出版社，2009.