高艷冬

摘 要 網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，推動(dòng)了生活和生產(chǎn)方式的改變，同時(shí)也引發(fā)了一系列網(wǎng)絡(luò)安全問(wèn)題?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》施行后，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了保障網(wǎng)絡(luò)運(yùn)行安全和信息安全的要求。本文主要研究局域網(wǎng)網(wǎng)絡(luò)存在的安全問(wèn)題并提出維護(hù)局域網(wǎng)網(wǎng)絡(luò)安全的相關(guān)建議。

關(guān)鍵詞 局域網(wǎng)；網(wǎng)絡(luò)安全；防范與管理

中圖分類(lèi)號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）202-0102-02

隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，為人們的工作、生活、學(xué)習(xí)提供了極大的便利條件，推動(dòng)了生活和生產(chǎn)方式的改變，但個(gè)人信息被竊取、泄露，病毒、蠕蟲(chóng)的傳播，邊界網(wǎng)絡(luò)設(shè)備被攻擊等網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái)，愈演愈烈。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行，對(duì)網(wǎng)絡(luò)安全和信息安全提出了規(guī)范性規(guī)定，作為網(wǎng)絡(luò)運(yùn)營(yíng)者，做好網(wǎng)絡(luò)安全管理工作，防范網(wǎng)絡(luò)風(fēng)險(xiǎn)，有著重要的意義。

局域網(wǎng)是連接計(jì)算機(jī)組的一種網(wǎng)絡(luò)形式，在企業(yè)中較為常見(jiàn)，依靠局域網(wǎng)可以實(shí)現(xiàn)信息共享，提高工作效率。一旦局域網(wǎng)發(fā)生故障或者遭到病毒侵入，造成數(shù)據(jù)或者信息丟失，將影響企業(yè)的經(jīng)濟(jì)效益，只有做好局域網(wǎng)網(wǎng)絡(luò)的安全防范與管理，才能保證網(wǎng)絡(luò)的運(yùn)行與使用安全。

1 局域網(wǎng)網(wǎng)絡(luò)存在的安全隱患

1.1 網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)

網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)主要包括路由破壞、未授權(quán)訪問(wèn)、信息竊聽(tīng)、拒絕服務(wù)攻擊、針對(duì)路由器和交換機(jī)等邊界網(wǎng)絡(luò)設(shè)備的攻擊，以及病毒、蠕蟲(chóng)的傳播等。在互聯(lián)網(wǎng)上尤其是拒絕服務(wù)攻擊現(xiàn)在呈多發(fā)趨勢(shì)，而且中國(guó)是攻擊發(fā)生的重災(zāi)區(qū)，在世界范圍內(nèi)僅次于美國(guó)排名第二。海量的SYN Flood、ACK Flooding、UDP Flood、ICMP Flood、（M）Stream Flood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包，一方面大量占用網(wǎng)絡(luò)帶寬，另一方面會(huì)造成邊界路由器和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降，甚至?xí)霈F(xiàn)核心路由器和交換機(jī)因負(fù)荷過(guò)載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升等問(wèn)題。同時(shí)，針對(duì)服務(wù)器區(qū)域的HTTP Get Flood、UDP DNS Query Flood、CC等攻擊會(huì)造成業(yè)務(wù)服務(wù)器和關(guān)鍵設(shè)備的服務(wù)質(zhì)量下降甚至業(yè)務(wù)中斷。

1.2 面向應(yīng)用層的攻擊

應(yīng)用層攻擊之所以存在，主要是因?yàn)槌绦騿T發(fā)布的代碼存在導(dǎo)致安全漏洞的錯(cuò)誤。比如今年在全球大規(guī)模爆發(fā)的勒索病毒就是因?yàn)檐浖嬖诼┒?，被黑客利用編制程序而引發(fā)的。

1.3 虛擬化安全風(fēng)險(xiǎn)

云計(jì)算的迅速發(fā)展，與虛擬化技術(shù)的應(yīng)用密不可分。通過(guò)虛擬化技術(shù)生成的虛擬機(jī)，同樣也會(huì)存在軟件漏洞和系統(tǒng)漏洞，也會(huì)遭到病毒木馬的入侵。

1.4 APT攻擊風(fēng)險(xiǎn)

傳統(tǒng)的防病毒軟件可以一定程度地解決已知病毒、木馬的威脅，但對(duì)于越來(lái)越多的APT攻擊卻束手無(wú)策。APT很多攻擊行為都會(huì)利用0day漏洞進(jìn)行網(wǎng)絡(luò)滲透和攻擊，且具有持續(xù)性及隱蔽性。

1.5 應(yīng)用質(zhì)量分析與流控

當(dāng)前P2P下載、IM軟件等應(yīng)用越來(lái)越廣泛，如果不對(duì)網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格的管控，不能有效避免各種網(wǎng)絡(luò)應(yīng)用爭(zhēng)搶帶寬的情況，這將嚴(yán)重影響正常工作效率，有時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓，增加網(wǎng)絡(luò)運(yùn)營(yíng)者管理成本，影響企業(yè)的日常辦公與生產(chǎn)，造成嚴(yán)重的經(jīng)濟(jì)損失。

1.6 數(shù)據(jù)泄露風(fēng)險(xiǎn)

數(shù)據(jù)泄露是網(wǎng)絡(luò)運(yùn)營(yíng)者最為擔(dān)憂的情況之一，尤其是涉及大量敏感信息等關(guān)鍵數(shù)據(jù)庫(kù)的存儲(chǔ)，近年來(lái)，具有關(guān)鍵數(shù)據(jù)的高密度聚合對(duì)潛在的攻擊者具有極大的誘惑力，數(shù)據(jù)安全面臨巨大的挑戰(zhàn)。

1.7 用戶自身安全意識(shí)問(wèn)題

局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)，很大一部分源于用戶自身的安全意識(shí)較差。例如，用戶使用外部存儲(chǔ)設(shè)備連接計(jì)算機(jī)組進(jìn)行數(shù)據(jù)傳輸，如果不對(duì)外部存儲(chǔ)設(shè)備進(jìn)行檢測(cè)，容易導(dǎo)致外部數(shù)據(jù)連同木馬和病毒，一起傳輸?shù)接?jì)算機(jī)組，這樣就會(huì)給局域網(wǎng)絡(luò)留下巨大的安全隱患，導(dǎo)致外部設(shè)備攜帶的病毒或者木馬，在局域網(wǎng)內(nèi)進(jìn)行傳播。此外，用戶瀏覽來(lái)源不明的網(wǎng)站或者不小心下載了偽裝成病毒的軟件，也會(huì)導(dǎo)致計(jì)算機(jī)中毒，進(jìn)而導(dǎo)致用戶信息泄露，危及整個(gè)局域網(wǎng)的用戶安全。

2 局域網(wǎng)網(wǎng)絡(luò)安全防范與管理

2.1 網(wǎng)絡(luò)結(jié)構(gòu)的安全防范

網(wǎng)絡(luò)結(jié)構(gòu)對(duì)于局域網(wǎng)網(wǎng)絡(luò)的安全有著重要的影響。網(wǎng)絡(luò)結(jié)構(gòu)的建立和選擇主要影響因素有：網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)維護(hù)、設(shè)備配置、通信量等。一個(gè)良好的網(wǎng)絡(luò)結(jié)構(gòu)，可以對(duì)資源進(jìn)行合理的分配和使用，并且建立起網(wǎng)絡(luò)安全的保障體系。對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化設(shè)計(jì)，使其具有可靠性、先進(jìn)性、標(biāo)準(zhǔn)性和實(shí)用性，有利于網(wǎng)絡(luò)的運(yùn)營(yíng)和維護(hù)，以及網(wǎng)絡(luò)安全的管理和控制。

在云計(jì)算時(shí)代規(guī)劃局域網(wǎng)構(gòu)架時(shí)，應(yīng)該充分考慮該企業(yè)局域網(wǎng)的特點(diǎn)來(lái)系統(tǒng)地進(jìn)行規(guī)劃，考慮到局域網(wǎng)外圍物理環(huán)境及網(wǎng)內(nèi)應(yīng)用的各類(lèi)安全需求和特性，從而達(dá)到各類(lèi)安全產(chǎn)品、安全管理、整體安全策略的統(tǒng)一，發(fā)揮最大的安全防控效率。在設(shè)計(jì)安全建議方案時(shí)，應(yīng)充分利用現(xiàn)有國(guó)內(nèi)和國(guó)際安全標(biāo)準(zhǔn)和成熟的安全體系，結(jié)合局域網(wǎng)的實(shí)際需求，設(shè)計(jì)出一個(gè)有針對(duì)性的安全設(shè)計(jì)方案。解決思路如下：

1）對(duì)局域網(wǎng)進(jìn)行安全域劃分，根據(jù)各區(qū)域的業(yè)務(wù)特性、技術(shù)特性以及安全需求進(jìn)行對(duì)應(yīng)的安全防護(hù)設(shè)計(jì)；包括：

（1）邊界接入?yún)^(qū)，可以劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)接入?yún)^(qū)、內(nèi)部接入?yún)^(qū)；（2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施區(qū)，一般為三層網(wǎng)絡(luò)設(shè)計(jì)，可以劃分為核心區(qū)、匯聚區(qū)與接入?yún)^(qū)；（3）業(yè)務(wù)接入?yún)^(qū)，分為一般工作區(qū)、重要工作區(qū)、核心數(shù)據(jù)區(qū)及運(yùn)維管理區(qū)等。

2）要充分考慮網(wǎng)絡(luò)層、操作系統(tǒng)層、虛擬化層、應(yīng)用層以及數(shù)據(jù)層的安全防護(hù)需求，特別是虛擬化等新技術(shù)帶來(lái)的問(wèn)題。

3）強(qiáng)調(diào)安全運(yùn)營(yíng)的價(jià)值，實(shí)現(xiàn)預(yù)警、檢測(cè)、響應(yīng)、溯源的閉環(huán)流程。針對(duì)上述局域網(wǎng)的安全架構(gòu)，我們可以結(jié)合本單位實(shí)際情況，在內(nèi)網(wǎng)中安置不同的網(wǎng)絡(luò)安全產(chǎn)品來(lái)進(jìn)行安全防控。主要有防范DDos攻擊（分布式拒絕服務(wù)攻擊）產(chǎn)品、智慧防火墻產(chǎn)品、VPN接入網(wǎng)關(guān)產(chǎn)品、Web應(yīng)用防火墻、漏洞掃描產(chǎn)品、日志采集分析產(chǎn)品、數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品、堡壘機(jī)、IPS、IDS、防病毒網(wǎng)關(guān)、態(tài)勢(shì)感知及安全運(yùn)營(yíng)平臺(tái)等等。

2.2 網(wǎng)絡(luò)安全管理措施

為了保證局域網(wǎng)絡(luò)的安全，需要注意以下幾點(diǎn)：首先，保護(hù)計(jì)算機(jī)的系統(tǒng)安全。局域網(wǎng)絡(luò)的安全，一部分來(lái)源于系統(tǒng)的安全，保證計(jì)算機(jī)系統(tǒng)的安全，避免局域網(wǎng)內(nèi)的計(jì)算機(jī)組出現(xiàn)病毒入侵的情況。

例如，計(jì)算機(jī)系統(tǒng)安裝殺毒軟件，定期對(duì)計(jì)算機(jī)進(jìn)行殺毒，對(duì)計(jì)算機(jī)軟件更新，文件分類(lèi)歸檔，保證計(jì)算機(jī)的運(yùn)行狀態(tài)。其次，對(duì)用戶加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)。用戶的安全用網(wǎng)意識(shí)，可以大幅度地降低局域網(wǎng)絡(luò)遭到病毒侵害的發(fā)生概率。

3 結(jié)論

綜上所述，在網(wǎng)絡(luò)時(shí)代下，隨著網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣，在提升生活質(zhì)量和工作效率的同時(shí)，也帶來(lái)了安全隱患，例如，重要信息和數(shù)據(jù)的泄露、大規(guī)模拒絕服務(wù)攻擊、APT攻擊、木馬、病毒等，需要我們更加注重對(duì)網(wǎng)絡(luò)的安全管理。在局域網(wǎng)升級(jí)網(wǎng)絡(luò)安全防范措施前，要做好需求調(diào)查，設(shè)計(jì)好方案并進(jìn)行必要的論證，對(duì)于重要的局域網(wǎng)系統(tǒng)，要盡快進(jìn)行信息系統(tǒng)等級(jí)保護(hù)。

同時(shí)，要加強(qiáng)局域網(wǎng)的安全管理，包括網(wǎng)內(nèi)用戶入網(wǎng)的管理，嚴(yán)格做到“實(shí)名制”綁定，建立健全網(wǎng)絡(luò)管理制度與操作流程并嚴(yán)格執(zhí)行，同時(shí)要有完善的網(wǎng)絡(luò)安全應(yīng)急預(yù)案并定期演練，定期進(jìn)行網(wǎng)內(nèi)用戶的網(wǎng)絡(luò)安全培訓(xùn)等，各項(xiàng)措施齊抓共管才能提升局域網(wǎng)的網(wǎng)絡(luò)安全防護(hù)能力。

參考文獻(xiàn)

[1]張頡.淺析局域網(wǎng)網(wǎng)絡(luò)安全防范與管理技術(shù)[J].電子世界，2017（7）：149.

[2]梁欣祺.淺談局域網(wǎng)計(jì)算機(jī)的安全防護(hù)[J].科技展望，2017，27（7）.

[3]王英強(qiáng).淺析當(dāng)前局域網(wǎng)面對(duì)攻擊的安全問(wèn)題與防范策略[J].黑龍江科技信息，2017（9）：167.

[4]劉志明.淺談無(wú)線局域網(wǎng)的安全問(wèn)題及對(duì)策[J].數(shù)字技術(shù)與應(yīng)用，2017（4）：219.

[5]沈亮.淺談?dòng)?jì)算機(jī)局域網(wǎng)信息安全與防范[J].電腦知識(shí)與技術(shù)，2017，13（12）：29-30.