任竹 劉楠楠 魯廣宇 陳磊

[摘 要]網(wǎng)絡(luò)安全不僅是當(dāng)今學(xué)術(shù)界研究的重點(diǎn)課題，同時(shí)也是現(xiàn)代信息化建設(shè)的主要制約因素之一。本文從網(wǎng)絡(luò)安全的角度出發(fā)，就當(dāng)前科研機(jī)構(gòu)局域網(wǎng)存在的問題，從多方面經(jīng)過深入探討提出了完善的安全管理方案。

[關(guān)鍵詞]科研機(jī)構(gòu);網(wǎng)絡(luò)安全;局域網(wǎng)管理

doi：10.3969/j.issn.1673 - 0194.2018.20.071

[中圖分類號(hào)]TP393.08[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1673-0194（2018）20-0-02

互聯(lián)網(wǎng)的發(fā)展已經(jīng)成為不可逆轉(zhuǎn)的趨勢(shì)，局域網(wǎng)技術(shù)也隨之逐漸普及。為了提高辦公的質(zhì)量，眾多科研機(jī)構(gòu)也使用局域網(wǎng)進(jìn)行管理，但是隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重，科研機(jī)構(gòu)的局域網(wǎng)管理也面臨著諸多新的挑戰(zhàn)。因此，為了保證局域網(wǎng)能夠良好運(yùn)作，本文探討了基于網(wǎng)絡(luò)安全的科研機(jī)構(gòu)局域網(wǎng)管理。

1? ? ?科研機(jī)構(gòu)局域網(wǎng)管理概述

科研機(jī)構(gòu)建立的局域網(wǎng)通過以太網(wǎng)與外界的互聯(lián)網(wǎng)進(jìn)行連接，一般采用防火墻來進(jìn)行網(wǎng)絡(luò)管理和對(duì)威脅因素進(jìn)行隔離防護(hù)。但是隨著木馬病毒的泛濫以及網(wǎng)絡(luò)攻擊形式的多樣化，僅靠防火墻管理已經(jīng)無法滿足當(dāng)前的管理需要了?？蒲袡C(jī)構(gòu)局域網(wǎng)管理面臨著新的挑戰(zhàn)，經(jīng)過分析總結(jié)，主要原因來自以下兩個(gè)方面。

1.1? ?用戶管理問題

從局域網(wǎng)使用者角度進(jìn)行分析，總結(jié)為兩個(gè)方面。一方面，科研機(jī)構(gòu)的局域網(wǎng)有效使用率很低，很大一部分都是被與辦公無關(guān)的應(yīng)用浪費(fèi)，這些用戶的行為極大地占用了網(wǎng)絡(luò)帶寬，給局域網(wǎng)網(wǎng)絡(luò)帶來了擁堵。另一方面，由于一些用戶的安全意識(shí)薄弱和網(wǎng)絡(luò)安全知識(shí)匱乏，在訪問一些釣魚網(wǎng)站、下載一些帶有病毒的應(yīng)用或打開安全性未知的郵件時(shí)，惡意入侵者或者病毒會(huì)進(jìn)入局域網(wǎng)，造成信息泄露，或者直接導(dǎo)致整個(gè)網(wǎng)

絡(luò)癱瘓。

1.2? ?網(wǎng)絡(luò)管理問題

從局域網(wǎng)管理者角度進(jìn)行分析，同樣總結(jié)為兩個(gè)方面。一方面，科研機(jī)構(gòu)局域網(wǎng)在管理方面并沒有一套完善的管理規(guī)則，缺乏對(duì)上網(wǎng)信息進(jìn)行嚴(yán)格的把關(guān)，不能及時(shí)地對(duì)有害信息進(jìn)行分辨及過濾處理。另一方面，局域網(wǎng)管理人員的網(wǎng)絡(luò)維護(hù)意識(shí)亟需提高，對(duì)于網(wǎng)絡(luò)中需要應(yīng)用的更新和補(bǔ)丁沒有及時(shí)安裝，導(dǎo)致病毒或黑客入侵。另外，安全問題預(yù)防、緊急事件處理以及災(zāi)后恢復(fù)能力，從現(xiàn)階段看來都是遠(yuǎn)遠(yuǎn)不夠的。

2? ? ?科研機(jī)構(gòu)局域網(wǎng)管理的對(duì)策

科研機(jī)構(gòu)局域網(wǎng)的網(wǎng)絡(luò)安全問題，重在防微杜漸。針對(duì)局域網(wǎng)的安全現(xiàn)狀，本文從兩方面進(jìn)行討論，在每個(gè)方面又進(jìn)行細(xì)化分析，最大化地對(duì)局域網(wǎng)實(shí)現(xiàn)安全管理。

2.1? ?針對(duì)用戶方面的安全管理

在科研局域網(wǎng)遇到的安全問題中，除了外在惡意的攻擊之外，很多安全問題都是由于局域網(wǎng)中計(jì)算機(jī)用戶的不合理上網(wǎng)行為導(dǎo)致的。只有首先規(guī)范用戶的上網(wǎng)行為，局域網(wǎng)管理者才能在此基礎(chǔ)上去解決其他方面的安全問題。針對(duì)用戶使用的不同階段，分別提出了幾點(diǎn)管理措施。

2.1.1? ?接入階段：計(jì)算機(jī)準(zhǔn)入機(jī)制管理

至今仍存在很多科研機(jī)構(gòu)對(duì)于外來計(jì)算機(jī)的接入不做任何識(shí)別和安全檢測(cè)，對(duì)于無線終端的接入更沒有準(zhǔn)入控制。如果新接入的終端帶有病毒，將對(duì)整個(gè)局域網(wǎng)造成極大的安全威脅，因此必須對(duì)試圖連接局域網(wǎng)的新用戶進(jìn)行準(zhǔn)入控制。準(zhǔn)入機(jī)制的原理很簡(jiǎn)單，用戶的計(jì)算機(jī)或者無線終端在試圖接入時(shí)，必須進(jìn)行嚴(yán)格的身份認(rèn)證，只有符合安全狀態(tài)下的用戶才允許接入局域網(wǎng)，不符合安全條件的用戶被分入隔離區(qū)。另外，局域網(wǎng)中如果某臺(tái)計(jì)算機(jī)感染了病毒，準(zhǔn)入機(jī)制就會(huì)自動(dòng)將此計(jì)算機(jī)隔離到隔離區(qū)進(jìn)行修復(fù)（包括病毒查殺、取消代理、升級(jí)病毒庫等操作），直到修復(fù)為安全狀態(tài)才能正常接入局域網(wǎng)使用。計(jì)算機(jī)的準(zhǔn)入機(jī)制，是真正實(shí)現(xiàn)了檢查、隔離、修復(fù)為一體的安全預(yù)防機(jī)制。

2.1.2? ?分配階段：網(wǎng)絡(luò)地址管理

對(duì)于符合準(zhǔn)入機(jī)制的用戶，局域網(wǎng)管理者需要對(duì)新用戶進(jìn)行IP地址的分配與管理，如果分配不合理，則會(huì)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的破壞，比如重復(fù)的IP地址會(huì)導(dǎo)致用戶無法上網(wǎng)，非法的IP地址可能會(huì)使入侵者發(fā)動(dòng)IP地址欺騙攻擊。新一代的IP管理，能夠?qū)崿F(xiàn)高性能DHCP服務(wù)，采用IP地址與MAC地址進(jìn)行綁定的方法，不僅避免了IP地址沖突，還可以減少ARP攻擊。另外，IP地址按照部門分段，由管理者統(tǒng)一分配，從而便于管理部門間的計(jì)算機(jī)，一旦出現(xiàn)問題也能更好地進(jìn)行定位。

2.1.3? ?使用階段：用戶上網(wǎng)以及行為管理

對(duì)于局域網(wǎng)內(nèi)的用戶，控制其上網(wǎng)行為也非常重要，由于部分用戶的安全意識(shí)薄弱和安全知識(shí)匱乏，很容易造成不安全的上網(wǎng)行為，從而導(dǎo)致信息泄露或者病毒感染，所以對(duì)用戶的上網(wǎng)以及行為進(jìn)行管理十分必要。下面從兩個(gè)方面進(jìn)行分析。

（1）用戶訪問權(quán)限控制。局域網(wǎng)管理員會(huì)對(duì)安全問題提供防御策略以及對(duì)用戶的上網(wǎng)日志進(jìn)行審查，一般通過對(duì)防火墻或者系統(tǒng)參數(shù)進(jìn)行安全設(shè)置，這些特定的文件以及設(shè)置好的參數(shù)，禁止用戶訪問和進(jìn)行刪改操作。另外，按部門管理計(jì)算機(jī)設(shè)備，不同的部門間禁止相互訪問。最后，對(duì)于未經(jīng)安全認(rèn)證的外網(wǎng)，也禁止用戶訪問。

（2）用戶上網(wǎng)流量控制。很多用戶借用局域網(wǎng)下載視頻或者使用與工作無關(guān)的應(yīng)用占用大量的網(wǎng)絡(luò)帶寬，輕則影響網(wǎng)速，重則會(huì)因操作不當(dāng)感染病毒。因此，需要控制用戶的使用流量，限制其帶寬。對(duì)于迅雷、各類網(wǎng)盤以及視頻網(wǎng)站的下載流量應(yīng)該進(jìn)行嚴(yán)格控制，封閉所有頁游以及在線小說網(wǎng)站的端口。對(duì)上下行流量進(jìn)行嚴(yán)格控制，是減少用戶因訪問感染病毒的有效方法，也是保證網(wǎng)絡(luò)暢通的有效手段。

2.2? ?針對(duì)技術(shù)方面的安全管理

除了用戶層面的管理外，更重要的取決于局域網(wǎng)管理者的管理。局域網(wǎng)管理者需要從技術(shù)方面進(jìn)行多維的安全部署和防范，以及出現(xiàn)安全問題后對(duì)問題的排查以及災(zāi)后的恢復(fù)，都是局域網(wǎng)管理中的核心所在。下面從兩個(gè)方面進(jìn)行探討。

2.2.1? ?流量的監(jiān)控以及帶寬的管理

通過流量分析以及帶寬管理，進(jìn)行網(wǎng)絡(luò)優(yōu)化和安全防御。如果局域網(wǎng)內(nèi)某個(gè)計(jì)算機(jī)感染了病毒，最常見的表現(xiàn)就是大量發(fā)送數(shù)據(jù)，導(dǎo)致大量的帶寬被占用，從而出現(xiàn)網(wǎng)絡(luò)異?；蛘甙c瘓。對(duì)此，防御策略主要從3個(gè)方面進(jìn)行討論。

第一，對(duì)局域網(wǎng)內(nèi)端口的流量都設(shè)置一個(gè)閾值，當(dāng)使用的流量超過這個(gè)閾值時(shí)則發(fā)出安全警報(bào)，對(duì)超出部分進(jìn)行區(qū)間劃分，超出越多則表明安全問題越嚴(yán)重，通過設(shè)立嚴(yán)重級(jí)別的方式進(jìn)行流量分級(jí)。第二，部署入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)是防火墻的補(bǔ)充，是第二道安全防線，通過實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的報(bào)文和流量，進(jìn)而做出響應(yīng)。入侵檢測(cè)系統(tǒng)對(duì)局域網(wǎng)中的異常流量進(jìn)行監(jiān)控和分析，精準(zhǔn)定位局域網(wǎng)中哪臺(tái)計(jì)算機(jī)有異常，從而進(jìn)行處理。第三，應(yīng)用QoS（質(zhì)量管理）技術(shù)對(duì)帶寬進(jìn)行管理。當(dāng)用戶的不當(dāng)操作或者感染病毒時(shí)，帶寬被大量消耗，導(dǎo)致網(wǎng)絡(luò)擁塞嚴(yán)重，管理者可以借助QoS技術(shù)有效增加網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)延遲。QoS技術(shù)通過利用區(qū)分服務(wù)模型區(qū)分不同類型的數(shù)據(jù)流量，進(jìn)而保障各種網(wǎng)絡(luò)數(shù)據(jù)流量得到相應(yīng)的帶寬使用。

2.2.2? ?防范病毒

隨著網(wǎng)絡(luò)攻擊形式的多樣化，計(jì)算機(jī)病毒破壞造成的損失非常巨大，因具有復(fù)制性和傳染性，一旦局域網(wǎng)內(nèi)某臺(tái)計(jì)算機(jī)感染了病毒，則很可能造成整個(gè)網(wǎng)絡(luò)癱瘓。因此管理者必須要有完善的防御措施。

（1）安全意識(shí)和習(xí)慣。這一點(diǎn)不論是局域網(wǎng)的用戶還是管理者都應(yīng)該做到，要讓科研機(jī)構(gòu)局域網(wǎng)的所有使用者都能正確認(rèn)識(shí)計(jì)算機(jī)病毒以及帶來的危害，普及相關(guān)的網(wǎng)絡(luò)安全常識(shí)，做到定期使用殺毒軟件殺毒、定期對(duì)系統(tǒng)應(yīng)用進(jìn)行更新、及時(shí)處理安全補(bǔ)丁、不打開未知文件和不明鏈接。用戶能做到這些就能在很大程度上避免安全威脅。

（2）防御技術(shù)。在局域網(wǎng)內(nèi)使用虛擬專用網(wǎng)絡(luò)，即兩個(gè)設(shè)備之間不通過物理連接，而是網(wǎng)絡(luò)虛擬化來實(shí)現(xiàn)臨時(shí)的、安全的連接。并且它還提供防火墻技術(shù)、加密解密技術(shù)以及身份認(rèn)證技術(shù)，可以從根本上減少黑客入侵以及病毒威脅。另外，對(duì)于不常用端口或者不需要的服務(wù)（如共享服務(wù)、Telnet等），管理員都可以進(jìn)行關(guān)閉，避免成為攻擊的目標(biāo)。

3? ? ?結(jié) 語

在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，局域網(wǎng)技術(shù)也被應(yīng)用于各個(gè)領(lǐng)域。隨著網(wǎng)絡(luò)安全技術(shù)的日益成熟，科研機(jī)構(gòu)局域網(wǎng)的安全問題也越來越引起了人們的重視。在現(xiàn)有的研究狀況下，雖然不能完全杜絕計(jì)算機(jī)病毒的感染和百分百防御黑客的攻擊，但是局域網(wǎng)內(nèi)相關(guān)人員必須認(rèn)識(shí)到安全問題的嚴(yán)重性，通過了解網(wǎng)絡(luò)攻防的基礎(chǔ)知識(shí)，制訂一套有效可行的管理方案，盡最大可能地保證局域網(wǎng)環(huán)境的安全和穩(wěn)定。局域網(wǎng)用戶需要增強(qiáng)安全意識(shí)以及養(yǎng)成安全習(xí)慣，局域網(wǎng)的管理人員則需要做到事前預(yù)防、事中處理以及事后恢復(fù)，從而才能保證科研機(jī)構(gòu)局域網(wǎng)能夠正常運(yùn)行，不斷提高工作效率。

注：陳磊，通訊作者

主要參考文獻(xiàn)

[1]聶凱，周清雷，朱維軍，等.基于時(shí)序邏輯的3種網(wǎng)絡(luò)攻擊建模[J].計(jì)算機(jī)科學(xué)，2018（2）.

[2]孫庚欣.淺談高校VPS主機(jī)安全風(fēng)險(xiǎn)及解決方案[J].中小企業(yè)管理與科技，2015（2）.

[3]張曉峰.交換機(jī)端口安全防護(hù)措施在內(nèi)網(wǎng)中的應(yīng)用[J].電子技術(shù)與軟件工程，2017（21）.

[4]馬占飛，陳虎年，楊晉，等.一種基于IPSO-SVM算法的網(wǎng)絡(luò)入侵檢測(cè)方法[J].計(jì)算機(jī)科學(xué)，2018（2）.

[5]林儀.基于集中存儲(chǔ)的文件系統(tǒng)的安全和保密研究（內(nèi)網(wǎng)安全管理系統(tǒng)的研究）[D].蘭州：蘭州大學(xué)，2012.

[6]劉家玉，荀廣連，曹萌，等.基于安全域的省級(jí)農(nóng)業(yè)科研單位網(wǎng)絡(luò)安全建設(shè)研究[J].江蘇農(nóng)業(yè)科學(xué)，2018（6）.

[7]葉峻.關(guān)于計(jì)算機(jī)無線局域網(wǎng)網(wǎng)絡(luò)的安全建設(shè)研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（1）.

[8]楊慧娟.科研機(jī)構(gòu)信息系統(tǒng)的信息安全管理評(píng)價(jià)方法研究[D].北京：北京交通大學(xué)，2009.