局域網的安全及對策

　　局域網的安全及對策【1】

　　摘 要 目前局域網在各領域中的應用日益廣泛, 網絡的安全問題逐漸受到人們的重視和關注,本文通過對局域網的現狀和網絡不安全因素的分析展開探討，提出幾點關于網絡安全方面的可行性建議。

　　關鍵詞 局域網 網絡安全 局域網安全

　　網絡安全從其本質上講就是網絡上的信息安全，指網絡系統的硬件、軟件及系統中的數據受到保護，避免偶然的或者惡意的原因而遭受到破壞、更改、泄露，確保網絡系統連續可靠正常地運行。

　　局域網的安全主要包括物理安全與邏輯安全。

　　物理安全主要指網絡硬件的維護、使用及管理等;邏輯安全是從軟件的角度提出的，主要指數據的保密性、完整性、可用性等。

　　一、常用局域網的攻擊方法

　　1、ARP欺騙 。

　　ARP(地址解析協議)是一種將IP地址轉化成物理地址的協議。

　　ARP具體地說就是將網絡層地址解析為數據連接層的MAC地址。

　　在局域網內數據包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP緩存表，在正常情況下這個緩存表能夠有效的保證數據傳輸的一對一性，但是在ARP緩存表的實現機制中存在一個不完善的地方，當主機收到一個ARP的應答包后，它并不會去驗證自己是否發送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。

　　因此簡單點說ARP欺騙的目的就是為了實現全交換環境下的數據監聽與篡改。

　　臨時處理對策：

　　(1)能上網情況下，輸入命令arp -a，查看網關IP對應的正確MAC地址，將其記錄下來。

　　如果已經不能上網，則運行一次命令arp -d將arp緩存中的內容刪空，計算機可暫時恢復上網，然后立即將網絡斷掉(禁用網卡或拔掉網線)，再運行arp -a。

　　(2)如果已經有網關的正確MAC地址，在不能上網時，手工將網關IP和正確MAC綁定，輸入命令：arp -s;但在計算機關機重啟后這種綁定會失效，需要再綁定。

　　可以把該命令放在autoexec.bat中，每次開機即自動運行。

　　2、網絡監聽。

　　網絡監聽 (Sniffer)是將網絡上傳輸的數據捕獲并進行分析的行為。

　　網絡監聽在協助網絡管理員監測網絡傳輸數據，排除網絡故障等方面具有不可替代的作用，因而備受網絡管理員的青睞。

　　然而，在另一方面網絡監聽也給網絡安全帶來了極大的隱患，許多的網絡入侵往往都伴隨著網絡監聽行為，從而造成口令失竊，敏感數據被截獲等連鎖性安全事件。

　　二、局域網病毒及防治

　　局域網病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現。

　　因此加強局域網病毒防護是保障網絡信息安全的關鍵。

　　防治網絡病毒應重點考慮以下三個部分:

　　1、基于工作站的防治技術。

　　(1)軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況;(2)在工作站上插防病毒卡，達到實時檢測的目的;(3)在網絡接口卡上安裝防病病毒芯片，可以更加實時有效地保護工作站及通向服務器的橋梁。

　　2、基于服務器的防治技術。

　　服務器是網絡的核心，是網絡的支柱，服務器一旦被病毒感染，便無法啟動，整個網絡都將陷入癱瘓狀態，造成的損失將是災難性的。

　　目前市場上基于服務器的病毒防治采用NLM方法，以服務器為基礎，提供實時掃描病毒的能力，從而保證服務器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網絡上的蔓延。

　　3、加強計算機網絡的管理。

　　(1)從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度，對網絡系統管理員及用戶加強法制教育和職業道德教育，規范工作程序和操作規程。

　　(2)加強各級網絡管理人員的專業技能學習，提高工作能力，并能及時檢查網絡系統中出現病毒的癥狀。

　　三、局域網安全防范系統

　　防火墻是設置在不同網絡或網絡安全域之間的一系列部件的組合。

　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

　　防火墻具有以下功能 ：

　　1、數據包過濾技術。

　　數據包過慮技術是在網絡中的適當位置對數據包實施有選擇的通過的技術.選擇好依據系統內設置的過濾規則后,只有滿足過濾規則的數據包才被轉發至相應的網絡接口，而其余數據包則從數據流中被丟棄。

　　2、網絡地址轉換技術 。

　　網絡地址轉換是一種用于把IP地址轉換成臨時的外部的、注冊的IP的地址標準,用戶必須要為網絡中每一臺機器取得注冊的IP地址 。

　　在內部網絡通過安全網卡訪問外部網絡時,系統將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內部網絡地址。

　　防火墻根據預先定義好的映射規則來判斷某個訪問是否安全和接受與否。

　　3、代理技術 。

　　代理技術是在應用層實現防火墻功能,代理服務器執行內部網絡向外部網絡申請時的中轉連接作用。

　　另一種情況是,外部網通過代理訪問內部網,當外部網絡節點提出服務請求時,代理服務器首先對該用戶身份進行驗證。

　　4、全狀態檢測技術 。

　　防火墻在包過濾的同時，檢測數據包之間的關聯性，數據包中動態變化的狀態碼。

　　它有一個檢測引擎，在網關上執行網絡安全策略。

　　監測引擎采用抽取有關數據的方法對網絡通信的各層實施監督測，抽取狀態信息，并動態地保存起來，作為以后執行安全策略的參考。

　　當用戶訪問請求到達網關是操作系統前，狀態監測器要抽取有關數據進行分析，結合網絡配置和安全規定作出接納、拒絕、身份認證、報警或給該通信加密處理動作。

　　四、入侵檢測系統(IDS)

　　入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異�，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

　　入侵監測系統處于防火墻之后，作為防火墻的延續,對網絡活動進行實時監測。

　　從功能上將IDS 劃分為四個基本部分：數據采集子系統、數據分析子系統、控制臺子系統、數據庫管理子系統。

　　五、局域網安全防范策略

　　1、劃分VLAN 防止網絡偵聽 。

　　運用VLAN(虛擬局域網)技術，將以太網通信變為點到點通信，防止大部分基于網絡偵聽的入侵。

　　目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。

　　2、網絡分段。

　　局域網多采用以廣播為基礎的以太網，任何兩個節點之間的通信數據包，可以被處在同一以太網上的任何一個節點的網卡所截取。

　　在接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這是以太網所固有的安全隱患。

　　網絡分段就是將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的，所以網絡分段是保證局域網安全的一項重要措施。

　　3、以交換式集線器代替共享式集線器。

　　對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。

　　這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。

　　這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。

　　因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。

　　4、實施IP/MAC 綁定。

　　啟動IP 地址綁定采用上網計算機IP 地址與MCA 地址唯一對應，網絡沒有空閑IP 地址的策略。

　　由于采用了無空閑IP 地址策略，可以有效防止IP 地址起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。

　　六、總結

　　網絡安全技術和病毒防護是一個涉及多方面的系統工程，在實際工作中需要綜合運用以上方法，還要將安全策略、硬件及軟件等方法結合起來，構成一個統一的立體防御系統，同時加強規范和創建必要的安全管理模式、規章制度來約束員工的行為。

　　只有這樣才能確保整個局域網安全、穩定、高效的運行。

　　參考文獻：

　　[1]張亞平. 計算機網絡安全.人民郵電出版社.

　　[2]劉功申.計算機病毒及其防治技術.清華大學出版社.

　　[3]王秀和、楊明 .計算機網絡安全技術淺析.

　　局域網安全問題及對策【2】

　　【摘要】局域網在當今各單位信息化建設中的作用舉足輕重，但其存在的安全問題也不容忽視。

　　本文在分析威脅局域網安全主要因素的基礎上，著重探討了安全立法、教育管理以及技術等方面的防范措施，對提高局域網使用中的安全性具有重要意義。

　　【關鍵詞】局域網 安全 措施 技術

　　當今社會，基于網絡技術的局域網在各單位、企業、公司廣泛應用，并發揮了舉足輕重的作用。

　　然而，局域網在給我們工作生活帶來巨大便利的同時，也存在不容忽視的安全問題。

　　分析局域網安全問題，并采取相應措施加以防范，對于一個單位的辦公安全、經濟安全乃至整個數據信息的安全都具有十分重要的意義。

　　一、威脅局域網安全的主要因素

　　目前，局域網中重建設使用、輕安全管理的現象還很普遍。

　　因此，對安全領域的投入和管理遠遠不能滿足安全防范的要求。

　　(一)安全意識淡薄

　　局域網用戶信息安全的觀念和意識明顯滯后于網絡建設速度，這是局域網安全問題的思想根源。

　　比如有的用戶為圖方便，隨意開啟硬盤和打印機共享、遠程桌面連接等功能，為他人從遠程發動攻擊提供了途徑;有的用戶在日常使用中，對超級管理員帳號不設密碼或所設密碼過于簡單，他人很容易猜出密碼而獲得超級權限。

　　(二)人為攻擊

　　人為惡意攻擊是局域網安全的主要威脅。

　　攻擊者利用系統的漏洞或用戶的疏忽，以各種方式有選擇地破壞信息的有效性、完整性和真實性，其目的在于篡改系統中所含信息，或改變系統的狀態和操作，或通過信息的破譯以獲得重要機密信息，對網絡安全造成極大的危害，并導致機密數據的泄漏。

　　(三)計算機病毒

　　自從1986年計算機病毒的出現被專家們在實驗中證實以后，便迅速蔓延到全世界，一個小巧的病毒程序可令一臺微型計算機、一個大型計算機系統或一個網絡陷入癱瘓。

　　這充分反映了計算機病毒的危害性。

　　這樣的例子很多，例如一個網絡教室局域網經常會發生這樣的情況：一臺機子染毒，稍不注意，很快所有機子都被感染并使局域網癱瘓。

　　(四)網絡軟件漏洞和“后門”

　　我們使用的網絡軟件不可能是百分之百無缺陷和漏洞的。

　　這些漏洞和缺陷恰恰也是黑客進行攻擊的首選目標。

　　軟件的“后門”是軟件設計編程人員為自便而設置的，一般不為外人所知，可是一旦“后門”洞開，將使黑客對網絡系統資源的非法使用成為可能。

　　二、局域網安全問題主要對策

　　局域網安全是一個復雜的系統工程，它至少應包括：社會的法律法規;安全教育;安全管理;技術措施如防火墻、網絡防毒、信息加密、網絡監控等。

　　(一)安全立法是前提

　　隨著網絡應用的普及，計算機犯罪日益增加。

　　網絡的發展需要法律的支持和保障。

　　世界各國紛紛制定相關的法律法規。

　　我國《刑法》對計算機犯罪作了明文規定，對多種計算機犯罪形式規定了相應的懲治條款，這是防范、打擊計算機犯罪的有力武器。

　　先后出臺的《計算機信息系統保密管理暫行規定》、《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》等為確保計算機信息網絡健康有序地發展提供了保障。

　　(二)教育管理是保障

　　對于局域網安全而言，法律制裁只能提供一種威懾，我們還必須從教育管理的角度采取措施，增加局域網系統的自我防范能力。

　　安全教育的目的不僅是提高防范意識，同時還要自覺抵制利用計算機進行各類犯罪活動的誘惑。

　　重視信息化的安全教育，還在于盡快培養一批信息化安全的專門人材，提高全民的信息化安全意識。

　　此外，要建立與系統相配套的有效地和健全的管理制度，對管理和操作人員起到鼓勵和監督的作用;要制定預防措施和恢復補救辦法，杜絕人為差錯和外來干擾，保證網絡運行過程有章可循、按章辦事。

　　(三)安全技術是基礎

　　一是防火墻技術。

　　防火墻是位于局域網與外部網絡之間的屏障，它主要對進出局域網的數據包進行過濾。

　　它一般有包過濾技術、代理技術和應用網關技術等三種工作方式。

　　包過濾技術通過數據包的簡單信息對其安全性加以判斷，因此，其安全性不高。

　　而應用網關技術則將要進入局域網的信息包打開，檢查里面的內容有沒有破壞性的信息。

　　一旦信息包被檢查通過，網關按其內容創建一個新的信息包在局域網中傳輸，從而確保網內數據包的安全。

　　代理服務技術則是在局域網與外部網絡之間設立一個代理服務器，局域網與外部網絡之間沒有直接的連接關系。

　　局域網內部的客戶機欲訪問外部網絡，首先訪問作為防火墻的代理服務器，然后通過代理服務器運行的代理服務程序，再去訪問外部網絡的資源。

　　因此，代理服務技術有較高的安全性。

　　二是數據加密技術。

　　加密技術是在存儲或傳輸數據之前，先對數據按照一定的規則進行編碼，以防止非法用戶讀取數據，從而保障信息數據的安全性。

　　目前，網絡中常用的加密方法有對稱密鑰加密方法和非對稱密鑰加密方法兩大類。

　　對稱密鑰加密方法雖然簡單易行，但它也存在密鑰管理量巨大、易被破解等問題。

　　而非對稱密鑰加密法采用了復雜的數學處理，因此其加密強度高但加密速度較慢。

　　在實際應用中，通常把非對稱密鑰法與對稱密鑰法結合起來以實現最佳性能。

　　對涉密信息在局域網內部存儲以及在網間傳輸可以使用上述加密法進行處理，以提高信息的保密性。

　　三是安全監控技術。

　　網絡安全監控就是檢查網絡中的各個系統的文件和登錄以及各種網絡行為。

　　常用的方法有入侵檢測和漏洞掃描。

　　入侵檢測系統位于局域網與外部網絡之間或位于局域網的敏感部位，通過實時截獲網絡數據流，將用戶當前的網絡行為與其正常行為的統計概要或入侵行為規則進行對比，尋找網絡攻擊行為和違規的網絡活動。

　　一旦發現網絡攻擊或違規活動時，入侵檢測系統能夠根據系統安全策略做出實時響應，包括實時報警、自動阻斷通信連接或執行用戶自定義的策略程序等。

　　而漏洞掃描本身并不能起到保護計算機系統的作用，對每個發現的漏洞也不會及時加補丁。

　　漏洞掃描只是幫助局域網管理者發現入侵者潛在的進入點。

　　漏洞掃描不檢測合法用戶不合適的訪問，也不檢測已經在系統中的入侵者。

　　因此其安全功能具有一定的局限性。

　　四是數據備份和冗余技術。

　　數據備份是把存儲的數據復制到其他存儲介質上，以確保在系統發生災難事件后能盡可能的恢復數據減小損失。

　　數據冗余技術是一種技術更高的磁盤備份技術，它是將數據同時寫入不同硬盤，就好像是同時建立了幾個相同的硬盤，一個出故障，另一個能立即頂替，防止系統硬盤的單點故障，保證系統不間斷的正常工作。

　　這一安全環節與局域網管理員的實際工作關系密切，所以系統管理員要定期地備份文件系統或選擇合適的磁盤冗余陣列，以便在非常情況下(如系統癱瘓或受到黑客的攻擊破壞時)能及時恢復系統，將損失減少到最低。

　　五是病毒防治技術。

　　病毒的防治，防是主動的，治是被動的。

　　防就是盡量避免病毒的入侵。

　　我們應盡量做到：對外來存儲介質要做到先掃描殺毒然后再使用;不要隨意打開來歷不明的文件或郵件。

　　在治理上，則要盡量安裝正版知名的殺毒軟件，并經常對殺毒軟件病毒庫升級，對全盤進行徹底掃描殺毒。

　　其實，從某種意義上說，局域網安全的各種防范對策并不能從根本上解決網絡安全問題，安全的問題歸根結底還是人的問題，安全問題的最終解決還在于提高人的道德素質。

【局域網的安全及對策】相關文章：

局域網信息安全論文10-08

局域網云安全技術綜述10-26

如何保護無線局域網安全10-26

局域網網絡信息安全和防護策略研究論文10-08

對企業局域網信息安全管理的探討論文10-08

檔案安全管理對策分析論文10-09

中小企業局域網信息安全分析論文10-08

淺議計算機局域網信息安全防范論文10-08

淺議計算機局域網的信息安全防范論文10-08

解析電子文檔安全問題與對策10-05