【正文】 許多用戶使用移動存儲設備來進行數據的傳遞，經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電 腦在內外網之間平凡切換使用，許多用戶將在Inter 網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用，造成病毒的傳入和信息的泄密。 地址沖突 局域網用戶在同一個網段內，經常造成 IP 地址沖突，造成部分計算機無法上網。對于局域網來講，此類 IP 地址沖突的問題會經常出現，用戶規(guī)模越大，查找工作就越困難，所以網絡管理員必須加以解決。 畢業(yè)設計 中小型企業(yè)網絡搭建分析 22 正是由于局域網內應用上這些獨特的特點，造成局域網內的病毒快速傳遞，數據安全性低，網內電腦相互感染，病毒屢殺不盡，數據經常丟失。 （二） 局域網安全控制與病 毒防治策略 安全是個過程，它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看，主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網絡安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網絡的人員的管理，注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質。同時要加強法制建設， 進一步 完善關于網絡安全的法律，以便更有利地打擊不法分子。對局域網內部人員，從下面幾方面進行培訓： (1)加強安全意識培訓，讓每個工作人員明白數據信息安全的重要性，理解保證數據信息安全是所有計算機使用者共同的責任。 (2)加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數據，保證本地數據信息的安全可靠。 (3)加強網絡知識培訓，通過培訓掌握一定的網絡知識，能夠掌握 IP地址的配置、數據的共享等網絡基本知識，樹立良好的計算機使用習慣。 安全管理保護網絡用 戶資源與設備以及網絡管理系統(tǒng)本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分，對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患，對于內部網絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是畢業(yè)設計 中小型企業(yè)網絡搭建分析 23 當前解決局域網安全的關鍵所在。 (1)利用桌面管理系統(tǒng)控制用戶入網。入網訪問控制是保證網絡資源不被非法使用，是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。它控制哪些 用戶能夠登錄到服務器并獲取網絡資源，控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限，網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據，提高系統(tǒng)安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網。 (2)采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上，與網絡的其余部 分隔開，它使內部網絡與 Inter 之間或與其他外部網絡互相隔離，限制網絡互訪，用來保護內部網絡資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統(tǒng)，是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發(fā)現及封阻應用攻擊所采用的技術有：（ 1）深度數據包處理。深度數據包處理在一個數據流當中有多個數據包，在尋找攻擊異常行為的同時，保持整個數據流的狀態(tài)。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免應用時帶來時延。（ 2） IP/URL 過濾。一旦應用流量是明文格式，就必須檢測 HTTP 請求的 URL 部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查 RUL，還能檢查請求的其余部分。其實，如果把應用響應考慮進來，可以大大提高檢測攻擊的準確性。雖然 URL 過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。（ 3）TCP/IP 終止。應用層攻擊涉及多種數據包，并且常常涉及不同的數據流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數據包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協議，并且在整個數據流而不是僅 僅在單個數據包中尋找惡意模式。系統(tǒng)中存著一些訪問網絡的木馬、病毒等 IP 地址，檢查訪問的 IP地址或者端口是否合法，有效的 TCP/IP終止，并有效地扼殺木馬。時等。（ 4）訪問網絡進程跟蹤。訪問網絡進程跟蹤。畢業(yè)設計 中小型企業(yè)網絡搭建分析 24 這是防火墻技術的最基本部分，判斷進程訪問網絡的合法性，進行有效攔截。這項功能通常借助于 TDI 層的網絡數據攔截，得到操作網絡數據報的進程的詳細信息加以實現。 封存所有空閑的 IP 地址，啟動 IP 地址綁定，采用上網計算機 IP 地址與 MAC地址唯一對應，網絡沒有空閑 IP 地址的策略。由于采用了無空閑 IP 地址策略，可以有效防 止 IP 地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。 (3)屬性安全控制。它能控制以下幾個方面的權限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件。 啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。 病毒的侵入必將對系統(tǒng)資源構成威脅，影響系統(tǒng)的正常運行。特別是 通過網絡傳播的計算機病毒，能在很短的時間內使整個計算機網絡處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統(tǒng)上的，主要從以下幾個方面制定有針對性的防病毒策略： (1)增加安全意識和安全知識，對工作人員定期培訓。首先明確病毒的危害，文件共享的時候盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺等，都可以很好地防止病毒 在網絡中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。 (2)小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查畢業(yè)設計 中小型企業(yè)網絡搭建分析 25 殺，也可把病毒拒絕在外。 (3)挑選網絡版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實現遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯，能夠熟練掌握瑞星殺毒軟件使用，及時升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關鍵。 通過以上策略的設置，能夠及時發(fā)現網絡運行中存在的問題，快速有效的定位網絡中病毒、蠕蟲等網絡安全威 脅的切入點，及時、準確的切斷安全事件發(fā)生點和網絡。 局域網安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。 畢業(yè)設計 中小型企業(yè)網絡搭建分析 26 致謝 在完成本畢業(yè)設計的過程中，作者得到了 XXXXXX 老師的大力支持，同學們的 熱情 協助，在有限的時間內，最快的完成了本設計。 在此，我謹向提供幫助的各位 老師及同學 致以深深的感謝！