【導(dǎo)讀】肄莃莁蚆膃肂薆薂膂膅荿袁膁莇薄袇膀葿蕆螃膀腿蚃蠆螆芁蒅薅螅莄蟻袃螄肅蒄蝿袃膆蠆蚅袃羋蒂薁袂蒀芅羀袁膀薀袆袀節(jié)莃螂衿莄蕿蚈袈肄莁薄袈膆薇袂羇艿莀螈羆莁薅蚄羅肁莈蝕羄芃蚃薆羃蒞蒆裊肅螞螁膇蒅蚇羈芀蝕薃肀莂蒃袁聿肂芆螇肈膄蒁螃肇莆芄蠆肆肆蕿薅肆膈莂襖肅芀薈螀肄莃莁蚆膃肂薆薂膂膅荿袁膁莇薄袇膀葿蕆螃膀腿蚃蠆螆芁蒅薅螅莄蟻袃螄肅蒄蝿袃膆蠆蚅袃羋蒂薁袂蒀芅羀袁膀薀袆袀節(jié)莃螂衿莄蕿蚈

　　

【正文】 用戶使用移動存儲設(shè)備來進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機(jī)兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在 Inter 網(wǎng)上 使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。 （ 5） IP 地址沖突 局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常造成 IP 地址沖突，造成部分計算機(jī)無法上網(wǎng)。對于局域網(wǎng)來講，此類 IP 地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。 正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。 21 2 局域網(wǎng)安全控制與病毒防治策略 （ 1） 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn) 安全是個過程 ，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及管理、技術(shù)和應(yīng)用三個層面。要確保信息安全工作的順利進(jìn)行，必須注重把每個環(huán)節(jié)落實(shí)到每個層次上，而進(jìn)行這種具體操作的是人，人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強(qiáng)對使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實(shí)現(xiàn) 方法 。從而加強(qiáng)工作人員的安全培訓(xùn)。增強(qiáng)內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質(zhì)。同時要加 強(qiáng)法制建設(shè)， 進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全的 法律 ，以便更有利地打擊不法分子。對局域網(wǎng)內(nèi)部人員，從下面幾方面進(jìn)行培訓(xùn)： a 加強(qiáng)安全意識培訓(xùn)，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機(jī)使用者共同的責(zé)任。 b 加強(qiáng)安全知識培訓(xùn)，使每個計算機(jī)使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。 c加強(qiáng)網(wǎng)絡(luò)知識培訓(xùn)，通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識，能夠掌握 IP地址的配置、數(shù)據(jù)的 共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機(jī)使用習(xí)慣。 （ 2） 局域網(wǎng)安全控制策略 安全管理保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強(qiáng)對以上三個方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。 a 利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證 網(wǎng)絡(luò) 資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指22 定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強(qiáng)制 計算 機(jī)用戶設(shè)置符合安 全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)， 提高系統(tǒng)安全 性 ，對密碼不符合要求的計算機(jī)在多次警告后阻斷其連網(wǎng)。 b 采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨(dú)的計算機(jī)上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與 Inter 之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng)，是建立在 現(xiàn)代 通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的 應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有： 1）深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當(dāng)中有多個數(shù)據(jù)包，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度 分析 、檢測及重新組裝應(yīng)用流量，以避免應(yīng)用時帶來時延。 2） IP/URL 過濾。一旦應(yīng)用流量是明文格式，就必須檢測 HTTP 請求的URL 部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查 RUL，還能檢查請求的其余部分。其實(shí)，如果把應(yīng)用響應(yīng)考慮進(jìn)來，可以大大提高檢測攻擊的準(zhǔn)確性。雖然 URL 過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。 3） TCP/IP 終止。應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應(yīng)用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單 個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡(luò)的木馬、病毒等 IP 地址，檢查訪問的 IP地址或者端口是否合法，有效的 TCP/IP 終止，并有效地扼殺木馬。時等。 4）訪問網(wǎng)絡(luò)進(jìn)程跟蹤。訪問網(wǎng)絡(luò)進(jìn)程跟蹤。這是防火墻技術(shù)的最基本部分，判斷進(jìn)程訪問網(wǎng)絡(luò)的合法性，進(jìn)行有效攔截。這項功能通常借助于 TDI 層的網(wǎng)絡(luò)數(shù)據(jù)攔截，得到操作網(wǎng)絡(luò)數(shù)據(jù)報的進(jìn)程的詳細(xì)信息加以實(shí)現(xiàn)。 封存所有空閑的 IP 地址，啟動 IP地址綁定，采用上網(wǎng)計算機(jī) IP 地址與 MAC地址唯一對應(yīng)，網(wǎng)絡(luò)沒有空閑 IP 地址的策略。由于采用了無空閑 IP 地址策略，可以有效防止 IP地 址引起的網(wǎng)絡(luò)中斷和移動計算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。 c 屬性安全控制。它能控制以下幾個方面的權(quán)限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件。 23 啟用殺毒軟件強(qiáng)制安裝策略，監(jiān)測所有運(yùn)行在局域網(wǎng)絡(luò)上的計算機(jī)，對沒有安裝殺毒軟件的計算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。 （ 3） 病毒防治 病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅， 影響 系統(tǒng)的正常運(yùn)行。特別是通過網(wǎng)絡(luò)傳播的計算機(jī)病毒，能在很短的時間內(nèi)使整個計算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點(diǎn)是控制病毒的傳染。防毒的關(guān)鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個方面制定有針對性的防病毒策略： a 增加安全意識和安全知識，對工作人員定期培訓(xùn)。首先明確病毒的危害，文件共享的時候盡量控制權(quán)限 和增加密碼，對來歷不明的文件運(yùn)行前進(jìn)行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。 b 小心使用移動存儲設(shè)備。在使用移動存儲設(shè)備之前進(jìn)行病毒的掃描和查殺，也可把病毒拒絕在外。 c 挑選網(wǎng)絡(luò)版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個網(wǎng)絡(luò)殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當(dāng)不錯，能夠熟練掌握瑞星殺毒軟件使用，及時升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關(guān)鍵。 通過以上策略的設(shè)置，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn) 行中存在的 問題 ，快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點(diǎn)，及時、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。 局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務(wù)，需要不斷的探索。隨著網(wǎng)絡(luò)應(yīng)用的 發(fā)展 計算機(jī)病毒形式及傳播途徑日趨多樣化，安全問題日益復(fù)雜化，網(wǎng)絡(luò)安全建設(shè)已不再像單臺計算安全防護(hù)那樣簡單。計算機(jī)網(wǎng)絡(luò)安全需要建立多層次的、立體的防護(hù)體系，要具備完 善的管理系統(tǒng)來設(shè)置和維護(hù)對安全的防護(hù)策略。 24 結(jié)論 Inter 技術(shù)的迅速發(fā)展，各行業(yè)信息化網(wǎng)絡(luò)的快速膨脹， 中小型 企業(yè)局域網(wǎng) 由于需求也得到了空前的發(fā)展，它為員工提供了全新的工作環(huán)境，利用計算機(jī)和網(wǎng)絡(luò)進(jìn)行工作、交流，改變了傳統(tǒng)的工作方式，極大的提高了工作的質(zhì)量和效率。采用交換式局域網(wǎng)技術(shù)的企業(yè)網(wǎng)絡(luò)，可以運(yùn)用 VLAN 技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。 本文通過對傳統(tǒng)局域網(wǎng)的分析與比較， 介紹了中小型企業(yè) 局域網(wǎng)組建和管理的軟硬件需求和注意事項， 利用實(shí)際的局域網(wǎng)案例來具體模擬現(xiàn)實(shí)當(dāng)中可能存在的問題，并且加以防范與解決，以達(dá)到有備無患，實(shí)現(xiàn)企業(yè)局域網(wǎng)的高性能、高穩(wěn)定、高管 理性、靈活性、安全性、經(jīng)濟(jì)性，網(wǎng)絡(luò)性能得到了充分的保證，使 得企業(yè)局域 網(wǎng)運(yùn)行穩(wěn)定，性能可靠 ，達(dá)到我們預(yù)期的效果，并且不斷完善。 參考文獻(xiàn) [1] 弗魯姆 (Richard Froom).CCNP 學(xué)習(xí)指南 :組建 Cisco 多層交換網(wǎng)絡(luò) (BCMSN)(第 4版 )[M].2021. [2] Security Essentials Applications and Standards Third Edition[M].2021. [3] 施敏 、 李亞明 、 王國平 .網(wǎng)絡(luò)管理員之局域網(wǎng)組建與維護(hù)超級技巧 1000例 [M].2021. [4] 李晉平 . 局 域 網(wǎng) 組 建 和 安 全 管 理 的 實(shí) 用 技 術(shù) [J].電 腦 開 發(fā) 與 應(yīng)用 .2021,15(10). [5] 衛(wèi)少軍 .中小企業(yè)辦公局域網(wǎng)組建方案 [J].科技情報開發(fā)與經(jīng)濟(jì) .2021,14(9)：269~271