局域网安全威胁及防护分析

黄 幸，韩 磊，黄清杉

（中国人民解放军75310部队，湖北 武汉 430071）

局域网安全威胁及防护分析

黄 幸，韩 磊，黄清杉

（中国人民解放军75310部队，湖北 武汉 430071）

局域网是在有限范围内实现数据通信和资源共享的封闭型计算机网络，因使用灵活、便于安装、易于扩展，被广泛应用于公司、企业、学校等构建高效的内部网络。大部分单位只注重局域网的应用建设，建设结构简单，但缺乏严密的安全措施，在享受局域网便捷的同时，也为病毒的传播提供了通道。因此，要深入了解局域网安全技术，认识到威胁局域网安全的因素，做好局域网安全防护工作，使得局域网在日益广泛的应用中提供更为高效可靠的网络平台。

局域网；安全；防护

随着科学技术的飞速发展，计算机网络的普及，许多单位都应用简单的交换技术搭建了自己的局域网，实现无纸化办公和资源共享，提高工作效率。但在网络这个不断更新换代的世界里，网络中的安全威胁无处不在，安全威胁时时刻刻都在演化，局域网在带来便利的同时，也存在着巨大的安全问题，容易受到恶意软件、黑客、病毒等的攻击。因此计算机局域网的安全问题随着计算机网络的普及越来越为严峻。

1 局域网安全问题分析

简单来说，局域网就是将距离比较近的一些通信设备（包括计算机、外部设备、数据处理终端等）通过数据交换设备，传输介质组成的一个封闭式的工作网络。局域网使用灵活、便于安装、易于扩展，然而由于技术简单，其便捷的也成为网络攻击的弱点，构成其安全隐患，主要表现在结构的简单化、资源的共享性和用户自身安全意识的缺乏3个方面。

1.1 局域网结构简单

目前的局域网基本上都是一条网线经过路由器、交换机连接很多设备。多台电脑共享一条网线，一个局域网内部一般不存在交换节点和路由选择问题，如果有一台电脑感染了病毒，很快其他电脑也会感染上，那就将导致病毒直接快速在局域网内传播，轻则降低网络速度，影响工作效率，造成数据经常丢失，数据安全性低。如果感染了局域网中服务器，病毒屡杀不尽，破坏了服务器信息，那就会让整个数据交换共享网络处于一种混乱甚至瘫痪状态，有可能使得多年保存的工作信息毁于一旦。

1.2 局域网资源的共享性

资源共享是局域网应用的主要目的，在工作办公中，其可以极大地为内部相互交流提供便利。对于外置设备如打印机的共享，可以供整个单位使用，节省了办公成本和时间，大大提高工作效率。随着联网需求的日益增长，接入局域网计算机逐渐增多，这为系统安全的攻击者利用共享的资源进行破坏提供了机会。

1.3 用户安全意识不够

为了维护好本单位自身局域网，很多单位都设置了网络信息中心这样的部门，但是也存在一种这样的普遍现象。许多人都认为计算机网络安全与维护只与网管中心的人有关系，自己只要会使用电脑就可以了，根本就没有概念及时对电脑网络系统进行定期的更新、维护和检查工作。计算机终端使用者的安全意识不足，在日常计算机使用中对网络安全抱着无所谓不关心的态度，认为不过是病毒而已也没什么大的问题。殊不知只要一台电脑感染了病毒不及时处理将会影响到局域网中的其他电脑和整个局域网的运行，甚至会造成单位网络系统全盘崩散，给单位造成不可避免的损失。

2 局域网安全防护措施

网络基础设施是局域网信息传输的枢纽，提供局域网安全防护的基础；网络防卫软件是局域网信息传输的过滤器，是局域网安全防护的卫士；使用者的安全防护意识和知识，是局域网信息传输的利器，提供网络日新月异发展下网络安全保护的保障。只有做到了这些方面的措施，才能实现对局域网的安全防护。

2.1 建立分级防护机制

由于局域网信息系统是科学技术发展的产物，应生活和工作的需要而构造建立的，是社会构成、行政组织体系的反映，这种信息系统的结构是分层次和级别的。各种信息系统具有重要的社会价值和经济价值，而不同的系统具有的价值和社会意义也是不一样的。系统基础资源多少、用户访问权限的大小、信息资源的价值大小、大系统中各子系统重要程度的区别等等就是划分不同级别的客观体现。

信息安全保护必须符合网络构建客观存在和发展规律，将其分级、分区域、分类和分阶段，对于做好国家信息安全保护很重要。根据局域网内部各节点的重要性和私密性来划分不同的安全等级，比如普通用户处于第一层级，特权用户处于第二层级，应用服务器属于第三层级，数据服务器处于第四层级。在不同层级、不同业务系统之间，通过软件或者硬件防火墙、ACL等措施加以隔离和过滤，按最低权限的准则发放各层级的访问权限。

2.2 安装防火墙

防火墙系统作为一种网络安全部件可分为硬件防火墙、软件防火墙和芯片级防火墙。这些安全部件所安装的位置和保护作用都是不一样的，比如硬件防火墙处于被保护网络和其他网络的边界，在物理上将局域网内部相互隔开；软件防火墙则根据防火墙所配置的访问控制策略进行过滤接收进出于被保护网络的数据流，在计算机终端起到阻隔保护的作用。防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截被保护网络向外传送有价值的信息。防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠。对于一些大型单位和企业，部门较多，各个部门又相互独立但是又要同时存在一个大型局域网内，这种情况我们可以采取划分VLAN的形式将各个部门内部的所有服务器和用户节点都放在各自的VLAN内，互不干扰，控制内网安全。

2.3 安装网络监听监测系统

防火墙只能根据局域网通信规则和现有的经验来制定相应的ACL，以此达到控制流量的目的，但对于潜在的、未知的网络攻击并不能做到智能化检测和隔离。在网络环境日益复杂，攻击手段层出不穷的今天，必须采用网络监听监测系统，对关键出入口的流量进行长期的监听，对日常流量进行统计分析，建立保存相关数据，在此基础上，分析可能潜在的攻击行为、拦截传输的非法内容，以便及时更新防火墙，并向上级安全网管中心报告，采取下一步的措施。

2.4 加强网络安全管理保障

俗话说：“三分技术，七分管理”这不仅仅要求对工作人员进行定期培训，还要求客户端使用人员增强安全意识和丰富安全知识，提高单位全体人员整体网络安全素质。一方面要让技术人员真正掌握网络安全产品和网络管理各方面的知识，使整套安全策略得到充分的执行和实施，组织专门的计算机运维队伍；另一方面，要清醒地认识到很多时候系统运行失败是内部人员对计算机操作不当造成的。对员工进行安全意识培训，建立合理的政策指导客户端使用人员正确安装防病毒软件和软件防火墙，学习查杀病毒和备份重要的数据。特别注意在使用移动存储设备之前，要先进行病毒的扫描和查杀，确认安全后再使用，减少移动存储设备将病毒传入到本地电脑引起局域网崩盘。

3 结语

在信息技术日新月异发展的今天，网络安全工作仍是复杂的系统工程，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，制定合理的维护手段，不断调整安全策略，尽可能地把不安全的因素降到最低，才能减少网络事故的发生，维持局域网的安全，才能生成一个高效、通用、安全的网络系统，真正提供一个高效、可靠、安全的网络化自动化办公环境。

[1]倪超凡.计算机网络安全技术初探[J].赤峰学院学报，2009（12）：45-46.

[2]蔡立军，李立明，李峰.计算机网络安全技术[M].北京：中国水利水电出版社，2005.

LAN security threats and protection analysis

Huang Xing, Han Lei, Huang Qingshan
（PLA 75310 Unit, Wuhan 430071, China）

Local area network(LAN) is the closed computer network that realizes over a limited range of data communication and resource sharing. Due to the advantages of flexible use, easy to install, easy to expand, it is widely used building efficient internal network of the companies, enterprises and schools, etc. But due to the lack of the strict security measures and simple construction structure, most units only focus on the application of LAN construction convenient. While enjoying the convenience of LAN, it also provides the effective channel for the spread of the virus. So we should deeply understand LAN technology, realizing the factors threaten the security of a local area network, doing a good job in local area network security protection. Then, local area network in the increasingly extensive application will provide a more effective and reliable network platform.

local area network; security; protection

黄幸（1984— ），女，湖南怀化，硕士，助理工程师。