计算机给我们生活和工作带来了极大的方便,计算机网络也在不断发展和普及,随之而来的就是网络安全问题,局域网信息安全防御体系的完善不容忽视,本文重点介绍局域网安全控制与病毒防治的一些做法。
一、局域网信息安全的现状
目前,广域网络已经有了相对比较完善的安全防御体系,重要的安全设施大致集中于机房或网络入口处,防病毒、防火墙、漏洞扫描、IDS等网关级别、网络边界等方面的防御,在许多设备的严密监控之下,网络外部入侵的可能大大减少。与之相反来自网络内部的计算机客户端的信息安全威胁往往不够重视,安全管理措施缺乏,相对威胁较大。未经授权的网络设备可能通过局域网的接入,成了较大的安全隐患。目前,局域网的信息安全隐患就是由于网络系统本身存在的安全弱点,而系统在使用和管理过程中的疏漏,增加了安全问题的隐患。
二、局域网信息安全的分析
局域网(LAN)是指在一定范围内由一台或者多台服务器和多台电脑组成的计算机互联网络。是通过交换机和服务器把网内每一台电脑连接在一起,局域网采用的技术比较简单,安全措施较少,局域网内信息的传输速率比较高,这些都给病毒传播提供了有效的通道,给数据信息的安全增加了隐患。局域网的信息安全威胁一般可以分成以下几类:
1.局域网内用户的安全意识缺乏有些用户习惯于使用移动存储设备,在进行数据传递的过程中,外部数据常常没有经过必要的安全检查就通过这些移动存储设备带入到局域网内,这给木马、蠕虫等病毒的进入提供了方便。通过这些移动存储设备将内部数据带出局域网的过程中,也增加了数据泄密的可能性。许多用户贪图方便使用笔记本电脑在内外网之间频繁地切换,将在Internet网上使用过的笔记本电脑擅自接入内部局域网络,造成病毒的传入和信息的泄密。
2.通过ARP地址进行欺骗
地址解析协议(AddressResolutionProtocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议。ARP 欺骗一般可以分两种,一种通过对内网PC的网关进行欺骗;另一种是通过路由器ARP表进行欺骗。通过对内网PC的网关进行欺骗的原理是-通过交换机的 MAC地址学习机制,伪造网关。它的原理是建立假的网关,让被它欺骗的PC向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有PC无法访问网络;通过路由器ARP表进行欺骗的原理是-截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送错误的MAC地址,造成正常的PC无法收到信息。
3.来自计算机恶意代码及病毒的威胁
早期计算机比较落后,出现了一些计算机病毒,它们只能执行相对简单的自行复制的文件,纯粹就是恶作剧。随着计算机技术的不断发展和普及,许多计算机爱好者都可以玩转计算机病毒,计算机病毒的在数量以及被攻击的平台数都显著增加,病毒更具的复杂性和多样性,破解的难度显著提高。病毒曾经在某一时期只是感染启动扇区,之后又发展到感染可执行文件,现在又出现了多态病毒。多态病毒是一种恶意的软件,很难被检测,它使用的是不限数量的加密例程。多态病毒会在每次复制的时候都能更改其自身的能力,这样就使得用于“识别”病毒的基于签名的防病毒软件很难检测到这样的病毒。许多计算机病毒附带着自身的嵌入式电子邮件引擎,就会使已感染病毒的系统直接通过电子邮件进行病毒传播,而绕过该用户的电子邮件客户端或者服务器中的一切设置。病毒制造者还利用开发具有可信外观的电子邮件并使用社会工程,设计出病毒攻击的结构。这种方法非常容易获得用户的信任,用户打开附加的病毒文件,这样就大大增加了大规模感染病毒的可能性。
4.通过网络进行即时的通信窃听企业领域已经在规模应用的网络工具实现了个人即时通信软件。这些通讯软件还广泛用于个人领域,尤其是亲友之间的沟通,多为免费通信。使用个人用户工具的用户,比如使用电邮邮件、即时通信。像这样的免费工具安全性比较差,个人用户的信息安全很难保证。
三、局域网安全防范及与病毒的有效防治
1.加强局域网内使用者的网络安全教育
网络安全是局域网内所有使用者的共同责任,它是包括了人员、硬件、软件、网络和他们之间互相关系以及接口的系统。每个行业的情况有所不同,但主要是由应用、管理、技术三个层面构成。因此,要保证信息安全工作的能够得以顺利进行,就要把这三个环节落实到位。实际上,所有对计算机进行具体操作的是人,人才是网络安全中最重要也是薄弱的一个环节,然而这个环节是最难实现的,靠自觉学习是不可能的。如果能够形成制度,在人的这个环节上是最有效的。对网络使用人员定期培训,增加他们的安全意识和知识。让全体使用者都知道病毒的危害,都养成在文件共享的时候尽量设置控制权限和增加密码的习惯,对来历不明的文件先进行查杀再运行等,这些都可以有效地防止病毒感染和在网络中的传播。良好的习惯对杜绝病毒,起到很重要的作用。所以对使用网络的人进行全员培训和科学管理,增强网络使用人员的网络安全防范意识,大幅度提高网络管理人员整体素质。同时还要在制度上加以强化,技术上经常更新、提高。充分依靠法律维护网络安全,才能有效地打击危害网络安全的不法分子。
2.实现对局域网安全的有效控制
(1)提高控制桌面管理系统来控制用户入网。对接入访问的控制是保证网络资源不被非法使用最直接最有效的方法,是网络安全防范和保护的主要途径,它为网络安全设置了第一层防护措施。通过它可以对用户进行筛选,确保登录到服务器并获取网络资源的用户是可靠的,可以控制并记录用户入网的时间以及在哪台工作站进入局域网的。用户以及用户组都被赋予一定的权限,提高网络控制所有的用户以及用户组,控制他们可以访问的目录、文件以及网络内的其他资源,也可以指定用户对这些设备、文件、目录所执行的操作。同时,还要启用密码,要求网络内的所有计算机用户都要设置密码,密码必须符合安全要求。设置口令把服务器控制台锁定,以防止用户非法修改。设定服务器登录时间,限制、检测非法访问。有效防止非法用户删除重要信息或破坏数据,提高网络系统安全运行,要对多次输入密码不符合要求的计算机用户在多次警告后阻断其连网。
(2)通过防火墙技术来进行防范。防火墙技术一般是安装在单台的计算机上,与网络的其余计算机隔开,限制网络互访,通过防火墙使内部网络与 Internet之间或与其他外部网络设置屏障,可以有效地保护内部网络资源,抵御非法使用者的入侵,通过防火墙记录所有可疑事件执行安全管制措施。它可以在两个网络之间实行控制的系统,防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
(3)对所有空闲的IP地址进行封存。启动IP地址绑定,把上网计算机IP地址与MCA地址唯一对应,使网络上没有空闲IP地址。这样在网络上没有了无空闲的IP地址,就可以防止由于IP地址引起的网络中断,也可以防止其他计算机随意上内部局域网络,可以防止由此造成的病毒传播和数据泄密。
(4)通过设置属性来控制网络安全。属性可以从以下几个方面控制用户的权限:防止用户对目录和文件的执行修改、误删除、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、共享、执行文件、隐含文件、系统属性等。网络的属性可以有效地保护网络中重要的目录和文件。
3.网络病毒的有效防治
病毒的入侵影响系统的正常运行,也必将对网络的系统资源构成威胁,一些通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络系统瘫痪,给使用者造成巨大的、无可挽回的损失。因此,防止病毒的侵入是首要任务,等到染上病毒了再来发现和消除病毒那是被动的。防毒的重点是阻断病毒的侵入,防毒的关键是及时发现病毒的行为,如何有效判断是病毒的行为还是正常程序的行为是防毒成功与否的关键。网络的防病毒体系要建立在每个局域网上,每一台计算机的防病毒系统上。要做到对网络病毒的有效防治,还要从以下几个方面入手:a、在使用移动存储设备的时候要提高警惕,使用之前对移动存储设备进行病毒的扫描和查杀,可拒绝病毒的入侵。b、选用网络版正版的杀毒软件。一般来说,网络杀毒软件的好坏要看界面是否友好、方便,病毒查杀是否彻底,能否实现远程控制、集中管理,这是决定一个网络杀毒软件好坏的三大要素。笔者在使用过程中感觉瑞星杀毒软件在这些方面不错的表现,如果能够熟练掌握瑞星杀毒软件,及时升级杀毒软件病的毒库,就可以有效地防毒杀毒。
总之,新的病毒不断地出现,需要计算机使用者管理不断学习、更新知识。我们通过以上的方法对计算机进行设置,还是可以及时发现和纠正计算机网络在运行中存在的大多数问题,这些方法能够快速有效地定位网络中病毒,找到网络安全威胁所在,从而及时、准确的切断网络安全事件发生点,使局域网安全有效地运行。
作者:吴乐勤 来源:中学课程辅导·教学研究 2013年20期
