局域网的安全管理策略

局域网的安全管理策略（精选12篇）

局域网的安全管理策略 第1篇

关键词：网络安全,局域网,安全策略

如何在安全的计算机网络环境下办公成为计算机网络技术的一个重要领域,尤其是局域网安全问题。现在的企业单位都有自己的局域网,企业单位的核心数据也在局域网上,核心数据关系着企业单位的生死存亡,一旦出现问题后果不堪设想。该文从局域网安全管理出发,提出了基于局域网安全的策略。

1 局域网安全方案设计

安全方案设计的目的就是决定一个组织机构怎样来保护自己。一般来说,安全策略包括两个部分:一个总的策略和具体的规则。总体的策略用于阐明企业安全政策的总体思想,而具体规则用于说明什么活动是被允许的,什么活动是被禁止的。整体安全策略制定一个组织机构的战略性安全指导方针,并为实现这个方针分配必要的人力物力。一般是由管理层的官员,如组织机构的领导者和高层领导人员来主持制定这种政策以建立该组织机构的信息系统安全计划和其基本框架结构。对于任何一个局域网的安全方案,都不可能做到完美无缺,从某种程度上说,网络的完全安全是不可能的,但是,我们却可以根据威胁网络安全的源头不同,及时调整网络安全策略,所以总的说来,网络安全方案设计的原则就是因时而变。接下来我们就要分析一下局域网安全威胁的起因。

当一个局域网很大时,内部将被拆分成若干个子网,表面上看,有些子网并没有直接连接到Internet上,但是与之连接的其他子网却与Intenet有大量的数据交互,于是就产生了一个隐性的安全问题。为了应用需要,一个局域网往往开通了远程拨号服务,但是在带来方便的同时也带来了安全隐患:非法用户盗用线路,或是合法用户越权使用,这些都会导致局域网机密数据被窃取。与Internet相连,必然会有被黑客攻击的危险,这是所有网络安全公司都会考虑的一个问题。同时,受到直接攻击的局域网更有可能作为攻击的中转站,威胁到其他局域网子网的安全。病毒会威胁到局域网所有计算机系统的安全,可能导致数据丢失与损坏。

2 局域网安全机制

2.1 物理隔离

目前,常见的各种安全保护方式是安装防火墙、入侵检测系统、网络安全管理软件等安全软件,但是这类的“软”保护具有不确定性,谁也不能保证这些软件中没有后门、没有错误,而被黑客利用攻入内部系统。最安全的办法,就是让局域网内部重要的数据和外部的互联网没有物理上的连接,把用户可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘。

目前,物理隔离的实现模型,一般是包括客户端选择设备和网络选择器,用户或通过开关设备,或通过键盘选择,控制客户端选择不同的存储介质,同时,需要的情况下,网络选择端还要同时进行相应的网络连接跳转。现在的物理隔离产品,主要采用基于单网线的安全隔离卡技术加上网络选择器方法。即客户端依然采用类似第二代双网线安全隔离卡的技术,不同的是,它只采用一个网络接口,而通过网线传递不同的电平信号到网络选择端,在网络选择端安装网络选择器,根据不同的电平信号,选择不同的网络连接。该类产品能有效地利用现有的单网线网络环境,成本较低,由于选择网络的选择器不在客户端,安全性也有提高。另外,还有大的计算机制造厂商,由于直接掌握主板制造技术,可以在更底层的技术层面进行设计,来做到不同的网络选择不同的硬盘,也能很好的做到物理隔离。但是,采用这类方法隔离计算机,由于不能很好地利用原有设备,需要更换计算机,每个用户相当于增加了一台计算机的成本,这对用户而言是一种浪费。因此其应用也受到一定的限制。

2.2 远程访问控制

对于远程拨号用户,已经配置了用户身份认证服务器,在技术上有一定的安全保障。另外还可以从自身条件优势上考虑,由于都同属于一个电话局,这样就可以在电话局的程控交换机上控制,只允许内部的电话号码访问本地的网络。同时对于拨号用户采用动态地址分配,并对所有在用的机器MAC地址进行注册,采用IP地址与MAC地址的动态绑定。

2.3 防火墙

在原理上,防火墙更像是物理隔离的软件实现手段。由于要与互联网连接,所以防火墙是必不可少的。防火墙规则动态的修改在大型网络中已经是必不可少的了。

2.4 防病毒

防病毒基本可以分为单机版和网络版。选择单机版和网络版要权衡代价和效率的关系。如果全部选用网络版那么造价很高,而且网络版的安装也相对复杂,势必要牵扯大量的人力。所以如果要节约费用,建议安装单机版防毒软件。而如果要求更高的安全性,并且局域网频繁的与Internet交换数据,被病毒感染的机会很高,所以病毒代码的更新也要求较高,建议采用网络版的防毒软件。

3 加强局域网安全的管理对策

3.1 及时修补漏洞

要及时更新系统、数据库等漏洞补丁。漏洞已成为病毒、木马以及黑客进行攻击的主要途径,可以通过360安全卫士来检查系统的漏洞并打上补丁,一些防火墙软件也具有检查系统的漏洞的功能,做到定期检查和更新。

3.2 关闭系统默认共享以及其它目录共享

默认共享是局域网里存在的一个安全隐患,很多病毒和黑客利用系统的默认共享进行传播和攻击的,威金蠕虫和Funlove病毒等都是利用局域网里的共享进行传播的,所以要关闭默认共享。如果业务需要共享数据,那么要将共享方式设为只读或将共享目录隐藏,在共享名后加上“$”符号即可隐藏共享资源。最好是建立文件服务器、存储设备或局域网邮件系统来收发文件,这样可以大大地降低局域网中受攻击和感染的风险。

3.3 关闭危险的系统服务

有的系统服务的启用不仅会占用系统资源,而且还会对我们的系统带来严重的安全隐患,为黑客和病毒开启了方便之门,在不需要这些服务的情况下可以关闭。比如:(1)clipbook服务:是“剪贴簿查看器”,是用来存放你所剪贴的内容的,如果在登陆网站要输入密码时用剪贴粘贴的方式输入的话,就会“剪贴簿查看器”里看到密码,一些黑客经常利用“剪贴簿查看器”来获取密码。(2)Messenger服务:主要是让网络中的计算机之间通过“netsend”命令互相发送消息,但容易造成局域网中垃圾信息泛滥,更为严重的是的存在溢出漏洞,黑客可能利用此漏洞进行溢出功能,成功后可以取得计算机的最高权限,一些蠕虫病毒也利用这个漏洞进行攻击。还有像Remote Regis-try服务、Terminal Services服务以及Work-station等系统服务,都是病毒、黑客经常利用的系统服务。

4 加强局域网安全的技术策略

4.1 基于Internet的防火墙安全策略

典型的局域网要通过路由器来实现内部和外部信息的通讯,两者之间的数据流控制是计算机网络安全的关键。如何保证外部合法数据进入到局域网及局域网内部核心,数据安全将由防火墙(firewall)来实现。防火墙是由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略。防火墙内的网络称为“可信赖的网络”(trusted network),而将外部的因特网称为“不可信赖的网络”(untrusted network)。防火墙可用来解决内联网和外联网的安全问题。

防火墙系统的主要目标是对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护的网络系统,为网络提供安全保障,可以用硬件或软件实现,也可以是两者的结合。主要功能包括:安全警报;重新部署网络地址转换(NAT);监视Interne的使用;防火墙也是审查和记录内部人员对Internet使用的一个最佳位置,可以在此对内部访问Internet的情况进行记录。向外发布信息;防火墙除了起到安全屏障作用外,也是部署WWW服务器和FTP服务器的理想位置;允许Internet访问上述服务器,而禁止对内部受保护的其他系统进行访问。

4.2 VALN技术安全策略

VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备,要实现路由功能,既可采用路由器,也可采用三层交换机来完成。VLAN的实现方法:

产生一个VLAN号:vlan ID设置端口access模式:switchport mode access设置端口访问的VLAN号:switchport access vlan ID设置端口trunk模式:switchport modetrunk

4.3 捆绑技术安全策略

1)IP与MAC地址捆绑技术安全策略

在实际的局域网安全管理中会经常出现IP地址被盗用的现象,这不仅对计算机网络的正常使用造成影响,同时也会由于被盗用的地址往往具有较高的权限而对企业单位造成了大量的经济上的损失和潜在的安全隐患。为了防止IP地址被盗用,可采用ARP来实现IP地址与网卡MAC地址捆绑技术安全策略。

实现方法:针对不同操作系统,ARP实现的方法也略有不同。具体如下:WINDOWS操作系统(98、XP、2000等),在正确设置网络系统后,将ARP.EXE程序安装在WINDOWS的目录中,使用了“winipcfg”或者“ipconfig-all”或者“arp-a”等来查看MAC地址,用“arp-s”来实现,具体为arp-s ip MAC;Linux操作系统将arp.exe程序安装在于/sbin的目录中,实现的方法是:arp-i eth0-s ip MAC。

2)端口与MAC地址捆绑技术安全策略

在实际的局域网安全管理中会经常出现端口被盗用,即外来非法计算机利用局域网空闲端口连上局域网,盗用企业单位核心数据的情况,对企业单位造成了大量的经济上的损失和潜在的安全隐患。为了防止端口被盗用,可采用端口与MAC地址捆绑技术安全策略。

当然,为了防止这种攻击,我们也可以采用Socket编程技术,但是对于计算机网络管理人员计算机的水平要求较高。(5)Socke是一种计算机网络应用层与TCP/IP协议族通信的中间软件抽象层,它是一组接口(Interface)。在设计模式中把复杂的TCP/IP协议族隐藏在Socket接口后面,让Socket去组织数据是符合指定的协议。

服务器端先初始化Socket,然后与端口绑定(bind),对端口进行监听(listen),调用accept阻塞,等待客户端连接。客户端初始化一个Socket,然后连接服务器(connect),如果连接成功,这时客户端与服务器端的连接就建立了。客户端发送数据请求,服务器端接收请求并处理请求,然后把回应数据发送给客户端,客户端读取数据,最后关闭连接,一次交互结束。

4.4 防水墙技术的安全策略

在现实的局域网安全问题上,经常会出现内部员工盗窃信息的情况,“家贼难防”,内部人员可以轻松地将局域网上计算机中的核心信息通过网络、存储介质或打印等方式泄露出去,对企业单位造成重大损失。防水墙技术的安全策略能很好的满足局域网内网安全防护的需要,切实降低信息泄密的风险,同时提高了单位的工作效率,具有良好的应用效果。

4.5 生物识别技术安全策略

局域网身份识别目前主要有如下三种方式:传统的“用户名+口令”(“Username+Password”)模式,用已知道的信息来证明识别身份,即What you know;用密码卡、智能卡(IC、USBKEY)等拥有的物品来证明识别身份,即What you have;用人类独一无二、不可复制的生物特征来证明身份,即Who you are,如指纹识别、虹膜识别等。很显然,前两种方式很难实现安全、可靠的身份识别,原因如下:“用户名+口令”方式,口令易丢、易忘、易破解,如年龄大的人经常忘记自己的密码口令,有些人用自己的生日、工号等作为口令,这样就很能容易破解;密码卡易丢,补办手续烦琐且出具证明身份的文件,很不方便,不能适应新环境下计算机网络安全的需要;而生物特征识别技术则恰好杜绝了易丢、易破解的现象,不存在记忆密码、丢失密码及受损的风险,是目前局域网安全技术策略首选的技术方案。生物特征识别技术可用于硬件设备使用的身份识别,如门控系统,只有合法的生物特征的人才能进入;计算机开机识别,只有合法的人才能开机,当然还包括办公软件使用身份控制,只有合法的人才能进入某一软件系统,获得软件的使用权等。

5 结束语

计算机网络在给我们工作方便的同时也带来了安全问题,在安全的计算机网络环境下方便使用计算机网络已成为社会发展的必然趋势,局域网更是如此。本文基于局域网安全策略的研究,对于局域网安全方面的问题提供了一些解决思路。局域网安全光有局域网安全技术保障是不够的,还要用制度管理好人,也就是说局域网安全技术策略和局域网安全管理策略二者都要抓,都要硬,只有二者完美结合在一起,局域网才是安全的。

参考文献

[1]张学军.计算机网络技术(基础篇)[M].3版.大连:大连理工大学出版社,2008.

[2]谢希仁.计算机网络[M].5版.北京:电子工业出版社,2008.

[3]吴国新,吉逸.计算机网络[M].2版.北京:高等教育出版社,2008.

[4]蔡学军,梁广民,王隆杰,张立娟.网络互联技术[M].北京:高等教育出版社,2004.

局域网的安全管理策略 第2篇

广东省台山培英职业技术学校 陈日邦

[摘 要]当前中职学生个性鲜明，学习能力差异明显，在中职学校工作的一线教师常常遇到这样的问题：在同一个班的学生使用传统的教学模式授课主要面向中层生，较容易造成差生“吃不了”、优秀生“吃不饱”的问题。针对这种情况，许多教师已经开始研究并实施相应的方法，对不同层次的学生实行差异性教学。本文结合笔者所讲授计算机学科——《局域网组建》，阐述了分层递进教学模式的实施策略，可为相关学科提供一个借鉴的方法，真正做到因村施教，使不同层次的学生都能得到不同的进步，实现“分层递进”效果。[关键词]中职、分层、递进、策略

一、中职《局域组建》课程的特点

中职《局域网组建》是计算机网络专业的一门重要课程，目的是培养学生中小型局域网组建、管理和维护的技能，这门课程应用性和实践线较强，能够很好地激发学生的兴趣，调动学生的积极性，锻炼学生的动手能力，是一门理论和实践结合的课程。

二、中职学生现状分析

随着普通教育的普及和应届生源的逐渐减少，进入中职读书的学生已经实行了免试入学等政策，这一方面促进了教育公平性，但这也给中职教师的工作带来了极大的挑战。在同一班学生中，好、中、差的界限十分明显，在学生过程中的差异非常明显。比如在我们学校网络技术班进行《局域组建》的授课中，有的学生，只要稍加提示，就能融会贯通；有的学生，一节课的时间讲解，但还是茫然不解。网络实训课程的反馈也类似，有的学生不仅能顺利完成训练的内容，并富有创意地进行改进；有的学生徘徊在基础操作中，依靠老师手把手才能勉强完成任务。

面向中层学生、统一要求、统一任务和目标是常规教学模式的特点，尽管这种模式符合大纲要求，有一定的可行性，但也有缺点。中职学生个性鲜明、学生能力差异较大，况且中职学校没有普通高中的统一升学目标，改革空间较大。针对这些情况，我在教学时调整了教学，在班级教学中采用递进教学法，这种教学法就是按照学生的差异分出不同的程度，给不同程度的学生提出不同的目标，让他们循序渐进，通过分层次、差异性教学，使不同层次的学生都能进步，实现分层递进效果。

三、分层递进教学法的实施策略

1、学生分组、分层策略

对学生分组、分层是为了充分挖掘每个学生的潜能，这是实施分层递进式教学的重要指导思想。对学生的分组、分层不能够单纯以学习成绩为依据简单划分，这样偏差往往较大，而应综合、动态地分析和研究。我的做法是先了解学生各门课程测验和考试的综合成绩，然后结合学校实训场室等因素大致分成若干组，每个小组4至5人，每小组都包括三个层次学生（A层、B层、C层，其中A层是优秀层次，B层是中等层次，C层是基础层次，各层次人数比例是： A：B：C＝1：3（或2）：1），这种组合人员均衡，有利于组间竞争；再根据平时对学生智力因素和非智力因素进行全面分析，进行综合能力评价，特别注意对有特长学生的的评价，合理调整；最后要以动态、发展的观点研究学生，被分层、分组的学生不是一成不变，当学生取得进步时，要及时对原方案作出调整，防止出现“贴标签式”的负效应。比如，我在《局域网组建》课程进行实训时，有的C层或B层学生在完成相对容易的任务后不主动向更高层次任务挑战，甚至有C层学生觉得自己被分配到基础层后觉得没面子，出现了不主动配合小组的现象。针对这一情况，我重新修改了部分方案：让个别小组在接受分任务后进行分析，小组成员根据每个分任务的难易程度自主选择任务，通过自适应原则来决定自己的层次。调整方案后，解决个别学生的心理难关，学生的积极性也得到了较大提高。

2、教学目标分层策略

教学目标的分层设置是有效实施分层递进式教学的重要因素，目的在于让各个层次的学生能够在教学活动中达到适合自己的不同目标。设置的分层目标既要达到课程的基本要求，确保绝大多数学生能够掌握基础知识和技能，还要体现“补差”、“提优”原则，让基础层次和优秀层的学生都能得到不断得到照顾和满足，通过让不同层次的学生向各自的不同目标逐步迈进，积少成多使学生整体推进，全面提升。例如：我在“局域网组建组网实例”教学中，我将教学目标分三个层次：基本目标、应用目标、提高目标。基本目标：能说出网络组建过程中的软硬件名称、作用，懂得工具的正确使用；应用目标就是能够按部就班地组搭建局域网，懂得各种网络服务的常规使用；提高目标不仅能根据实际情况设计出相应类型的局域网，还会有效地管理和利用网络服务。学习有困难的学生达到基本目标即可，学有余力的学生要达到或超过提高目标，形象地说，教学目标设置遵循“下要保底，上不封顶”的原则。

3、选择教学方法策略

教学方法，就是为了达到教学目标而使用的方法和途径。在递进教学过程中如何针对不同层次的学生采取教学方法以达到不同的教学目标？我主要做到以下几方面：

（1）学法指导。基础层的学生以模仿性学习为主，举三反一的方法，让学生在模仿中慢慢找出规律。我主要安排了微课教学，让这一层的学生还可以通过课前或课间观看视频教学，按照视频教程进行学习，让这部分的学生学好基础，为下一步学习打好根基；中等生以巩固学习为主，巩固强化基础知识和基本技能，我通过多种网络练习和实验内容，让这一层学生够巩固所学知识；优秀层学生则以创造性的学生为主，给其提出任务后，采用任务驱动的方法，我并不告诉他们完成任务的方法，而是让他们自己探索，让他们在质疑中开发智力，形成能力。如在教学《DNS服务器综合应用》时，我通过“钓鱼网站——仿真网站，利用相同的网址指向不一样的页面”的现象激发这层学生的兴趣后，再以设计的若干任务驱动这部分学生学习新知，层层递进，从而强化学生自学和创新能力。

（2）落实知识时要注意轻重缓急。对于差础层的学生按照课程的大纲要求，落实单一的知识点，落实速度应该放缓；对于中等层的学生落实较为全面的知识和技能，实施速度适中；对于优生则在纵向和横向加于开拓，形成知识网络，实施速度要稍快。

4、辅导策略

班级课堂教学主要是面向中等生，适合中等生的学习需要，而分层递进教学是因材施教在班级教学中的有效运用，目标是让每一层次的学生在原有的基础上都得到提高，因此，分层递进教学着眼点应该在“优秀层”和“基础层”，解决这两头的问题在于如何进行个别辅导。我在课前预习时，指导优秀生要扩大知识面和加深学习，指导差生抓住基础知识，围绕重点进行学习；在课堂中，指导优秀生多进行拓展练习，指导差生多练基础知识；在课后复习，指导优秀生加大难度，多拓展思维，指导差生进行达标练习。

5、互助策略

在分层递进教学模式中组织的课堂教学中，每一个小组包括不同层次、类型的学生，在自主学习过程中能达到的级别和掌握情况不尽相同，学生的这种差异主要源于不同的背景和经验等因素，充分利用这种差异资源是分层递进教学的关键因素。那么，如何充分利用这种资源？学生互助学习是一种比较有效的方法。互助学习是学生以小组的形式参与，为达到共同的学习目标，在一定的激励机制下为获得最大化个人和小组学习效果而互相合作的行为。我在《局域网组建》小组教学时充分利用这种资源进行教学，通过以下措施指导学生进行互助：（1）、合理搭配小组成员，优秀生、中等生、差生除了考虑分层策略，还要考虑学生的兴趣、爱好、同伴关系等方面，便于优等生辅导困难学生。（2）、精心设计任务。任务驱动下的学习更有利于促进学生的互助，比如，在“无线局域网络组建”这一项目教学过程中，我让同学们假设自己是企业网络管理员之一，要为企业组建无线局域网，首先以角色转换来调动学生的兴致，接着划分以下任务：○1需求分析准备；○2拓扑结构设计；3实施任务；4测试反馈，然后再通过分层、分组策略确定小组成员的分工，○○组长制订计划并书面汇报给老师，我最后给出修改意见并提出“分工不分家”的要求，让小组根据任书协作完成整个任务。最后完成的结果令人非常满意——小组同学为了达到任务要求，既有分工又有合作，各个层次的学生都能出色地完成自己的分任务，并且有小部分学生信心满满，主动提出要帮助其它小组的同学。

6、评价策略

教学评价从功能上有：诊断性评价、过程性评价、终结性评价。诊断性评价就是有关学生能力和课前知识技能的评价，为确定教学目标、教学方法提供帮助；过程性评价是了解学生在学习过程的每一步怎么样，及时提供矫正反馈；决定学生最终学成绩的等级评定就是终结性评价。我在中职《局域网组建》课程教学，主要做到以下几点：

（1）、过程性评价要及时、细致

过程性评价主要包括平时课堂练习、课堂作业，实训任务等等，课堂练习主要是理解所学内容的实时反馈，作业是课堂的巩固反馈，实训任务是操作技能反馈。一部分信息技术教学的课堂，教师布置练习但由于工作过于繁忙而没有细致检查，长时间下来学生发觉抄袭或不做作老师也不知道；还有一些课堂，教师虽然批发作业，但只是大致给一个等级评价，而没有写出作业的相关问题或优缺点，不久学生明白只要交作业就行，至于做到怎么样不重要。因此，在过程性评价中做到及时、细致尤为重要。

（2）、评价要有广泛性，更具公平性

当前在信息技术课堂中存在一些评价不合理的现象：每节课结束前几分钟都要展示几个优秀生的作品，认为这是评价的一个环节。但我觉得这种做法不够代表性，因为分层递进教学的思想是“全民参与、各有所得”，那么，只评价几位学生的作品，怎么具有代表性？又如何保证所选作品是最优秀的？因此，我在课堂教学中，我会安排稍多的时间，作较为广泛的全面评价。比如我在《局域网组建》课程每一次的练习评价中，每一小组的完成情况都作评价，甚至有的小组在指定时间没能完成任务，我也会作评价，因为越晚完成的作品，可能经过不断完善，作品可能越优秀。

（3）善于利用激励评价

让学生体验成功、感受成就、被同伴认可，是激励学习动机、激发创意的有效途径，在评价过程中要善于利用激励机制，最大限度地调动学生学习积极性。我在教学实践中，探索了有效的评价激励机制——利用班级QQ群空间，设置了“网络高手”、“合作栏目”、“最新网络资讯”等项目，建立起学生自信心，激发了学生的学习热情。

通过分层递进教学后，有效地消除了学生的厌情绪，学生的积极性的跟随学习成效不断加强，学生的学习成绩、技能水平不断提高，优秀层次的学生数量不断扩大，学生之间的差距不断缩小，主动、积极、互助、探究的学习氛围逐渐形成，学生认识自己、控制自己的能力得到增强。

[参考文献] [1]祝朝映.《中小型局域网组建与实训》.科学出版社，2008 [2]王涛斌 《分层教学理论在信息技术教学中的运用》

浅谈局域网的安全与防护策略 第3篇

关键词：局域网；威胁；信息安全；病毒防治

1 引言

随着信息化的不断扩展，各类网络版应用软件推广应用，计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要。

2 局域网安全现状

广域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患。目前，局域网络安全隐患则是利用了网络系统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。局域网主要面临的安全威胁有如下几条：

2.1 蠕虫泛滥，业务瘫痪

由于打补丁不及时，网络滥用，未采取任何有效防护措施就连接到外网及公网环境中；不安装杀毒软件，即使安装了也未及时升级，以及安全配置等处于不正常运行状态，导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失，从而为正常业务带来灾难性的持续的影响，给企业信息基础设施，企业业务带来无法估量的损失。

2.2 外部非法接入，内部非法外联

网络中用户随意增减调换终端硬件配备、操作系统随意更换、各类应用软件胡乱安装卸载，各种外设、移动设备（笔记本电脑等）无节制使用，新增设备未经过安全检查和处理违规接入或者入侵内部网络，带来病毒传播、黑客入侵等不安全因素。

2.3 系统安全配置薄弱，重要信息泄密

局域网建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置，例如，账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，导致软件系统的安全配置成为“软肋”、有时可能严重未配置漏洞，完全暴露给整个外部。如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患，黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。

2.4 软件漏洞隐患，补丁管理混乱

局域网通常由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是各网络用户的各种应用软件不胜繁杂，每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者成为攻击整个局域网媒介，危及整个企业网络安全。各网络用户不了解系统补丁状态，不及时打补丁，也没有办法统一进行补丁的下载、分析、测试和分发，从而为蠕虫与黑客入侵保留了通道。

3 局域网安全威胁分析

在局域网中由于通过交换机和服务器连接网内每一台电脑，因此网内信息的传输速率比较高，同时其采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：

3.1 欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据，以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。

3.2 服务器区域没有进行独立防护

局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。

3.3 计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。近几年，随着犯罪软件汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。

3.4 局域网用户安全意识不强

许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。

3.5 IP地址冲突

局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，网络管理员解决起来也有一定时间。

正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。

4 局域网安全控制与病毒防治策略

局域网的安全威胁所造成的损失是显而易见的，如何保护使其遭受的损失减少到最低限度，是目前网络安全研究人员不断探索的目标。笔者根据多年的网络系统集成经验，形成自己對网络安全的理解，阐述如下。

4.1 安全体系

笔者认为比较完整的局域网安全体系包括安全产品、安全技术和策略、安全管理以及安全制度等多个方面，整个体系为分层结构，分为水平层面上的安全产品、安全技术和策略、安全管理，其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度，从上至下地规定各个水平层面上的安全行为。

4.2 安全产品

安全产品是各种安全策略和安全制度的执行载体。网络安全产品的选择应该是建立在相关安全产品能够相互通信并协同工作的基础上，即实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动，以实现最大程度和最快效果的安全保证。

4.3 安全技术和策略

4.3.1 利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用，是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问的目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略，强制计算机用户设置符合安全要求的密码，包括设置口令锁定服务器控制台，以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合要求的计算机在多次警告后阻断其连网。

4.3.2采用防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：

①深度数据包处理。深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。

②IP/URL过滤。一旦应用流量是明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本类型的攻击。

③TCP/IP终止。应用层攻击涉及多种数据包，并且常常涉及不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址，检查访问的IP地址或者端口是否合法，有效的TCP/IP终止，并有效地扼杀木马。时等。

④访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。

4.3.3 封存所有空闲的IP地址，启动IP地址绑定采用上网计算机IP地址与MCA地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

4.3.4 属性安全控制。它能控制以下几个方面的权限：防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。

4.3.5 启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

4.4 安全管理

安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统，有了好的安全工具和策略，还必须有好的安全管理人员来有效的使用工具和实现策略。增加安全意识和安全知识，加强员工的网络安全培训，从下面几方面进行培训：

4.4.1 加强安全意识培训，让每个网络用户明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。

4.4.2 加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。

4.4.3 加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、數据的共享等网络基本知识，树立良好的计算机使用习惯。

4.4.4 尤为重要的是加强培训网络管理员，通过必需的培训能够随时掌握网络安全的最新动态，实时监控网络上的用户行为，保障网络设备自身和网上信息的安全，并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施，同时对已经发生的网络破坏行为在最短的时间内做出响应，使企业的损失减少到最低限度。

4.5 安全制度

网络安全的威胁来自人对网络的使用，因此好的网络安全管理首先是对人的约束，企业并不缺乏对人的管理办法，但在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理，企业的领导必须首先认识到网络安全的重要性，惟有领导重视了，员工才会普遍重视，在此基础上制定相应的政策法规，使网络安全的相关问题做到有法可依、有据可查、有功必奖、有过必惩，最大限度地提高员工的安全意识和安全技能，并在一定程度上造成对蓄意破坏分子的心理震慑。

4.6病毒防治

病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染，防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，主要从以下几个方面制定有针对性的防病毒策略：

4.6.1增加安全意识和相关知识，对网络用户定期进行培训。首先明确病毒的危害，文件共享时尽量控制权限和增加密码，对来历不明的文件运行前进行查杀等，都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒，主观能动性起到很重要的作用。

4.6.2小心使用移动存储设备。在使用移动存储设备之前不要先急于打开，要进行病毒扫描和查杀后方可使用，如此即可将病毒拒绝在外。

4.6.3 安装防病毒网关软件。防病毒网关放置在内部网络和互联网连接处。当在内部网络发现病毒时，可能已经感染了很多计算机，防病毒网关可以将大部分病毒隔离在外部，它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时，管理员只要将防病毒网关升级就可以抵御新病毒的攻击。

4.6.4挑选网络版杀毒软件。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错，能够熟练掌握瑞星杀毒软件使用，及时升级杀毒软件病毒库，有效使用杀毒软件是防毒杀毒的关键。

通过以上策略的设置，能够及时发现网络运行中存在的问题，快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、准确的切断安全事件发生点和网络。

5 结束语

局域网我们的工作带来便捷的同时也带了隐患，要想使其发挥出更大的作用，就必须对这些隐患采取一定的措施来进行防止。引起计算机网络安全问题的因素不同，所采取的防范策略也不同，因此，防范策略的实施和运用也不要盲目，否则不仅没有缓解网络安全问题，反而使得网络安全问题更加严重，人们受到更大的危害。局域网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献

[1]冯普胜.ARP病毒处理方法.内蒙古电力技术，2008，（5）。

[2]杨义先、钮心忻，网络安全理论与技术，人民邮电出版社，2003。

[3]李辉，计算机网络安全与对策，潍坊学院学报，2007，（3）。

医院局域网的安全策略 第4篇

信息化的发展和医院信息管理系统的建立为医院内部各个部门之间的信息流通和管理的使用提供了更加先进便捷的条件, 大大提高了医院的工作效率, 推进了医院的现代化管理。我院作为浙江省首批三级甲等中医院, 在业务量的大幅提升的同时也考验着医院内网的负载能力, 为了保证医院信息管理系统的稳定性和安全性, 医院局域网的科学管理尤为重要。

1.1 网络综合管理

网络综合管理主要是局域网链路和相应设备的管理。

1.1.1 物理隔离

现在互联网鱼龙混杂, 各种病毒都潜伏在其中, 虽然局域网电脑有一定的病毒防护措施, 但是无法做到病毒库的实时性, 而且无法预知一些新型病毒, 所以医院局域网电脑和互联网电脑通过两套完全隔离的网络拓扑进行传输, 确保病毒无法通过网络途径传输进来。而且医院是一个比较特殊的单位, 各种病人的医疗数据都是个人隐私, 一旦泄露, 将对医院的声誉和病人的权益造成无法估量的损失, 虽然这样提高了硬件设施的投入, 但是保证了局域网电脑不受外部的攻击, 网络安全性得到提高, 并且可以避免医疗数据的外泄。

1.1.2 交换机管理

交换机是网络安全管理的核心部件, 所以对于交换机的管理变得尤为重要。熟悉核心交换机、楼层交换机的配置文件, 定期做备份操作, 定期查看日志文件, 排查安全隐患;网络的vlan划分规则化, 明确网段的分布, 避免因为IP地址冲突问题造成网络的中断;定义各个交换机的管理地址, 便于远程操作交换机, 配置各个端口的信息, 新增设备时开启端口;掌握全院的网络拓扑图, 标注交换机各个端口的上联和下联, 便于查找网络故障;局域网中的网络点要和交换机上的端口一一对应, 将没有使用的交换机端口关闭, 并且在网络的末端避免小型集线器hub的使用, 因为集线器无法对接入的设备进行管理和限制, 容易形成网络盲点, 使用不当时还会使上联交换机出现广播风暴。有条件的医院可以为交换机配置一套管理软件, 使得管理工作从命令的手段提升到可视化操作阶段, 提高工作效率。

1.1.3 准入控制

现在的网络架构越来越复杂, 终端安全是影响信息系统安全的根源——这个观点已经被计算机业界所接收, 所以终端准入技术已经被越来越多的单位所接受, 终端准入控制根据预定安全策略, 对接入网络的终端进行身份认证和安全性检查, 确保可信、安全的终端访问网络, 拒绝或限制不安全终端的接入。对于医院这种终端设备相对稳定的单位, 准入技术的可操作性相对也比较强, 对需要接入网络的设备进行检测, 检测通过的给与网络访问权限, 不通过的进行隔离或者修复, 以确保可信的设备接入网络。

1.2 系统综合管理

网络中最大的不确定因素就是客户端了, 它是网络中唯一和外界交互的地方, 所谓的客户端管理, 基本上就是以计算系统综合管理为主, 计算机管理那是一个老掉牙的问题了, 但是如何能系统的将它管好, 适应单位的需求, 花最少的人力物力, 那也是需要管理人员动一定脑筋的。

1.2.1 选择系统

医院内网电脑, 功能比较单一, 基本上以满足诊疗过程需要为主, 可以选择一套比较纯净、功能完整的操作系统, 避免使用ghost系统, 以免出现一些意想不到的bug, 完成以后, 要分配合适的权限, 以满足用使者的需求。权限过大了会提高操作人员误删而造成系统破坏的风险, 过小了会影响软硬件功能的使用。配置局域网补丁更新, 使用微软自带的补丁更新服务, 从指定的服务器下载必要的补丁, 提高系统的安全性。

1.2.2 软件安装

安装一些必要的软件, 这其中优良的局域网杀毒软件和桌面管理系统必不可少, 杀毒软件要做到实时更新病毒库, 当有病毒入侵时尽可能的抵御病毒的破坏。桌面管理系统起到禁USB存储设备、禁光驱、远程连接的功能, 即方便计算机管理者进行远程维护, 又最大限度的断绝了外界和局域网的联系, 切断病毒传播的路径。

1.2.3 系统备份

在完成计算机的所有设置以后, 做一份最完整的系统备份是非常有必要的, 当计算机出现一些异常情况, 系统被破坏, C盘损坏, 系统变慢, 都可以用完整的系统备份进行还原, 只要几分钟, 系统就和全新安装的一样了。

2 展望未来

医院信息科的网络管理工作是永无止境的, 随着计算机网络技术的发展, 各种新技术应运而生, 作为信息科工作人员, 必须顺应时代的发展, 努力去学习新技术, 促进医院信息化建设的发展。

摘要：随着信息技术的发展和医疗卫生管理要求的不断提高, 医院的计算机网络系统已经遍布医院日常业务活动的各个角落。医院的计算机系统一旦崩溃, 将会造成无法估计的损失。因此确保医院计算机网络的安全就变得非常重要。本文将从本院的实际出发, 探讨局域网管理的方法和存在的不足。

关键词：局域网,安全,系统,网络

参考文献

[1]谢沂伯.试析医院日常网络维护和管理.电脑编程技巧与维护, 2013

[12][2]冉建忠.浅析医院信息网络安全管理.计算机光盘软件与应用, 2013

局域网的安全管理策略 第5篇

随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多，病毒等不安全因素传播的能力和途径也由原来的单一、简单变得复杂、隐蔽。尤其是Internet环境和企业网络环境为病毒等不安全因素传播、生存提供了环境。针对企业局域网络中存在的各种不安全因素.管理的不完善、人为的蓄意破坏以及技术上的漏洞等问题，本文提出提高企业局域网信息安全管理的策略和方法。

一、基于工作站的防治技术

工作站防治病毒的方法有三种：一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力，但需人为地经常去启动软盘防病毒软件，因而不仅给工作人员增加了负担，而且很有可能在病毒发作后才能检测到。下载防病毒软件要到知名度高、信誉良好的站点,通常这些站点软件比较安全。不要过于相信和随便运行别人给的软件。要经常检查自己的系统文件,注册表、端口等,多注意安全方面的信息,再者就是改掉 Windows关于隐藏文件扩展名的默认设置,这样可以让我们看清楚文件真正的扩展名。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。

二、基于服务器的防治技术

网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮，造成的损失是灾难性的、难以挽回和无法估量。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM)，以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。

三、基于企业内部非法活动的防治技术

1.身份认证

网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的第一道防线，也是最重要的一道防线。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的用户的身份。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。

2.流量监测

目前有很多因素造成网络的流量异常，如拒绝服务攻击(DoS)、网络蠕虫病毒的传播、一些网络扫描工具产生的大量TCP连接请求等，很容易使网络设备瘫痪。这些网络攻击，都是利用系统服务的`漏洞或利用网络资源的有限性，在短时间内发动大规模网络攻击，消耗特定资源，造成网络或计算机系统瘫痪。因此监控网络的异常流量非常重要。流量监测技术主要有基于SNMP的流量监测和基于Netflow的流量监测。目前有很多流量监控管理软件，此类软件是判断异常流量流向的有效工具，通过流量大小变化的监控，可以帮助网管人员发现异常流量，特别是大流量异常流量的流向，从而进一步查找异常流量的源、目的地址。处理异常流量最直接的解决办法是切断异常流量源设备的物理连接，也可以采用在路由器上进行流量限定的方法控制异常流量。

3.漏洞扫描

对一个网络系统而言，存在不安全隐患，将是非法人员攻击得手的关键因素。就目前的网络系统来说，在硬件、软件、协议的具体实现或系统安全策略方面都可能存在一定的安全缺陷即安全漏洞。及时检测出网络中每个系统的安全漏洞是至关重要的。安全扫描是增强系统安全性的重要措施之一，按功能可分为：操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。网络漏洞扫描系统，是指通过网络远程检测目标网络和主机系统漏洞的程序，它对网络系统和设备进行安全漏洞检测和分析，从而发现可能被入侵者非法利用的漏洞。定期对网络系统进行漏洞扫描，可以主动发现安全问题并在第一时间完成有效防护，让攻击者无隙可钻。

四、企业局域网安全管理措施

有了先进完善的网络安全防范技术体系，如果日常的安全管理跟不上，同样也不能保证企业网络的“高枕无忧”：可以说规划制定一套完整的安全管理措施是网络安全防范技术体系的补充。它会帮助校正企业网络管理上的一些常见但是有威胁性的漏洞。它主要包括以下措施：

1.随着企业局域网的不断应用，应当同步规划网络安全体系的技术更新同时.为了避免在紧急情况下，预先制定的安全体系无法发挥作用时，应考虑采用何种应急方案的问题应急方案应该事先制订并贯彻到企业各部门。事先做好多级的安全响应方案.才能在企业网络遇到毁灭性破坏时将损失降低到最低，并能尽快恢复网络到正常状态。

2.扎实做好网络安全的基础防护工作

(1)服务器应当安装干净的操作系统，不需要的服务一律不装，同时要重视网络终端的安全配置，防止它们成为非法人员和病毒的跳板。

(2)遵循“用户权限最小化”的网络配置原则，设置重要文件的访问权限，关闭不必要的端口，专用主机只开专用功能等。

(3)下载安装最新的操作系统、应用软件和升级补丁对系统进行完整性检查.定期检查用户的脆弱口令，并通知用户尽快修改。

(4)制定完整的系统数据备份计划.并严格实施，确保系统数据库的可靠性和完整性。

局域网的安全管理策略 第6篇

关键词：局域网；安全隐患；防治策略

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 (2012) 10-0072-01

一、引言

随着我国企业信息化建设的不断推进，许多企业、学校以及其他相关机构都相继建成了自己内部的局域网并连入互联网，局域网在信息化建设中发挥出至关重要的角色。然而，必须看到，随着局域网规模的急剧膨胀，局域网用户的快速增长，怎样保证局域网能正常的运行而不会遭遇各种各样的网络黑客的攻击就成为我们不可回避的一个紧迫问题，解决局域网存在的安全隐患刻不容缓。

二、局域网存在的安全隐患

（一）计算机病毒能够利用局域网的薄弱环节来对于局域网发起攻击

计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。在现有的局域网中的计算机操作系统以及局域网设备中，通常都会存在着一定的缺陷，特别是在局域网内部的计算机的系统软件方面存在着漏洞。所以，计算机病毒能够利用软件的破绽以及软件设计的过程中由于疏忽而留下的“后门”而对于整个局域网大肆发起攻击。

（二）局域网中的目录共享会导致信息的外泄

在局域网中，通过在对等网中对计算机中的某个目录设置共享来实现相关的文件以及重要的数据的传输和共享是人们经常会采用的一个方法。然而，局域网中的目录共享会导致信息的外泄，连在网络上的所有计算机都能够对于已经设置共享的目录进行访问。例如，笔者试图搜索过外网的某一台计算机的一个C类IP地址网段，发现共享的计算机就有十几台，而且许多计算机是将整个C盘、D盘进行共享，并且在共享时将属性设置为完全共享，同时没有设置密码保护方案，在这种情况下，只要将其映射成一个网络硬盘，就能够对于所共享的资料、文档等等进行随意地窃取、修改和破坏，这会造成非常严重的损失。

（三）局域网用户的网络安全意识淡薄

在局域网中，非法入侵他人的计算机，盗用他人的账号进行权限范围之外的非法操作、借助于局域网内部的邮件系统的途径来骚扰他人等事件时常出现，而其中一大部分的非法访问源自局域网内部，这就体现出局域网内部的用户安全意识非常淡薄，加强对于局域网用户的网络安全教育，建立健全局域网安全机制迫在眉睫。

三、针对于局域网存在的安全隐患的防治策略

（一）安装防火墙，合理设置访问控制列表

防火墙是一种行之有效且应用广泛的局域网安全机制，能够避免计算机网络中的不安全因素扩散至局域网内部，因此，防火墙是保证局域网安全的重要一环。为了保证局域网安全，应该在安装防火墙的同时，合理设置访问控制列表，从而有效地限制外来访问和对外访问，能够禁止无关的对外访问，避免不必要的对外访问，达到节约局域网带宽、防范于未然的目的。

（二）采用入侵检测系统

入侵检测技术是为了确保局域网内部的计算机系统的安全而设计和安装的一种可以将局域网存在的安全隐患科学有效地检测出来的一种技术。通过入侵检测系统的应用，可以及时有效地识别出局域网内部的异常现象，并且对于这些异常现象进行限制。通常情况下，同时采用基于网络的和基于主机的入侵检测系统的效果最佳，能够构架成一套完整立体的主动防御体系，真正确保局域网的安全。

（三）局域网管理员应该做好计算机操作系统权限管理以及密码管理

局域网管理员应该定期打开“计算机管理”，对于用户和组里是否存在非法用户进行认真地排查，特别要注意对于具备管理员权限的非法用户进行排查。局域网管理员应该将计算机默认提供的Guest用户禁止掉，从而避免黑客通过Guest用户来控制计算机。与此同时，局域网管理员应该将Administrator账户通过改名以及设置非常复杂的密码的方式来避免非法用户的入侵。另外，如果局域网内部的计算机安装了MS-SQL SERVER，就一定要及时将危险的存储过程删除，避免黑客利用软件漏洞发起攻击。

（四）局域网管理员应该定期监测系统日志

局域网管理员应该定期查看系统日志记录，从而能够及时有效地发现问题并且解决问题。对于系统日志，要求所有人都不能够随便动手删除，并且对于重要的日志记录以及局域网安全解决策略一定要进行记录并且备案，以备下次出现同样的问题的时候能够借鉴以前的经验。

（五）局域网管理员应该定期对服务器进行备份与维护

为了避免不能预料的局域网故障或者用户不小心的非法操作，局域网管理员应该必须定期备份服务器上的重要系统文件，比如操作系统盘、用户账号等。文件资料可以用RAID方式进行每周备份，重要的资料必须保存在另外的服务器上或者备份在光盘中。局域网管理员应该定期监视服务器上资源的使用情况，将过期和无用的文件及时删掉，从而保证服务器能够高效运行。

（六）加强局域网用户的法制教育和德育教育

局域网用户在使用计算机的过程中出于兴趣和好奇而进行的相应的操作和验证，会给局域网的管理和监测造成许多困难。怎样去正确引导局域网用户就成为我们工作的重点之一，作为局域网管理人员，一定要想方设法加强局域网用户的法制教育和德育教育。

四、结束语

综上所述，本文对于局域网存在的安全隐患及其防治策略提出了自己的一些看法。希望通过本文的研究，能够真正保证局域网的安全，保证局域网内部的硬件、软件及其计算机中的数据都能够受到保护，切实保证局域网的顺利运转，使局域网建设能够为人们的工作、生活和学习带来更多的方便。

参考文献：

[1]李海燕,胡新征,邱奎元.谈局域网硬件维护及网络安全[J].信息与电脑(理论版),2010,1

[2]戴丽娟,罗文武.局域网硬件维护与网络安全维护策略[J].数字技术与应用,2011,2

[3]王晓艳,冯大伟.浅析局域网硬件维护[J].医疗装备,2008,11

[4]汤梓瑶.刍议局域网的维护及常见故障的解决措施[J].中国科技信息,2009,16

校园局域网的安全分析与策略设计 第7篇

近年来网络技术及其应用的蓬勃发展, 同时也深深地影响着学校的教学和生活, 随着学校教育的信息化和网络化的发展, 校园网已经成为我们不可或缺的一部分。校园网是学校进行教学、科研、管理工作和各类信息交流沟通的应用平台, 是一个集软件系统和硬件于一体的具有多媒体教学、办公自动化、图书信息管理、教务学籍管理、视频点播、远程教育等综合功能的计算机校园局域网。随着教育信息化进程的推进, 几乎所有学校都建立了校园网络并投入使用, 把分散于学校内部的各个用户连接起来的同时, 并与因特网连接, 它为学校教学、科研提供先进的信息化教学环境, 是提高管理水平和科研水平不可缺少的支撑环境, 同时也带来了诸如网络信息保密、网络安全、病毒防护等新问题, 因此校园局域网的安全问题日益成为网络安全的研究热点, 必须建立完善的全面的校园网络安全策略和管理制度, 才能确保校园网安全、稳定、高效地运转。

1 校园局域网面临的攻击

由于教学逐步走向网络化、多媒体计算机教学越来越普及、师生科研学习对网络的依赖越来越大, 校园网用户群密集, 网络安全问题蔓延快, 要保证校园网的稳定可靠, 必须正确地分析校园网的安全隐患。

(1) 防火墙是一种有效的安全工具, 它可以隐蔽内部网络结构, 限制外部网络到内部网络的访问。防火墙重点解决如何有效防范外部非法入侵问题, 但它总是假定来自内部网络的访问都是合法的、安全的, 于是对于内部网络之间的访问, 防火墙往往是无能为力的。因此, 对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为, 诸如对校园网的重要服务器的攻击, 对外部网络的攻击等, 防火墙是很难发觉和防范的。

(2) 利用系统和应用程序的漏洞。现有的程序, 或多或少都存在BUG, 甚至安全工具本身也可能存在安全的漏洞。恶意用户可以利用一些专用程序对系统进行扫描, 利用发现的安全缺陷侵入系统, 获得各种用户权限, 从而危害系统的安全。有些应用程序BUG也经常被黑客利用, 而且这种攻击通常不会产生日志, 几乎无据可查。

(3) 应用服务器的攻击。校园网中较易受玫击的应用服务器主要是DNS服务器和Web应用服务器。

WEB应用程序服务器是可以被公开访问的, 并且与后端的数据库服务器紧密相连, 后端数据库服务器存储着海量的信息令黑客垂涎三尺, 它可以集成多种应用, 如FTP、E-Mail、数据库等, 这种集成性也使WEB服务成为最脆弱的服务器之一。针对WEB服务器的攻击方式主要有三种:SQL注入式攻击、Blind SQ L注入式攻击和跨站点脚本攻击。

由于DNS服务使用UDP协议, 因此DNS服务器也容易受到恶意用户的攻击。主要的攻击有:缓存区中毒、拒绝服务、域劫持和泄露网络拓扑结构 (设置不当的DNS将泄露过多的网络拓扑结构) 。

(4) 局域网内部的ARP攻击, 因为这种攻击是利用ARP请求报文进行“欺骗”的, 所以防火墙会误以为是正常的请求数据包, 不予拦截, 因此普通的防火墙很难抵挡这种攻击。可能导致IP地址冲突, 不能进行正常的网络通信。

(5) 单机的资源共享 (针对WinXP专业版) 。XP在提供了IPC$ (Internet Process Connection) 功能的同时, 在初次安装系统时还打开了默认共享, 即所有的逻辑共享 (c$, d$, e$......) 和系统目录Winnt或Windows (admin$) 共享。微软的初衷都是为了方便管理员的管理, 但在无意中, 却导致了系统安全性的降低。

(6) 网站的恶意代码。校园网内部用户非法访问黄色、暴力发动等网站, 由于这些网站通常很有可能带有恶意代码, 在浏览网页时, 无形当中可能将木马、蠕虫等病毒程序带入校园网。在校园网中还有一种最常见的恶意程序传播就是移动存储介质的使用, 特别是U盘和移动硬盘的普及, 其支持程序自动运行, 当其感染了恶意程序时, 这些恶意代码就有可能自动感染计算机。

(7) 网络嗅探。网络嗅探对普通的内部用户来说, 操作简单且威胁巨大, 其可以通过捕获网络中的数据包, 对数据包进行分析, 从而可能获得账号密码、机密信息、泄露网络结构等。

2 校园局域网的病理

(1) TCP/IP的缺陷。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且, 由于TCP/IP协议簇完全公开, 因此, 利用TCP/IP协议簇的漏洞进行的网络攻击, 对网络进行侦听、搜集用户相关信息, 进行危害系统安全的活动。

(2) 对内、外网间的防火墙过度依赖。防火墙技术在一定程度上可以保护内部用户免受外部的攻击, 但其不能防止外部黑客利用IP数据报分片的方法穿透防火墙。如把IP协议允许IP包分割, 并使用分片覆盖机制, 前面的分片设置一些欺骗信息, 后面的分片带有真正攻击信息。这样, 在目标系统将分片重组时, 后面带有真正攻击信息的分片可以将前一个分片的部分信息覆盖掉, 从而可以骗过防火墙的检测;防火墙也不能防御源路由攻击。如把IP协议允许在IP包精心设计, 可使它发出的IP包绕过防火墙。

(3) 网络结构的不合理。校园网在设计时一般采用以太网的网络拓扑机构, 网络线路节点众多, 数据交换信息量大。特别是校园宿舍网, 网络用户多, 线路密度大, 因而不可避免地存在一些网络结构上的不合理性。

(4) 易被窃听。由于因特网上大多数数据流都没有加密, 因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

(5) 人为因素影响安全工具的设置。一个安全工具是否能实现它所到达的效果, 在很大程度上取决于使用者, 很少有人能够对系统本身的安全策略进行合理的设置, 且又缺乏安全意识, 而那些不正当的设置就会产生不安全因素。

3 校园局域网的安全策略

为了保证校园网的安全运行, 要充分考虑到所受到的安全威胁, 才能制定较为完善的安全策略。从前面的分析看, 校园网容易受到攻击, 不仅仅是校园网本身的技术漏洞, 还有很大部分的人为因素, 因此一个可靠的校园网安全体系应该从技术和管理两个方面入手。

(1) 使用主动防御技术。主动防御是一种阻止恶意程序执行的技术, 它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点, 可以在病毒发作时进行主动而有效的全面防范, 从技术层面上有效应对未知病毒的肆虐。

(2) 建立入侵检测系统。从校园网中的若干关键点收集信息, 并分析这些信息, 检查网络中是否有违反安全策略的行为和遭到攻击的迹象。对信息包的处理要求打开数据包, 进行包内容处理, 不仅是处理数据包头部分。只有通过包检测和重组, 才能检测发现到病毒/蠕虫或混合型威胁。

(3) 网页恶意代码入侵。安装具有监控注册表修改的软件, 如瑞星杀毒软件, 可监视注册表的一举一动, 看是否有恶意代码修改注册表。

(4) 关闭逻辑共享, 设置较安全的管理员账号密码。可以在注册表[HKEY_LOCAL_MACHINESYSTEMCurrent Cotrol SetServiceslanmanserverparameters]修改:"Auto Sharewks"=dword:00000000或者使用net share命令进行删除。

(5) 通过使用交换机和路由器对校园网网络拓扑结构进行调整, 将重要的服务器和系统管理员经常使用的对网络进行管理的工作站划分至一个单独的网段中, 对各个系科建立各自的VLAN, 在各个VLAN之间建立防火墙, 防止恶意用户使用专用程序或设备对重要信息进行侦听。

(6) 校园网拓扑结构主体采用星型拓扑结构, 星型拓扑结构有一个中心控制点, 连接简单, 故障检测和隔离方便, 网络访问协议简单, 服务方便, 成本低、易于管理、容易扩展, 内部网络拓扑为典型的树型拓扑结构。

(7) 为了保护DNS服务器不受攻击, 首先应当保护DNS服务器所存储的信息, 而且此信息应当由创建和设计者才能修改。对注册信息的登录方式仍然采用一些比较过时的方法的, 如采用电子邮件的方式就可以升级DNS注册信息, 必须添加安全措施, 例如采用加密的口令, 或者采用安全的浏览器平台工具来提供管理域代码记录的方式;其次是正确配置区域传输, 即只允许相互信任的DNS服务器之间才允许传输解析数据;还要应用防火墙配合使用, 使得DNS服务器位于防火墙的保护之内, 只开放相应的服务端口和协议;系统管理员也可以采用分离DNS的方式, 内部的系统与外部系统分别访问不同的DNS系统, 外部的计算机仅能访问公共的记录。

(8) 防止IP地址和MAC地址绑定破解。虽然IP地址和MAC地址绑定是解决局域网内部IP冲突的一个简单有效的方法, 但它也有缺陷, 我们可以从网卡“配置”中更改MAC地址成要盗用的MAC地址, 然后修改IP地址, 这样也可以得到同样的访问权限。为了防止上述情况发生, 保证局域网内部的正常运行, 采用IP地址、MAC地址、端口和用户ID绑定的方法来防止对其的破解。

(9) 单机安装防火墙。现在很多单机使用者的安全意识薄弱, 对计算机的安全不够重视, 认为只安装杀毒软件就可以一劳永逸, 这种误区严重影响着校园网的安全, 为了有效解决这一问题, 可以在校园网用户单机上安装防火墙, 设置规则, 对一些不使用的端口进行封闭, 可有效防止木马、后门等病毒的攻击。

(10) 漏洞扫描。使用专业程序对系统进行漏洞扫描, 及时对应用程序和系统进行升级打补丁。

(11) 流量监控和限制BT、迅雷等下载。这些下载在启动时会建立大量的连接, 产生大量的网络流量, 从而给网络带来沉重的负担, 消耗大量的带宽。为了解决这一问题可以封闭下载端口或采用限制流量策略。[下转58页]

(12) 使用数据加密和加密协议。网络中的数据包通常未加密, 这样很容易被捕获、解码得到了数据, 比如HTTP、POP3、SMTP、FTP、TELNET这些常用的协议都是没有经过加密的, 这就应该使用HTTPS、SSH等加密协议代替, 或者使用其他第三方加密软件。

要保证校园网的安全运行, 光靠技术力量是不够的, 还需要从管理层次上加大对校园网的管理:

(1) 对所有的校园网用户进行网络安全教育, 无论是学生还是教师, 让其明白校园网的安全关系到大家的切身利益, 有责任和义务维护网络的安全, 提高用户的安全意识。

(2) 建立系、科分级组织体系, 各级网管要分工明确, 定期对网络进行维护, 查看日志, 发布网络安全信息。

(3) 加强对网管的安全技术培训和自身的学习, 不断地学习和掌握新的技术和方法, 面对校园网面临的新的安全隐患, 能够及时地对针对校园网的攻击做出反应, 排除故障。

4 结论

“三分技术, 七分管理”, 加强校园局域网用户的教育, 提高安全意识, 制定完整的上网规章制度, 减少局域网内部的攻击, 通过管理手段和技术手段合理的结合, 这样校园网的安全才能有最大的保障。针对校园网的威胁手法越来越多样化, 不能只看到当前的安全, 一劳永逸, 我们任重而道远。

参考文献

[1]林海, 杨晨光, 顾巧论等.计算机网络安全[M].高等教育出版社.2003.

[2]戴逸民, 王培康, 陈巍.通信网的安全理论与技术[M].清华大学出版社.2006.

[3]杨国文.大学校园网络安全防范策略与研究[J].宜宾学院学报.2007.

[4]谭臻.校园网络安全管理中的黑客入侵与防范[J].计算机安全.2007.

[5]禤德敏.校园网络安全技术的探讨[J].企业科技与发展.2007.

[6]罗莹, 陈瓅.网络安全主流技术浅谈[J].宜春学院学报.2007.

军队局域网的物理安全防护策略 第8篇

物理安全策略的最基本措施是使内部网络与外部网络断开。从技术角度来讲, 物理安全策略的有效方法是安装防火墙。传统防火墙受限于网络拓扑结构, 对于来自内网的攻击没有防御性, 然而几乎80%以上的攻击都来自防火墙内部网络, 而新型的分布式防火墙技术却可以克服传统防火墙的缺点。分布式防火墙的基本思想是:由中心策略服务器集中定义安全策略的制定采用, 相关主机节点独立实施安全策略的执行;主机节点分散产生安全日志, 中心策略服务器则集中保存安全日志。它不仅解决了对网络拓扑结构的依赖、内部攻击以及网络瓶颈等问题, 还实现了分级策略的制定、加密技术应用的支持。结合军队实际情况, 一般某个大单位都会隶属多个子单位, 而这些子单位的物理位置各不相同, 网络拓扑结构复杂, 因此采用不受拓扑结构限制的分布式防火墙技术是比较合适的选择。

如图1所示, 中心策略服务器主要负责总体安全策略的策划、管理、分发及日志的汇总, 是整个分布式防火墙系统的核心, 主要包括安全策略、策略数据库、审计处理、审计数据库和加密认证等模块。安全策略模块负责制定访问控制策略存入策略数据库并将其分发到各个主机。策略数据库和审计数据库分别用来存放安全策略和审计日志。审计处理模块负责收集各主机产生的日志存入审计数据库, 并对其进行整理、统计和分析, 供安全管理员了解网络的安全状况, 受攻击程度和追踪攻击者时使用。加密认证模块负责对主机节点身份的认证。

主机防火墙安装在终端用户主机中, 作用是实施策略, 主要包括包过滤引擎、下载策略模块、上传日志、加密认证等模块。虽然主机防火墙对用户是透明的, 用户感觉不到防火墙的存在, 但用户却不能修改规则和绕过防火墙。包过滤引擎的功能是根据中心策略服务器发布的策略对数据包进行过滤。下载策略模块的功能是接收中心策略服务器发布的策略文件或定时到中心策略服务器上获取策略文件。上传日志模块则定时向中心策略服务器传送审计日志。

网络防火墙主要用于局域网与全军综合信息网之间的防护, 负责处理与整个局域网相关的安全问题, 规则较少, 效率较高。

2 采用物理隔离技术

物理隔离技术是指通过一定的软、硬件方法使访问内、外网的设备、线路和存储均相对独立。物理隔离安全要求:一是在物理传导上使内外网络隔断, 防止内部网信息通过网络连接泄露到外部网。二是在物理辐射上隔断内部网与外部网, 防止内部网信息通过电磁辐射或耦合方式泄露到外部网。三是在物理存储上隔断两个网络环境, 及时清除处理对于断电后会遗失信息的暂存部件, 防止残留信息出网。

结合军队局域网的实际情况, 可选择主机-信道多网隔离的解决方案, 其物理隔离网闸网络拓扑结构如图2所示。该方案主要采用了物理隔离卡、网络线路选择器和网闸三种设备。物理隔离网闸可实现比物理隔离卡更高级别的安全保护功能。隔离的是多个网络, 适合一台主机要分别访问多个不同密级的网络, 同时可确保涉密网络的绝对安全要求。

3 加强电磁防护

计算机及网络系统和其他电子设备一样, 工作时要产生电磁发射。如果敌特分子用高灵敏度的接收设备有针对性地接收我军计算机所发出的电磁辐射, 并利用专门技术进行分析、还原, 就极有可能造成系统信息泄露。另一方面, 敌特分子还可以电磁干扰的方式影响我军计算机网络系统的正常工作, 在电磁干扰很强的情况下, 我军网络系统甚至有可能被摧毁。因此, 加强对计算机系统的电磁防护也是非常重要的。

为了提高军用计算机的抗干扰能力, 首先可以在计算机的芯片和零部件上穿上干扰装置, 从而产生一种与计算机系统辐射相关的伪噪声向空气辐射来掩盖计算机系统的工作频率和信息特征。其次可以采用屏蔽的方法来衰减外界电磁扰, 保护内部的设备、器件或电路, 使其能在恶劣的电磁环境下正常工作。具体实现方法上, 可以通过电屏蔽、磁屏蔽、电磁屏蔽来实现, 也可采用金属板屏蔽、金属栅网屏蔽、多层屏蔽、薄膜屏蔽等一些特殊的屏蔽措施, 同样也能达到预期效果。

摘要：在信息技术飞速发展的今天, 网络技术被广泛的应用于军队系统, 团以上单位基本都建立了自己内部的局域网。教育训练、部队管理、信息采集等日常工作对网络技术的依赖性越来越大, 从而也使得网络安全问题日益严重和突出。物理安全是网络安全的第一道屏障, 如果物理安全得不到保证, 则整个网络系统的安全也不可能实现。文章将主要谈谈军队局域网的物理安全防护策略。

浅析局域网的数据传输及安全策略 第9篇

从局域网的表层含义中,不难发现,它是局限在一个特定范畴内的一种网络通信。它是分布在一个特定的建筑物或者是一个几公里内地理范畴内的数据通信方式。它有着数据传送速度快、传输的可靠性比较高、数据的误码率低等一系列的优点。局域网的连接是通过网络拓扑结构来实现的。网络拓扑结构是局域网中各个节点连接的主要形式和方法,构成网络的基本拓扑结构有:星型拓扑、总线拓扑、环形拓扑、树形拓扑,各个网络拓扑结构均可以相互组合,构架局域网的运行基本框架。一般,大中型的局域网都不是单一的结构,而较小的局域网可以用单一的结构。

在局域网中,数据是信息传输的实体,而信号是数据二次电子编码的过程。局域网的数据常以模拟数据和数字信号的形式存在,与之对应的信号则是模拟信号和数字信号。其中模拟数据是在特定的数据请求下发出的连续的实体数值,再转化成连续变化的电磁波式的模拟信号,从而完成数据的传递和定向点播,例如声音的传递到语音信号的传输。数值信号的运行机理和模拟信号相类似,它是信号的离散实体值,而数值信号则是以一系列的电脉冲信号存在。

局域网数据信息的交换式以数据通信的方式进行的,常用的通信方式有并行传输和串行传输两种,它们传输的局域网硬件连接设备有:网桥、路由器、网管等。其中网桥是一种典型的异构局域网中的连接设备,它可以将一种负载过重的局域网的数据传输分割为两个网段,还可以通过使用不同低层协议的网段连接成一个异构局域网。而且还可以做到在局域网内两个数据网段之间进行数据传输时,所有经过第三个中间网段的数据无需进行甄别,只是对该传输数据起到路由的作用。

2. 局域网的安全问题分析

局域网的数据传输的主要安全问题表现在:数据的截获、篡改、中断、伪造等方面,它们大都利用局域网在与外网进行数据通信时,通过不正当的手段对数据进行非法处理,从而影响了数据传输的准确性。

其中,数据的截获被称为数据的被动攻击,攻击者是通过观察某个协议的数据单元PDU的信息流,来获取数据传输协议实体的物理地址和身份,并通过研究PDU的长度和传输频率来判断数据的性质的过程。而篡改、中断、伪造则被称为主动攻击,是攻击者对传输中通过的PDU进行复制和记录、更改和删除、延时传递等处理,同时还可能将病毒置入到PDU中,这些病毒在网络的通信功能下,将自身从一个节点传送到另一个节点,并自动启动程序。这样一来,使得接收端不但得到不想要的数据,而且还会造成应用系统的紊乱,从而达到对用户数据传输破坏的目的。

3. 局域网的安全策略研究

3.1 通过IP地址绑定与IP-MAC地址解析技术的结合,避免数据资源的非法盗用

在局域网中IP是用户身份的基本标志,每个局域网内的用户都有一个与之独立的IP地址,因此,做好IP地址的安全管理就等于拿到了局域网数据传输安全钥匙。IP档案绑定式管理以及IP-MAC地址解析技术的结合,有效地实现了并对每个IP定义为唯一的属性,也就是说,只有IP地址得到IP-MAC地址解析技术确认后,才能建立与总服务器相对接的应答模式,从而保证了IP地址的安全性。

3.2 局域网密码技术,增加了数据传输的安全屏障

大部分的局域网数据传输安全内容都与密码技术有着密切的联系,我们知道数据安全传输的前提是拥有一个安全的协议,而安全协议的一个重要内容是通过加密算法来增加其安全强度。局域网的密码技术可以对IP地址的发送端数据进行伪装处理,并且可以使得数据接受端从伪装的数据中恢复出原始数据,从而有效地避免了数据传输中的篡改和窃取。

3.3 安装专门的局域网数据传输软件,提供数据传输的专属通道

局域网数据传输软件,除了能增加数据传输的速度之外,还起到了对传输数据的保护作用,它的运行机理是将数据的服务端和客户端定向合并,从而有效避免了传统共享数据带来的潜在的数据损害。该类型的软件多采用单向式传输模式,即使在传输中数据遭受到破坏也不会损伤到原数据。

3.4 通过防火墙技术实现不安全信息过滤和隔离

局域网中的不安全信息的过滤和隔离最常用的是防火墙技术,防火墙是安装在局域网内的一种控制局域网与互联网连接安全的软件,它的应用可以有效地约束局域网外的访问权限,并可以限制局域网内的用户访问部分外部网络,也就是说,防火墙应用的是授权式数据管理的模式,实施对网络信息传输中的检测、监督与分析的作用。防火墙按物理工作区可分为:数据包过滤、电路层网关、应用层网关三类。其中,数据包的应用较为广泛,它的主要功能是对局域网内接收到的每一份数据包都进行检测,同时还包括数据传输端与目标端的IP地址信息确认,对符合预设包过滤的原则的数据予以“放行”,对于不符合包过滤原则的数据进行丢弃处理。此外还有虚拟局域网技术,它应用了为局域网建立防火墙的保护机制,通过为各个交换口或者用户赋予一个特点的VLAN组,并且限制一个VLAN内的用户不能和其它VLAN内的用户直接通信,从而达到数据传输隔离的目的。

4. 总结

我们知道,局域网的数据传输带有明显的针对性和目的性,是在一特定的范围内进行的数据共享与交流的过程。从上述论述不难发现,笔者试图通过分析局域网数据传输基本原理,来发现局域网数据传输的安全隐患问题,并从问题的根源着手,提出行之有效的解决方案,为实现局域网内信息高效、快速的传输与共享,打下了良好的基础作用。

参考文献

[1]李军锋.基于局域网安全策略的研究[J].武汉船舶职业技术学院学报,2009,8(1):46-47.

[2]鄢爱兰,蒋炳炎,徐志刚.局域网安全技术的探讨[J].南华大学学报(理工版),2001,(03):79-80.

[3]刘琳.浅谈防火墙技术在网络安全中的应用[J].华南金融电脑,2009,(12):42-43.

涉密机关中小型局域网的安全策略 第10篇

随着计算机网络的发展和广泛应用, 它对社会经济、文化以及科学和教育都产生了极其深远的影响。计算机网络发展呈现出以下三大特点:一是网络系统规模不断扩大;二是网络系统复杂度增加;三是在一个网络内经常会由于集成了多个计算机和网络厂家的产品而出现在一个网内存在多个网管的现象。与此同时, 我们又发现计算机网络的广泛应用也产生了一些新的问题, 比如站点被攻击、重要数据被盗用等计算机网络安全问题, 使计算机网络面临极大的挑战。如何在安全的计算机网络环境下办公成为计算机网络技术的一个重要领域, 尤其是局域网安全问题。现在的许多单位都有自己的局域网, 特别是涉密机关单位, 许多涉密的数据关系着小到每个人, 大到国家的切实利益, 一旦出现问题后果不堪设想。如何使这些重要的数据在局域网中安全的正常的使用, 是我们亟待解决的问题。本文从局域网安全管理出发, 提出了涉密机关中小型局域网的安全策略。

二、涉密局域网所面临的安全问题

当前, 对安全保密要求较高的政府部门和工商企业而言, 涉密局域网主要面临以下安全问题:

2.1 不安全的网络体系

在网络安全领域, 我们始终无法回避黑客/骇客 (Hacker/Cracker) 的存在, 并且, 随着黑客攻击软件功能不断强大、操作不断简化及获取更加简便, 有越来越多的人参与到攻击中来, 导致黑客攻击事件呈现不断上升趋势。成千上万的黑客无时无刻地扫描存在漏洞的计算机系统和缺乏有效保护的网络。如果局域网没有得到应有的维护和保护, 例如服务器操作系统没有及时安装补丁程序、没有良好地执行网络隔离措施等, 这些网络则会受到黑客们的攻击, 进而产生巨大的损失。

2.2 来自内部的非授权访问

标识、认证和授权是访问控制中非常重要的概念。标识是确保某主体 (用户、程序或进程) 就是它所宣称的那个实体的方法, 标识之后, 将会通过认证来核对主体信息, 认证通过后, 将通过授权来确定他是否有权限完成他将要执行的操作。相关技术应该保证较低级别的用户无法执行高权限的操作, 而当前多数涉密局域网的管理者缺乏口令管理的概念, 所采用的用户名和口令难当此任, 有的高级别用户的口令一直沿用初始口令, 有的直接向他人透露密码, 同时, 标识认证技术也要兼顾出错率和系统开销的平衡。

2.3 远程访问和传输加密

不论是党政机关还是工商企业, 都可能存在异地的工作部门或异地终端, 这就使得局域网的地理范围不再局限于一个楼层或一栋建筑, 带来的问题就是如何让这些异地的工作部门联入政府或企业的涉密局域网, 进行远程访问、数据交换, 如何在一定的时延要求下对数据传输进行加解密。

2.4 不安全的数据传递

在局域网中, 每个终端都有可能通过光驱或USB存储设备与局域网外进行数据交换, 并在硬盘存储。而这些数据虽然存储在终端的硬盘上, 但若包含网络病毒或攻击脚本, 则会给局域网带来很大的破坏。以网络病毒为例, 它除与单机病毒一样具有传播性、破坏性外, 还具有感染速度快、扩散面广、传播形式多、潜在性大等特点, 有的可设定一定触发条件进行触发。同时, 对网络病毒的查杀工作常常无法彻底进行, 因为只要有一个工作站没有杀尽病毒, 就会再次造成全网感染, 因此具有更大的破坏性。

2.5 来自物理安全方面的威胁

一个上了规模的局域网来说, 物理安全也是一个不容忽视的问题。当每张办公桌上都有一台计算机, 设备和资源遍布单位的各个角落、工作的环境和人员变得越来越复杂之时, 保护这些系统和设备的任务也变得异常艰巨。因此, 必须建立物理安全的机制, 包括设备陈放地点的设计和布置、环境因素、突发事件响应的敏捷性、人员的训练、访问控制、入侵检测以及电气和火灾保护等诸多方面, 同时物理安全机制也应该能为人员、数据、器材、应用系统以及这些设备的自身安全提供有力保障。

2.6缺乏有效的安全策略和统一的安全意识

安全策略是高层决定一个全面的声明, 它规定在组织中安全问题扮演什么样的角色。安全策略可以是一个组织策略、针对专门问题的策略或是针对系统的策略, 如果缺乏有效的安全策略, 那么安全规程、安全标准和安全方针将无从谈起。事实上, 安全策略是实现对有关安全问题的提示, 而标准、规程和方针用以支持这些提示, 但如果没有人知道这些或没人知道具体的执行方法, 那所有这些就失去了意义。这就是安全意识的问题, 要成功解决局域网安全问题, 上到管理层, 下至普通员工都需要充分了解计算机和信息安全的重要性, 了解安全的潜在意义以及他们被要求的和安全有关的特定要求。

三、涉密局域网安全策略

3.1 对涉密局域网进行安全级别划分

根据数据的密级划分成不同子网, 即绝密级数据单独成网 (下称绝密子网) , 机密级及秘密级数据合并组网 (下称机密子网) 。其次, 由于绝密级数据敏感性较高, 所以绝密子网必须与其它网络实行物理隔离, 对涉密局域网中高密级数据必须执行严格的保护措施, 把可能面临的风险减小到最小, 因为对于涉密局域网中的绝密信息来说, 如果发生泄漏将会造成极其严重的损害, 所以必须实行网络隔离。同时, 所有产生及处理的绝密信息的过程和渠道也必须在绝密子网上完成, 或通过国家认可的其它途径如机要通信完成, 而不得与机密、秘密甚至普通信息共同传输或共用设备。第三, 每个子网均配备专用的打印机、扫描仪等, 禁止任何形式的跨网设备共享, 也禁止使用无线网络。

3.2 对内部局域网实施准入机制

在涉密局域网中应采用双因子认证的方法进行标识和认证。所谓双因子认证, 即加强认证, 是指至少包含三种认证中两项的认证方法, 如密码与证件或指纹与密码等的组合。笔者推荐的方式是采用生物识别技术与口令的组合认证。

生物识别技术是一种个人标识技术, 它通过每个人所具有的唯一特征进行标识, 这是准确标识的最有效且最准确的技术之一, 它包括指纹、手掌扫描、手形扫描、视网膜扫描、虹膜扫描、动态签名、动态键盘输入、语音识别、面部扫描和手形拓扑。在各种技术中, 指纹识别技术不仅使用方便、安全性较高, 而且发展比较成熟, 更容易获得在错误接受和错误拒绝之间的平衡, 开销也相对低廉, 容易推广接受。具体地说, 指纹是由一些曲线和分叉以及一些非常微小的特征构成, 正是这些微小的特征使得每一个人都具有明显的唯一的指纹特征, 当一个把他的手指放在认证装置上时, 装置会读出他带有一定体温的指纹 (防止制作指纹模板) 并且和参考文件中的数据进行比较, 如果两者非常吻合, 那么这个人的身份就得到了确认。要注意的是, 如果系统存储了完整的指纹, 那将会占用大量的硬盘资源并且会使用户很难快速完成比较过程。而如果采用指纹扫描技术提取指纹中的一些特征并且存储这些特征信息, 这样就占用了少量的硬盘资源并且获得了快速的数据库查询和比较。

指纹与口令的组合既为涉密局域网提供足够安全的标识和认证, 在一定程度上杜绝非授权访问的发生, 也便于操作实施, 不会给频繁登录的用户增加过多的麻烦。

3.3 对人员进行安全培训

安全培训在全面的基础上应具有较强的针对性, 应根据听众的职务不同而有所侧重。 (下转71页) (上接67页)

例如管理层可以通过探讨安全损失、各种危害、安全措施等对安全计划的重要性产生足够的认识。而针对中层的培训, 应说明特定部门的支持的重要性, 以及他对保证工作人员执行安全措施的重要性及个人违反规程的后果和管理者必须对这种错误的举动所采取的措施。安全培训应该定期地、持续地进行, 从而改变工作人员的行为和对安全的态度。

除了安全培训之外, 也有必要设立专门的安全监督机构对相关进行监督评估, 并间隔一定的时间进行测试或演习, 以确保全体人员的安全意识始终处于一个合适的水平。

3.4物理安全

在涉密局域网的物理安全防护中, 实现这些安全的因素包括良好的物理的、技术的和管理上的控制机制。管理上的控制措施包括设施的选择和建设、设施的管理、员工的管控、培训以及突发事件的响应和处理步骤。技术上的控制措施包括访问控制、报警装置、监视装置、供暖通风空调、电力供应、火灾的检测和排除以及备份等。而物理上的措施包括栅栏、大门、护柱、加锁、照明和建筑设施的材料。

四、结论

由于涉密单位的特殊性, 使其对安全性的要求较高, 如果我们能加强安全意识, 严格遵守操作规范, 在技术有保障的情形下, 我们的局域网安全性就会大大提高, 那么, 由于局域网不安全因素造成的损失就会大大减少。

摘要：涉密局域网的安全管理问题一直以来并未引起有关单位的足够重视, 所采取的单一片面的安全措施与局域网所传递的涉密信息极不相称, 多数涉密局域网一直未能根据不同单位部门的具体业务情况和安全需求, 将当前先进的安全理论和技术应用到涉密局域网的安全管理上来。本文正是根据涉密局域网现状和特点, 结合网络安全与信息安全方面的先进理论和成熟技术制订的应用性强、安全性高、操作性好的涉密局域网安全策略。

关键词：局域网,涉密,安全

参考文献

[1]鲍姆著.计算机网络.四版.潘爱民译.北京:清华大学出版社, 2004.

[2]祝文宇.中小型企业网络安全策略[D].东华大学硕, 2001.

[3]谢冬青, 冷健, 熊伟著.计算机网络安全技术教程[M].北京:机械工业出版社, 2007.

内网局域网安全防护策略探讨 第11篇

关键词：局域网 安全防护 策略

0 引言

随着计算机技术的飞速发展和计算机价格的下降，组建一个内网局域网不再是遥不可及的梦想。越来越多的单位建设了服务器机房来组建局域网，方便员工在内部网络上工作。同时，为了防止黑客或病毒通过互联网入侵，此类局域网均是封闭运行，与互联网物理隔离。因此，为了保障内网局域网运行的安全可靠，需要防范更多的不是来自外部的威胁，而是来自内部的隐患。

1 内网局域网可能存在的安全隐患

内网局域网可能存在的安全隐患主要来自服务器端、客户端及传输线路三个方面，其中服务器端的数据完整及客户端的数据安全是构建内网局域网系统安全最关键的步骤。

1.1 来自服务器端的安全隐患。来自服务器端的安全隐患有多种多样，其中最主要有自然灾害和人为过失造成的两个方面。

1.1.1 自然灾害及意外灾害 自然灾害有以下幾种可能：①雷电引发。雷电轻则可能造成计算机终端和通信设备的接口损坏，严重的可能造成网络主机损坏，导致网络瘫痪，设置还有可能引起火灾；②供配电系统起火、短路、机房内用电设备（空调设备、电气设备等）起火、静电引发火灾等；③断电引起服务器设备故障或数据回档、丢失；④鼠害咬断线路造成网络故障、数据传输终端；⑤服务器设备老化、服务器硬盘损坏造成数据丢失等。

1.1.2 人为过失 人为过失有以下几种可能：①未经查杀病毒等操作，就接入内网的外部介质（如U盘、光盘）所携带的病毒、木马程度，感染服务器引发系统当机或造成网络拥堵、病毒传播；②管理员误操作或未定期备份数据引发数据丢失；③未进行有效管理，使得无权限人员肆意进入机房，窃取、篡改、甚至删除服务器数据。

1.2 来自客户端的危害。来自客户端方面的危害主要有以下病毒传播、黑客软件、非法授权等。①病毒传播。用户在客户端非法使用携带病毒介质（U盘、移动硬盘、光盘等）感染内网局域网；②黑客软件。用户使用黑客软件扫描网络端口，非法连接其他计算机，盗取他人资料或篡改内网局域网服务器上存储的共享文件资料；③非授权访问。用户使用自带的台式机、笔记本电脑，随意插上局域网网线，接入网络，未经许可访问并下载内网局域网内的数据资源。

2 针对以上的危害所采用的安全防护措施

应对以上种种危害，我们要努力采用各种行之有效的安全防护措施来保障内网局域网运行的安全、可靠。

2.1 应对自然灾害的防御措施。我们一般需要通过增设专用防灾减灾设备来应对自然灾害。

2.1.1 应对雷电隐患。在电源线路上安装匹配防雷保护器并做好机房的综合布线。

2.1.2 应对火灾隐患。服务器机房内安装烟雾探测器、惰性气体灭火装置。

2.1.3 应对突发性停电。机房使用不间断电源、UPS供电，UPS每隔三个月进行一次充放电处理，机柜均设置独立电源。

2.1.4 应对鼠害。建造防鼠隔离墙，机房通往外界的穿墙洞口必须进行严密封堵，机房内布线应穿金属管或硬塑管，防止老鼠撕咬屏蔽线。

2.1.5 应对静电危害。服务器机房铺设防静电地板，消除静电。

2.1.6 应对其他灾害。服务器机房应购置性能更加稳定、可长时间工作的精密空调，保持机房温度常年处于21-25之间。安装新风系统保持机房定期通风。

2.2 针对服务器设备的安全防护措施

2.2.1 安装机房及机柜门禁、电子监控系统，记录人员出入情况，防止未经授权人员进入机房，接触设备。

2.2.2 服务器操作系统关闭不需要开放的网络服务和端口、关闭不需要的共享文件夹。

2.2.3 定期进行漏洞扫描、网络扫描，及时发现并处理安全隐患。

2.2.4 定期进行网络审计、安全分析检查，生成报告并及时整改。

2.2.5 对服务器硬盘中的重要数据定期做好灾难备份。

2.2.6 安装入侵检测系统，及时对局域网内的可疑数据传输及非法操作进行告警并记录在案，以备查看。

2.2.7 安装加密机，实现存放CA证书和对网络上点对点传输的数据进行加密，保证数据安全。

2.2.8 使用具有三层交换协议的交换机，在其上划分Vlan，并设置访问列表限制，拒绝不同网络之间互访。关闭未连接网络的端口。

2.2.9 安装杀毒软件、防火墙，及时更新操作系统、数据库系统及其他应用系统的补丁，在服务器上安装补丁发布器，定期让客户机进行下载及安装更新。

2.2.10 安装防水墙服务器端程序，实现系统配置、策略配置、实时监控、审计报告、安全告警等多种功能，杜绝非法操作和非授权访问。

2.3 客户端的安全防护措施

2.3.1 设置操作系统账号密码。禁止管理员账号留空密码，禁用guest账户。具体做法为在计算机本地安全策略中修改密码策略（启用密码必须符合复杂性要求，设置密码长度最小值及密码最长留存期，取消密码永不过期选项）。

2.3.2 设置屏幕保护程序。屏幕保护程序等待时间设置为10分钟以内，并勾选在恢复时使用密码保护。使得用户临时离开计算机后，在短时间内计算机能自动锁定到登录界面。

2.3.3 关闭远程桌面及远程协助。防止其他人员通过远程登录连接到用户计算机并浏览资料。

2.3.4 安装网络版杀毒软件和防火墙。通过服务器定期更新杀毒软件，防止病毒传播。打开操作系统自动更新功能，定期从补丁服务器上下载补丁并安装。防范U盘病毒。

2.3.5 安装防水墙客户端程序，导入服务器端事先配备的策略、白名单等，有效管理客户端。

2.3.6 关闭客户端的无关服务，保护系统安全。关闭21、139等端口。

2.3.7 关闭局域网共享和硬盘默认共享，具体代码参见互联网资源。

2.3.8 增加计算机日志存放空间，并修改计算机日志的默认存放位置。将系统日志存放到系统盘以外的盘上，以防系统崩溃系统日志丢失，定期将系统日志备份到专用的日志存放硬盘上。修改组策略中的审核策略，使其对系统每一次的策略更改、登录事件、对象访问、过程追踪、目录服务、特权使用、系统事件、账户登录、账户管理等都进行审核并记录在案。定期备份审核日志或使用专用软件将审核日志发送给专人查看。

2.4 其他安全策略设置。除此之外，内网局域网的日常管理维护中还应杜绝凌驾于一切角色之上的超级管理员的出现。为此应将超级管理员的权力一分为三：例如管理员一负责数据日常维护，局域网新用户账号、IP等的注册认证。管理员二负责发放被一号管理员注册的用户访问数据的权限许可，并处理系统安全告警。管理员三管理包括一号、二号管理员在内的一切操作员的操作痕迹等，同时保证审计日志加密存放，检测违规操作及危害系统运行稳定的非法操作的记录并通知二号管理员。这三个管理员之间是互相监督的关系。

3 结论

制定适合内部局域网的安全策略有利于局域网内设备的安全运行，有效管理局域网内设备的软硬件。同时还需规定相应的授权等级，防止未授权的外部用户随意接入局域网或是低权限用户试图访问高权限数据等，做到数据传输安全，操作记录有迹可循。随着计算机技术的发展，内网局域网的安全防护措施也不能一成不变，也要随之不断更新和完善，因此还要注重管理员的培训。除此之外，在制定安全策略时，既要符合局域网安全，还要兼顾工作便利，因此在制定策略上应该根据实际情况适当调整，以期更好的发挥局域网功能。

局域网的安全管理策略 第12篇

一、局域网安全威胁

局域网的网络安全威胁通常有:(1)局域网用户安全意识不强;(2)服务器区域没有进行独立防护;(3)计算机病毒及恶意代码的威胁;(4)欺骗性的软件使数据安全性降低。由于局域网这些安全威胁,造成数据安全性低,局域网内的病毒快速传递,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。

病毒一直是计算机安全的主要威胁。病毒的种类和传染方式不断再增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。

如何采用高效安全措施维护局域网安全,准备前提条件:(1)有故障时首先检查网卡;(2)确认网线和网络设备工作正常;(3)检查驱动程序是否完好;(4)正确对网卡进行设置;(5)禁用网卡的Pn P功能。

二、病毒预防

病毒必将影响系统的正常运行,对系统资源构成威胁。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。

一般病毒入侵都是从扫描开始的,攻击者首先判断目标主机是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。

预防病毒的重点是控制病毒的传染;关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。预防病毒体系主要从以下几个方面制定有针对性的防病毒策略:(1)增加安全意识和安全知识,对工作人员定期培训;(2)小心使用移动存储设备,在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外;(3)挑选网络版杀毒软件。

通过以上策略能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。

三、局域网安全控制策略

局域网安全策略决定采用何种方式和手段来保证网络系统的安全。它包括严格的管理、先进的技术和相关的法律,为保证提供一定级别的安全保护所必须遵守的规则。

局域网安全策略主要包括以下四点:(1)将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。(2)定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。(3)通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。(4)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。

只有解决局域网内部的安全问题,才可以排除网络中最大的安全隐患,对于局域网内部的网络终端安全管理主要从物理安全、访问控制、防火墙、入侵检测三个方面进行防御。

(一)物理安全目的是保护计算机系统、web服务器、打印机等硬

件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击,保证计算机网络系统各种设备的物理安全是整个网络安全的前提。

(二)访问控制是保证网络安全最重要的核心策略之一,主要有以下七种方式:

(1)入网访问控制;(2)网络的权限控制;(3)目录级安全控制;(4)属性安全控制;(5)网络服务器安全控制;(6)网络监测和锁定控制;(7)网络端口和节点的安全控制。

(三)网络入侵检测技术针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。

它不仅检测来自内部用户的未授权活动,同时也检测来自外部的入侵行为。入侵检测应用了以攻为守的策略,它所提供的数据不仅在一定程度上提供追究入侵者法律责任的有效证据,还有可能发现合法用户滥用特权。

四、总结

局域网的病毒预防与安全控制是一项长期而艰巨的任务,需要不断的探索。随着计算机技术和通信技术的发展,局域网将日益成为工业、企业内部重要信息交换手段,渗透到社会生活的各个领域。因此,认清局域网的脆弱性和潜在威胁,采取强有力的安全策略,对于保障企业内局域网的安全性将变得十分重要。

摘要：随着网络化的不断发展与普及,病毒传播的途径也逐渐多样化,网络安全问题显得尤为重要。因此,只有具备完善的防护策略,才能保证局域网内系统的安全。本文主要介绍了局域网的病毒预防与安全控制的一些策略。

关键词：局域网,病毒,预防,安全,策略

参考文献

[1]钟平,校园网安全防范技术研究[DB]CNKI系列数据库2007.