局域網網絡安全措施大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇局域網網絡安全措施范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

0 前言

互聯網絡運用于生活和工作的各個領域,顛覆了傳統的生產形式,對生產力的發展與提高起著重要作用;許多電力企業都意識到互聯網對于企業生產經營的重要性,近幾年信息化建設速度明顯加快,并且對企業網絡不斷進行優化、調整;除此之外,在電力企業各下屬網點還先后投入使用各種智能系統,如視頻監視系統、智能操作控制系統等。上述智能系統的使用和推廣,幫助電力企業提高了經營管理水平,對企業生產經營發揮了重要作用。隨著我國電力企業信息化程度的不斷提高,因此保證企業網絡安全是企業經營活動正常開展的基礎。電力企業網絡安全管理方案的形成,是企業業務的客觀需求,同時也是網絡安全領域發展的必然結果,將經濟效益和社會影響相結合進行綜合考慮,可以看出重視網絡安全管理及系統的維護建設是電力企業的當務之急[1]。

1 企業網絡安全需求

電力企業對網絡安全的需求主要包括以下幾點:1)要確保擁有一個安全的網絡環境首先需要保證機房可以為各種設備提供良好的運行環境,機房需要有門禁系統、防火、防雷電及防潮等相關設備。同時為機房配備空調,保持機房內溫度處于恒溫狀態,值班人員每天要按時巡檢,對于發現的問題要及時解決或報告。以某電力企業的機房改造工程為例,改造之后的機房條件雖然有較大改善,但仍存在一些問題。例如電池組超過使用期限,防潮防雷電等措施不到位,無發電設備及冗余供電線路等等;甚至有的電力企業根本沒有專門的機房,網絡設備胡亂堆放,并未采取任何防護措施,閑雜人員可以隨意進出,網絡線路也十分凌亂。希望有關部門能夠意識到問題的存在,早日消除網絡安全隱患。2)電力企業的各種業務的硬件操作系統安全平穩運行也是保障網絡安全非常重要的一環,因此里面有大量的工作亟待完善,例如:對系統補丁進行及時升級堵住安全漏洞,關閉一些非必須端口,合理限制用戶對操作系統的使用權限等等;若想達到期望的網絡安全管理效果,還需進一步規范操作人員的操作行為,減少操作失誤,將所有操作步驟程序化規范化,為企業網絡安全提供可靠保障。3)對于電力企業的重要業務數據應根據相關要求予以及時備份,并定期對備份的內容進行檢查,確認是否可讀;企業的移動辦公用戶若需接入內網辦公,傳輸數據時也應進行加密處理;確保業務系統安全穩定運行,即便業務出現意外中斷情況也可及時恢復。如果電力企業在確保數據安全性方面尚無一個統一的解決措施,那么電力企業的網絡安全將面臨著極大的風險,數據資料對企業具有非常重要的價值,因此很有必要制定數據防丟失措施[2]。

2 網絡安全現狀分析及主要威脅

2.1 企業自身發展帶來的威脅

部分電力企業由于各種各樣的原因導致出現網絡安全問題以后得不到及時解決,或者是企業的智能系統出現故障,這些都將影響企業在客戶中心的形象和企業生產經營。其次,由于某些電力企業電腦配置較低,如有較多的業務軟件同時運行將會出現電腦運行不暢的情況、甚至死機,這樣不但影響電力企業的正常業務更無法防毒保證網絡安全。加之部分企業的電腦超過使用年限,無法滿足業務的發展需求,建議及時升級更換。盡管大多電力企業由于工作需要安裝了視頻監視系統,但并無相關的制度來正確使用該系統,因而對企業經營和網絡安全維護作用不大。

2.2 網絡黑客的破壞與病毒威脅

由于互聯網的高速發展,一些攻擊技術與黑客工具的傳播非常快,相關的工具使用也變得更加容易,因此造成攻擊事件不斷發生。發生這些行為深層次原因有:1)商業競爭,電力企業間為自身利益,無視道德與法律,違法雇傭黑客對競爭對手進行攻擊,達到獲取競爭對手信息并制定策略進行打壓的目的;2)更多的年輕人在好奇心的驅使下加入黑客隊伍,以設計程序,攻破預定的目標為主要樂趣,達到炫耀過人技術水平的目的。目前,病毒與惡意代碼傳播、感染能力越來越強大,所以造成損失也是越來越大。隨著計算機網絡的深入發展及應用,網絡上存儲龐大的信息資源,甚至還包括了核心信息。一經遭到破壞,輕者就會影響業務,增加了維護的成本;嚴重的就會導致電力企業信息泄露和業務中斷,使企業不能正常經營。由于遭受到沖擊波和震蕩波,甚至是ARP病毒進行攻擊,造成電力企業的系統莫名重啟和不能聯網的情況;目前操作系統仍存在很大的漏洞,因此,電力企業必須防范未然,充分合理的利用企業已有桌面安全的管理系統與Norton防病毒的系統,把問題有效消滅在萌芽的狀態中[3]。

3 完善企業網絡安全管理措施

3.1 進行科學的網絡功能管理

目前,電力企業網絡系統非常龐大,在網絡安全的應用中有大量相對成熟的技術能夠借鑒與使用,如防火墻和防病毒等軟件;但是這些系統都是獨立的工作,處在相對獨立的狀態,因此要想保證網絡安全和網絡資源得到充分利用,必須為其提供經濟安全、高效可靠、功能齊全、易于擴展和升級維護的一個網絡管理平臺進行管理。例如,某電力公司在2009年對網絡管理系統進行嘗試性的使用,其網絡管理的功能十分強大,且還具有獨到的跨平臺性,它不但功能強大且使用簡單,還非常適合用于其他分公司中復雜的網絡環境的管理。

3.2 建立健全數據備份和恢復體系

網絡安全能夠得到保障的關鍵是確保安全的業務系統數據,因此,應該根據電力公司業務特點與網絡現狀,建立Linux

數據的備份系統,不僅能夠確保電力企業業務系統的數據,如FTP數據和財務數據等,還能使關鍵用戶的數據及時的自動的同步到服務器上,同時還可以在系統恢復后自動同步數據。該系統客戶端能夠支持Windows等,兼容性很好,應用的前景非常廣。該系統應該由專人進行管理且定期刻錄和轉存備份數據,定期對轉存數據進行可讀性的測試,做好記錄,有效確保數據與網絡安全,在使用過程中取得良好效果,因此應該推廣應用,有效避免發生數據丟失[4]。

4 結語

總而言之,電力企業的網絡安全領域和安全管理是復雜、綜合和交叉的綜合性非常強的重要課題。我們應該在享用其便利的同時,應該把網絡安全納入安全管理工作范圍內。電力企業在進行信息化建設的過程中就算面臨很大的網絡安全威脅,只要通過科學的技術及管理手段,在安全范疇里進行探索與嘗試,并在實踐中不斷學習、掌握網絡安全和管理的新知識,就能夠構建安全可靠、高效的網絡環境,從而有效促進電力企業可持續發展。

參考文獻:

[1]高化田,淺談計算機網絡中信息系統的安全防范[J].信息與電腦(理論版),2011(05):32-33.

篇（2）

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）07-0003-03

隨著當今社會的迅速發展，電子計算機通訊技術被廣泛應用于各個領域，并推動了數據庫技術呈現多樣化發展，但同時也出現了多種與數據庫有關的網絡安全威脅。目前，數據庫管理人員的日常的維護和管理是確保數據庫安全的主要措施，一旦數據庫遭到黑客網絡攻擊，造成的后果是非常嚴重的。因此，加強計算機網絡數據庫的安全性和可靠性至關重要。

1計算機網絡數據庫概述

隨著網絡時代的到來，計算機網絡技術得到了廣泛的應用，數據庫技術也逐漸被越來越多的人關注和使用。但同時網絡數據資源被泄露更改甚至破壞的現象也屢見不鮮，這些都極大地威脅著計算機網絡數據庫的安全，對計算機網絡系統的運行更是產生了嚴重的影響。經過分析我們發現，威脅著計算機網絡系統運行安全的因素主要有兩個，一個是黑客的攻擊，另一個是網絡數據庫本身存在一定的漏洞。因此，數據庫管理人員應該加大力度，全面分析和查找網絡數據庫技術中存在的安全漏洞，并及時采取適當的措施加以應對，確保計算機網絡系統能夠正常、穩定、安全的運行。計算機網絡數據庫包括三個含義：其一是該數據庫在網絡上運行；其二是該數據庫在網絡上包含其他用艫牡刂罰黃淙是在信息管理過程中，該數據庫的數據記錄可以通過多種方式相互關聯。網絡數據庫與分層數據庫的相似點在于它們都包含從一個記錄到另一個記錄的前進，但網絡數據庫的結構并不嚴格，即一個記錄可以指向多個記錄，而多個記錄也可以指向一個記錄，而分層數據庫卻只有一個路徑，即從父記錄指向子記錄。在應用計算機網絡數據庫過程中，可以將全部的有效資料及時的上傳至計算機網絡數據庫內部，很大程度地實現了資源的共享，但與此同時，黑客入侵現象的存在，使得網絡數據庫出現一系列的安全隱患。如何防止黑客入侵，保證網絡數據庫的安全，確保數據的完整性成為數據庫管理人員重點關注的問題。要想保護網絡數據庫的安全，需要從以下幾個方面著手：1）做好數據庫的邏輯完整性，按照規范和標準對數據庫整體結構的完整性給予保護和監管，例如需要對某一個字段進行更改的過程中，一般要求不會對其他字段造成影響和損壞；2）實現數據庫的物理完整性。其通常指的是自然或物理故障不會對數據庫本身造成影響，比如突然停電或計算機出現故障等；3）確保數據庫的元素安全性，即保證數據庫中所有元素都是正確的；4）嚴格控制用戶訪問網絡數據庫權限，借助不同的程序來實現對網絡數據庫訪問權限的有效設置，這樣一來只有通過授權的用戶才能進入數據庫進行相應的訪問；5）確保數據庫的可審計性，采取一定的保護措施，確保數據庫中的每一個元素都能夠被修改和存儲；6）確保數據庫的可用性，如果用戶通過了數據庫的訪問權限，那么他就具有自由訪問數據庫的權限；7）嚴格控制數據庫的身份驗證，必要的時候也可以按照要求進行相應的審計追蹤，避免不安全因素產生。當今社會，網絡技術在不斷發展，網絡數據庫的安全性面臨的威脅將越來越大。因此，僅僅局限于傳統的數據庫管理員已經不能確保網絡數據庫的安全性能，應該更加關注如何合理設置嚴密的訪問權限及保護賬號的安全等。

2計算機網絡數據庫存在的安全威脅

計算機網絡的網絡環境具有自由開放、復雜多樣、高度自治等特點，因此，網絡數據庫的安全性出現威脅也是無法杜絕的，但怎樣有效避免網絡數據庫信息被黑客非法入侵、被篡改及數據丟失等情況的出現，成為數據庫管理人員非常關注的問題。網絡數據庫具有能夠存儲大文件、具有一定的穩定性和可靠性且能夠頻繁的更新數據庫元素等很多優勢，甚至有時會有一些非常重要的敏感數據信息存儲到網絡數據庫中。因此，確保網絡數據庫的安全性至關重要，盡可能地避免網絡數據庫遭受威脅。一些非法用戶入侵網絡數據庫時通常情況下是直接入侵網絡系統來實現的，因此，要想保護網絡數據庫免受安全威脅，首先要確保網絡系統的安全性能。實際上，誘發網絡數據庫危險的因素比較多，最為常見的因素如下：1）由于用戶操作不當而誘發網絡數據庫數據出現錯誤；2）用戶在沒有該范圍內訪問權限的情況下查閱數據庫內的相關數據信息；3）黑客攻擊數據庫；4）利用非法手段對數據庫內部的數據資源進行篡改或竊取。下面讓我們就計算機網絡數據庫使用過程中可能出現的安全威脅進行分析和討論。

2.1數據庫下載

在使用ASP編寫連接文件過程中，大部分用戶選擇的句式基本相同，然后將與數據庫文件相對應的語句顯示出來，以確保數據庫的安全性。如果僅僅看語句的連接是不存在任何問題的，且名字也足夠長，保險系數相對較高，這種難度對于下載者來說識別和破解是都比較困難的，但暴庫技術和相關工具的使用，使得快速定位數據庫的各種具體情況成為可能，即使全部成功暴庫無法達到，但百分之九十以上的成功率還是有可能的，一旦獲得相應的數據庫地址，利用IE輸入，可以成功獲取數據庫的用戶名和密碼，從而出現了數據庫密碼被盜的現象，如果該文件至關重要，那么造成的影響是非常嚴重的。

2.2注入SQL

互聯網在應用過程中，用戶為了保障其安全性，通常情況下是在設置了防火墻之后才對Web服務器進行布置，對于端口的開放也非常謹慎，只開放80端口，防止非法人員入侵其他端口，這樣一來，非法入侵者獲得用戶名和密碼的唯一途徑就是將80端口破解。一般情況下，非法者入侵80端口采用的最常見的方式就是注入SQL，一些程序員在編寫程序代碼時，未對用戶輸入數據的正確性給予高度重視，從而給應用程序的運行留下了較大的安全隱患。這里所提及到的sOL通常是指將傳輸代碼輸入到客戶端位置，以實現對服務器與處理程序間相關數據信息的有效收集，這樣所需要的資料就可以獲取了。SQL這種操作方法能夠常規訪問80端口，訪問的過程中與其他普通的Web網頁并沒有什么差別，且防火墻也無法識別和報警這種入侵方式，因此，系統管理員對系統應該進行及時的檢查與審核，否則以這種方式入侵數據庫是不容易被察覺和發現的，進而造成數據庫中的資料被盜取。

2.3病毒感染

目前，隨著全球信息化的發展，推動了各系統間信息的有效交流。當然，信息化時代在為我們的日常生活和工作帶來便利的同時，也提升了計算機病毒交互感染的可能性。通過對網絡數據的使用情況進行分析可以發現，病毒是威脅網絡數據安全的主要因素，它已然成為網絡數據安全的頭號“敵人”。病毒最顯著的特點就是它具有很強的傳染性，且通常情況下，病毒是編程人員通過手動植入進去的。病毒的入侵方式是利用系統之間的信息交互。且病毒還有兩個很強的特性是寄生性和破壞性，因此，系統管理人員要對系統進行定期的檢查與審核，防止病毒入侵對系統造成巨大的影響，切實做好病毒的防范工作，安全殺毒軟件，時刻保持警惕，防止病毒感染。

2.4缺乏對賬號權限設置的安全防護

當系統的操作環境比較安全，網絡數據庫鮮有非法入侵的情況出現，那么網絡數據庫的用戶就會逐漸喪失該有的安全意識。以賬號及密碼設置為例進行分析，在權限設置過程中，大部分用戶往往通過修改或禁用的狀態來對其訪問權限進行簡單的設置，其往往存在較大的安全隱患，其會導致用戶的賬號和密碼公開在廣大用戶面前。另外，在使用賬號密碼過程中，部分用戶缺乏足夠的監控力度，導致一些做法無法順利的滿足數據字典的要求。另外，傳統的數據庫設有專門的安全監管人員，但網絡數據庫并沒有安全監管人員的設置，所謂的安全監管人員是指以網絡為基礎，對整個數據庫進行管理和維護。由于安全監管人員的缺乏，導致網絡數據庫的調試能力以及執行效率相對缺乏，這對未來網絡數據庫的發展有非常嚴重的影響。

2.5管理方面的不安全性

在計算機網絡數據庫管理過程中，由于管理人員未嚴格按照相關規范和標準進行數據庫管理，從而導致各個環節的管理工作存在一定的不安全性。實際上，強大的數據庫管理系統安全機制，可以保證數據庫管理工作有條不紊的進行，但是我國大部分的計算機網絡數據庫管理未按照要求制定有效的管理規范和標準，同時一些用戶的防范意識和安全意識比較差，相關管理措施無法得到有效的落，未按照要求使用數據庫系統默認的安全選項，從而誘發一系列的數據庫安全問題。另外，管理人員的不安全性主要表現在身份認證和權限控制這兩個方面，從而導致數據庫本身的漏洞比較嚴重，容易造成非法用戶的入侵，影響數據庫的安全。

3計算機網絡數據庫安全威脅的具體應對措施

網絡環境有其獨特的性質，即開放性，因此網絡數據庫遭受到各種各樣的安全威脅在所難免，但針對性的技術方案不僅可以有效地提升網絡數據庫的安全性，而且還能確保數據的完整性和一致性。通常情況下，可以把網絡數據庫的安全威脅分為兩個方面，其一是確保網絡數據庫中的信息能夠合法性存取，其二是確保數據庫內容本身的安全性，下面我們就計算機網絡數據庫安全威脅提出具體的應對措施。

3.1用戶身份認證

對于廣大用戶而言，計算機網絡環境屬于開放的環境，其往往會面向更多的用戶，并且對于任何一個有網絡數據庫訪問需求的用戶都需要按照要求開展身份認證，從而避免了用戶對網絡數據庫的非法訪問。對于計算機數據庫而言，系統登錄設置可以有效地對用戶名和密碼的正確與否進行驗證；對于數據庫的連接設置同樣需要對用戶的身份進行驗證；而數據庫對象的設置則會按照不同的權限為每一位用戶進行訪問權限的設置，以保證數據庫信息的安全性、有效性。

3.2數據庫加密

其一般是對數據庫信息進行加密處理，以保證數據庫信息的安全性。這里所提及到的加密通常是在原有數據庫信息的基礎上借助特殊算法進行改變，這樣那些非法用戶及時可以獲取相關數據信息但是如果缺乏相應的解密方法，也不會從中獲取原始信息。實際上，數據庫加密系統對加密和解密過程給予了統一的規定，它包括三方面的內容，即將數據信息由可變轉化為不可變、加密的數據庫信息需要通過密鑰解密還獲取信息數據的原始信息、算法等。

3.3數據備份與恢復

數據的備份和恢復能夠確保網絡數據庫中數據信息的一致性和完整性，這種方案被廣泛應用于網絡數據庫中。就目前而言，網絡數據庫中數據備份機制和恢復技術有很多種，其中最常見的有邏輯備份、動態備份和靜態備份等，常見的數據恢復技術包括磁盤鏡像、備份文件及在線日志等。

3.4攻擊檢測和審計追蹤

實際上，審計追蹤通常是對網絡用戶的所有網絡操作進行自動跟蹤，并把追蹤到的所有數據信息進行記錄，然后將其保存到相應的審計文件中，方便相關人員的查閱。同時，攻擊檢測和審計追蹤還能夠及時的查找出網絡數據庫安全威脅的漏洞和弱點，有利于進一步完善網絡數據庫的安全性。

3.5建立防火墻。攔截入侵的信息

在計算機網絡中黑客無處不在，如果我們無法做到將其完全消除，那么必要的防范措施應該做到位，而防火墻這個保護工具就很有效。防火墻作為計算機網絡的一道安全屏障，能夠有效的攔截黑客的入侵，避免系統受到黑客的侵害。

3.6啟動司法程序對黑客入侵追究責任

黑客的入侵給客戶造成的損失往往是非常巨大的，但是他們卻很少受到相應的懲罰，即使有少部分人受到了懲罰也是經濟懲罰，刑事處罰卻很少涉及，由此可以看出，在計算機網絡方面，司法機制還不夠健全，這也是導致黑客大行其道的重要因素。要想從根本上將黑客入侵網絡的現象杜絕，最好的方式就是進一步完善司法機制，啟動司法程序對黑客入侵追究相應的責任。

3.7對于病毒的防護

目前，各類殺毒軟件盛行，比如：360安全衛士、金山毒霸以及卡巴斯基等，利用殺毒軟件對計算機系統實行安全防護是非常有效的手段。殺毒軟件可以對系統中的各項參數進行實時的監測和查殺，從而保證網絡數據庫的安全。當通過殺毒軟件監測發現某個局部數據存在病毒入侵現象時，則需要對整個系統進行全面的病毒查殺與監測，以保證整個數據庫的安全性，保證其他系統數據免受病毒的侵害，從而確保整個系統可以安全、可靠的運行。

3.8提高自身安全防護性能

計算機數據庫系統之所以可以被暴庫，其主要原因是IIS服務器將錯誤信息發給了用戶，這些錯誤信息中包含了執行錯誤的情況。因此，為了盡可能地阻止暴庫情況的發生，HS服務器的默認設置應該加以調整，一般情況下是通過改變數據庫的后綴名來防止黑客的入侵。雖然這種方式在防止暴庫上能夠起到一定的作用，但隨著計算機技術的不斷發展，黑客有了更多破解的方式，即使該數據庫文件已經進行了修改操作，但他們仍然可以通過破解得到所需要的數據信息，并借助相應的方式對其進行成功下載。

3.9將“#”字符加至數據庫名稱的前面

篇（3）

4 結論

在計算機網絡系統的安全管理中，數據庫的安全是重要的一部分，應該采取多種保護措施，對計算機網絡數據庫的安全進行保護，有效的防止非法入侵與襲擊，為網路用戶提供一個安全、穩定的網絡環境。

參考文獻

[1] 李林艷.網絡環境下的計算機數據庫安全[J].電子世界，2012（14）.

篇（4）

1、局域網的安全現狀

隨著計算機技術的的發展，計算機網絡也廣泛用于各類企事業及政府組織等。但同時網絡的安全性也是各類用戶都關心的話題。相對而言，廣域網的安全防御體系已建立起較完善的防火墻、漏洞掃描、網絡邊界等方面的防御，并將重要的安全設施集中于網絡入口處，通過嚴密監控，把來自外網的安全威脅大大降低，而局域網的安全威脅卻日益嚴重，且安全管理手段也乏善可陳。各類合法或非法用戶通過與局域網相連接的計算機進入局域網網絡，這可能給局域網帶來安全隱患。為病毒侵入網絡和蔓延創造了條件，導致局域網病毒爆發，網絡癱瘓，影響了用戶正常使用網絡或信息丟失。

2、局域網常見的安全威脅

2.1計算機病毒

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，具有破壞性、復制性、傳染性、隱蔽性、可觸發性。隨著社會信息化的發展，計算機病毒所造成的威脅日益嚴重。例如：1988年11月美國康奈爾大學的學生莫里斯將其編寫的蠕蟲程序輸入計算機網絡，致使網絡堵塞，數萬臺計算機被感染。每次重大計算機病毒感染事件都是一次計算機界的地震，引起了社會的巨大反響，也引起了人們恐慌情緒。計算機感染計算機后，會造成計算機系統運行速度減慢、經常無故發生死機、文件長度發生變化、存儲的容量異常、丟失文件或文件損壞、計算機屏幕上出現異常顯示、系統不識別硬盤等各種異常現象。

2.2使用計算機的安全意識淡薄

用戶在使用計算機時不能做到上網不，不上網，用戶使用U盤等移動存儲設備上傳、下載數據時，沒有經過殺毒軟件等檢查程序檢查，就將信息上傳到局域網的電腦上或者將內部數據帶出局域網，給病毒進入內部局域網提供了可乘之機，增加了數據泄密的風險。還有就是用戶的筆記本電腦頻繁切換使用內外網的情況很普遍，在未經許可的情況下，外網上使用過的筆記本電腦接入內部局域網絡，在不經意情況下容易造成外網病毒傳入內部局域網，甚至導致內部重要信息泄露。

2.3局域網管理制度不健全

嚴格的管理制度是局域網安全的核心保障，但是國內局域網網絡安全方面皆疏于管理。目前局域網網絡管理不僅缺乏財力、物力投入也沒有足夠的人員儲備；而在局域網相關技術和硬件配置方面，普遍采用老式網絡設施.難于滿足現在局域網絡安全管理的要求，也無法滿足現在經濟的發展。

3、局域網安全問題的解決方案

3.1局域網所處外界環境的安全

局域網所處環境的安全是整個局域網安全的根本，也是整個網絡正常運行的保證。如果局域網網絡處在一個有安全隱患的環境中，不僅可能造成信息的損失，也可能造成硬件的損壞。外界環境安全包括設備軟硬件安全、通信線路安全、運行環境安全等方面。其中保證通信線路的安全可以降低數據在線路傳輸上外泄的可能性，可以選擇較好的光纖做為介質以防止數據在傳輸線路上的外泄。另外做冗余備份線路也是很好的一種避免一條線路出現問題時保證信息暢通的方法。運行環境的安全主要指計算機運行所處環境的溫度、灰塵、濕度方面的問題，我們要盡量保證網絡在良好的環境中運行。

3.2操作系統的安全性

現在絕大多數用戶使用Windows操作系統，存在著許多的系統漏洞。操作系統的安全性對網絡安全有著很大的威脅，特別是目前大部分網絡攻擊或計算機病毒就是利用操作系統的漏洞進行工作的。操作系統的漏洞還表現在配置不當上，有些網絡管理員在操作系統的配置上，出現了一些用戶分配權限不當的問題，導致一些非法用戶能夠進入網絡，使網絡存在不安全的因素。可以通過打補丁的方法來提高操作系統的安全性。所以在對系統的配置上，特別是用戶權限的問題上，不可輕易擴大用戶的權限。

3.3建立防病毒入侵檢測系統

現在防火墻和入侵檢測系統已經被普遍使用，但是僅依靠防火墻和入侵檢測系統還不足完全避免網絡攻擊。近年來蠕蟲、木馬等病毒的威脅日益增長并侵入到應用層面，即使部署了防火墻、入侵檢測系統等網絡安全產品，網絡的帶寬利用率缺居高不下，應用系統的響應速度也越來越慢。防火墻是網絡層的安全設備，不能分析應用層協議數據中的攻擊信號，而入侵檢測系統也不能阻擋。必須采取相應的技術手段來解決應用層的安全威脅，其中入侵防御系統為代表的應用層安全設備，能夠很好的解決應用層防御的問題。

3.4備份重要數據

當我們的計算機系統出現故障或崩潰時，會徹底丟失原有系統中的信息。為了數據的安全，我們對系統中的重要數據要經常做備份處理。一般簡單的備份只是將相關數據復制到非系統分區或者移動硬盤上。如果與系統有關的重要數據，則需要用引導光盤開機啟動GHOST克隆鏡像到非系統分區。

3.5綜合考慮完善安全方案

在現實情況中，任何一種安全保護措施皆不能完全保證網絡絕對安全，都有被攻破的可能性。為此需要建立多層保護系統，各層保護相互結合，即使一層被破壞時，其余層還能繼續發揮保護功能，可以最大增加信息安全可靠性。基于這種考慮，在日常做安全方案時應考慮使用多重保護機制，不應該單獨依賴某一項安全措施或產品，這樣才能最大程度的確保局域網的安全。建立綜合的安全方案后，對于來自網絡、數據庫、存儲設備的信息進行分析、過濾，發現其中隱藏的安全問題，使管理員能夠快速發現被攻擊設備和端口，并根據預案做出快速的反應，以保障網絡安全。

3.6加強人員的網絡安全培訓

篇（5）

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1120075-01

伴隨著低檔無線網絡設備的價格不斷走低,操作日益簡便,低檔無線局域網絡在近幾年得到了迅速普及。不過,隨著低檔無線局域網絡的普及,也給用戶單位的信息安全帶來不小的威脅。在這種情形下,我們該如何才能化解低檔無線網絡的安全威脅,享受組網的快捷、便利呢?

一、低檔無線網絡的安全缺陷

以無線方式連接到小區寬帶網絡,并通過寬帶網絡進行共享訪問Internet的組網環境下,我們只需要先通過普通雙絞線將低檔無線路由器的WAN端口與小區寬帶網絡的交換端口連接在一起,然后對無線路由器的連接端口參數進行合適的設置,就能上網訪問了。然而低檔無線路由器的信號覆蓋范圍最遠可達300米左右,如果不采取安全措施進行防范的話,那么處于300米范圍之內安裝了無線網卡設備的普通計算機都能自動加入本地無線局域網網絡中,這樣一來本地無線局域網就容易遭受非法攻擊。

目前來看,低檔無線局域網存在下面一些安全缺陷:

(一)安全機制不夠健全

低檔無線局域網大都采用了安全防范性能一般的WEP協議,普通用戶即使采用了WEP加密協議、進行了WEP密鑰設置,非法攻擊者仍然能通過一些專業的攻擊工具破解加密信號,從而輕易截取客戶上網地址、網絡標識、無線頻道信息、WEP密鑰內容等信息,有了這些信息,非法攻擊者就能方便地對本地無線局域網絡進行非法入侵操作了。

此外,低檔無線局域網幾乎都不支持系統日志管理、入侵安全檢測等功能,安全機制不夠健全。

(二)無法進行物理隔離

低檔無線局域網從組建成功的那一刻,就直接暴露在外界,無線網絡訪問也無法進行任何有效的物理隔離,各種有意的、無意的非法攻擊隨時存在,那么無線局域網中的各種隱私信息也會隨時被偷偷竊取、訪問。

(三)用戶安全意識不夠

低檔無線局域網往往只支持簡單的地址綁定、地址過濾以及加密傳輸功能,這些基本安全功能在非法攻擊者面前幾乎沒有多大防范作用。再加上用戶不熟悉無線網絡技術,對網絡安全知識了解甚少,在使用無線網絡的過程中很少有意識去進行一些安全設置操作。

(四)抗外界干擾能力差

無線局域網在工作的過程中,往往會選用一個特定的工作頻段,在相同的工作頻段內無線網絡過多時,信號覆蓋范圍會互相重疊,嚴重影響有效信號的強弱,最終會影響無線局域網的信號傳輸穩定性;此外,無線上網信號在傳輸過程中,特別容易受到墻體之類的建筑物的阻擋或干擾,這樣也會對無線局域網的穩定性造成一定的影響。對于那些低檔的無線局域網來說,它的抗外界干擾能力就更差了,顯然這樣的無線局域網是無法滿足高質量網絡訪問應用要求的。

二、組網便利下的安全威脅

(一)造成隱私信息外泄

有時上網用戶為了方便工作,會在不經意間將單位的重要隱私信息或核心工作信息通過移動設備掛上無線局域網網絡中,這樣無形之中就容易發生重要隱私信息外泄的危險,嚴重的時候能夠給單位或個人造成巨大的經濟損失。

(二)降低內網安全能力

單位無線局域網附近有時還會存在一些家用無線局域網或者其他單位的無線局域網,在這種情形下,單位中任何一臺安裝了無線網卡設備的筆記本電腦都有可能自動連接到其他單位的無線局域網中,如此一來就容易發生這個單位的無線局域網與其他單位的無線局域網直接互聯的現象,甚至可能出現單位無線局域網直接與Internet網絡互聯的現象,這些現象會降低單位內網安全防范能力,給單位造成嚴重的安全后果。

(三)危及信息系統安全

一些規模較小的單位很可能出于技術、成本等因素,選用一些價格低廉、質量低劣的無線網絡設備進行組網升級、信息點的延伸,由這些網絡設備搭建而成的網絡將會天然暴露在外界,無線網絡訪問無法做到有效的物理隔離,那樣一來單位的信息系統安全將會隨時受到危及。

三、化解無線網絡安全威脅

雖然低檔無線局域網容易給我們帶來各種意想不到的安全威脅,不過對于那些對安全性要求不是很高的小規模單位來說,仍然可以選用低檔的無線局域網,前提是通過制定有效的安防措施將低檔次無線局域網的安全威脅降到最低限度,讓小規模單位用戶也能享受組網便利。

(一)做好企業無線網絡的安全狀態檢查

我們應該定期對單位的內網、外網使用情況以及核心網絡設備的工作狀態進行詳細檢查,并做好檢查記錄。同時,還應該加大力度對單位無線局域網附近區域的無線網絡工作環境進行動態監測,對單位的網絡系統安全進行評估以及審計;此外,對于涉及到處于單位核心信息以及進行重要網絡應用的工作場所,應該采取電磁屏蔽等手段,來阻止非法網絡入侵或攻擊。

(二)重視對使用者安全防范意識的培養

單位負責人必須準備相應的網絡安全資料,在單位定期開展無線上網安全知識的宣傳、培訓,以強化每一位無線上網用戶的安全防范意識,同時有針對性地進行網絡安全專項整治工作,保證單位所有員工都能在思想上高度重視無線網絡安全工作。

(三)制定嚴格的無線網絡管理規章制度

單位負責人要對無線網絡設備的使用做出合理的規定,對無線上網用戶進行合理管理,統一規范無線網絡設備的工作模式以及安全設置,明確上網用戶的使用范圍和訪問權限;例如,禁止保存有重要單位信息的筆記本電腦連接到無線局域網中,禁止隨意在無線局域網中進行共享訪問等。

相信在認識到低檔無線局域網存在的種種安全威脅后,我們只要采取有效的安全措施進行防范,還是能夠保障無線網絡的安全運行,讓低檔無線局域網也能很好地為我們提供服務。

篇（6）

以無線方式連接到小區寬帶網絡，并通過寬帶網絡進行共享訪問Internet的組網環境下，我們往往只要先通過普通雙絞線將低檔無線路由器的WAN端口與小區寬帶網絡的交換端口連接在一起，然后參照說明書對無線路由器的連接端口參數進行合適的設置，就能上網訪問了。由于在默認狀態下，低檔無線路由器會自動啟用DHCP服務功能，當我們將無線網卡設備正確地安裝到普通計算機上后，不需要進行任何參數設置就能自動連接到無線局域網網絡中了。然而在享受組網便利的同時，低檔次無線路由器的信號覆蓋范圍最遠可達到300米左右，要是不采取安全措施進行防范的話，那么處于300米范圍之內安裝了無線網卡設備的普通計算機都能自動加入本地無線局域網網絡中，那樣一來本地無線局域網就容易遭遇非法攻擊。

從目前來看，組建方便的低檔次無線局域網存在下面一些安全弊病：

1　安全機制不太健全

低檔次無線局域網大部分都采用了安全防范性能一般的WEP協議，來對無線上網信號進行加密傳輸。而沒有選用安全性能較高的WAP協議來保護無線信號的傳輸。普通上網用戶即使采用了WEP加密協議、進行了WEP密鑰設置，非法攻擊者仍然能通過一些專業的攻擊工具輕松破解加密信號，從而非常容易地截取客戶上網地址、網絡標識名稱、無線頻道信息、WEP密鑰內容等信息，有了這些信息在手，非法攻擊者就能方便地對本地無線局域網網絡進行偷竊隱私或其他非法入侵操作了。

此外，低檔次無線局域網幾乎都不支持系統日志管理、入侵安全檢測等功能，可以這么說低檔次無線局域網目前的安全機制還不太健全。

2　無法進行物理隔離

低檔次無線局域網從組建成功的那一刻，就直接暴露在外界，無線網絡訪問也無法進行任何有效的物理隔離，各種有意的、無意的非法攻擊隨時存在，那么無線局域網中的各種隱私信息也會隨時被偷偷竊取、訪問。

3　用戶安全意識不夠

低檔次無線局域網往往只支持簡單的地址綁定、地址過濾以及加密傳輸功能，這些基本安全功能在非法攻擊者面前幾乎沒有多大防范作用。不過，一些不太熟悉無線網絡知識的用戶為了能夠快速地實現移動辦公、資源共享等目的，往往會毫不猶豫地選用組網成本低廉、管理維護操作簡便的低檔次無線局域網，至于無線局域網的安全性能究竟如何，相信這些初級上網用戶幾乎不會進行任何考慮。再加上這些不太熟悉無線網絡知識的初級用戶，對網絡安全知識了解得更少了，這些用戶在使用無線網絡的過程中很少有意識去進行一些安全設置操作。

4　抗外界干擾能力差

無線局域網在工作的過程中，往往會選用一個特定的工作頻段，在相同的工作頻段內無線網絡過多時，信號覆蓋范圍會互相重疊，這樣會嚴重影響有效信號的強弱，最終可能會影響無線局域網的信號傳輸穩定性：此外。無線上網信號在傳輸過程中，特別容易受到墻體之類的建筑物的阻擋或干擾，這樣也會對無線局域網的穩定性造成一定的影響。對于那些低檔次的無線局域網來說，它的抗外界干擾能力就更差了，顯然這樣的無線局域網是無法滿足高質量網絡訪問應用要求的。

二、組網便利下的安全威脅

既然低檔次無線局域網存在上述一些安全弊病，這些弊病要是突然發作起來或被非法攻擊者利用的話，那么就可能給我們帶來不小的安全威脅：

1　造成隱私信息外泄

有的時候，不少無線局域網上網用戶為了方便工作，往往會在不經意間將單位的重要隱私信息或核心工作信息，甚至將一些屬于絕密范疇的信息通過移動設備掛上無線局域網網絡中，這樣無形之中就容易發生重要隱私信息外泄的危險，嚴重的時候能夠給單位或個人造成巨大的經濟損失。

2　降低內網安全能力

單位無線局域網附近有時還會存在一些家用無線局域網或者其他單位的無線局域網，這些無線局域網常常會用于移動辦公或共享訪問Internet網絡的，這些無線網絡的使用者大多沒有足夠的安全防范意識，并且他們應用無線網絡的要求不是很高，也用不著對無線上網進行一些安全設置操作。在這種情形下，單位中任何一臺安裝了無線網卡設備的筆記本電腦都有可能自動連接到其他單位的無線局域網中，如此一來就容易發生這個單位的無線局域網與其他單位的無線局域網直接互聯的現象，甚至可能出現單位無線局域網直接與Internet網絡互聯的現象。這些現象明顯會降低單位內網安全防范能力。容易給單位造成嚴重的安全后果。

3　危及信息系統安全

考慮到低檔次無線局域網組網成本低廉，不需要進行復雜布線，管理維護也很方便，要是安全意識不到位，那么一些規模較小的單位很可能出于技術、成本等因素，來選用一些價格低廉、質量低劣的無線網絡設備進行組網升級、信息點的延伸，由這些網絡設備搭建而成的網絡將會天然暴露在外界，無線網絡訪問無法做到有效的物理隔離，那樣一來單位的信息系統安全將會隨時受到危及。

三、化解無線網絡安全威脅

雖然低檔次無線局域網容易給我們帶來各種意想不到的安全威脅，會給單位的信息系統造成不小的安全隱患，不過對于那些對安全性要求不是很高的小規模單位來說，仍然可以選用低檔次的無線局域網，畢竟這種類型的組網成本非常低廉，更為重要的是通過制定有效的措施完全可以將低檔次無線局域網的安全威脅降到最低限度，讓規模不大的單位用戶也能盡情地享受組網便利。

1　向檢查要安全

為了隨時了解單位無線網絡的安全狀態，我們應該定期對單位的內網、外網使用情況以及核心網絡設備的工作狀態進行詳細檢查，并做好詳細的檢查記錄。與此同時，我們還應該加大力度對單位無線局域網附近區域的無線網絡工作環境進行動態監測，一定的時候還需要對單位的網絡系統安全進行評估以及審計：此外，對于涉及到處于單位核心隱私信息以及進行重要網絡應用的工作場所，應該及時采取電磁屏蔽等手段，來阻止非法網絡入侵或攻擊。

2　向宣傳要安全

由于低檔次無線局域網很容易影響到單位內部網絡的使用安全性，為此單位負責人必須準備好豐富齊全的網絡安全資料，在單位上、下定期開展無線上網安全知識的宣傳、培訓，以便強化每一位無線上網用戶的安全防范意識，同時有必要針對性地進行網絡安全專項整治工作，保證單位所有員工都能在思想上高度重視無線網絡安全工作。

篇（7）

隨著信息化的不斷擴展，各類網絡版應用軟件推廣應用，計算機網絡在提高數據傳輸效率，實現數據集中、數據共享等方面發揮著越來越重要的作用，網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提，因此計算機網絡和系統安全建設就顯得尤為重要。

一、局域網安全現狀

隨著網絡應用的普及，人們對網絡安全的認識也日益深入，廣域網絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。但是這些產品有一個共同點：防外不防內。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。目前，局域網絡安全隱患是利用了網絡系統本身存在的安全弱點，而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。

二、局域網安全威脅分析

局域網（LAN）是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦，因此局域網內信息的傳輸速率比較高，同時局域網采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類：

（1）欺騙性的軟件使數據安全性降低。網絡釣魚攻擊是指利用欺騙性的電子郵件和偽造的WEB站點來進行詐騙活動，受騙者往往會泄露自己的用戶名，口令，ID、信用卡號等敏感數據。詐騙者通常會偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。網絡釣魚攻擊的主要方法有：發送電子郵件，以虛假信息引誘用戶中圈套；建立假冒網上銀行，網上證券網站，騙取用戶帳號、密碼實施盜竊；利用虛假的電子商務進行詐騙；利用木馬和黑客技術等手段竊取用戶信息后實施盜竊活動；利用用戶弱口令等漏洞破解、猜測用戶帳號和密碼；使用欺騙性的超鏈接。（2）計算機病毒及惡意代碼的威脅。由于網絡用戶不及時安裝防病毒軟件和操作系統補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。越是網絡應用水平高，共享資源訪問頻繁的環境中，計算機病毒的蔓延速度就會越快。惡意代碼（malicious code）是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。（3）黑客攻擊。黑客們的攻擊行動是無時無刻不在進行的，而且會利用系統和管理上的一切可能利用的漏洞。公開服務器存在漏洞的一個典型例證，是黑客可以輕易地騙過服務器，得到系統的口令文件并將之送回。黑客侵入服務器后，有可能修改特權，從普通用戶變為高級用戶，一旦成功，黑客可以直接進入口令文件。（4）非授權訪問。利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，對網絡設備及信息資源進行非正常使用或越權使用，以達到占用合法用戶資源的目的。（5）主機系統中存在許多安全漏洞。網絡中存在大量不同操作系統的主機如unix、Windows 2000SERVER、windows xp、windows 98。這些操作系統自身也存在許多安全漏洞。（6）服務器區域沒有進行獨立防護。局域網的數據傳遞速度快，造就了病毒感染的直接性和快速性，如果局域網中服務器區域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網內部的攻擊。（7）IP地址沖突。對于局域網來講，此類IP地址沖突的問題會經常出現，用戶規模越大，查找工作就越困難，所以網絡管理員必須加以解決。（8）局域網用戶安全意識不強。許多用戶使用移動存儲設備來進行數據的傳遞，經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。長期的安全攻擊事件分析證明，很多攻擊事件是由于人員的安全意識薄弱，無意中觸發了黑客設下的機關、打開了帶有惡意攻擊企圖的郵件或網頁造成的。（9）管理中存在的問題。管理是網絡中安全最最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。

三、局域網安全控制與病毒防治策略

3.1加強人員的網絡安全培訓

篇（8）

1.引言

無線通信技術的發展推動了無線網絡的快速發展，無線局域網在推出之后得到了快速普及。無線局域網采用無線傳輸媒介進行通信，擺脫了線纜的束縛，打破了地域和客觀條件的制約，具有靈活性、移動性強，成本低，吞吐量高的特點。隨著個人通信的發展，無線局域網已經掀起了移動計算的新浪潮并在社會生活的方方面面得到了廣泛的應用。

然而，無線局域網在帶來便利的同時卻給整個網絡帶來了巨大的安全威脅。無線局域網信號在自由空間中進行傳輸，無法像有線網絡一樣通過對傳輸媒介的接入控制來保證數據不會被惡意竊聽并獲取。所以無線局域網面臨一系列的安全問題。首先，由于移動終端與網絡之間的無線接口是開放性的，使得在無線信道上傳送的信令和業務消息很容易被他人竊聽，且很難被發現。其次，移動終端與網絡之間缺乏固定的物理連接，用戶必須通過無線信道來傳送其身份信息，身份認證機制不完善。因此，無線局域網必須采取更嚴密的安全措施以確保通信安全。

無線局域網安全分為身份認證和數據傳輸安全兩大塊，有關無線局域網的安全策略也是圍繞這兩方面進行分析和設計。文獻[4]中提出的安全方案需要改動WLAN基礎設施來保障身份認證。文獻[5]中的安全方案基于對稱密碼體制的第三方認證來解決身份認證和密碼協商。文獻[6]提出了基于IPSec的解決方案。本文提出了基于OSI模型層次化的WLAN安全策略，在物理層、數據鏈路層、網絡層和應用層分別采取了相應的安全措施，能夠最大限度地保障無線局域網通信安全。

2.WLAN 物理層協議及MAC協議

IEEE 802.11x WLAN 的物理層定義了數據傳輸的信號特征和調制方式：射頻(RF)和紅外線(IR)傳輸。RF分為直接序列擴頻（DSSS）和跳頻擴頻（FHSS）兩種傳輸方式。DSSS采用擴展的冗余編碼方式進行數據傳輸，通過用高碼率的擴頻碼序列與數據信號相乘實現擴頻。FHSS系統中發射機的載波頻率在一個預定集合（2.4G一2.483G）中隨時跳變，接收方和發送方事先協商跳頻模式。

IEEE 802.11的數據鏈路層由邏輯鏈路控制子層（LLC）和介質訪問控制子層（MAC）組成。IEEE 802.11使用和IEEE 802.3完全相同的LLC子層，并且與IEEE 802協議中所規定的使用48位MAC地址要求完全相同。IEEE 802.11 MAC層的幀格式由幀頭（MAC Header）、幀實體（Frame Body）和錯誤檢查碼（FCS）共同構成。幀頭包括幀控制（Frame Control）、持續時間（Duration / ID）、地址信息（Address）和順序控制（Sequence Control）等字段，如圖1所示。

圖1：無線局域網幀頭結構

3.層次化的無線局域網安全策略

3.1 無線局域網安全技術及其缺陷

SSID (服務配置標識符) 用來標識無線局域網，無線AP默認定時進行SSID廣播，黑客利用偵測軟件可以輕易獲得SSID。無線AP中存有合法MAC地址列表，管理員通過手工維護合法MAC列表可控制無線終端的訪問權限。但是攻擊者通過無線偵聽即可獲取合法的MAC地址并非法接入。WEP在鏈路層采用RC4對稱加密技術，它將密鑰擴展成任意長度的偽隨機位“密鑰流”，該算法的缺陷是：如果對兩個不同的消息使用相同的IV和密鑰進行加密，則可完全破解兩個消息的信息。同時，如果通過無線偵聽收集到包含特定IV密鑰的分組信息并對其進行解析，那么連通用密鑰也可被破解出來。WAPI協議分為WAI和WPI兩部分，分別實現對用戶身份的鑒別和對傳輸的數據加密。由于WAPI與原有WiFi標準存在較大差異，在設備兼容方面存在問題。所以WAPI標準仍在推廣之中，并沒有應用到現有的無線局域網之中。

WLAN所面臨的安全威脅分為被動攻擊和主動攻擊兩大類。被動攻擊是對WLAN信號的竊聽或干擾，主動攻擊則是對WLAN進行非法接入并篡改網絡設置等活動。為部署更安全的無線局域網，必須完善無線局域網網絡安全策略，在OSI網絡模型之上進行嚴格把關，在無線設備和終端之間建立多層次的保護機制，從根本上做到防止非法用戶接入WLAN，并保證數據在傳輸過程中安全、保密。

3.2 層次化的無線局域網安全策略

無線局域網的安全貫穿網絡架構、使用和維護的整個過程，單層次的安全技術并不能保證無線通信的絕對安全，一個設計良好，架構完整的無線局域網安全方案應該基于OSI參考模型，以分層方式整合多種不同的安全措施，以最大限度來確保無線局域網的通信安全。

考慮到WLAN物理層的安全，在架構WLAN時，通過專用審計儀器測量架設環境，確定AP的最佳位置，控制發散區，盡量減少無線信號泄露到網絡范圍以外的區域。當網絡中存在多個AP時，調整各AP的工作頻道，最大限度的減少干擾。

WLAN數據鏈路層的安全重點是對無線設備合理高效的應用。在WLAN中，啟用AP的MAC地址過濾功能。啟用WPA或WEP加密，選擇104或40位（一些舊設備不支持104位）加密密鑰。

圖2：無線局域網安全構架

在配置無線AP時，將SSID設置為長而復雜的字符并關閉SSID廣播功能，在AP中設置最大長度的共享密鑰并定期更改密鑰，將WLAN的地址分配設置為靜態手工分配。同時應采用IPSec的嵌套通道來構造VPN的安全通信，以確保WLAN網絡層的安全。

應用層的安全至關重要。在客戶無線終端和無線網絡間建立VPN（虛擬專用網）連接，在無線終端和VPN網關之間建立一對一的安全連接。同時在WLAN中架設RADIUS（Remote Authentication Dial-In User Service）服務器，對系統的遠程連接進行身份驗證、為網絡資源提供授權并記錄日志。此外，應該在客戶終端中安裝個人防火墻并在WLAN中架設入侵檢測系統。

4.小結

隨著人們對無線互聯需求的增長, 無線局域網技術必將會得到進一步的發展, 其安全性也會逐步完善。本文分析了現有無線局域網的安全技術及其漏洞, 提出了更為安全可靠的無線局域網部署方案。

參考文獻：

[1] 劉峰,王相林.WLAN安全方案及802.11i標準研究.計算機工程與設計,2006年13期.

[2] 姚志強,蒲江,唐金藝.802.11無線局域網安全性分析.計算機安全,2006年 04期.

[3] 陳一天,Laingal Ming.802.11 WLAN通信安全的研究.計算機應用研究,2006年03期.

[4] 趙鵬,羅平,曹學武.改進無線局域網的安全.計算機工程與應用,2004年02期.

[5] 陳卓,陳建峽,楊木祥.基于對稱密碼體制的第三方認證的無線局域網安全方案研究.計算機工程與科學,2005年07期.

篇（9）

1、引言

WLAN是WirelessLAN的簡稱，即無線局域網。所謂無線網絡，顧名思義就是利用無線電波作為傳輸媒介而構成的信息網絡，由于WLAN產品不需要鋪設通信電纜，可以靈活機動地應付各種網絡環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性，在難以重新布線的區域提供快速而經濟有效的局域網接入，無線網橋可用于為遠程站點和用戶提供局域網接入。但是，當用戶對WLAN的期望日益升高時，其安全問題隨著應用的深入表露無遺，并成為制約WLAN發展的主要瓶頸。[1]

2、威脅無線局域網的因素

首先應該被考慮的問題是，由于WLAN是以無線電波作為上網的傳輸媒介，因此無線網絡存在著難以限制網絡資源的物理訪問，無線網絡信號可以傳播到預期的方位以外的地域，具體情況要根據建筑材料和環境而定，這樣就使得在網絡覆蓋范圍內都成為了WLAN的接入點，給入侵者有機可乘，可以在預期范圍以外的地方訪問WLAN，竊聽網絡中的數據，有機會入侵WLAN應用各種攻擊手段對無線網絡進行攻擊，當然是在入侵者擁有了網絡訪問權以后。

其次，由于WLAN還是符合所有網絡協議的計算機網絡，所以計算機病毒一類的網絡威脅因素同樣也威脅著所有WLAN內的計算機，甚至會產生比普通網絡更加嚴重的后果。

因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。

IEEE802.1x認證協議發明者VipinJain接受媒體采訪時表示：“談到無線網絡，企業的IT經理人最擔心兩件事：首先，市面上的標準與安全解決方案太多，使得用戶無所適從；第二，如何避免網絡遭到入侵或攻擊？無線媒體是一個共享的媒介，不會受限于建筑物實體界線，因此有人要入侵網絡可以說十分容易。”[1]因此WLAN的安全措施還是任重而道遠。

3、無線局域網的安全措施

3.1采用無線加密協議防止未授權用戶

保護無線網絡安全的最基本手段是加密，通過簡單的設置AP和無線網卡等設備，就可以啟用WEP加密。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。許多無線設備商為了方便安裝產品，交付設備時關閉了WEP功能。但一旦采用這種做法，黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用于標識每個無線網絡的服務者身份(SSID)，在部署無線網絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應該禁用SSID廣播，這樣可以減少無線網絡被發現的可能。[2]

但是目前IEEE802.11標準中的WEP安全解決方案，在15分鐘內就可被攻破，已被廣泛證實不安全。所以如果采用支持128位的WEP，破解128位的WEP的是相當困難的，同時也要定期的更改WEP，保證無線局域網的安全。如果設備提供了動態WEP功能，最好應用動態WEP，值得我們慶幸的，WindowsXP本身就提供了這種支持，您可以選中WEP選項“自動為我提供這個密鑰”。同時，應該使用IPSec，VPN，SSH或其他

WEP的替代方法。不要僅使用WEP來保護數據。

3.2改變服務集標識符并且禁止SSID廣播

SSID是無線接人的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備制造商設置的，并且每個廠商都用自己的缺省值。例如，3COM的設備都用“101”。因此，知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一并且難以推測的SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣，你的無線網絡就不能夠通過廣播的方式來吸納更多用戶．當然這并不是說你的網絡不可用．只是它不會出現在可使用網絡的名單中。[3]

3.3靜態IP與MAC地址綁定

無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態IP地址分配，這對無線網絡來說是有安全隱患的，“不法”分子只要找到了無線網絡，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了局域網絡中。因此，建議關閉DHCP服務，為家里的每臺電腦分配固定的靜態IP地址，然后再把這個IP地址與該電腦網卡的MAC地址進行綁定，這樣就能大大提升網絡的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當于兩重關卡。[4]設置方法如下：

首先，在無線路由器或AP的設置中關閉“DHCP服務器”。然后激活“固定DHCP”功能，把各電腦的“名稱”(即Windows系統屬陸里的“計算機描述”)，以后要固定使用的IP地址，其網卡的MAC地址都如實填寫好，最后點“執行”就可以了。

3.4VPN技術在無線網絡中的應用

對于高安全要求或大型的無線網絡，VPN方案是一個更好的選擇。因為在大型無線網絡中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。

對于無線商用網絡，基于VPN的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。VPN方案已經廣泛應用于Internet遠程用戶的安全接入。在遠程用戶接入的應用中，VPN在不可信的網絡(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議，包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣，VPN技術可以應用在無線的安全接入上，在這個應用中，不可信的網絡是無線網絡。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成采用SSID機制把無線網絡分割成多個無線服務子網)，但是無線接入網絡VLAN(AP和VPN服務器之問的線路)從局域網已經被VPN服務器和內部網絡隔離出來。VPN服務器提供網絡的認征和加密，并允當局域網網絡內部。與WEP機制和MAC地址過濾接入不同，VPN方案具有較強的擴充、升級性能，可應用于大規模的無線網絡。

3.5無線入侵檢測系統

無線入侵檢測系統同傳統的入侵檢測系統類似，但無線入侵檢測系統增加了無線局域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說，是必須采取的一種措施。如今入侵檢測系統已用于無線局域網。來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警。無線入侵檢測系統不但能找出入侵者，還能加強策略。通過使用強有力的策略，會使無線局域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析，找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。[1]

3.6采用身份驗證和授權

當攻擊者了解網絡的SSID、網絡的MAC地址或甚至WEP密鑰等信息時，他們可以嘗試建立與AP關聯。目前，有3種方法在用戶建立與無線網絡的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在于，如果您沒有其他的保護或身份驗證機制，那么您的無線網絡將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似于“口令一響應”身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請，然后AP發回口令。接著，STA利用口令和加密的響應進行回復。這種方法的漏洞在于口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應，那么他們就可能找到用于加密的密鑰。采用其他的身份驗證／授權機制。使用802.1x，VPN或證書對無線網絡用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權限。

[5]

3.7其他安全措施

除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術，例如設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容；加強企業內部管理等等的方法來加強WLAN的安全性。

4、結論

無線網絡應用越來越廣泛，但是隨之而來的網絡安全問題也越來越突出，在文中分析了WLAN的不安全因素，針對不安全因素給出了解決的安全措施，有效的防范竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段，但是由于現在各個無線網絡設備生產廠商生產的設備的功能不一樣，所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣，但是安全措施的思路是正確的，能夠保證無線網絡內的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線局域網的安全。

參考文獻

[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網絡安全性威脅及應對措施[J].現代電子技術.2007,(5):91-94.

[2]王秋華,章堅武.淺析無線網絡實施的安全措施[J].中國科技信息.2005,(17):18.

篇（10）

隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,計算機網絡和系統的安全與管理工作就顯得尤為重要。

1、局域網安全威脅分析

局域網是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。一般的情況下,局域網的網絡安全威脅通常有以下幾類:

1.1 核心設備自身的安全威脅

軟交換網絡采用呼叫與承載控制相分離的技術,網絡設備的處理能力有了很大的提高。可以處理更多的話務和承載更多的業務負荷,但隨之而來是安全問題。對于采用板卡方式設計的網絡設備,一塊單板在正常情況下能夠承載更多的話務和負荷,那么在發生故障時就有可能造成更大范圍的業務中斷。

目前,軟交換設備安全完全依賴廠商的軟硬件的安全設計,主要通過主備、1+1、N+1備份和自動倒換以及軟硬件模塊化設計等方式實現故障情況下的切換和隔離。但備份和倒換的可靠性無法保障:關鍵設備的倒換(特別是一些關鍵接口板)一般會影響業務或者設備運行,倒換的成功率目前無法保障,可能在緊急情況下無法順利進行倒換。

1.2 網絡層面的安全威脅

雖然單個或者區域核心節點的安全可以通過負荷分擔或者備份來保證,但是從網絡層面來看仍然存在安全隱患。在現有的軟交換網絡中,各種平臺類設備很多,而且往往都是以單點的形式存在,這些節點一旦失效,將嚴重影響網絡業務。目前網絡層面的威脅主要是重要業務節點癱瘓造成的業務中斷、擁塞和溢出,其中SHLR、通用號碼轉換(一號通平臺)等關鍵平臺的影響最大。因此,應該重視突發話務沖擊導致話務資源耗盡等現象。

1.3 承載網的安全威脅

軟交換系統的承載網絡采用的是IP分組網絡,通信協議和媒體信息主要以IP數據包的形式進行傳送。承載網面臨的安全威脅主要有網絡風暴、病毒(蠕蟲病毒)泛濫和黑客攻擊。黑客攻擊網絡中的關鍵設備,篡改其路由和用戶等數據,導致路由異常,網絡無法訪問等。從實際運行情況來看,承載網對軟交換網絡的影響目前是最大的,主要是IP網絡質量不穩定引起的。

1.4 接入網的安全威脅

軟交換網絡提供了靈活、多樣的網絡接入手段,任何可以接入IP網絡的地點均可以接入終端。這種特性在為用戶提供方便的同時帶來了安全隱患,一些用戶利用非法終端或設備訪問網絡,占用網絡資源,非法使用業務和服務,甚至向網絡發起攻擊。另外,接入與地點的無關性,使得安全事件發生后很難定位發起安全攻擊的確切地點,無法追查責任人。

正是由于局域網內在應用上存在這些獨特的特點,造成局域網內的病毒快速傳遞,數據安全性低,網內電腦相互感染,病毒屢殺不盡,數據經常丟失。根據這些存在的安全隱患,在局域網中采取如何策略進行防范呢？

2、局域網安全策略控制與管理

局域網安全的控制主要從人員和設備兩個方面進行考慮:

2.1 局域網中人的行為安全控制

安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的,所以必須加強工作人員的安全培訓。對局域網內部人員,從下面幾方面進行培訓:加強安全意識培訓;加強安全知識培訓;加強網絡知識培訓。

2.2 局域網的安全策略控制與管理

2.2.1 網絡系統的安全控制

為保護網絡的安全,必須對訪問系統及其數據的人進行識別,并檢查其合法身份,對進入網絡系統進行控制。訪問控制首先要把用戶和數據進行分類,然后根據需要把二者匹配起來,把數據的不同訪問權限授予用戶,只有被授權的用戶才能訪問相應的數據。入系統訪問控制為系統提供了第一層訪問控制,控制著可以登錄到服務器網絡操作系統并獲取系統資源的用戶,通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統,選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權,則它可以直接或簡接地把這種控制權傳遞給別的主體。選擇性訪問控制被內置于許多操作系統當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權。

2.2.2 網絡互連設備的安全管理

網絡中的互連設備包括集線器、交換機、路由器等設備,這些設備在網絡中起著非常重要的鏈接作用,因此,這些設備的安全性更是關系到整個網絡的關鍵命脈。實際中,一定對網絡中這些設備的登錄有嚴格的控制管理,登錄方式只能掌握在網絡的管理人員手中,網絡的管理人言要正確配置設備的參數,運行過程中,能夠順利連接局域網中的各個環節,使整個網絡運行順暢。

2.2.3 網絡終端的安全管理

目前網絡管理工作量最大的部分是客戶端安全部分,對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。采取的手段是:利用管理系統控制用戶入網;采用防火墻技術;封存所有空閑的IP地址,啟動IP地址綁定,采用上網計算機IP地址與MCA地址唯一對應,網絡沒有空閑IP地址的策略;屬性安全控制。啟用殺毒軟件強制安裝策略,監測所有運行在局域網絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

通過了對網絡中的安全進行了策略的設置,還要對網絡的運行過程中做好預防工作。

3、病毒防治策略

網絡是目前計算機病毒急速增長,種類快速增加的直接推動力,幾乎任何一種網絡應用都可能成為計算機病毒傳播的有效渠道。由于局域網中數據的共享和相互協作的需要,組成網絡的每一臺計算機都連接到其他計算機,局域網絡技術的應用為企業的發展做出了貢獻,同時也為計算機病毒的迅速傳播鋪平了道路,同時,由于系統漏洞所產生的安全隱患也會使病毒在局域網中傳播。

由此可見,病毒的侵入必將對系統資源構成威脅,影響系統的正常運行。防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:

(1)增加安全意識和安全知識,對工作人員定期培訓。如果技術人員對網絡安全產品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網絡中,首先對技術人員進行專業的培訓。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執行和實施。

(2)小心使用移動存儲設備。日常工作過程中,數據的傳輸、備份,難免使用移動存儲設備,那么,在局域網中使用這些設備時,注意的問題有:使用是保證存儲設備的安全性,在使用移動存儲設備時,要做到不把病毒帶到網絡中,以防發生網絡故障,同時,也注意網絡中某臺計算機上的病毒感染移動存儲設備,防止數據的丟失。

(3)挑選網絡版殺毒軟件。目前市面上殺毒軟件比較多,但任何一個殺毒軟件都不能對所有病毒都起作用,我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設備的要求不是很高,能夠保證網絡中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現新的病毒時,病毒庫能夠第一時間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網絡中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設置某時間點進行自動查殺。

通過以上策略的設置,能夠及時發現網絡運行中存在的問題,快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點,及時、準確的切斷安全事件發生點和網絡。

4、信息化安全管理制度

局域網網絡的安全管理制度是網絡的安全運行的保障,在制定安全管理制度中,最重要的是關于網絡各種文檔的制定。其中有網絡建設方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網絡安全方案、安全策略文檔、口令管理制度、安全防護記錄、應急響應方案等等制度。實際中,通過以上各種文檔,在網絡運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。

5、結語

篇（11）

中圖分類號：TP393.1 文獻標識碼：A 文章編號：

一、前言

隨著網絡的普遍應用，特別是局域網的使用。各種對于局域網安全產生破壞的隱患成不出窮，一旦構成的破壞也是十分巨大的。因此，局域網的網絡安全及應對策略問題成為當前網絡安全的關鍵性問題。

二、當今局域網的安全現狀

由于IPV4地址的有限，使得很多地方都通過建立局域網來上網，如許多大中型企業和學校，這樣就有局域網內很多臺電腦的一個網絡通過一個端口連接都在互聯網上，這也就使得對局域網內的網絡安全變得尤其重要。在許多年前，局域網還是十分安全的，大多數的公司也常常習慣于直接在局域網共享各種常用軟件和資料，但是現在很多病毒開發者打起了局域網的主意。例如由于網游產生了APR病毒。這是一種欺騙性質的病毒，雖然它的目的并不是破壞局域網，但為了達到它盜號盜寶的目的，會嚴重影響其它局域網用戶的正常上網活動。有一種針對服務器的SYN攻擊也會令局域網電腦全體“ 掉 線 ” SYN攻擊屬于DOS攻擊的一種，它利用TCP協議三次握手的等待確認缺陷，通過發送大量的半連接請求，耗費CPU的內存資源。SYN攻擊除了能影響主機外，還可以危害路由器，防火墻等網絡系統，事實上SYN攻擊并不管目標是什么系統，只要這些系統打開TCP服務就可以實施。

三、局域網網絡安全建設

1、創建獨立安全局域網服務器

當前，我國較多局域網體系沒有單獨創建針對服務器的安全措施，雖然簡單的設置可令各類數據信息位于網絡系統中高效快速的傳播，然而同樣為病毒提供了便利的傳播感染渠道。局域網之中雖然各臺計算機均裝設了預防外界攻擊影響的安全工具，制定了防范措施，然而該類措施恰恰成為網絡安全的一類薄弱環節。在應對局域網絡內部影響攻擊時，效果不佳，尤其在其服務器受到病毒侵襲影響，會令全網系統不良崩潰。為此，對其服務器獨立裝設有效防護措施尤為重要。我們應在服務器內部安裝單獨的監控網內系統、各類病毒庫的實時升級系統，令其在全過程的實時安全監督、優化互補管控之下安全快速的運行。當發覺網內計算機系統受到病毒侵襲時，應快速將聯系中斷，并面向處理中心報告病毒種類，實施全面系統的殺毒處理。而當服務器系統被不良攻擊影響時，則可利用雙機熱備體系、陣列系統安全防護數據信息，提升整體系統安全水平。

2、樹立安全防范意識，提升應用者防毒水平

局域網產生的眾多安全問題之中，較多由于內網操作應用人員沒有樹立安全防范意識，令操作失誤頻繁發生。例如操作控制人員沒有有效進行安全配置令系統存在漏洞、或是由于安全防范意識不強，令外網攻擊借機人侵。在選擇口令階段中由于操作不慎，或將自身管理應用賬號隨意的借他人應用，均會給網絡安全造成不良威脅影響。另外，網絡釣魚也成為影響計算機局域網絡安全的顯著隱患問題。不法分子慣用該類方式盜取網絡系統賬號、竊用密碼，進而獲取滿足其利益需求的各類重要資訊、信息，還直接盜取他人經濟財產。一些網絡罪犯基于局域網絡系統資源信息全面共享的客觀特征而采取各類方式手段實施數據信息的不良截獲，或借助垃圾郵件群發、發送不明數據包、危險鏈接等誘導迷惑方式，令收信方進行點擊，對于計算機局域網絡系統的優質安全管理運行形成了較大的隱患威脅。

3、實施制度化的文件信息備份管理，預防不可逆損失

一般來講，各類網絡攻擊或者是病毒侵襲，均需要首先找到網絡系統中的落腳點方能實現攻擊竊取目標。而計算機系統漏洞、局域網絡后門則為攻擊者提供了落腳點，成為不安全攻擊的主體目標。當然該類漏洞無法絕對全面的徹底消除。因而，為有效提升各單位計算機局域網絡系統的綜合安全防護性能，應對系統以及各類數據、信息與文件進行定期全面備份，并確保制度化的實時升級管理，令該項制度成為應用局域網的現實規范。只有快速、及時、全面的實施整體數據信息及系統備份，方能在系統受到不良侵襲、導致信息不慎丟失時能夠快速恢復，杜絕不可逆影響的發生并產生永久損失。另外，對于資料信息的整體備份內容同日常應用儲存數據不應放于同一計算機或服務器之中，不然該類備份便會毫無意義。如果備份程序還支持加密，我們則可借助數據加密處置，多為磁盤增設一道密碼保護屏障。基于計算機病毒發展快速、更新頻繁、攻擊方式變幻莫測的狀況，工作人員還應為整體系統做好維護管理、打補丁升級及全面更新的應用控制，提升整體系統防護病毒影響水平。可通過防火墻系統安裝、監督控制手段應用、安裝強力查殺病毒工具軟件、定期備份殺毒、整理磁盤，注冊表清理及冗余刪除，規范文件應用及垃圾文件刪除等方式，實現系統的安全最優化目標。

四、局域網絡安全的主要威脅

目前威脅局域網內網絡安全的有以下幾方面：

1、計算機病毒。編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼被稱為計算機病毒。具有破壞性，復制性和傳染性。隨著計算機和網絡技術的推廣與發展，計算機病毒也在不斷地演變和壯大，其危害性也越來越大，對很多計算機局域網的安全構成了很大的威脅。

2、黑客入侵。黑客入侵技術，是對計算機系統和網絡的缺陷和漏洞的發現，以及針對這些缺陷實施攻擊的技術。這里的缺陷，包括軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤。黑客非法侵入計算機網絡，獲取局域網內的秘密信息或有選擇性地破壞局域網內信息的有效性和完整性，這是當前計算機局域網所面臨的最大威脅之一。

3、截取信號。這種威脅主要體現在無線局域網中，隨著網絡的發展，無線局域網已被看作網絡發展的必然方向。雖然無線局域網有很多顯著的優勢，但也存在著安全隱患，不法者可以通過特殊手段截取信號來獲取通信中的保密信息。

五、局域網絡安全事故應對策略模型

網絡安全事故應對策略模型的構建目標是利用多種安全防護措施以及系統數據的備份與恢復手段，構建一個基于全方位、多層次的事故協同處理系統，該系統包括對網絡攻擊者攻擊事故的檢測、審計與分析，攻擊記錄與防御、網絡偽裝與欺騙、災難備份與恢復等功能，為業務網絡系統搭建一個動態的、自治的安全環境。

網絡安全事故應對策略模型的組成主要包括三個部分的內容，一是攻擊信息記錄系統，主要利用攻擊信息記錄技術和網絡安全監察技術，對可疑的網絡數據流以及網絡鏈接進行檢測，獲取并保存網絡攻擊者的相關信息，這些信息可以為攻擊防御系統以及數據備份恢復系統提供可靠的依據，也可以在事后對網絡攻擊行為的分析與對策研究中起到重要作用；二是協同式攻擊防御技術，主要是以攻擊信息記錄系統中獲取的攻擊者攻擊的相關信息為基礎，將蜜罐技術和系統漏洞掃描技術融入到防御系統中，建立起立體的攻擊防御體系，從而實現對網絡攻擊行為的防護和抵御；三是網絡數據備份恢復系統，它的目標是實現一個低成本、高性能，與網絡中其他安全設備與系統協同工作的多數據備份恢復系統。

網絡安全事故應對策略模型的工作方式為，先由攻擊信息記錄系統，利用部署在主機與網絡設備中的監控組件，對網絡進行全方位的監視，對網絡中的數據包進行截取和分析，然后將審計與分析的結果傳輸到控制與分析中心，在那里對信息進行綜合和二次判斷，當確認有攻擊行為發生時，將信息輸送到協同式防御系統；

六、結束語

清晰了解局域網的網絡安全隱患產生的原因，明確針對各種網絡安全隱患的應對措施。其中局域網絡安全事故應對策略模型的建立，將有助于局域網絡安全的維護。但是，隨著網絡的日趨復雜化，單一模型是不能解決問題，因此面對實際問題，還需對解決方案進行發展創新。

參考文獻

[1胡錚.網絡與信息安全[M].清華大學出版社,2006.