局域网网络信息安全和防护策略研究

　　随着计算机信息技术的发展，网络已成为人们工作中不可缺少的工具。虽然IPv6技术和标准已经相对成熟，但是IPv4仍然是当前互联网的主要协议，IP地址资源紧缺使大多数企业单位仍然使用局域网的方式，通过NAT技术访问互联网。因此，局域网网络信息安全和系统安全建设就显得尤为重要。

　　1 局域网网络信息安全存在的问题

　　1.1 安全防护架构

　　完整的网络安全防护架构主要有由硬件、防火墙、漏洞扫描、网络防病毒系统等技术构筑一道安全屏障，并通过把不同的产品集成在同一个安全管理平台上，实现网络安全的统一、集中的管理。然而，目前大多数的局域网仅仅安装防火墙，造成网络安全架构不完善，加上局域网采用的技术比较简单，使局域网的很容易被攻击和盗取信息。

　　1.2 系统漏洞

　　局域网系统漏洞主要包括网络设备硬件漏洞和用户计算机系统漏洞。完整的网络设备、计算机系统是由硬件和软件组成，网络硬件漏洞就是在网络设备硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。比如路由器系统存在BUG，访问控制规则设置存在错误等等。用户计算机系统漏洞是指用户没有及时的对系统漏洞进行更新，这些漏洞极易被黑客利用进行攻击，给局域网的信息安全带来巨大的隐患。

　　1.3 人为因素

　　人为因素也是影响局域网信息安全的重要方面。由于个别用户安全意识不强，使用U盘等移动存储设备来进行数据的传递。这些外部数据没有经过必要的安全检查被带入内部局域网，使木马、蠕虫等病毒的非常容易地进入到内部网络。另外，许多用户将未经许可的设备擅自接入内部局域网络使用，也会造成病毒的传入和信息的泄密。比如，私自将个人无线路由接入到网络中，由于个人无线路由安全性比较低，黑客只要在路由器信号范围内就可以对局域网的数据进行盗取和攻击。此外，由于个人原因将局域网密码泄露、网线接入错误造成环网、ip地址冲突等问题都严重影响了局域网的信息安全。

　　1.4 病毒和恶意代码

　　局域网的病毒来源主要通过以下几种方式：

　　(1)黑客借助系统漏洞将病毒和恶意代码上传到局域网目的主机上;

　　(2)由于人为因素，通过U盘等移动设备将病毒传入局域网;

　　(3)访问互联网，从网站下载的软件带有病毒。一旦病毒进入到局域网，便对局域网信息数据进行盗取和破坏，比如ARP病毒能够进行路由欺骗和网关欺骗，不但影响局域网网络速度，而且对用户的私密信息威胁很大。

　　2 安全防护策略与措施

　　2.1 技术防护措施

　　2.1.1 加密技术

　　对重要数据进行加密是网络传输的常用的技术。在数据传输前对数据进行加密，综合数字签名、身份认证和动态验证等多种加密技术，杜绝数据在网络上以明文的方式传输，防止用户数据在传输过程中被截获，增加破解难度。建立复杂密码机制，并定期进行更换。

　　2.1.2 防火墙技术

　　防火墙是内部网络与外部网络之间的网络安全系统，提供边界安全防护和访问权限控制。它使内部网络与Internet 之间或与其他外部网络互相隔离，防范外部网络对内部网络的的攻击和非法访问。通过配置安全策略规则，实现对经过防火墙访问内部网络数据流的审计和控制，是保障网络安全的核心技术。

　　网络防病毒系统是网络安全的另一形式的防火墙。在网络中安装网关杀毒设备，对网络数据进行病毒检测和扫描，确保病毒在到达用户计算机前被清除;配置全网杀毒策略，同步更新每台计算机的杀毒软件，定期进行全网杀毒;对U盘、移动硬盘等移动存储设备须经专业人员查杀后，方可进行文件的存储和拷贝等操作，这些安全防护是网络防病毒系统必不可少的防护措施。

　　2.1.3 入侵检测和入侵防御技术

　　入侵检测是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。防火墙是按照事先设定的规则判断数据包的合法性，阻止非法的数据包进入，而入侵检测系统则监控网络、系统的入侵行为，通过该系统可以快速定位来自内部网络和外部网络的攻击行为以及网络的异常流量等等。

　　入侵防御系统是位于防火墙和网络设备之间，对网络中的数据传输进行检测，对可能发现各种攻击企图、攻击行为进行防御，以保证网络资源的安全。

　　2.1.4 构建安全防护架构

　　在完整的硬件防护系统下，搭建集中安全管理平台，设立用户、服务器等多区域安全防护机制，建立分级安全防护架构和管理机制。通过搭建文件备份服务器，对重要数据定期备份;设立网络的重要节点、链路设立备份机制，减少故障对网络信息安全的影响;配置网络漏洞扫描系统，及时发现网络安全漏洞、客户机或者服务器的安全漏洞并及时进行修补等方式，构建全面、安全的局域网网络防护体系。

　　2.2 管理制度防护措施

　　保障信息安全要从多方面角度来实现。除了安全技术的应用，管理制度的完善和管理人员的组织配合是构成完整的信息安全防护体系的重要内容。管理工作是作为网络安全的重要组成部分，要确保信息安全工作的顺利进行，必须由管理人员把每个环节落实到具体的网络中，而人的不确定性使之成为网络安全中最薄弱环节。因此，必须用制度来规范人的行为，通过建立完善的安全管理制度达到网络信息安全的根本目标。具体是要根据企业单位信息系统安全管理需求，建立科学的人员管理、设备管理、灾难管理、应急响应、用户安全服务等管理制度，并与安全技术紧密结合，形成一套可靠、完备局域网信息系统安全管理保障体系。

　　3 结束语

　　随着计算机网络技术的发展，网络攻击形式日趋复杂和多样化，局域网网络信息安全和防护作为一项长期而艰巨的任务，需要不断的探索和改进。合理地配置网络安全规则，以安全防护技术为依托，充分发挥网络安全防护设备的能效，建立多层次的、立体的网络安全防护体系，才能确保整个局域网网络系统信息安全。

　　作者：赵志鹏 来源：电子技术与软件工程 2016年6期