论私有网的安全与病毒管控重要性

私有网络安全与病毒管控

摘 要：随着计算机和通信技术的发展，用户对信息安全存储、安全处理和安全传输的需求越来越迫切。特别是随着 internet 的广泛应用、个人通信、多媒体通信、办公自动化、电子邮件、电子自动转账支付系统和自动零售业务网的建立与实现，信息的安全保护问题就显的更重要。计算机网络带来了无穷的资源， 但随之而来的网络安全问题也显得尤为重要，文章重点介绍了局域网安全控制与病毒防治的一些策略。

关键词：内网；信息安全；病毒； TCP/IP ； IPS ；

随着网络版应用软件推广应用，企业网、 ISP 、 ICP 、个人电脑等都以不同的方式与互联网等网络相联。这样 , 虽然用户使用方便了 , 但网络安全问题的威胁也增加了 , 往往一个点或一个地方的问题会影响到其他地方、其他网络 , 甚至多个网络。 当前 , 威胁网络安全的主要有木马程序病毒、蠕虫病毒、电子邮件攻击、 Web 攻击、软件漏洞、系统漏洞、拒绝服务 (DoS) 攻击、 IP 地址欺骗、即时通信攻击、端到端攻击、缓冲溢出等，计算机网络在提高数据传输效率， 实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行， 保证网络信息安全 以及网络硬件及软件系统的正常顺利运行， 因此计算机网络和系统安全建设就显得尤为重要。 TCP/IP 协议簇的采用 , 各种应用层出不穷 , 传统的固定网、移动网与互联网的联系越来越紧密。有线、无线等各种接入方式不断推出 ,

一 局域网安全现状

防火墙、漏洞扫描、防病毒、 IDS ， IPS 等网关级别、网络边界方面的防御， 重要的安全设施大致集中于机房或网络入口处， 在这些设备的严密监控下， 来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施， 安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络， 形成极大的安全隐患。局域网络安全隐患是利用了网络系统本身存在的安全弱点， 而系统在使用和管理过程的疏漏增加了安全问题的严重程度。网络安全的防范是通过各种计算机 , 网络 , 密码和信息安全技术 , 保护在网络中传输 , 交换和存储信息的机密性 , 完整性和真实性 , 并对信息的传播及内容进行控制。网络按全的防范从技术层次上看 , 主要有防火墙技术 , 入侵监测 (IDS/IPS,IPS 可以做到一手检测 , 一手阻击 ) 技术 , 数据加密技术和数据恢复技术 , 此外还有安全协议 , 安全审计 , 身份认证 , 数字签名 , 拒绝服务等多种技术手段。 这里特别 需要指出的是防火 墙 , 防病毒和安全协议的技术。防火墙守住网络门户 , 防病毒是网络的第一把保护伞 , 安全协议提供了身份鉴别 , 密钥分配 , 数据加密 , 防信息重传 , 以及通信双方的不可否认性等重要功能。

二 局域网内部状况的安全威胁

局域网是指局域网络是把分布在数公里范围内的不同物理位置的计算机设备连在一起，在网络软件的支持下可以相互通讯和资源共享的网络系统。安全措施较少，这样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：

（ 1 ） 软件漏洞使数据安全性降低

由于局域网很大的一部分用处是资源共享， 而正是由于共享资源的 “ 数据开放性 ” ， 导致数据信息容易被篡改和删除， 数据安全性较低。例如 “ 网络钓鱼攻击 ” ， 当今的“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。同时由于用户缺乏数据备份等数据安全方面的知识和手段， 因此会造成经常性的信息丢失等现象发生。

（ 2 ）服务器区无有效的防护隔离

局域网内计算机的数 据快速、便捷的传递，按应用类别把服务器放置在不同区域，分别采用不同的安全策略。通常把面向外部服务的服务器放置在 DMZ 服务器区，如 Web 、 E-mail 等，把面向内部服务的服务器放置在应用服务器区，如 OA 等，对核心业务服务器，如 ERP 、生产系统、财务系统等，应单独放置在一个封闭的区域内，在边界部署防火墙予以重点保护，禁止无关的用户或主机访问。造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护， 其中一台电脑感染病毒， 并且通过服务器进行信息传递， 就会感染服务器， 这样局域网中任何一台通过服务器信息传递的电脑， 就有可能会感染病毒。虽然在网络 出口有防火墙阻断对外来攻击，可是无法抵挡来自局域网内部的攻击。

（ 3 ） 计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁，漏洞是服务器存在的重大安全隐患之一，既有操作系统的漏洞也有管理方面的疏漏。操作系统、数据库管理系统和应用系统中存在的系统漏洞有可能被黑客利用进行攻击、传播病毒和木马。另外，服务器开放了很多并不使用的端口和服务，给黑客攻击提供了潜在的途径。系统管理存在疏漏，如系统管理员账户未设口令，或者过于简单。某些服务默认的管理口令没有更改，使外人能够轻易获得管理权。或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。

（ 4 ） 局域网用户安全意识不强

在人们意识中内网不像外部网络那样面对诸多威胁，因此导致内部用户安全意识淡薄，从而给内部信息安排带来了诸多隐患，许多用户使用移动存储设备来进行数据的传递， 经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网， 同时将内部数据带出局域网， 这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍， 笔记本电脑在内外网之间平凡切换使用， 造成病毒的传入和信息的泄密。

（ 5 ）管理制度执行不到位

要解决内部网络的安全问题不仅仅依靠某种技术手段或者单一的强制管理手段就可以达到效果，必须要依据相关的内部网络的特殊性进行一并规划部署，将科技手段与相应的管理进行结合，从而达到整体协同，可管控的纵向多层安全架构，其中可以包括（数据保护层，网络保护层，终端保护层）及管理架构体系（上网行为管控，备份恢复管控，安全制度管控）

三 安全控制与病毒防治方式

（一） 加强人员的网络安全培训

安全不是一簇而就它需要的是个过程，是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层面上，而进行这种具体操作的是人，执行人员正是网络安全中需要关注的地方，而这个环节的加固又是见效最快的。所以必须加强对使用内部系统的人员的管控，加强工作人员的安全培训。增强内部人员的安全防范意识， 提高内部管理人员整体素质。同时要加强制度建设，发布网络安全的规定，有利地打击不法分子。对局域网内部人员，也可以达到震慑作用

² 加强安全意识培训，让每个工作人员明白数据信息安全的重要性，例如 2016 年任美国国务卿希拉里因使用私人邮箱收发公务邮件从而成为了联邦调查局的调查对象，也就是因为其安全意识淡薄导致了类似的问题，导致了希拉里降低了选民对它的信任，使我们理解到保证数据信息安全是所有计算机使用者共同的责任。

² 加强安全知识培训，网络安全概述、办公安全和个人安全。通过典型事例了解网络安全的重要性，同时对网络安全法律法规的学习和了解，帮助我们更好的规范自己的行为，维护自己的权益；办公安全主要讲解作为企业员工，如何规范自身的行为，保障企业业务的持续运行，企业关键数据的机密性，防止因员工安全意识缺失造成企业严重损失；个人安全主要以个体为单位，主要了解如何保障个人隐私安全、防止信息泄漏、电信诈骗等。

（二）局域网安全控制

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分， 对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题， 才可以排除网络中最大的安全隐患， 对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安 全的关键所在。

① 利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用， 是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源， 控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限， 网络控制用户和用户组可以访问的目录、文件和其他资源， 可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略， 强制计算机用户设置符合安全要求的密码， 包括设置口令锁定服务器控制台， 以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据， 提高系统安全行， 对密码不符合要求的计算机在多次警告后阻断其连网。

② 利用防火墙技术。是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。

Ø 深度数据包处理；深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包 处理要求以极高的速度分析、检测及重新组装应用流量，从而避免相关的访问具体应用时带来时延。

Ø IP/URL 控制。员工上网行为的控制管理，可以采用 URL 过滤技术。如企业不允许研发员工在上班时间访问娱乐网站，在下班时间则允许；或者企业不允许市场人员访问研发内部网站等等。这些基于不同的用户组、不同的时间段，访问的网页有区别的问题，可以采用 URL 过滤技术实现。 URL 过滤功能可以归纳为 3 大类：黑白名单功能：如把钓鱼网站、黄色网站 ...... 列入黑名单，可以保护公司内网的安全；而把一些畅通无阻的网页加入白名单，就不需要进行分类查询，提高了访问速度。分类访问功能：对于黑白名单无法匹配的网页，采取分类查询的功能。分类可以用户自己配置，也可以向第三方的分类查询服务器进行查询，如 surfcontrol 的分类服务器；与第三方服务器的通信是技术难点，是 TCP 连接还是 UDP 连接，若是 TCP 连接，在 web 访问高峰期，要建多少 TCP 连接，是不是会超过设备负载，性能是不是会受影响，查询速度是不是会很慢；若是 UDP 连接，怎么处理链路拥塞情况下查询报文丢失的情况，查询超时怎么处理？总而言之，查询到分类后，可以与本地的用户组和时间段关联，判断该 http 请求是否该放行。

Ø 访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分， 判断进程访问网络的合法性。

（ 3 ） 禁用相关所有空闲的 IP 地址， 启动 IP 地址绑定采用上网计算机 IP 地址与 MCA 地址唯一对应，网络没有空闲 IP 地址的策略。阻断和移内网设备随意上内部局域网络造成病毒传播。

（ 4 ） 属性安全控制。它能控制以下几个方面的权限：用户需要分配相应的权限才可以访问相应的资源，通常给用户分配资源权限需要将权限信息持久化，比如存储在关系数据库中。分配权限就引出了权限控制。有两种权限控制方式。基于角色的访问控制，又叫 RBAC （ role based access control ），比如系统中角色包括：学生、教师、教学秘书、管理员等。基于资源的访问控制，也简称为 RBAC （ Resourcebased access control ），资源在系统中是不变的，比如 ITOO 中资源有各个子系统、各个系统的模块、各个模块下的页面、按钮等。

（ 5 ）杀毒软件强制安装策略， 监测所有运行在局域网络上的计算机，不允许其接入网络在网络地址分配之前强制检测其是否已经加入域控，并且通过域控策略限制其必须依照标准镜像进行安装才能加入域。

（三）病毒防治

病毒的侵入必将对系统资源构成威胁，病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害主要从以下几个方面制定有针对性的防病毒策略：

①增加安全意识和安全知识，对工作人员定期培训。首先明确病毒的危害，文件共享的时候尽量控制权限和增加密码，对来历不明的文件运行前进行查杀等，都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒，主观能动性起到很重要的作用。

② 小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀， 也可把病毒拒绝在外。

③ 挑选网络版杀毒软件。现在的网络安全威胁主要来自病毒、木马、黑客攻击以及间谍软件攻击。防火墙是根据连接网络的数据包来进行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的人进行身份核实，每个人都需要得到最高长官的许可才可以出入，而这个最高长官，就是你自己了。每当有不明的程序想要进入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份，如果是经过你许可放行的（比如在应用规则设置中你允许了某一个程序连接网络），则防火墙会放行该程序所发出的所有数据包，如果检测到这个程序并没有被许可放行，则自动报警，并发出提示是否允许这个程序放行，这时候就需要你这个“最高统帅”做出判断了。及时升级杀毒软件病毒库，有效使用杀毒软件是防毒杀毒的关键。

内部网络安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化， 安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。