局域網(wǎng)共享上網(wǎng)的安全管理問題

隨著電子商務、電子政務在全球的蓬勃發(fā)展，網(wǎng)上購物、辦公交流也 越來越廣泛應用。在疾病預防控制事業(yè)中，計算機在防病和辦公中得 到大量應用，特別是衛(wèi)生防疫管理系統(tǒng)開通和SARS暴發(fā)后對上互聯(lián)網(wǎng) 收集信息的巨大需求，迫切要求原有局域網(wǎng)共享上網(wǎng)。由此帶來的安 全管理、病毒防范等問題就顯得十分突出。
一、局域網(wǎng)中用戶身份認證
網(wǎng)絡安全是一項系統(tǒng)工程，在這個系統(tǒng)工程中第一關就是身份認證。 身份認證是實現(xiàn)網(wǎng)絡安全的重要機制之一。目前在互聯(lián)網(wǎng)和計算機領 域中最常用的認證方法，用戶名和密碼驗證。即計算機系統(tǒng)把它的認 證建立在用戶名和密碼的基礎之上，如果你把用戶名和密碼告訴了其 他人，則計算機也將給予那個人的訪問權限，因此用戶一開始就應該 明白這一點。
二、Mac與IP地址捆綁
（一）MAC（MediaAccessControl,介質(zhì)訪問控制）地址是識別LAN（ 局域網(wǎng)）節(jié)點的標識
網(wǎng)卡的物理地址通常是由網(wǎng)卡生產(chǎn)廠家燒入網(wǎng)卡的EPROM，它存儲的 是傳輸數(shù)據(jù)時真正賴以標識發(fā)出數(shù)據(jù)的電腦和接收數(shù)據(jù)的主機的地址 。形象的說，MAC地址就如同我們身份證上的身份證號碼，具有全球 唯一性。MAC地址也叫物理地址、硬件地址或鏈路地址。
（二）IP地址
是指使用TCP/IP協(xié)議指定給主機的32位地址。IP地址由用點分隔開的 4個8八位二進制組構成。十進制格式，如192.168.0.1就是一個IP地 址。IP地址由網(wǎng)絡地址和主機地址兩部分組成，分配給這兩部分的位 數(shù)隨地址類（A類、B類、C類等）的不同而不同。網(wǎng)絡地址用于路由 選擇，而主機地址用于在網(wǎng)絡或子網(wǎng)內(nèi)部尋找一個單獨的主機。一個 IP地址使得將來自源地址的數(shù)據(jù)通過路由而傳送到目的地址變?yōu)榭赡?。
（三）如何有效的管理局域網(wǎng)IP地址
由于IP地址和MAC地址相同點是它們都唯一性，所以可以基于防火墻 的IP地址與MAC地址進行綁定。首先，做好整個局域網(wǎng)終端用戶計算 機的命名，指定IP地址。根據(jù)用戶的類別統(tǒng)一命名計算機，并給定IP 地址。這樣一看機器名，就知道是哪個部門哪臺機器，便于管理。比 如信息所1號機器，我們就將其命名為“信息所01”。同時，統(tǒng)一規(guī) 劃分配IP地址給每臺終端機器，并建立IP地址分配登記表。其次，統(tǒng) 計每個終端機器網(wǎng)卡的MAC地址，建立IP地址與MAC地址對應表。在 MS-DOS方式下鍵入命令“ipconfig/all”就可以獲得本機IP地址和 MAC地址。將整個局域網(wǎng)內(nèi)所有計算機MAC地址抄錄上報到網(wǎng)管中心， 再進行登記匯總。與設定的機器名和IP地址一并統(tǒng)計。網(wǎng)絡管理員也 可以利用Nbtstat命令來遠程獲得指定機器的MAC地址。在MS-DOS方式 下鍵入命令“Nbtstat-a遠程計算機名”，即可獲得指定機器的IP地 址和MAC地址。最后，將IP地址與MAC地址綁定。這要根據(jù)局域網(wǎng)接入 互聯(lián)網(wǎng)的方式不同而采用不同的辦法。如果是采用代理服務器接入互 聯(lián)網(wǎng)，那就使用命令：ARP-sIP地址MAC地址。例：ARP- s192.168.1.400-EO-4C-6C-08-75。這樣，就將靜態(tài)IP地址 192.168.1.4與網(wǎng)卡地址為00-EO-4C-6C-08-75的計算機綁定在一起了 ，即使別人盜用您的IP地址192.168.1.4，也無法通過代理服務器上 網(wǎng)。如果是通過路由器直接接入互聯(lián)網(wǎng)，最好通過硬件防火墻來實現(xiàn) IP與MAC地址的綁定。一般的硬件防火墻都具有這個功能，具體操作 也非常簡單。除此之外我們還要基于交換機的MAC地址與端口進行綁 定，以進一步解決這個問題，這樣一來，終端用戶如果擅自改動本機 網(wǎng)卡的MAC地址，該機器的網(wǎng)絡訪問將因其MAC地址被交換機認定為非 法而無法實現(xiàn)，自然也就不會對局域網(wǎng)造成干擾了。
三、做好個人計算機的安全防范工作
首先做好初次安裝工作。在對計算機進行初次安裝時，要斷開網(wǎng)絡進 行安裝xp系統(tǒng)。安裝過程中一定要設置超級用戶密碼，以防別人從網(wǎng) 上非法登錄。緊接著進行殺毒軟件的安裝，然后上網(wǎng)完成對殺毒軟件 和系統(tǒng)補丁升級以及對系統(tǒng)進行備份。最后進行各種應用軟件的安裝 。
四、提高管理人員水平
現(xiàn)在，一些基層單位在局域網(wǎng)建設中存在重建輕管現(xiàn)象，不同程度地 存在著對信息安全的防范意識不強、管理硬件不到位、網(wǎng)絡疏于管理 等問題，這些將直接影響人行局域網(wǎng)的正確使用的現(xiàn)象應當引起高度 重視。
（一）建立領導組織體系
要將計算機網(wǎng)絡管理及風險防范納入行長的工作日程。成立相應的領 導組織，明確權利責任，做好對網(wǎng)絡安全運行領導、檢查和監(jiān)督工作 。研究網(wǎng)絡安全防范技術，找出易發(fā)問題的部位和環(huán)節(jié)，進行重點管 理和監(jiān)督，各相關職能部門要形成合力加大對計算機網(wǎng)絡風險管理力 度。
（二）落實內(nèi)控制度
建立健全各項計算機網(wǎng)絡安全管理和防范制度，完善業(yè)務的操作規(guī)程 ；加強網(wǎng)絡要害崗位管理，建立和不斷補充完善要害崗位人員管理制 度；加強內(nèi)控制度的落實，嚴禁系統(tǒng)管理人員、網(wǎng)絡技術人員、程序 開發(fā)人員和前臺操作人員混崗、代崗或一人多崗，做到專機專用、專 人專管、各負其責。
（三）強化日常操作管理
加強網(wǎng)管操作人員權限和密碼管理。對訪問數(shù)據(jù)庫的所有用戶要科學 的分配權限，實現(xiàn)權限等級管理，嚴禁越權操作，密碼強制定期修改 ，數(shù)據(jù)輸入檢查嚴密，盡量減少人工操作機會，防止非法使用網(wǎng)絡系 統(tǒng)資源。嚴禁在網(wǎng)絡上放置和發(fā)布與業(yè)務系統(tǒng)無關信息，及時清除各 種垃圾文件，對一切操作要有記錄，以防誤操作損壞網(wǎng)絡系統(tǒng)或業(yè)務 數(shù)據(jù)。做好數(shù)據(jù)備份，確保數(shù)據(jù)安全。對運行主要業(yè)務系統(tǒng)的服務器 及網(wǎng)絡設備要做到雙機備份，雙機備份要求主機型號必須相同，每套 系統(tǒng)控制外設的能力要一致；數(shù)據(jù)傳輸、保存過程中對涉及機密的數(shù) 據(jù)信息首先要加密，然后再傳輸、存儲。