局域网共享上网的安全管理问题

随着电子商务、电子政务在全球的蓬勃发展，网上购物、办公交流也 越来越广泛应用。在疾病预防控制事业中，计算机在防病和办公中得 到大量应用，特别是卫生防疫管理系统开通和SARS暴发后对上互联网 收集信息的巨大需求，迫切要求原有局域网共享上网。由此带来的安 全管理、病毒防范等问题就显得十分突出。
一、局域网中用户身份认证
网络安全是一项系统工程，在这个系统工程中第一关就是身份认证。 身份认证是实现网络安全的重要机制之一。目前在互联网和计算机领 域中最常用的认证方法，用户名和密码验证。即计算机系统把它的认 证建立在用户名和密码的基础之上，如果你把用户名和密码告诉了其 他人，则计算机也将给予那个人的访问权限，因此用户一开始就应该 明白这一点。
二、Mac与IP地址捆绑
（一）MAC（MediaAccessControl,介质访问控制）地址是识别LAN（ 局域网）节点的标识
网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM，它存储的 是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址 。形象的说，MAC地址就如同我们身份证上的身份证号码，具有全球 唯一性。MAC地址也叫物理地址、硬件地址或链路地址。
（二）IP地址
是指使用TCP/IP协议指定给主机的32位地址。IP地址由用点分隔开的 4个8八位二进制组构成。十进制格式，如192.168.0.1就是一个IP地 址。IP地址由网络地址和主机地址两部分组成，分配给这两部分的位 数随地址类（A类、B类、C类等）的不同而不同。网络地址用于路由 选择，而主机地址用于在网络或子网内部寻找一个单独的主机。一个 IP地址使得将来自源地址的数据通过路由而传送到目的地址变为可能 。
（三）如何有效的管理局域网IP地址
由于IP地址和MAC地址相同点是它们都唯一性，所以可以基于防火墙 的IP地址与MAC地址进行绑定。首先，做好整个局域网终端用户计算 机的命名，指定IP地址。根据用户的类别统一命名计算机，并给定IP 地址。这样一看机器名，就知道是哪个部门哪台机器，便于管理。比 如信息所1号机器，我们就将其命名为“信息所01”。同时，统一规 划分配IP地址给每台终端机器，并建立IP地址分配登记表。其次，统 计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表。在 MS-DOS方式下键入命令“ipconfig/all”就可以获得本机IP地址和 MAC地址。将整个局域网内所有计算机MAC地址抄录上报到网管中心， 再进行登记汇总。与设定的机器名和IP地址一并统计。网络管理员也 可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式 下键入命令“Nbtstat-a远程计算机名”，即可获得指定机器的IP地 址和MAC地址。最后，将IP地址与MAC地址绑定。这要根据局域网接入 互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互 联网，那就使用命令：ARP-sIP地址MAC地址。例：ARP- s192.168.1.400-EO-4C-6C-08-75。这样，就将静态IP地址 192.168.1.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了 ，即使别人盗用您的IP地址192.168.1.4，也无法通过代理服务器上 网。如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现 IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具体操作 也非常简单。除此之外我们还要基于交换机的MAC地址与端口进行绑 定，以进一步解决这个问题，这样一来，终端用户如果擅自改动本机 网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非 法而无法实现，自然也就不会对局域网造成干扰了。
三、做好个人计算机的安全防范工作
首先做好初次安装工作。在对计算机进行初次安装时，要断开网络进 行安装xp系统。安装过程中一定要设置超级用户密码，以防别人从网 上非法登录。紧接着进行杀毒软件的安装，然后上网完成对杀毒软件 和系统补丁升级以及对系统进行备份。最后进行各种应用软件的安装 。
四、提高管理人员水平
现在，一些基层单位在局域网建设中存在重建轻管现象，不同程度地 存在着对信息安全的防范意识不强、管理硬件不到位、网络疏于管理 等问题，这些将直接影响人行局域网的正确使用的现象应当引起高度 重视。
（一）建立领导组织体系
要将计算机网络管理及风险防范纳入行长的工作日程。成立相应的领 导组织，明确权利责任，做好对网络安全运行领导、检查和监督工作 。研究网络安全防范技术，找出易发问题的部位和环节，进行重点管 理和监督，各相关职能部门要形成合力加大对计算机网络风险管理力 度。
（二）落实内控制度
建立健全各项计算机网络安全管理和防范制度，完善业务的操作规程 ；加强网络要害岗位管理，建立和不断补充完善要害岗位人员管理制 度；加强内控制度的落实，严禁系统管理人员、网络技术人员、程序 开发人员和前台操作人员混岗、代岗或一人多岗，做到专机专用、专 人专管、各负其责。
（三）强化日常操作管理
加强网管操作人员权限和密码管理。对访问数据库的所有用户要科学 的分配权限，实现权限等级管理，严禁越权操作，密码强制定期修改 ，数据输入检查严密，尽量减少人工操作机会，防止非法使用网络系 统资源。严禁在网络上放置和发布与业务系统无关信息，及时清除各 种垃圾文件，对一切操作要有记录，以防误操作损坏网络系统或业务 数据。做好数据备份，确保数据安全。对运行主要业务系统的服务器 及网络设备要做到双机备份，双机备份要求主机型号必须相同，每套 系统控制外设的能力要一致；数据传输、保存过程中对涉及机密的数 据信息首先要加密，然后再传输、存储。