局域網網絡安全措施
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇局域網網絡安全措施范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
局域網網絡安全措施范文第1篇
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)72-0222-02
0 引言
無線局域網相比于有線網絡而言具有更大的靈活性和便利性,為人們提供了在任何時候、任何地點連入互聯網進行通信的可能性。而且伴隨著無線網絡的發展,移動終端設備逐漸升級換代,現在主流移動終端基本將wifi功能作為必備功能之一,而且一些其他的終端設備如平板電腦等也隨著無線網絡速度的提升得到了迅速發展。現在也有一些大中型企業也將無線網絡引入到企業內部網絡中,辦公效率和流程簡化都得到了明顯改善。但是無線信號也有其弊端,而安全性的考慮則是首當其沖。對于有線網絡而言,網絡安全也一直是困擾其發展的一個重要障礙,在無線傳輸中安全性的問題更加嚴峻。由于無線網絡中信號傳播的媒介不再是有形的傳輸設備如網線之類的,而是通過空間進行無線信號的輻射和接收,只要是處于該空間中的任何具備接收無線信號功能的設備均可以對該信號進行接收,這就使得安全性成為一個重點考慮的問題。在現實生活中,一些稍微熟悉無線網絡攻擊技巧的用戶只需簡單的一些操作,就可以獲取在無線網絡中傳播的一些重要信息,如果不采取任何安全防范措施的話,無線網絡就會成為一個信息泄密的通道,所以研究無線網絡安全對于無線網絡的構建和進一步發展都具有重要的應用意義和價值。
1 無線局域網絡安全威脅
由于無線網絡具有很好的移動性,而且當前無線網絡的速度不斷提升使得人們對于快速響應的要求不斷得到滿足,再加上構建無線網絡靈活簡單成本也低,使得無線網絡得到了廣泛應用,如一些移動辦公環境,還有一些是無法布線的環境,而組網靈活的優點可以滿足頻繁變換環境的要求,以及一些公共場所如校園、餐廳等,這些地方都可以看到無線網絡的蹤影,而且并不僅僅限于以上所列出的一些場所。從WLAN誕生之日起,安全性就成為困擾WLAN技術發展的一個重要課題,人們享受WLAN帶來便捷的同時也不得不為其中存在的安全隱患而擔憂。
由于無線網絡傳輸介質的特殊性,使得信息在傳輸過程中相比于有線網絡而言具有更多的不確定性,其受到的安全威脅主要可以分為如下幾個方面:其一為竊聽,所發出的信息可以被任何一部能夠接收無線信號的終端設備所接收,也就是說在接收這一過程中不具有阻攔的作用,而且發送者和預期的接收者無法獲悉信息在空間傳播時是否被某個其它的終端設備也接收了,這就使得無線網絡無法檢測竊聽,這是與有線網絡不通的地方,有線網絡通過網線傳輸,在一定程度上是一個封閉的環境;其二為修改替換,在無線網絡中,信號較強節點可以屏蔽較弱節點,用自己的數據替代原來在網絡中傳播的數據,也有的能夠替代其它階段做出響應。
2 構建安全無線局域網的措施分析
2.1 對無線設備進行限制
密碼無論是對于有線網絡還是無線網絡都是極其重要的,密碼可以使得惡意的用戶無法連接到的節點上,從一開始就杜絕了惡意用戶入侵的可能性。在實際應用中,由于一些設備如路由器等,其初始密碼都是固定的,都是出廠時統一設定的,所以用戶在實際使用中必須修改密碼,否則相當于為惡意用戶敞開了大門,安全性就無從談起了。登陸本地無線節點設備的后臺管理界面,使用初始的用戶名和密碼登陸,將復雜的由數字和字母共同組成的一串字符作為密碼,字母中最好包括大小寫,這樣就能有效限制非法用戶隨意使用無線節點設備的目的了。這種密碼設置類似于操作系統的登陸密碼,經過加密限制的無線設備就會拒絕非法攻擊者隨意偷竊本地無線網絡中的隱私內容了。
2.2 對無線網卡進行限制
一般情況下,對于無線網卡不進行設置,所以所有的能夠接收無線的信號只要有登陸系統的密碼即都可以使用無線網絡,所以這是一種開放的環境。這種一般應用于公共區域的網絡,如學校、餐廳等場所,只要擁有無線信號接收設備都可以接入無線網絡,適合于對于接入設備信息未知的情況下,或者說對于安全不需要太高級別的情況下,所以這些網絡一般都不設置密碼。但是對于一個企業則不同,安全性是一個需要考慮的重要因素,而且接入無線網絡的設備信息也是已知的,這種情況下就可以通過設置只有符合的無線網卡設備才允許接入。無線網卡設備與有線網卡設備一樣,都有一個唯一標識符MAC地址來標識自己的“身份”, MAC地址是網卡設備的唯一標識。對無線網卡進行限制,其實就是在無線路由器設備的后臺管理界面中正確設置好MAC地址過濾參數,從而從根本上拒絕非法攻擊者使用無線網絡偷竊隱私信息。
2.3 對傳輸數據進行限制
加密技術在無線網絡的安全中也具有重要作用,一般常使用的數據加密方式采用的是WEP加密技術,這種加密技術能夠對所有接入無線網絡的用戶進行身份識別,并且對數據內容直接進行加密限制。然而,WEP加密技術在默認狀態下是沒有使用的,所以如果不進行單獨設置的話,非法攻擊者就能輕松掃描到各類無線網絡信息,并且能將捕獲到的無線數據內容輕松破解掉,所以必須及時修改無線節點設備的數據加密參數,確保對無線上網信號進行安全加密。
3 結論
無線網絡是發揮巨大便利性的同時,其安全問題也不容小覷,本文對無線網絡安全性問題表現的幾個方面進行論述,并從幾個具體措施探討了如何確保無線局域網絡的安全性。
參考文獻
[1]梁卓明,黃偉強.無線網絡安全防范措施分析及其在校園網絡中的應用研究[J].數字技術與應用,2011(8).
[2]田永民.基于無線網絡WLAN安全機制分析[J].數字技術與應用,2011(5).
[3]宋玲.淺議無線網絡的安全隱患與防范措施[J].科技信息,2012(4).
局域網網絡安全措施范文第2篇
關鍵詞:局域網;安全;體系結構;管理制度
中圖分類號:TP393.08 文獻標識碼:A 文章編號:2095-1302(2016)10-00-03
0 引 言
隨著計算機技術和信息技術的進步和發展,特別是近年來移動互聯網的迅猛發展,越來越多的單位、企業和家庭都建立了屬于自己的局域網。局域網為用戶內部信息資源共享提供了方便,在人們的工作和生活中發揮著不可替代的作用。但由于網絡本身的開放性和共享性,在網絡為大家帶來便利的同時,網絡本身存在的不安全因素也給各企業單位和家庭帶來了信息泄露的風險,為實現社會穩定,保證計算機網絡安全,人們迫切需要解決目前計算機局域網應用中存在的安全問題[1,2]。
1 局域網中主要的安全問題
網絡安全問題主要由網絡的開放性和共享性造成。網絡安全問題的實質是對網絡安全缺陷的潛在利用,這些缺陷可能導致網絡的非法訪問、信息泄露、資源耗盡、資源被盜或者被破壞等;網絡安全問題產生的根源在于網絡協議的不完整性、網絡操作系統的漏洞缺陷、應用程序漏洞、物理設備損壞及人為因素等。歸納起來,目前局域網安全問題主要來源于物理設備的安全威脅、來自互聯網的安全威脅、來自局域網內部用戶的安全威脅這三個方面[3-5]。
1.1 物理設備的安全威脅
來自物理設備的安全威脅主要有如下幾項:
(1)自然災害或非人為故意造成的軟、硬件故障或沖突以及水災火災等;
(2)人為操作不當(屬意外事件)導致數據信息的錯誤、丟失或其它一些硬件故障等。
1.2 來自互聯網的安全威脅
一般情況下,局域網都與Internet進行了互聯。由于Internet的開放性、國際性與自由性,來自Internet的世界各地的黑客都可以通過Internet和一些黑客工具來探測和掃描網絡上存在的各種安全問題,如操作系統的類型及其它是否為弱口令、服務器開放的各種易于攻擊的端口號及服務器應用程序是否存在開放權限或存在弱用戶弱口令等,并采取相應的攻擊手段進行攻擊。同時還可以通過協議分析軟件等手段監聽并獲得局域網內部用戶的用戶名、口令及一些敏感數據等信息,從而假冒內部的合法用戶進行非法操作,竊取內部網絡中的重要信息。而這些黑客也能通過控制大量肉機向網絡中的服務器發送大量的數據包進行DDoS攻擊,使服務器不能正常工作而拒絕為正常用戶服務。
1.3 來自局域網內部用戶的安全威脅
內部的網絡管理人員有時為了對外進行宣傳,會不經意間把內部網絡拓撲結構及系統的一些重要信息(如設備型號、操作系統的類型等)放在網站上,這就致使網絡內部信息嚴重泄露,網絡上的不法分子可以利用這些包括網絡拓撲、網絡設備信息及應用系統信息等內部信息,制定有針對性的入侵策略,從而大大增加被攻破的機率,給內部局域網造成巨大的安全隱患。由于內部網絡的大多數用戶對計算機的操作及網絡運行不熟悉,不知道哪些軟件是安全的,若下載并使用了帶有病毒或木馬的軟件,那么這些病毒或木馬會收集并泄漏內部用戶的重要信息,尤其是用戶名及密碼等重要信息,或是對計算機操作不當,誤刪除了重要數據等,這些都將給網絡造成極大的安全威脅。
2 安全體系結構的設計
2.1 局域網安全總體設計思路
局域網安全是一項系統工程,需要充分考慮各層次各方面的安全因素。根據局域網運行所涉及到的層次,建立一個全方位的、可持續循環改進的局域網安全解決方案。以網絡安全技術為主導,輔以法律法規和規章制度的安全管理,設計一個包含五個層次(物理安全、網絡安全、系統安全、應用安全、數據安全)的局域網安全體系結構,如圖1所示。
2.1.1 物理安全
在局域網安全系統中,物理安全是最基本的安全。如果物理安全得不到保證,那么其它一切安全措施都變得毫無意義。如果網絡設備遭到破壞或被人非法接觸,將會給局域網造成毀滅性的破壞,若安裝有數據庫的服務器被非法人員或是自然災害損壞,就可能致使數據丟失且不可恢復,這同樣是毀滅性的破壞。因此,要確保局域網有一個安全的物理環境,就應對接觸到的網絡設備及系統人員有一套完善的技術控制手段和規章制度約束,并且還要充分考慮自然災害可能對局域網中的網絡設備及線路等造成的威脅并加以規避。
2.1.2 網絡安全
網絡安全主要是整個數據傳輸網的安全,包括數據鏈路層、網絡層及傳輸層等的安全。
(1)數據鏈路安全主要是保障通信鏈路不被非法竊聽并防止借助鏈路的連接進行各種類型的攻擊。
(2)網絡層的安全主要包括網絡訪問控制、各種網絡協議本身的缺陷和對這些協議的攻擊等問題。
(3)傳輸層的安全與鏈路層的安全類型涉及的層次不一樣,但也是關于數據被非法竊聽的問題。
2.1.3 系統安全
系統安全主要是操作系統本身的安全問題,體現在系統是否完整堅固,是否存在漏洞,以避免攻擊者通過系統漏洞實施入侵,主要涉及到以下兩個問題:
(1)病毒和木馬對局域網中系統的威脅。
(2)Internet上的黑客入侵了局域網中的系統后通過該系統對其它局域網設備和系統進行入侵和破壞。
2.1.4 應用安全
應用安全主要是應用平臺和應用程序的安全。主要涉及到以下兩方面問題:
(1)應用程序對數據的合法權限,即應用程序對數據的訪問是否合法。
(2)應用程序對用戶的合法權限,即用戶是否有合法的權限訪問該應用程序。
2.1.5 數據安全
數據安全是這些安全中最重要的一項,所有采取的措施都以數據安全為目標。保證信息資源的機密性、完整性、真實性、不可抵賴性以及可用性是安全防護的最終目標。
2.1.6 安全管理
安全管理包括國家制訂的法律法規和單位組織制定的管理和技術操作規范,從法律和管理層面對人的行為進行規范。
2.1.7 網絡結構設計
網絡結構設計是為局域網設計的一個高安全性網絡結構,涉及各種網絡安全設備與技術的有機結合、綜合應用與部署。
2.2 局域網安全方案設計
2.2.1 各層次技術解決方案設計
局域網工作的每個層次都有相應的安全措施,每個層次在大技術層面上常用的安全措施如圖2所示。
2.2.1.1 物理安全技術與措施
物理安全最重要的就是選擇地理位置安全的場所建設網絡機房,應盡量遠離生產或儲存易燃、易爆物品和強電磁場場所的周圍及低洼地帶。對于網絡設備應配備防電磁泄漏機柜或屏蔽機房等;關鍵設備要配備UPS電源;機房要配備空調以保持機房的恒溫恒濕環境,并配備消防報警和滅火設施;建立嚴格的機房準入制度等。如果有更高級別的安全需要,需對機房中的網絡設備及線路做遠程的冗余備份。
2.2.1.2 網絡安全技術與措施
網絡安全技術與措施較多,主要涉及網絡安全設備和技術及安全協議。常用的有各種防火墻設備和技術、入侵檢測設備和技術、VPN設備和技術以及入侵防御設備和技術等。
(1)防火墻是常用的網絡設備和技術,根據策略控制進出網絡的數據權限,并可強制檢查所有進出網絡的各種鏈接,以避免局域網遭受外界入侵和破壞。因此,通過建立防火墻安全策略,可在內部網(局域網)和外網(Internet)之間,或者在內部網的各部分之間(即不同安全域之間)實施安全防護。
(2)入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,實時監測局域網的運行狀況,常與防火墻聯動運作。常用的安全協議有PPTP,L2TP,IPSec及SSL協議等。
除此之外,還有其它訪問控制技術,常用的有VLAN劃分技術和訪問列表控制(ACL)技術等。
2.2.1.3 系統安全技術與措施
系統安全措施主要為系統安裝防病毒和防木馬軟件以及為系統打補丁,加固系統的安全性,設置用戶的訪問權限等級和口令,可對系統的訪問進行訪問權限控制。安裝分布式的網絡防病毒軟件,對局域網內的服務器和個人計算機進行有效防護,使局域網上的各個節點都不受病毒的侵害。同時,應盡量實時更新系統補丁和殺毒軟件,確保系統和殺毒軟件處于最新狀態,并定期更換用戶密碼,使用戶口令被破解的可能性降至最低。
2.2.1.4 應用安全技術與措施
應用安全包括應用平臺和應用程序的安全性。可以通過身份認證來判別用戶使用系統的合法性。身份認證一般通過用戶名和口令來驗證。身份認證可以有效防止數據被篡改及非法用戶訪問網絡資源。同時還能通過審計用戶相關的活動信息進行記錄、存儲和分析,系統通過分析網絡信息系統的實際使用狀況來對應用服務器的安全事件進行有效監控。
2.2.1.5 數據安全技術與措施
采用數據安全技術與措施的最終目的在于確保網絡數據的可用性、完整性和保密性。為了確保數據的安全性,可以采用多種數據備份技術來確保數據的可用性和完整性,如磁盤冗余陣列技術、雙機容錯技術及SAN技術等。同時,為了增強數據的保密性,可采用加密技術對數據進行加密,如DES加密算法、IDEA加密算法及RSA加密算法等。
2.2.2 網絡結構設計
一個設計合理的網絡拓撲結構可以大大增加局域網的安全性,如圖3所示的網絡拓撲結構綜合運用了多種安全技術,對局域網起到了很好的保護作用,大大提高了局域網的安全性。
圖3所示為雙路由單防火墻的拓撲設計,對外網(Internet)進入局域網內部的訪問起到了三層過濾的作用,大大增強了局域網的安全性。對于一些常用的對外服務,設置一個DMZ區域,盡量減少外網用戶對內網的訪問,這也是增強局域網安全的一種措施。同時,DMZ為了保證服務器的安全,使用了入侵檢測系統以提高DMZ區域的安全性。
2.2.3 安全管理規范
人是局域網安全中最不穩定的因素,也是最主要的因素。因此,規范人的行為對局域網的安全起到了至關重要的作用。建立健全的法律法規對入侵網絡的不法分子有極大的震懾作用,使之不敢輕易破壞網絡。同時,對于網絡的管理也要建立規范的管理制度,嚴格機房管理。可采取如下措施:
(1)建立完整的計算機運行日志、操作記錄及其它與安全有關的資料;
(2)機房必須有當班值班人員;
(3)嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房,重要技術資料應有副本并異地存放等。
3 結 語
局域網安全是一項系統工程,涉及到網絡工作的各個層次,任何一個層次都可以通過安全技術措施來加強局域網的安全,但任何層次也有可能成為局域網的弱點。因此,在綜合應用安全措施的同時應全面考慮各層次的特點,采用相應的安全技術措施,建立一個較完善合理的安全機制。同時還要運用技術之外的管理措施,從制度方面確保局域網的安全。
參考文獻
[1]王坤曉.局域網網絡安全存在的問題及對策探討[J].網絡安全技術與應用,2015,15(1):109.
[2]張梅馨,崔志云.實驗室局域網的安全及防護[J].實驗技術與管理,2010,27(2):86-88.
[3]張志國.計算機局域網網絡安全問題以及相應對策探析[J].科技風,2014(15):197.
局域網網絡安全措施范文第3篇
關鍵詞:局域網;交換機;維護管理;網絡安全
1 概述
局域網是指由一臺或多臺計算機組成的計算機組,在指定區域內具有打印共享、辦公軟件應用和文件管理等多種功能。局域網的出現和應用提高了企業的生產效率,節約了成本支出,有利于企業經濟效益的提升;同時局域網在使用過程中也存在一些問題,如使用者安全意識不高,容易被黑客攻擊或被病毒傳染,給企業生產和管理帶來極大的損失。鑒于此,加強局域網的維護和管理,確保網絡的安全性就顯得十分必要。
2 局域網的維護和管理
2.1 局域網的維護 局域網維護的主要目的是確保網絡的穩定,避免網絡故障的發生,維護工作涉及的主要內容有交換機和網絡鏈路的保護和性能維護,這是整個維護工作的核心內容。首先,交換機是局域網的核心,因此也是局域網維護的關鍵設備。核心層交換機和匯聚層交換機在局域網中起路由轉發、數據交換和網關的重要作用,因此,交換機的管理工作十分重要,要有專門的網絡管理人員對交換機進行管理和維護,交換機命令配置好之后要進行數據備份,在交換機故障時能夠快速地恢復數據,保證網絡運行。網管人員對交換機要設置用戶名和密碼,不允許其他人員對交換機隨意操作。其次,是網絡鏈路的維護,網絡鏈路的暢通是網絡安全平穩運行的基礎,網管人員應按時對網絡鏈路進行巡檢。最后,局域網的系統維護應通過軟件和硬件兩方面進行。軟件維護是指使用功能強大的信息管理和安全管理軟件,通過專業的軟件掃描及時查找和排除局域網中軟件或者硬件中的安全隱患,并根據提示采取合適的解決方案;硬件維護主要是對傳統的傳輸媒介進行改進升級,采用光纖傳輸數據,提高信息傳輸質量和傳輸效率。
2.2 局域網的管理 局域網的功能能夠正常發揮主要依靠管理,按照管理內容的不同,可將局域網管理分為人員管理和局域網管理兩個方面。人員管理主要是對使用局域網的人員進行管控,要求局域網使用人員不得破壞局域網內的計算機硬件及配套軟件,確保硬件和軟件功能的正常性;網絡管理主要是對局域網結構選擇、功能擴展、網絡所處環境的優化等內容進行管理。局域網的網絡結構主要是由規劃功能決定的,企業可根據自身需求選擇不同的網絡拓撲結構;局域網功能會隨著企業的發展顯現出一定的不適應性,在對功能進行擴展時,應對實際需求、經濟效益、實現方法等內容進行綜合考慮,確保企業能使用最低的經濟投入,獲得最全面的網絡功能;對局域網所處環境進行改進時,要考慮網絡使用人員的技術水平與局域網性能之間的匹配性,確保網絡資源得到充分利用。
3 局域網安全
3.1 物理安全措施 物理安全措施是指通過局域網硬件安全保護,提高局域網的安全性。第一,企業可制定一系列局域網安全防護措施,加強對局域網內網絡設備的保護,避免設備受到外界因素的破壞。以交換機的保護為例,企業可設置使用權限,減少無權限人員使用交換機。第二,提高局域網使用人員的管理,通過制定完善的工作制度,杜絕外來人員使用局域網,禁止外來人員利用局域網安裝非法軟件,拆卸硬件,影響局域網的正常使用。第三,提高局域網使用人員的安全防范意識。企業應組織員工參與專業的網絡安全培訓,使員工意識到網絡攻擊的危害,提高員工的網絡安全防范技巧,做好企業內部局域網安全防范工作。
3.2 加強訪問控制 防止局域網被惡意攻擊、病毒感染的主要手段是加強訪問控制。第一,做好局域網入網訪問控制工作。入網訪問應輸入正確的用戶名和密碼,只有二者同時正確時才能進入局域網,獲取自己所需資源,若用戶名或密碼不符,則被拒絕訪問,這樣就能有效避免非法人員訪問。第二,給用戶設置不同的訪問權限。用戶登錄到局域網服務器后,只能對其所擁有權限內的資源進行查閱或使用,無法獲取或使用權限外的信息資源。將資源按照其重要程度進行等級劃分,使具有查閱權限的人員可方便使用,同時避免權限外人員的非法攻擊,保護了信息資源的安全。第三,加強網絡監測。局域網網絡管理人員應利用先進的技術對網絡用戶形成全程監測,對用戶的訪問記錄進行登記,一旦發現用戶對局域網網絡進行攻擊或其他不法行為,就應立即采取措施,限制用戶的進一步訪問。第四,加強硬件安全保護工作。企業可將信息資源進行劃分,根據不同的保密等級設置不同的安全防護措施,目前常用的安全防護措施可從數據庫層面、應用層以及網絡層設置防火墻,為企業重要的信息資源構建有效的安全防護保障體系。數據庫防火墻主要是對訪問進行控制,一旦發現能對數據庫構成威脅的行為時,發出阻斷指令,另外該技術還具有對用戶行為進行自動審計的功能,能快速有效地判斷用戶行為是否會對數據庫信息構成破壞;應用層防火墻可以實現對程序所有包的攔截,對防止木馬、蠕蟲病毒的屏蔽效果較好;網絡層防火墻是以TCP/IP協議為基礎,根據協議規定對訪問行為進行是否被允許的判斷;協議規則主要由管理員設定,并且規則內容可執行修訂、刪除和增加操作。
3.3 加強安全管理 網絡病毒的危害是巨大的,為避免病毒給局域網造成破壞性損害,管理員可通過以下措施加強網絡病毒的防范工作。第一,局域網內用戶不可擅自下載、安裝可以軟件,不接受不明郵件,切斷隱藏在某文件或某程序中病毒的入口。第二,用戶在使用U盤時,應先對其進行病毒掃描,確保無誤后方可插入使用。第三,安裝病毒查殺軟件,并對安裝的軟件進行及時的更新,為病毒的查殺提供技術保障。第四,安裝入侵檢測系統,利用該系統對網絡信息資源的傳輸情況進行檢測,一旦發現可疑文件立即執行中斷命令,并發出警報,保護局域網的安全。
4 結語
局域網在很多企業的生產和管理中得到廣泛應用,很大程度上提高了企業的信息化管理水平,為保障企業生產和管理工作的正常進行,應對局域網進行全方位的安全保護,確保網絡的穩定性和安全性,防止不法分子或網絡病毒的入侵,給企業帶來不必要的經濟損失。
參考文獻:
[1]胡石林.論計算機局域網的維護管理與網絡安全[J].科技資訊,2011.
[2]馬一楠.淺析計算機局域網的安全保密與管理措施[J].價值工程,2010.
局域網網絡安全措施范文第4篇
關鍵詞:局域網;網絡安全;網絡體系結構
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)16-30985-02
Shallowly Discusses the Unit Local Area Network Security Sometentative Plans
GONG Lan,WEI Liang-xiu
(SichuanZigong meteorological bureau,Zigong 643000,China)
Abstract:Develops the unceasing application along with the computer network atthe meteorological enterprise, the computer has become themeteorological system processing data and the supervisory workimportant constituent. This article will act according to this unitexisting local area network, will carry on the analysis to itssecurity, and will propose this unit local area network networksecurity solution.
Key words:LAN;network security;Network Architecture
1 引言
Internet的廣泛使用為氣象事業的發展帶來了前所未有的高效和快捷,但諸如病毒侵襲、黑客入侵、拒絕服務、密碼破解、網絡竊聽、數據篡改、垃圾郵件和惡意掃描等大量的非法操作或信息堵塞合法的網絡通信,導致網絡崩潰而無法進行辦公乃至威脅到辦公信息的安全,因此必須系統地規劃和部署本單位的網絡。本文以單位局域網為例,設計單位局域網的安全解決方案,該方案的目標是在不影響本單位局域網當前業務的前提下,實現對局域網全面的安全管理。
2 單位網絡系統現狀
目前本單位局域網采用的是總線型結構,這種網絡拓撲結構雖然比較簡單,但是局域網絡內的各工作站和服務器均掛在一條總線上,各工作站地位平等,無中心節點控制,因此存在以下問題:
(1)維護難,分支節點故障查找難;
(2)采用資源共享的訪問機制,經常造成網絡擁塞;
(3)如果總線一斷,則整個網絡就斷了;
(4)這種網絡因為各節點是共用總線帶寬的,所以在傳輸速度上會隨著接入網絡的用戶的增多而下降;
(5)由于防毒性差等諸多原因,造成了辦公網絡常為“病毒多發區”的現狀。
3 網絡系統安全要解決的問題
(1)局域網的主服務器作為信息平臺,它的地位是至關重要的。所以應該將它與內部網絡和外部網絡進行隔離。要采取相應的安全措施杜絕安全隱患,公開服務器的安全保護、防止黑客從外部攻擊、入侵檢測與監控、病毒防護、數據安全保護、數據備份與恢復、網絡的安全管理等。
(2)在用戶管理方面要把用戶分成不同的用戶組,不同的用戶組擁有不同的權限級別,以控制可訪問的資源范圍及對資源的存取方式、可訪問的網絡區域等,同時應考慮到用戶狀態的動態性,做到及時更新用戶狀態及保持各子系統間用戶狀態的一致性。可將信息資源分成不同組,針對各組資源的特性制定其相應的服務方式、導航與協調方式、供各類用戶的存取方式、加密與保護方式等。
(3)要進行網絡分段,這樣就能將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。
3.1防火墻[1]技術
防火墻技術也是針對非法用戶入侵內部局域網絡、對網絡造成破壞的防御性技術。它應當具有以下幾種功能:
(1) 限制他人進入氣象內部網絡,過濾掉不安全的服務和非法用戶;
(2)限定無關用戶訪問特殊的資源;
(3)對發送和接收的數據進行甄別,過濾外方利用特殊手段搭載在數據里的病毒或其他非法的信息;
(4)為監視整個氣象網絡的安全提供便利的條件;
(5)實施監控氣象內部局域網的通信數據,嚴防病毒等破壞性數據的流通。
3.2防病毒技術
由于在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,計算機病毒的防范是網絡安全性建設中重要的一環。網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測、在工作站上用防病毒軟件對網絡目錄及文件設置訪問權限等。
3.3加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破譯所采用的主要技術手段之一。現在的網絡用戶大幅度增加,在這些人當中,不乏有網絡的破壞者或不懷好意的人即所謂的黑客。他們常常會潛進系統,做違規的操作如篡改消息,盜取數據等。所以要對系統內的信息進行加密,在信息的傳輸過程防止被篡改或盜取。
3.4易操作性
安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統的正常運行。
4 網絡安全設計方案
(1)根據以上對網絡安全的全面分析了解,按照安全策略的要求,以及對整個網絡的安全目標,設計了一個適合氣象部門網絡特點的安全系統體系。它由物理安全、網絡安全、系統安全、信息安全、應用安全和安全管理等方面組成,見圖1。
(2)考慮設計本單位的計算機網絡結構為:總線+星型的混合結構,這樣的拓撲結構更能滿足現有網絡的拓展和安全維護,見圖2:兩臺IBM專用服務器,一臺作為主服務器及一臺作為備份服務器,由中心交換機連接,一旦主服務器受到攻擊崩潰,迅速由備份服務器接入,保證系統網絡的正常運行。中心交換機支持VLAN,中心交換機通過VPN路由器接入省局局域網,中心交換機通過寬帶路由器接入Internet,各個科室自己組建各自虛擬局域網(VLAN)分別接入二級交換機。二級交換機再和中心交換機連接。每個虛擬局域網用戶擁有不同的管理權限和訪問權限,各工作組的用戶既獨立又互相進行數據交換,此外局域網可以為用戶提供的功能包括:辦公自動化、電子郵件服務、文件的管理、對外建立企業門戶網站等。
圖1 安全體系結構
圖2 單位局域網拓撲結構設計圖
4.1實現網絡中內網訪問控制[2]
目前,氣象網絡的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點設置中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法來實現對氣象局域網的安全控制。
局域網的訪問控制技術的安全部署,可以有效的防御來自于內部破壞分子的攻擊和數據篡改等威脅。采用訪問控制技術,建立安全合理的訪問列表,可以通過對數據通訊的源地址、目的地址以及應用類型的分類,控制流入網絡的數據流,保證內、外網用戶訪問的安全性。虛擬局域網(VLAN)可以不考慮用戶的地理位置,根據功能、應用等因素將網絡從邏輯上劃分為一個個功能相對獨立的工作組。如果附加上VLAN間的訪問控制技術可以使一個個功能相對獨立的工作組變成不同的安全區,互不影響,一個工作組里出現病毒、掉線等問題,不會影響整個局域網絡的運行。使核心主服務器和重要部門(如氣象臺、財務科)的安全得到充分的保障。
4.2構建局域網安全監控中心
為了確保局域網的正常運行,及時發現和處理網絡異常事件,需要在局域網中構建局域網安全監控中心。它的主要任務是針對網絡資源、網絡性能和密鑰進行管理,對網絡進行監視和訪問控制。這個監控中心可以在主服務器上通過安裝網絡版殺毒軟件來實現,主要負責網內所有工作站的可視化管理和控制,及時發現并處理網絡攻擊和異常行為。
4.3信息傳輸的安全措施
數據信息的安全是整個系統正常運行的保障,因此把數據信息的安全放到首要的位置來進行保護,由于網絡的開放型和TCP/IP的不安全性,不法人員完全有可能通過一些技術手段竊取,再通過一些技術讀出數據信息,造成信息泄漏或者做一些修改來破壞數據的完整性,對網絡信息的傳輸構成威脅。VPN技術也被稱為網絡加密機,己經被證明是一種成熟的網絡安全互聯技術,可以有效地保證信息傳輸的安全。這個技術已經運用到市局和省局,市局和縣局的數據信息傳送上,取得很好的效果。如果再綜合利用防火墻的訪問控制技術、VPN的隧道技術、完整性保護和加密技術,不僅可以實現虛擬專網內的信息安全傳輸,同時可以在專網上進行更為嚴格的訪問控制,從而構建起基于VPN的網絡安全通信平臺,實現完整的網絡通信平臺安全解決方案。
4.4安全的管理制度
安全的管理制度是氣象網絡安全問題得以實現的重要保證,也是防止內部攻擊最有效的方法,我認為應該包含以下內容:
(1)建立嚴格的安全監督機制,網絡管理員和操作員都要受到監督和制約;
(2)根據數據的安全性要求對用戶權限進行嚴格劃分,用戶的操作應有詳細的操作明細記錄;定期檢查安全報警信息, 監視網絡運行狀態;
(3)完善日志記錄,安全策略的建立或修改、設備或系統配置文件建立或修改必須記錄文檔并保存,完整的數據備份制度;
(4)提高氣象員工的業務素質,增強防范意識和防攻擊的能力;加強氣象員工的思想道德教育,從根源上杜絕內部攻擊行為。
5 小結
造成網絡不安全的因素很多,歸結不外乎管理和技術兩個方面上的問題。我們要做到管理上的標準化,同時讓管理安全策略強化到系統之中,尋求相應的技術支持,由計算機幫助去強制執行。
參考文獻:
[1]楊永增.談防火墻技術的發展趨勢[J].電腦學習,2007(2),15-16.
局域網網絡安全措施范文第5篇
關鍵詞:局域網安全防止策略
一、引言
隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,計算機網絡和系統的安全與管理工作就顯得尤為重要。
二、局域網安全的威脅分析
局域網主機間大多以局域網的方式進行互連,這些主機形成以物理互連,邏輯隔離的方式共存,但為實現主機間的資料共享及數據通信需求,又不得讓其之間建立各種互信關系,因此某臺主機的有意或無意的誤操作都會對整網主機的安全性造成威脅。局域網安全威脅主要分為以下幾類:
(一)缺乏有效身份認證機制
內部主機使用者缺乏特定的身份識別機制,只需一根網線或者在局域網AP信號覆蓋的范圍之內,即可連入內部網絡獲取機密文件資料。局域網猶如一座空門大宅,任何人都可以隨意進入。
(二)缺乏訪問權限控制機制
企業或政府單位網絡大體上可以分為兩大區域:其一是辦公或生產區域,其二是服務資源共享區域,目前上述兩大邏輯網絡物理上共存,并且尚未做明確的邏輯上的隔離。辦公區域的人員可隨意對服務資源共享區域的資源進行訪問,另外需要的注意的是,來賓用戶在默認情況下,只要其接入內部網絡并開通其網絡訪問權限,相應的內部服務資源的訪問權限也將一并開通,局域網機密文件資源此時將暴露于外部。
(三)局域網主機漏洞
現有企業中大多采用微軟系列的產品,而微軟系列產品的特點就是補丁特別多,包括IE補丁、office辦公軟件、以及操作系統等。如果這些補丁不及時打上的話,一旦被黑客所利用,將會作為進一步攻擊局域網其他主機的跳板,引發更大的局域網安全事故,如近年來爆發的各種蠕蟲病毒大都是利用這種攻擊方式。
三、局域網安全策略控制與管理
(一)網絡系統的安全控制
為保護網絡的安全,必須對訪問系統及其數據的人進行識別,并檢查其合法身份,對進入網絡系統進行控制。訪問控制首先要把用戶和數據進行分類,然后根據需要把二者匹配起來,把數據的不同訪問權限授予用戶,只有被授權的用戶才能訪問相應的數據。通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統,選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權,則它可以直接或簡接地把這種控制權傳遞給別的主體。選擇性訪問控制被內置于許多操作系統當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權。
(二)網絡互連設備的安全管理
網絡中的互連設備包括集線器、交換機、路由器等設備,這些設備在網絡中起著非常重要的鏈接作用,因此,這些設備的安全性更是關系到整個網絡的關鍵命脈。實際中,一定對網絡中這些設備的登錄有嚴格的控制管理,登錄方式只能掌握在網絡的管理人員手中,網絡的管理人言要正確配置設備的參數,運行過程中,能夠順利連接局域網中的各個環節,使整個網絡運行順暢。
四、病毒防治策略
防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:
(一)提高安全意識和安全知識,對工作人員定期培訓
如果技術人員對網絡安全產品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網絡中,首先對技術人員進行專業的培訓。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執行和實施。
(二)小心使用移動存儲設備
日常工作過程中,數據的傳輸、備份,難免使用移動存儲設備,那么,在局域網中使用這些設備時,注意的問題有:使用是保證存儲設備的安全性,在使用移動存儲設備時,要做到不把病毒帶到網絡中,以防發生網絡故障,同時,也注意網絡中某臺計算機上的病毒感染移動存儲設備,防止數據的丟失。
(三)挑選網絡版殺毒軟件
我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設備的要求不是很高,能夠保證網絡中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現新的病毒時,病毒庫能夠第一時間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網絡中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設置某時間點進行自動查殺。
五、信息化安全管理制度
局域網網絡的安全管理制度是網絡的安全運行的保障,在制定安全管理制度中,最重要的是關于網絡各種文檔的制定。其中有網絡建設方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網絡安全方案、安全策略文檔、口令管理制度、安全防護記錄、應急響應方案等等制度。實際中,通過以上各種文檔,在網絡運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。
六、結語
要想保證計算機局域網的安全,在做好邊界防護的同時,更要做好內部網絡的管理。所以,目前在安全業界,安全重在管理的觀念已被廣泛接受。沒有好的管理思想,嚴格的管理制度,負責的管理人員和實施到位的管理程序,就沒有真正的安全。在有了“法治”的同時,還要有“人治”,即經驗豐富的安全管理人員和先進的網絡安全工具,有了這兩方面的治理,才能得到一個真正安全的網絡。
參考文獻:
