摘要:随着计算机局域网络应用及其技术的不断发展,在以后的局域网应用及管理工作中,必然还会遇到各种新的安全问题,同时也会发展出越来越多的安全解决技术,从而使得网络安全防范及管理水平也会不断提高。本文从计算机局域网络安全入手,提出解决方案与对策。
关键词:局域网洛;安全问题;解决方案
1 计算机局域网络的安全问题分析
1.1 技术问题
对于技术方面的安全问题,首先是黑客的入侵。目前Internet上黑客攻击活动日益严重,入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等黑客技术层出不穷。局域网黑客入侵一是来自外部网络的入侵,二是来自网内的入侵,例如网内用户发起对局域网服务器或其他网内计算机的入侵。其次,病毒的危害也是威胁计算机局域网络安全的主要问题。虽然局域网络使用户能方便地进行数据共享,但同时也为病毒传播提供了方便。近几年网络病毒危害日甚,尤其是蠕虫病毒和木马病毒,蠕虫病毒发作时能够使整个网络陷于瘫痪,无法正常运行;而木马病毒则会盗窃用户的各种信息,严重威胁用户的工作和生活。此外,认证安全的漏洞也是一个比较大的安全问题。目前随着网络规模越来越大,网络用户中经常发生IP地址盗用、IP地址冲突、账号盗用等,令计算机局域网络的管理及维护人员非常苦恼。
1.2 管理漏洞
严格的管理是局域网安全的重要措施。由于各方面的原因,很多单位都疏于网络的管理,管理制度及管理人员没有到位,没有投入必要的人力、财力、物力来加强网络的安全管理。有时是人为的失误,例如网络管理员安全意识不强,在设置上对操作系统、硬件设备和相关软件的配置不当,从而造成安全漏洞。然而以前的安全管理也存在一些误区:重视外部的防护,忽略内部的防范;重视安全产品的设置,忽略了网络管理的作用;被动防范的观念误区。随着计算机的发展,网络安全问题越来越复杂,解决策略不能再局限于某一节点、某一设备上,而是要从系统的高度出发,全面考虑全网的设施、全新认识安全防护来构建局域网的安全体系,有效防范来自内外网的攻击。
2 计算机局域网络的安全解决方案与策略
2.1 应用VLAN技术
VLAN是一种与位置无关的虚拟局域网,将企业网络划分为虚拟VLAN网段,可有效抑制网络上的广播风暴,而且如果局域网中没有路由的话,不同VLAN之间不能相互通讯,这样也增加了网络的安全性。VLAN的划分方式非常灵活,它可以基于交换机端口,计算机MAC地址,网络层协议、IP广播组等,在几种划分方式中,基于交换机端口的划分方式相对简单,比较适合中小型企业局域网,这种方式允许设备在网络中移动,只要简单地更改IP地址即可。在实际应用中,采气一厂采用了基于交换机端口的VLAN划分方式,根据地理位置将不同的部门划分到不同的LAN,既方便了网络管理管理又提高了网络安全性能。
2.2 科学的IP地址管理方法
IP地址管理是计算机局域网中网络安全建设的一个重要环节。计算机局域网络在进行地址划分时,可将最终划分的地址段对应到VLAN,同时将网络节点的IP地址和设备的MAC地址进行绑定。具体的地址绑定方案是:接入层交换机下所有网络节点的地址绑定在其上一层的汇聚层交换机上;直接接入汇聚层交换机或者通过二层交换机接入汇聚层交换机的网络节点,地址绑定在所接入的汇聚层交换机上;直接接入核心交换机或通过二层交换机接入核心交换机的网络节点,地址绑定直接在核心交换机上。这种IP地址管理方法能够大大提高了安全规则和流量控制规则的可用性,减小了局域网中IP攻击的可能,提高了网络的安全性和可靠性,方便网络管理员对网络设备的管理维护以及各种规则的制定。
2.3 全方位的网络安全防范系统
计算机局域网络的安全设计应当建立一个由防火墙、入侵检测系统、防病毒软件、网管软件及其他,如过滤系统、桌面管理系统等组成的全方位安全防范系统。(1)防火墙。防范来自外部网络攻击最常用的方法是在网络的入口部署防火墙。防火墙是指设置在不同网络(如可信任的移动客户自动服务系统内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据移动客户自动服务系统网络的安全政策控制(允许、拒绝、监测)出入网络的信息流,防火墙可以确定哪些内部服务允许外部访问,哪些外人被许可访问所允许的内部服务,哪些外部服务可由内部人员访问。并且防火墙本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。(2)入侵检测系统部署。据统计,大部分的攻击事件来自网络内部,也就是说内部人员作案,而这恰恰是防火墙的盲区。入侵检测系统(IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。(3)病毒过滤及防护。网络可能会受到来自于多方面的病毒威胁,包括来自Internet网关上、网络内部所连接的网段等,为了免受病毒所造成的损失,可以采用多层的病毒防卫体系,实现全网统一杀毒。并在互联网网关上配置硬件的病毒过滤网关,实现全网分布式的病毒防护。应采用网络版的防病毒软件,这样整个网络的升级、更新都是由病毒系统的控制中心有程序地完成,能够避免由于个人疏忽而造成的没有及时更新病毒定义码和扫描引擎而失去最佳的防病毒能力的情况,同时在服务器端,管理员可以定期查看病毒报警日志,及时、准确地了解整个网络的病毒情况。
2.4 有效的安全访问控制服务器系统
在计算机局域网中,有效地控制和记录重要设备的被访问情况,确保有据可查,会使网络的安全管理更加有效。通过建立安全访问控制服务器系统,能够对网络访问的用户进行身份、授权和审计方面的控制,有效地防止了非网络管理人员对网络进行操作。系统还可根据网络中的管理角色给管理员分配相应的管理权限,减小了所有人都用特权模式对网络操作带来的风险,并且管理员对网络的操作进行了审核记录,提高了故障的发现和解决速度,实现了网络设备的集中管理,有效地提高了网络维护的效率,在减少管理员工作量的同时,提高了网络的安全性能。
2.5 网络的自动化数据备份
无论系统的安全性已经得到如何的保障,数据的备份都是必要的。数据备份系统是保障数据安全的重要手段,主要用于在网络出现故障时的快速恢复,使数据损失最小。但由于数据备份是一个完全程序化的、机械的过程,人工操作不可避免会造成一些人为的错误,这将给系统带来了严重的潜在威胁。因此在进行计算机局域网络安全系统的设计时,应采用网络自动化数据备份系统,备份各服务器的重要软件、数据和数据库服务器的系统文件以及数据库控制文件等。备份系统可根据实际情况制定相应的备份方案,针对不同的需要选择不同的备份方式。当操作系统或存储设备出现故障甚至损坏时,通过备份文件可迅速地恢复网络系统和数据,做到数据损失最小。网络自动化数据备份系统的实施,在局域网内实现了重要数据的在线自动备份,能够减轻系统管理员的工作量,同时保障企业数据的安全,有效提高网络的可用性和可靠性。
2.6 建立完善的计算机局域网安全管理制度
首先,要严格控制硬件设备的物理安全管理。在局域网规划设计阶段就应该充分考虑到网络设备的物理安全问题,将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理,各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏,对于终端设备,如工作站、小型交换机、集线器和其他转接设备要落实到人,进行严格管理。其次,要加强管理人员队伍的建设。要培养一支强有力的具有安全管理意识的网络管理人员队伍。落实必需的编制,组建专职、专家化的队伍,全天候、高质、高效地管理维护,确保局域网安全稳定地运作。再次,要加强计算机局域网的内部组织管理。要制定一套严格的、完善的安全管理规章制度来规范和加强管理。网络管理人员通过对所有用户设置资源使用权限与口令,并对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式,可以有效地保证系统的安全。最后,要加强对计算机局域网内用户的安全教育。对用户进行有关网络安全的法律法规和规章制度进行宣传教育,同时还要提高他们的局域网安全防范意识和技能。
3 结语
本文主要针对现在广泛使用的计算机局域网的安全问题进行了简要的分析,提供的安全解决策略及方案可为计算机局域网络安全问题的解决提供参考。