摘要:信息时代,网络给我们带来了方便,也带来了危险。如何防范网络危险,保障网络安全,是我们必须面对的问题。本文针对局域网的应用,首先分析了局域网的安全现状中存在的主要安全隐患,然后提出了完善局域网安全管理的策略。
关键词:局域网 安全管理 隐患 策略
随着计算机的普及和网络的发展,各企事业单位都已建立了比较完善的局域网络和应用系统,并在日常工作中发挥着目益突出的作用。通过网络,我们在享受电子信息处理的便利和快捷的同时,也必须面对由此引入的巨大安全保密风险,随着信息技术的发展与应用,网络安全的重要性日益凸现,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,使网络服务不中断。2006年的“熊猫烧香”病毒让我们记忆犹新。这要求我们必须有周密规划安全保密防护体系,采取完善严密的管理手段和必要技术手段,确保局域网络的运行和信息安全。而网络的安全又依赖于安全策略,一个安全的网络是和一个好的安全策略分不开的,而一个好的策略又是需求和投资之间的一个平衡。网络安全需求与投资是相关的,只有进行正确的网络安全需求分析才能根据需求采用适当的技术,制定出合理的安全策略,以达到需求与投资之间的平衡,为局域网用户带来最好的效益。
一、局域网主要安全现状
一般企事业单位的网络均为拓扑结构。通过广域网与上一级网络中心相连,因此也就存在了很多同其他局域网相同的网络威胁。目前,局域网网络的主要安全隐患有以下几种:
1、病毒危险
随着工作的不断发展,对外交流日益频繁,相互间的信息交换量日益增长,在促进企事业单位发展的同时,也为计算机网络系统的安全带来了隐患。网络使用户能方便地进行数据共享,同时也为病毒传播提供了方便。近几年网络病毒危害日甚,尤其是蠕虫病毒,发作时能够使整个网络陷于瘫痪,无法正常运行。
2、恶意入侵
目前Internet上黑客攻击活动日益严重,入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等黑客技术层出不穷。局域网黑客入侵一是来自外部网络的入侵;二是来自网内的入侵,例如网内用户发起对局域网服务器或其他网内计算机的入侵。
3、非法访问
利用非正常手段修改网络服务器的管理信息或盗用他人账号和IP私设代理等多种形式非法获取网络资源。
4、人为的蓄意破坏
对包括服务器、交换机、集线器、路由器、通信媒体、工作站等设备有意或无意地损坏。
5、协议本身的隐患
网络安全的隐患很大程度上来源于Internet所依赖的基础——TCP/IP协议族。从设计角度讲,TCP/IP是一个基于相互信任的协议体系,一旦对方不可信赖,就会带来一系列相关的问题,计算机运行及网络互联都是基于各种各样的通信协议,这些协议本身由于各种原因并没有充分考虑到安全因素。正是因为这样,现在由于协议缺陷而引起的问题主要是协议的开放性,这种开放性要求在异构的平台之间实现互联、最终达到全球互联。协议的复杂性及对物理链路、可靠服务的封装带来更易出错的可能,此外,协议设计缺乏认证、加密机制。
6、信息安全问题呈现出危害越来越大的
趋势。尽管Internet网络协议是按照在核打击下仍能生存的要求构思的,一些网站也有相当好的安全设施,但在黑客攻击面前却软弱无力,加之CPU处理器序列号、Window后门问题、层出不穷的病毒以及用户的误操作,信息安全问题日益突出。
二、局域网安全管理策略
1、完善安全管理制度
(1)设备安全管理。在局域网规划设计阶段就应该充分考虑到网络设备的安全问题,将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理,各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏,对于终端设备,如工作站、小型交换机、集线器和其他转接设备要落实到人,进行严格管理。
(2)加强队伍建设。首先必须培养一支强有力的具有安全管理意识的网管队伍。落实必需的编制,组建专职、专家化的队伍,全天候、高质、高效地管理维护,确保局域网安全稳定地运作。
(3)加强内部管理。要制定一套严格的、完善的安全管理规章制度来规范和加强管理。网络管理人员通过对所有用户设置资源使用权限与口令,并对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
(4)加强用户教育。对用户进行有关网络安全的法律法规和规章制度进行宣传教育,同时还要提高他们的局域网安全防范意识和技能。
(5)信息的分级管理。内部局域网络中储存的信息各种各样,但其中的某些信息并不是对所有人都开放的,必须对其进行分级管理。
2、建立防火墙系统
防火墙是一种用来阻止外面未经授权的用户非法访问网络的设备工具,它通常是软件和硬件的结合体。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要环节。
3、病毒过滤及防护
网络可能会受到来自于多方面的病毒威胁,包括来自INTERET网关上、网络内部所连接的网段等,为了免受病毒所造成的损失,可以采用多层的病毒防卫体系,实现全网统一杀毒。在INTERET网关上配置硬件的病毒过滤网关,实现全网分布式的病毒防护。
4、内、外网络的物理隔离
由于我们现在采用的交换机、操作系统的核心技术均为国外掌握,因采用内、外网络管理隔离是最原始,但也是最有效的方法。内部局域网不允许以任何方式接入Internet,集中设立“Internet网吧”供员工使用,同时对数据交换应进行严格审查,由网吧管理人员统一进行,并进行详细的记录。对内部局域网络中计算机接入Internet的监控,应具备必要的技术手段。
5、访问控制
对系统内部合法用户的非授权的访问实时控制,通常采用任意访问控制和强制访问控制相结合的方法。主要任务是保证网络资源不被非法使用,控制正常访问权限,是维护网络系统安全、保护网络资源的重要手段。认证授权技术属于访问控制技术的一种,主要用于身份认证,对通信方进行身份确认的过程。对于一般的计算机网络来说,主要考虑的是主机和节点的身份认证,用户的身份认证可以由应用系统来实现。通常身份认证和授权机制联系在一起,提供服务的一方对申请服务的客户身份确认之后,就需要向他授予相应的访问权限,规定客户可以访问的服务范围。常用的认证技术包括口令认证、基于第三方的单次登录(SSO)认证,基于证书的数字签名认证(CA)等。
6、数据加密
数据加密是一项有着悠久历史的技术,其核心内容就是密码学。密码学技术不只局限于对数据进行简单的加密处理,而是包括加密、数字签名、身份认证及密钥管理等在内的所有涉及密码学知识的技术。
7、入侵检测
建立动态的检测资源库,随时收集网络运行中存在的安全威胁指标,若发现新的安全隐患,就会将原有的检测库更新。
8、审计跟踪
审计跟踪是借助各种技术系统,如操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或专门程序,对系统的使用情况建立日志记录,以便实时地监控、报警或进行事后分析、统计、报告,通过事后查询来保证系统安全的技术手段。
总之,网络的安全保障需要有整体性的规划,除了制定完善的安全政策,更要集成许多的技术与环境来达到.网络管理人员要充分利用各种方法与技术,全面规划、实施网络安全,同时要清楚的认识到安全管理是一个动态的、不断完善的过程,这就要求网络管理人员要不断学习和掌握新的技术和方法,从而解决不断出现的新的网络安全管理问题。
参考文献:
[1]黄乐辉. 局域网安全技术在企业网络安全管理中的应用[J]. 甘肃科技,2006,22(6)
[2]刘志光. 一种局域网安全管理的方法[J]. 计算机安全,2007,(7)
[3]张超,张曦. 浅析无线局域网发展现状及安全分析[J]. 中国科技信息,2008,(17)□