论文部分内容阅读
摘要如今办公局域网已经基本普及,但随之而来的安全隐患,也成为不容忽视的问题。如何保证网内数据、资料、信息等安全,不仅要加强网络的安全,还要提高网络管理员的业务素质,加强内部人员的安全意识。本文就局域网存在的安全问题及如何解决提出了几点方法,为计算机网络进入各领域提供一定的理论依据。
关健词局域网 网络安全硬件软件 网络管理防火墙
中图分类号:TP393文献标识码:A
1 局域网的组成
局域网由网络硬件和网络软件两大系统组成。网络硬件用于实现局域网的物理连接,其作用是为联在网上的计算机之间的通信提供一条物理通道。也可以说,网络硬件系统主要任务就是负责铺就一条信息公路,使通信双方能够相互传递信息。网络软件主要用于控制,并具体实现信息传送和网络资源的分配与共享。这两大组成部分相互依赖、缺一不可,由它们共同完成局域网的通信功能。
2 局域网存在的安全隐患
目前,计算机网络已进入千家万户,把独立的计算机通过介质相互连接,达到资源共享,相互访问,这是局域网首要的任务。局域网作为一种小型网络,采用TCP/IP技术。但由于局域网的高速率、低延时、低出错、短距离等特点,在应用于许多企事业单位的同时,也存在同于一般网络的许多安全隐患。目前,计算机网络安全问题主要围绕在硬件和软件之间,安全性问题表现在以下几个方面:网络的物理安全问题、网络系统安全和拓扑结构安全问题、应用系统安全和网络管理的安全问题。(1)硬件的安全问题局域网自身的缺陷以及薄弱的认证环节,使得系统极易受到监控,网络容易遭到威胁和攻击。对于机房而言,有效的屏蔽和防辐射设施,也可以防止电磁泄漏露引起的信息泄露。此外,由于操作系统的工作人员的用户口令简单,引起的口令破译也是信息失窃的一个重要因素。(2)软件的安全问题一直以来,病毒就是计算机安全的主要威胁。目前,病毒的种类和传染方式不断增加,国际空间的病毒总数已达上万甚至更多。这些病毒一旦入侵我们的网络,就会造成极大的危害,导致极为严重的后果。与此同时,网络的漏洞也会成为攻击者的入口。黑客采用种种手段,对网络及其计算机系统进行攻击,侵占系统资源、对网络和计算机设备进行破坏、以及窃取或破坏重要数据和信息。
3 局域网的安全解决措施与分析
(1)网络分段通过防火墙将内部不同部门的网络划分为不同的网段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。分段后不仅保护了内部网,使其不受来自Internet的攻击,也保护了各部门网络,使其不受来自企业内部其它部门的网络的攻击。如果某一部门的网络受到攻击,网段就使其控制在这一个部门,防止蔓延扩大。
(2)虚拟局域网技术(VLAN)VLAN是以交换式网络为基础,把网络上的用户(终端设备)划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN。也就是说VLAN就是将整个网络逻辑上划分的一些虚拟工作组。它允许网络管理员使用软件实现按业务功能、网络应用、组织机构或其他任何需要,灵活地划分VLAN,增加或删除VLAN成员。VLAN将局域网上的一组设备配置成好像在同一条线路上进行通信,而实际上它们相当于独立的网段。一个VLAN等效于一个广播域,广播信息仅发送给同一个VLAN的成员,从而可以隔离广播信息,缩小了广播域,提高了网络的安全性,改善了网络的性能。
(3)入网访问控制,入网访问控制可以保证网络资源不被非法使用,是防范和保护网络安全的重要措施之一。基于角色的访问控制能达到安全、高效的效果,它兼有自主访问控制和强制访问控制的性质。这种访问控制方法将访问许可权分配给角色,用户通过赋予不同的角色获得角色所拥有的访问许可权。其主要作用是保证网络资源不被非法使用和访问。它控制授权用户能登录到服务器并获取资源,并控制用户入网的时间。这种方法可以防止合法用户越权操作、也能防范非法用户登录到服务器。用户的入网访问控制分为三个阶段:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。用户只要其中任何一关没有通过,那么用户都不能进入系统。权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,通过权限控制用户和用户组可以访问的目录、文件和其他资源。同时指定用户对这些文件、目录、资源能够执行的操作,从而达到通过设置不同的权限保证了网络的安全。除了基于角色的访问和权限控制,还可以启用启用密码策略,包括设置密码锁定服务器以防止非法用户修改。设定服务器登录时间限制用来检测非法访问。管理员要去掉所有的测试用户、共享用户,删除已经不再使用的用户,防止黑客通过这些通道入侵系统。
(4)安装网络防病毒软件局域网也常常由于操作者的不安全操作而引起一系列的安全问题。现代化的移动存储介质极易把病毒带进网络,造成系统数据丢失等问题,更严重的可以使整个系统崩溃。因此,预防病毒的重点是控制病毒的传染,病毒传染的途径多种多样,不同渠道来的U盘、来历不明的软件、游戏盘等是最基本的传染途径,同时好多病毒都是从网络中感染。预防病毒关键是对病毒行为进行判断,预防病毒主要从以下几个方面来制定针对防病毒防范体系:增加安全意识和加强网络的管理,对工作人员定期培训;禁止使用来历不明的软件,谨慎使用移动存储设备,在使用移动存储设备之前进行病毒的扫描和查杀;定期进行病毒检测,及时预防或阻止病毒传染;购买网络正版杀毒软件,并通过网络进行升级。启用杀毒软件自动监控策略,监测所有运行在局域网络上的计算机,采用警告的方式,对没有安装杀毒软件的计算机,建议安装杀毒软件来进一步确保局域网的安全。
(5)运用防火墙技术。所谓防火墙是一项协助确保信息安全的设备,根据特定的规则允许或限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙具有IP地址过滤功能用来检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定,对数据包进行接受或者是拒绝。防火墙技术使内部网络与Internet之间或与其他外部网络互相隔离,防火墙不仅对外部网络的通信连接和数据包要进行过滤,而且对内部网络用户的部分连接请求和数据包同样需要过滤,防火墙允许符合安全策略的数据通过。它可以执行安全管制措施,记录所有可疑事件,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。目前的防火墙主要有三类;第一类是软件防火墙,这类防火墙的缺点是运行速度较慢;第二类防火墙是硬件防火墙,它的速度明显优于软件防火墙,但是它的升级、管理却非常麻烦;第三类防火墙是软硬结合的防火墙,这类防火墙的最大特点是具有以上两类防火墙的双重优点。对于一般的小型局域网,安装软件防火墙就可以了。
(6)运用网络入侵检测,入侵检测能力是衡量一个防御体系是否完整有效的重要因素。它通过收集和分析网络行为、审计数据来检查网络中是否存在违反安全的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测系统集入侵检测、网络管理和网络监视功能于一体,能实时捕获内外网之间传输的所有数据,入侵检测是防火墙的合理补充,帮助系统对付网络攻击。检测网络上发生的入侵行为和异常,并在数据库中记录有关事件,供管理员事后分析。
(7)网络中硬件系统的物理安全在安全领域中,最容易被忽视的方面就是网络的物理安全性。物理安全是指在物理介质层次上,对存储和通信链路进行保护,是网络信息安全的基本保障。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。物理安全体系结构应从以下几个方面考虑:一是自然灾害(地震、火灾、洪水);二是物理损坏(硬盘损坏、外力损坏);三是设备故障(停电断电、电磁干扰)。在局域网中尽量使设备完整,远离电磁干扰,这样从物理上保证了网络的安全性。
4 结束语
本文主要针对局域网的安全解决策略进行了简要的介绍。局域网作为一种小型办公网络人仍然存在很多安全隐患,因此,只有提高多方面的安全措施,做好相应的安全策略,采用最新的技术成果,才能保证我们的网络更安全、更高效,进而发挥更大的作用。
参考文献
[1]陈明.网络设备教程.清华大学出版社,2004.
[2]SHARMA R K.Cisco网络安全宝典.赵刚,译.电子工业出版社.
[3]谢希仁.计算机网络[M].北京:电子工业出版社,2001.
[4]袁津生,吴砚农.计算机网络安全基础.人民邮电出版社,2003.7.
[5]万振凯.网络安全与维护.清华大学出版社,2004.6.
[6]胡道元.计算机局域网.清华大学出版社,1996.
[7]张立云,马皓,孙辨华.计算机网络基础教程.清华大学出版社;北方交通大学出版社,2003.
关健词局域网 网络安全硬件软件 网络管理防火墙
中图分类号:TP393文献标识码:A
1 局域网的组成
局域网由网络硬件和网络软件两大系统组成。网络硬件用于实现局域网的物理连接,其作用是为联在网上的计算机之间的通信提供一条物理通道。也可以说,网络硬件系统主要任务就是负责铺就一条信息公路,使通信双方能够相互传递信息。网络软件主要用于控制,并具体实现信息传送和网络资源的分配与共享。这两大组成部分相互依赖、缺一不可,由它们共同完成局域网的通信功能。
2 局域网存在的安全隐患
目前,计算机网络已进入千家万户,把独立的计算机通过介质相互连接,达到资源共享,相互访问,这是局域网首要的任务。局域网作为一种小型网络,采用TCP/IP技术。但由于局域网的高速率、低延时、低出错、短距离等特点,在应用于许多企事业单位的同时,也存在同于一般网络的许多安全隐患。目前,计算机网络安全问题主要围绕在硬件和软件之间,安全性问题表现在以下几个方面:网络的物理安全问题、网络系统安全和拓扑结构安全问题、应用系统安全和网络管理的安全问题。(1)硬件的安全问题局域网自身的缺陷以及薄弱的认证环节,使得系统极易受到监控,网络容易遭到威胁和攻击。对于机房而言,有效的屏蔽和防辐射设施,也可以防止电磁泄漏露引起的信息泄露。此外,由于操作系统的工作人员的用户口令简单,引起的口令破译也是信息失窃的一个重要因素。(2)软件的安全问题一直以来,病毒就是计算机安全的主要威胁。目前,病毒的种类和传染方式不断增加,国际空间的病毒总数已达上万甚至更多。这些病毒一旦入侵我们的网络,就会造成极大的危害,导致极为严重的后果。与此同时,网络的漏洞也会成为攻击者的入口。黑客采用种种手段,对网络及其计算机系统进行攻击,侵占系统资源、对网络和计算机设备进行破坏、以及窃取或破坏重要数据和信息。
3 局域网的安全解决措施与分析
(1)网络分段通过防火墙将内部不同部门的网络划分为不同的网段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。分段后不仅保护了内部网,使其不受来自Internet的攻击,也保护了各部门网络,使其不受来自企业内部其它部门的网络的攻击。如果某一部门的网络受到攻击,网段就使其控制在这一个部门,防止蔓延扩大。
(2)虚拟局域网技术(VLAN)VLAN是以交换式网络为基础,把网络上的用户(终端设备)划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN。也就是说VLAN就是将整个网络逻辑上划分的一些虚拟工作组。它允许网络管理员使用软件实现按业务功能、网络应用、组织机构或其他任何需要,灵活地划分VLAN,增加或删除VLAN成员。VLAN将局域网上的一组设备配置成好像在同一条线路上进行通信,而实际上它们相当于独立的网段。一个VLAN等效于一个广播域,广播信息仅发送给同一个VLAN的成员,从而可以隔离广播信息,缩小了广播域,提高了网络的安全性,改善了网络的性能。
(3)入网访问控制,入网访问控制可以保证网络资源不被非法使用,是防范和保护网络安全的重要措施之一。基于角色的访问控制能达到安全、高效的效果,它兼有自主访问控制和强制访问控制的性质。这种访问控制方法将访问许可权分配给角色,用户通过赋予不同的角色获得角色所拥有的访问许可权。其主要作用是保证网络资源不被非法使用和访问。它控制授权用户能登录到服务器并获取资源,并控制用户入网的时间。这种方法可以防止合法用户越权操作、也能防范非法用户登录到服务器。用户的入网访问控制分为三个阶段:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。用户只要其中任何一关没有通过,那么用户都不能进入系统。权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,通过权限控制用户和用户组可以访问的目录、文件和其他资源。同时指定用户对这些文件、目录、资源能够执行的操作,从而达到通过设置不同的权限保证了网络的安全。除了基于角色的访问和权限控制,还可以启用启用密码策略,包括设置密码锁定服务器以防止非法用户修改。设定服务器登录时间限制用来检测非法访问。管理员要去掉所有的测试用户、共享用户,删除已经不再使用的用户,防止黑客通过这些通道入侵系统。
(4)安装网络防病毒软件局域网也常常由于操作者的不安全操作而引起一系列的安全问题。现代化的移动存储介质极易把病毒带进网络,造成系统数据丢失等问题,更严重的可以使整个系统崩溃。因此,预防病毒的重点是控制病毒的传染,病毒传染的途径多种多样,不同渠道来的U盘、来历不明的软件、游戏盘等是最基本的传染途径,同时好多病毒都是从网络中感染。预防病毒关键是对病毒行为进行判断,预防病毒主要从以下几个方面来制定针对防病毒防范体系:增加安全意识和加强网络的管理,对工作人员定期培训;禁止使用来历不明的软件,谨慎使用移动存储设备,在使用移动存储设备之前进行病毒的扫描和查杀;定期进行病毒检测,及时预防或阻止病毒传染;购买网络正版杀毒软件,并通过网络进行升级。启用杀毒软件自动监控策略,监测所有运行在局域网络上的计算机,采用警告的方式,对没有安装杀毒软件的计算机,建议安装杀毒软件来进一步确保局域网的安全。
(5)运用防火墙技术。所谓防火墙是一项协助确保信息安全的设备,根据特定的规则允许或限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙具有IP地址过滤功能用来检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定,对数据包进行接受或者是拒绝。防火墙技术使内部网络与Internet之间或与其他外部网络互相隔离,防火墙不仅对外部网络的通信连接和数据包要进行过滤,而且对内部网络用户的部分连接请求和数据包同样需要过滤,防火墙允许符合安全策略的数据通过。它可以执行安全管制措施,记录所有可疑事件,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。目前的防火墙主要有三类;第一类是软件防火墙,这类防火墙的缺点是运行速度较慢;第二类防火墙是硬件防火墙,它的速度明显优于软件防火墙,但是它的升级、管理却非常麻烦;第三类防火墙是软硬结合的防火墙,这类防火墙的最大特点是具有以上两类防火墙的双重优点。对于一般的小型局域网,安装软件防火墙就可以了。
(6)运用网络入侵检测,入侵检测能力是衡量一个防御体系是否完整有效的重要因素。它通过收集和分析网络行为、审计数据来检查网络中是否存在违反安全的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测系统集入侵检测、网络管理和网络监视功能于一体,能实时捕获内外网之间传输的所有数据,入侵检测是防火墙的合理补充,帮助系统对付网络攻击。检测网络上发生的入侵行为和异常,并在数据库中记录有关事件,供管理员事后分析。
(7)网络中硬件系统的物理安全在安全领域中,最容易被忽视的方面就是网络的物理安全性。物理安全是指在物理介质层次上,对存储和通信链路进行保护,是网络信息安全的基本保障。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。物理安全体系结构应从以下几个方面考虑:一是自然灾害(地震、火灾、洪水);二是物理损坏(硬盘损坏、外力损坏);三是设备故障(停电断电、电磁干扰)。在局域网中尽量使设备完整,远离电磁干扰,这样从物理上保证了网络的安全性。
4 结束语
本文主要针对局域网的安全解决策略进行了简要的介绍。局域网作为一种小型办公网络人仍然存在很多安全隐患,因此,只有提高多方面的安全措施,做好相应的安全策略,采用最新的技术成果,才能保证我们的网络更安全、更高效,进而发挥更大的作用。
参考文献
[1]陈明.网络设备教程.清华大学出版社,2004.
[2]SHARMA R K.Cisco网络安全宝典.赵刚,译.电子工业出版社.
[3]谢希仁.计算机网络[M].北京:电子工业出版社,2001.
[4]袁津生,吴砚农.计算机网络安全基础.人民邮电出版社,2003.7.
[5]万振凯.网络安全与维护.清华大学出版社,2004.6.
[6]胡道元.计算机局域网.清华大学出版社,1996.
[7]张立云,马皓,孙辨华.计算机网络基础教程.清华大学出版社;北方交通大学出版社,2003.