论局域网的安全管理策略
来源:用户上传
作者:
摘要:随着计算机网络技术的广泛应用,计算机网络改变了传统的通讯方式给人类带来了极大的方便、与此同时计算机网络安全问题变
得尤其重要,因此不论在局域网还是在广域网中,网络的安全措施能全方位地应对各种不同的威胁和脆弱性,能确保网络信息的保密性、完整性和可用性。
关键词 网络安全局域网安全策略
如何在安全的计算机网络环境下办公成为计算机网络技术的一
个重要领域,尤其是局域网安全问题,现在的企事业单位都有自己的局域网,企事业单位的核心数据也在局域网上,核心数据关系着企事业单位的生死存亡,一旦出现问题后果不堪设想,该文从局域网安全管理出发提出了基于局域网安全的策略。
1、局域网安全方案设计
安全策略包括两个部分:一个总的策略和具体的规则策略用于阐明企业安全政策的总体思想,而具体规则用于说明什么活动是被允许的,什么活动是被禁止的。网络的完全安全是不可能的,但是,我们却可以根据威胁网络安全的源头不同,及时调整网络安全策略,所以总的说来,网络安全方案设计的原则就是因时而变。
2、局域网安全机制
2.1物理隔离
常见的各种安全保护方式是安装防火墙,入侵检测系统、网络安全管理软件等安全软件,但是这类的“软”保护具有不确定性,谁也不能保证这些软件中没有后门、没有错误,而被黑客利用攻入内部系统。最安全的办法,就是让局域网内部重要的数据和外部的互联网没有物理的连接,把用户可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘。
目前,物理隔离的实现模型,一般是包括客户端选择设备和网
络选择器,用户通过开关设备,或通过键盘选择,控制客户端选择不同的存储介质,在需要的情况下,网络选择端还要同时进行相应的网络连接跳转。现在的物理隔离产品,主要采用基于单网线的安全隔离卡技术加上网络选择器方法,即客户端依然采用类似第二代双网线安全隔离卡的技术。
2.2远程访问控制
对于远程拨号用户,已经配置了用户身份认证服务器。在技术
上有一定的安全保障。另外还可以从自身条件优势上考虑,由于都
同属一个电话局,这样就可以在电话局的程控交换机上控制,只允
许内部的电话号码访问本地的网络。同时对于拨号用户采用动态地
址分配,并对所有在用的机器MAC地址进行注册,采用IP地址与
MAC地址的动态绑定。
2.3 防火墙
在原理上,防火墙更像是物理隔离的软件实现手段。由于要与
互联网连接,所以防火墙是必不可少的。防火墙规则动态的修改在
大型网络中已经是必不可少的了。
2. 4防病毒
防病毒基本上可以分为单机版和网络版。选择单机版和网络版要权衡代价和效率的关系。如果全部选用网络版那么造价很高,而且网络版的安装也相对复杂,势必要牵扯大量的人力。所以如果要节约费用,建议安装单机版防毒软件。而如果要求更高的安全性,并且局域网频繁的与Internet交换数据,被病毒感染的机会很高,所以病毒代码的更新也要求较高,建议采用网络版的防毒软件。
3加强局域网安全的管理对策
3.1及时修补漏洞
要及时更新系统、数据库等漏洞补丁。漏洞已成为病毒、木马以及黑客进行攻击的主要途径,可以通过360安全卫士来检查系统的漏洞并打上补丁,一些防火墙软件也具有检查系统的漏洞的功能,做到定期检查和更新。
3.2关闭系统默认共享以及其它目录共享
默认共享是局域网里存在的一个安全隐患,很多病毒和黑客利用系统的默认共享进行传播和攻击的,威金蠕虫和Funlove病毒等都是利用局域网里的共享进行传播的,所以要关闭默认共享。如果业务需
要共享数据,那么要将共享方式设为只读或将共享目录隐藏,在共享
名后加上“$”符号即可隐藏共享资源。最好是建立文件服务器、存
储设备或局域网邮件系统来收发文件,这样可以大大地降低局域网中
受攻击和感染的风险。
3.3关闭危险的系统服务
有的系统服务的启用不仅会占用系统资源,而且还会对我们的系
统带来严重的安全隐患,为黑客和病毒开启了方便之门,在不需要这
些服务的情况下可以关闭。
4、加强局域网安全的技术策略
4.1基于Internet的防火墙安全策略
典型的局域网要通过路由器来实现内部和外部信息的通讯,两者之间的数据流控制是计算机网络安全的关键。如何保证外部合法数据进入到局域网及局域网内部核心,数据安全将由防火墙(firewall)来实现。防火是由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略。防火墙内的网络称为可信赖的网络(trusted network),而将外部的因特网称为不可信赖的网络(untrusted network)。防火墙可用来解决内联网和外联网的安全问题。
防火墙系统的主要目标是对进出所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护的网络系统,为网络提供安全保障,可以用硬件或软件实现,也可以是两者的结合。主要功能包括:安全警报;重新部署网络地址转换(NAT);监视Internet的使用;防火墙也是审查和记录内部人员对Internet使用的一个最佳位置, 可以在此对内部访问Internet的情况进行记录,向外发布信息;防火墙除了起到安全屏障作用外,也是部署www服务器和FTP服务器的理想位置;允许Internet访问上述服务器,而禁止对内部受保护的其他系统进行访问。
4.2VLAN技术安全策略
VLAN又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。 一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
4.3捆绑技术安全策略
l) IP与MAC地址捆绑技术安全策略
在实际的局域网安全管理中会经常出现IP地址被盗用的现象,这不仅对计算机网络的正常使用造成影响,同时也会由于被盗用的地
址往往具有较高的权限而对企业单位造成了大量的经济上的损失和
潜在的安全隐患。为了防止IP地址被盗用,可采用ARP来实现IP
地址与网卡MAC地址捆绑技术安全策略。
2)端口与MAC地址捆绑技术安全策略
在实际的局域网安全管理中会经常出现端口被盗用,即外来非法计算机利用局域网空闲端口连上局域网,盗用企业单位核心数据的情况,对企业单位造成了大量的经济上的损失和潜在的安全隐患。为了防止端口被盗用,可采用端口与MAC地址捆绑技术安全策略。
当然,为了防止这种攻击,我们也可以采用Socket编程技术,但是对于计算机网络管理人员计算机的水平要求较高。Socket是一
种计算机网络应用层与TCP/IP协议族通信的中间软件抽象层,它
是一组接口(Interface)。在设计模式中把复杂的TCP/IP协议族隐藏在Socket接口后面,让Socket去组织数据是符合指定的协议。
服务器端先初始化Socket然后与端口绑定(bind),对端口进行监听(listen),调用accept阻塞,等待客户端连接,客户端初始化一个Socket,然后连接服务器(connect),如果连接成功,这时客户端与服务器端的连接就建立了。客户端发送数据请求,服务器端接收请求并处理请求,然后把回应数据发送给客户端,客户端读取数据,最后关闭连接,一次交互结束。
4.4生物识别技术安全策略
局域网身份识别目前主要有如下三种方式:①“用户名+口令”模式,用已知道的信息来证明识别身份;②用密码卡、智能卡等拥有的物品来证明识别身份;③用人类独一无二、不可复制的生物特征来证明身份,如指纹识别、虹膜识别等。很显然,前两种方式很难实现安全、可靠的身份识别,而生物特征识别技术它能杜绝易丢、易破解的现象,不存在记忆密码、丢失密码及受损的风险,是目前局域网安全技术策略首选的技术方案。生物特征识别技术可用于硬件设备使用的身份识别,只有合法的生物特征的人才能进入;计算机开机识别,只有合法的人才能开机,只有合法的人才能进入某一软件系统,获得软件的使用权等。
5.结束语
计算机网络在给我们工作方便的同时也带来了安全问题,在安全
的计算机网络环境下方便使用计算机网络已成为社会发展的必然趋势,局域网更是如此。本文基于局域网安全策略的研究,对于局域网
安全方面的问题提供了一些解决思路。局域网安全光有局域网安全技
术保障是不够的,还要用制度管理好人,也就是说局域网安全技术策
略和局域网安全管理策略二者都要抓,都要硬,只有二者完美结合在
一起,局域网才是安全的。
转载注明来源:https://www.xzbu.com/2/view-562676.htm
