1 局域网存在的安全隐患
目前,一些局域网内部的计算机和互联网相连,却并未安装相应的比较高级的杀毒软件及防火墙,一些计算机系统或多或少都存在着各种的漏洞。局域网面临着黑客攻击、目录共享导致信息的外泄、计算机操作人员的安全意识不足等安全隐患。
2 针对于局域网存在的安全隐患的防治策略
2.1 对局域网内部重要数据进行备份,做好网络安全协议的配置
局域网内部存在着非常重要的信息,必须及时对这些信息进行完整的备份,以便在出现问题的时候及时恢复。备份一方面包括对局域网内部的重要数据的备份,另一方面,也包括对于核心设备和线路的备份。对于局域网内部的网页服务器,一定要安装网页防篡改系统,从而避免网页被恶意篡改。对于局域网中的核心设备的系统配置必须进行定期和不定期的检查和备份,从而在设备发生问题的时候,可以进行紧急恢复。对于局域网内部的核心线路,应该保持完备和做出适当的备份,从而在一些线路发生问题的时候,可以及时采用备份线路来维持整个局域网的正常工作。
TCP作为两台计算机设备之间保证数据顺序传输的协议,是面向连接的,它需要在连接双方都同意的情况下才能进行通信。任何两台设备之间欲建立TCP连接都需要一个双方确认的起始过程,即“三次握手”。
2.2 建立局域网统一防病毒系统
传统的单机防病毒形式已经不能满足局域网安全的需要,必须建立局域网统一防病毒系统,利用全方位的防病毒产品,对于局域网内部各个可能的病毒攻击点都进行对应的防病毒软件的安装,来实现全方位、多层次的病毒防治功能。与此同时,实现局域网统一防病毒系统的定期自动升级,更好的避免病毒的攻击。
具体来说,局域网统一防病毒系统应该包括防病毒服务器和客户端这两个模块。防病毒服务器是整个系统的控制中心,负责全面防治病毒。通过客户端安装或者网络分发的方式,可以在所有的工作站上分别安装客户端软件,同时设置所有的工作站都必须接受服务器的统一管理和部署。局域网管理员仅仅通过控制台软件,就可以实现统一清除和防治局域网内部的所有计算机存在的病毒的目标,使整个局域网内部病毒的爆发和蔓延得到有效的控制。一旦出现新病毒库,那么,仅仅更新防病毒服务器上的病毒库就可以了,客户端能够自动在防病毒服务器上下载并更新病毒库。局域网统一防病毒系统的病毒库能够实现及时方便的更新,也可以实现统一彻底的病毒防杀,同时具备操作简单快捷的特点,因此,是非常有利于局域网的病毒防治的。360安全卫士就是一个很好的局域网防病毒软件。
2.3 合理安装配置防火墙
防火墙是一种非常科学有效且应用广泛的保证局域网安全的软件,有利于避免计算机互联网上的不安全因素扩散到局域网内部。通过合理安装配置防火墙,可以在利用局域网进行通讯的时候执行一种访问控制列表,允许合法的人和数据来访问局域网,并且拒绝非法的用户和数据对于局域网的访问,从而使黑客对于局域网的攻击行为得到最大限度的阻止,避免黑客对于局域网上的重要信息的随意更改、移动甚至删除。为了切实做好局域网的安全工作,必须按照局域网的安装需求,严格配置防火墙内部的服务器和客户端的各种规则,PIX是一款实现对于局域网防火墙的科学有效的方案。PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。
2.4 配备入侵检测系统和漏洞扫描系统
入侵检测系统是防火墙的必要补充部分,能够实现更加全面的安全管理功能,有利于局域网更好的应对黑客攻击。入侵检测系统可以将内外网之间传输的数据进行实时的捕获,通过内置的攻击特征库,利用模式匹配和智能分析的方法,对于局域网内部可能出现的入侵行为和异常现象进行实时监测,同时进行记录。另外,入侵检测系统也能够产生实时报警,从而有利于局域网管理员及时进行处理和应对。
另外,也要配备漏洞扫描系统。在计算机网络飞速发展的形势下,局域网中也会不可避免的产生各种各样的安全漏洞或者“后门”程序。为了进行有效的应对,必须配备现代化的漏洞扫描系统来对局域网工作站、服务器等进行定期以及不定期的安全检查,同时提供非常具体的安全性分析数据,对于局域网内部存在的各种安全漏洞都及时进行修复。
Microsoft基准安全分析器(Microsoft Baseline Security Analyzer,MBSA)是微软公司整个安全部署方案中的一种,可以从微软公司的官方网站http://technet.microsoft.com/zh-cn/security/default.aspx下载。MBSA将扫描基于Windows的计算机,并检查操作系统和已安装的其他组件(如IIS和SQL Server),以发现安全方面的配置错误,并及时通过推荐的安全更新进行修补。
通过多种形式的安全产品的配备,可以有效防护、预警和监控局域网存在的各种安全隐患,有效阻断黑客的非法访问以及不健康的信息,并且也能够及时发现和处理局域网中存在的故障。
2.5 运用VLAN技术
VLAN 的英文全称是Virtual Local Area Network,也就是虚拟局域网,它是一种实现虚拟工作组的先进技术,能够通过将局域网内的设备对于整个局域网进行逻辑分段,产生多个不同的网段。VLAN 技术的关键就是对局域网进行分段,将整个局域网划分为多个不同的VLAN,它可以按照各种各样的应用业务和对应的安全级别,通过划分VLAN来实现隔离,也能够进行相互间的访问控制,对于限制非法用户对于局域网的访问起到非常巨大的作用。对于利用ATM或者以太交换方式的交换式局域网技术的局域网络,能够通过VLAN 技术的有效利用来切实加强对于内部网络的管理,从而更加有效的保障局域网安全。
2.6 运用访问控制技术
通过访问控制技术的运用,可以保证局域网内部的数据不被非法使用或者非法访问。一般来说,用户的入网访问控制主要包括用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等几个方面。一旦用户连接并且登陆局域网,局域网管理员就能够自动授予该用户适当的访问控制权限,用户仅仅可以在它们自身的权限范围内进行数据的增加、修改、删除等操作。因此,通过这种方式,局域网内部的数据只能够被授权用户进行访问。当一个主体访问一个客体时,必须符合各自的安全级别需求,应遵守如下两个原则:
①Read Down:主体安全级别必须高于被读取对象的原则。
②Write up:主体安全级别必须低于被写入对象的级别。
应该注意的是,对于访问控制权限的设定一定要严格按照最小权限原则,也就是说,用户所拥有的权限不能超过他实现某个操作所必须的权限。只有明确用户的操作,找出实现用户操作的最小权限集,根据这个最小权限集,对用户所拥有的权限进行限制,才能实现最小权限原则。
2.7 建立良好的人才队伍,提高计算机操作人员的安全意识
为了保证局域网的安全,建立良好的人才队伍是非常重要的。通过具备较高的专业水平、较好的业务能力、较强的工作责任心的人才队伍,可以做好局域网的合理规划与建设,切实保证局域网日常的维护及管理工作,利用最为先进的技术来防治局域网的各种安全隐患。
与此同时,也应该提高计算机操作人员的安全意识。可以加强有关局域网安全的教育培训,建立健全科学合理的规章制度,切实提高所有人的安全意识。要求计算机操作人员必须规范操作各种局域网设备,合理设置设备以及软件的密码,特别是服务器密码,必须是系统管理员才能掌握。
3 结束语
针对于局域网存在的安全隐患的防治工作不是一劳永逸的,而是一项复杂艰巨的系统工程。在进行局域网的建设和管理过程中,一定要对于局域网中所存在的各种安全隐患进行及时分析,采取最有效的措施来保证局域网的正常工作,为单位的信息化建设提供强有力的支撑力量。
“人在江湖漂,哪能不挨刀”--这应该算得上是引用率非常高的一句经典俏皮话。如今,企业在网络中如何避免这句谶语落到自家头上也成了企业互相慰问或扪心自问时常常想起的一件事。而在构建安全的企业网络这样一个并不简单的问题上,看看别人的应用实践和组网思路,应该可以让企业尽早懂得如何利用自己的长处来保护自己。 网络江湖防身术 - 实践中,网络平台从总体上可以分为用户接入区和应用服务区。应用服务区从结构上又可以分成三部分:发布区即外部区域,面向公众供直接访问的开放网络数据区,通过防火墙隔离的、相对安全和封闭的数据资源区,把大量重要的信息资源服务器放置在该区域内,在较严密的安全策略控制下,不直接和外网访问用户发生连接内部工作区主要连接内网服务器和工作站,完成网站管理、信息采集编辑等方面的工作。 布阵 采用两台防火墙将整个网络的接入区和应用服务区彻底分开。接入区通过接入交换机,利用光纤、微波、电话线等通信介质,实现各部门、地市的网络接入。出于性能和安全上的考虑,数据区放在第二道防火墙之后。对于Web服务器的服务请求,由Web服务器提交应用服务器、数据库服务器后,进行相关操作。 为避免网站内容遭到入侵后被篡改,在数据区还设置一个Web页面恢复系统,通过内部通讯机制,Web恢复系统会实时检测WWW服务器的页面内容,如果发现未授权的更改,恢复系统会自动将一份拷贝发送到Web服务器上,实现Web页面的自动恢复。发布区域的主机充分暴露,有WWW、FTP、DNS、E-mail。在与二个防火墙的两个接口上使用入侵检测系统实时检测网络的使用情况,防止对系统的滥用和入侵行为。 中心交换机可选用高性能路由交换器,例如Catalyst 6000,它具有提供虚网划分及内部路由连接功能,避免了网络广播风暴,减轻了网络负荷,同时也提供了一定的安全性。冗余电源及冗余连接为网络正常运行打下了较好的基础,把第二层交换机的转发性能和路由器的可伸缩性及控制能力融于一身。第二级交换机可选用类似Catalyst 3500级别的设备,它支持VLAN功能,交换能力强大,提供高密度端口集成,配置光纤模块,提供与Catalyst 6000的高带宽上行连接,保证了部门接入网络、工作站的高带宽应用。 网络平台总体结构图 招数 首先,把第一台防火墙设置在路由器与核心交换机之间,实现较粗的访问控制,以降低安全风险。设置第二台防火墙则主要为了保护数据区内的服务器,合理地配置安全策略,使服务器的安全风险降到最低。只开放服务器必要的服务端口,对于不必要的服务端口一律禁止。 其次,IP地址分配。所有部门的接入网络都在防火墙之后,一律使用内部保留IP地址。每个部门各分配一个完整的C类地址。 再次,中心交换机VLAN配置。具体划分采用基于端口的虚拟LAN方式,将每一个部门作为一个 VLAN, VLAN间的路由协议采用 RIP。 此外,通用信息服务设计。外网的建设,突出了统一规划、资源共享的原则。除了在安全问题上由网络平台统一考虑外,对于各部门需要通用的信息服务系统如域名系统、邮件系统、代理系统等,也统一设计、统一实施。 最后,邮件服务器统一规划,采用集中的邮件服务,给用户提供了完整的TCP/IP支持下的邮件系统。 秘笈 网站建设主要体现以下技术特点: 其一,网站应用系统从传统的两层客户机/服务器结构,转向BWAD(浏览器+Web 应用服务器+数据库)的三层体系架构。这种跨平台、多技术融合的三层结构的技术方案,保证网站应用系统的先进性和可扩展性。 其二,采用非结构化和结构化数据库技术,灵活支持、方便扩展宽带应用和多媒体应用,使用户界面不只是文字和图片,而是以文字、声音、图像、视频等发布的全媒体界面,提高用户的关注率、提升服务水平。 其三,采用自主开发的网站动态管理平台技术,可以任意组合和改变网页界面风格,定义不同模板,将网站管理的人力成本降低,并降低由于网站管理复杂而产生的技术风险和人员更迭风险。降低和减少了页面开发的工作量,使大量的人力可以投入到具体的政务应用系统中去。 其四,网站管理系统为网站的建设、管理、维护、统计分析提供了一个统一的环境。提供各类业务系统上网发布接口,以及信息发布模板和工具,使普通用户不需要编程就可建立信息发布栏目,并可自行对栏目信息进行编辑与维护。网站管理系统具有灵活的功能,方便的内容创作环境,灵活的发布方式,强大的信息查询能力,能进行实用而有效的模板设计、支持丰富的内容类型,按照栏目结构进行信息组织。它采用了ASP、JSP和数据库的技术,基于B/S结构,还可以对用户的IP地址进行限定信息检索功能。 战绩 从运行的效果上看,所设定的方案合理、可靠,有效地保护了内部网络,因为所有的访问都是一个间接过程,直接攻击比较困难。代理技术的使用,随着内部网络规模的扩大,重复访问的可能性就越大,使传输效果的改善也就越明显,同时也提高了信道的利用率,降低了网络使用成本。欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)