計算機局域網(wǎng)絡的安全問題分析及解決方案

李文斌

摘要:隨著計算機局域網(wǎng)絡應用及其技術的不斷發(fā)展,在以后的局域網(wǎng)應用及管理工作中,必然還會遇到各種新的安全問題,同時也會發(fā)展出越來越多的安全解決技術,從而使得網(wǎng)絡安全防范及管理水平也會不斷提高。本文從計算機局域網(wǎng)絡安全入手,提出解決方案與對策。

關鍵詞:局域網(wǎng)洛;安全問題;解決方案

1 計算機局域網(wǎng)絡的安全問題分析

1.1 技術問題

對于技術方面的安全問題,首先是黑客的入侵。目前Internet上黑客攻擊活動日益嚴重,入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等黑客技術層出不窮。局域網(wǎng)黑客入侵一是來自外部網(wǎng)絡的入侵,二是來自網(wǎng)內的入侵,例如網(wǎng)內用戶發(fā)起對局域網(wǎng)服務器或其他網(wǎng)內計算機的入侵。其次,病毒的危害也是威脅計算機局域網(wǎng)絡安全的主要問題。雖然局域網(wǎng)絡使用戶能方便地進行數(shù)據(jù)共享,但同時也為病毒傳播提供了方便。近幾年網(wǎng)絡病毒危害日甚,尤其是蠕蟲病毒和木馬病毒,蠕蟲病毒發(fā)作時能夠使整個網(wǎng)絡陷于癱瘓,無法正常運行;而木馬病毒則會盜竊用戶的各種信息,嚴重威脅用戶的工作和生活。此外,認證安全的漏洞也是一個比較大的安全問題。目前隨著網(wǎng)絡規(guī)模越來越大,網(wǎng)絡用戶中經(jīng)常發(fā)生IP地址盜用、IP地址沖突、賬號盜用等,令計算機局域網(wǎng)絡的管理及維護人員非?？鄲?。

1.2 管理漏洞

嚴格的管理是局域網(wǎng)安全的重要措施。由于各方面的原因,很多單位都疏于網(wǎng)絡的管理,管理制度及管理人員沒有到位,沒有投入必要的人力、財力、物力來加強網(wǎng)絡的安全管理。有時是人為的失誤,例如網(wǎng)絡管理員安全意識不強,在設置上對操作系統(tǒng)、硬件設備和相關軟件的配置不當,從而造成安全漏洞。然而以前的安全管理也存在一些誤區(qū):重視外部的防護,忽略內部的防范;重視安全產品的設置,忽略了網(wǎng)絡管理的作用;被動防范的觀念誤區(qū)。隨著計算機的發(fā)展,網(wǎng)絡安全問題越來越復雜,解決策略不能再局限于某一節(jié)點、某一設備上,而是要從系統(tǒng)的高度出發(fā),全面考慮全網(wǎng)的設施、全新認識安全防護來構建局域網(wǎng)的安全體系,有效防范來自內外網(wǎng)的攻擊。

2 計算機局域網(wǎng)絡的安全解決方案與策略

2.1 應用VLAN技術

VLAN是一種與位置無關的虛擬局域網(wǎng),將企業(yè)網(wǎng)絡劃分為虛擬VLAN網(wǎng)段,可有效抑制網(wǎng)絡上的廣播風暴,而且如果局域網(wǎng)中沒有路由的話,不同VLAN之間不能相互通訊,這樣也增加了網(wǎng)絡的安全性。VLAN的劃分方式非常靈活,它可以基于交換機端口,計算機MAC地址,網(wǎng)絡層協(xié)議、IP廣播組等,在幾種劃分方式中,基于交換機端口的劃分方式相對簡單,比較適合中小型企業(yè)局域網(wǎng),這種方式允許設備在網(wǎng)絡中移動,只要簡單地更改IP地址即可。在實際應用中,采氣一廠采用了基于交換機端口的VLAN劃分方式,根據(jù)地理位置將不同的部門劃分到不同的LAN,既方便了網(wǎng)絡管理管理又提高了網(wǎng)絡安全性能。

2.2 科學的IP地址管理方法

IP地址管理是計算機局域網(wǎng)中網(wǎng)絡安全建設的一個重要環(huán)節(jié)。計算機局域網(wǎng)絡在進行地址劃分時,可將最終劃分的地址段對應到VLAN,同時將網(wǎng)絡節(jié)點的IP地址和設備的MAC地址進行綁定。具體的地址綁定方案是:接入層交換機下所有網(wǎng)絡節(jié)點的地址綁定在其上一層的匯聚層交換機上;直接接入?yún)R聚層交換機或者通過二層交換機接入?yún)R聚層交換機的網(wǎng)絡節(jié)點,地址綁定在所接入的匯聚層交換機上;直接接入核心交換機或通過二層交換機接入核心交換機的網(wǎng)絡節(jié)點,地址綁定直接在核心交換機上。這種IP地址管理方法能夠大大提高了安全規(guī)則和流量控制規(guī)則的可用性,減小了局域網(wǎng)中IP攻擊的可能,提高了網(wǎng)絡的安全性和可靠性,方便網(wǎng)絡管理員對網(wǎng)絡設備的管理維護以及各種規(guī)則的制定。

2.3 全方位的網(wǎng)絡安全防范系統(tǒng)

計算機局域網(wǎng)絡的安全設計應當建立一個由防火墻、入侵檢測系統(tǒng)、防病毒軟件、網(wǎng)管軟件及其他,如過濾系統(tǒng)、桌面管理系統(tǒng)等組成的全方位安全防范系統(tǒng)。(1)防火墻。防范來自外部網(wǎng)絡攻擊最常用的方法是在網(wǎng)絡的入口部署防火墻。防火墻是指設置在不同網(wǎng)絡(如可信任的移動客戶自動服務系統(tǒng)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的惟一出入口,能根據(jù)移動客戶自動服務系統(tǒng)網(wǎng)絡的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,防火墻可以確定哪些內部服務允許外部訪問,哪些外人被許可訪問所允許的內部服務,哪些外部服務可由內部人員訪問。并且防火墻本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。(2)入侵檢測系統(tǒng)部署。據(jù)統(tǒng)計,大部分的攻擊事件來自網(wǎng)絡內部,也就是說內部人員作案,而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng)(IDS)可以彌補防火墻的不足,為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段,如記錄證據(jù)用于跟蹤、恢復、斷開網(wǎng)絡連接等。(3)病毒過濾及防護。網(wǎng)絡可能會受到來自于多方面的病毒威脅,包括來自Internet網(wǎng)關上、網(wǎng)絡內部所連接的網(wǎng)段等,為了免受病毒所造成的損失,可以采用多層的病毒防衛(wèi)體系,實現(xiàn)全網(wǎng)統(tǒng)一殺毒。并在互聯(lián)網(wǎng)網(wǎng)關上配置硬件的病毒過濾網(wǎng)關,實現(xiàn)全網(wǎng)分布式的病毒防護。應采用網(wǎng)絡版的防病毒軟件,這樣整個網(wǎng)絡的升級、更新都是由病毒系統(tǒng)的控制中心有程序地完成,能夠避免由于個人疏忽而造成的沒有及時更新病毒定義碼和掃描引擎而失去最佳的防病毒能力的情況,同時在服務器端,管理員可以定期查看病毒報警日志,及時、準確地了解整個網(wǎng)絡的病毒情況。

2.4 有效的安全訪問控制服務器系統(tǒng)

在計算機局域網(wǎng)中,有效地控制和記錄重要設備的被訪問情況,確保有據(jù)可查,會使網(wǎng)絡的安全管理更加有效。通過建立安全訪問控制服務器系統(tǒng),能夠對網(wǎng)絡訪問的用戶進行身份、授權和審計方面的控制,有效地防止了非網(wǎng)絡管理人員對網(wǎng)絡進行操作。系統(tǒng)還可根據(jù)網(wǎng)絡中的管理角色給管理員分配相應的管理權限,減小了所有人都用特權模式對網(wǎng)絡操作帶來的風險,并且管理員對網(wǎng)絡的操作進行了審核記錄,提高了故障的發(fā)現(xiàn)和解決速度,實現(xiàn)了網(wǎng)絡設備的集中管理,有效地提高了網(wǎng)絡維護的效率,在減少管理員工作量的同時,提高了網(wǎng)絡的安全性能。

2.5 網(wǎng)絡的自動化數(shù)據(jù)備份

無論系統(tǒng)的安全性已經(jīng)得到如何的保障,數(shù)據(jù)的備份都是必要的。數(shù)據(jù)備份系統(tǒng)是保障數(shù)據(jù)安全的重要手段,主要用于在網(wǎng)絡出現(xiàn)故障時的快速恢復,使數(shù)據(jù)損失最小。但由于數(shù)據(jù)備份是一個完全程序化的、機械的過程,人工操作不可避免會造成一些人為的錯誤,這將給系統(tǒng)帶來了嚴重的潛在威脅。因此在進行計算機局域網(wǎng)絡安全系統(tǒng)的設計時,應采用網(wǎng)絡自動化數(shù)據(jù)備份系統(tǒng),備份各服務器的重要軟件、數(shù)據(jù)和數(shù)據(jù)庫服務器的系統(tǒng)文件以及數(shù)據(jù)庫控制文件等。備份系統(tǒng)可根據(jù)實際情況制定相應的備份方案,針對不同的需要選擇不同的備份方式。當操作系統(tǒng)或存儲設備出現(xiàn)故障甚至損壞時,通過備份文件可迅速地恢復網(wǎng)絡系統(tǒng)和數(shù)據(jù),做到數(shù)據(jù)損失最小。網(wǎng)絡自動化數(shù)據(jù)備份系統(tǒng)的實施,在局域網(wǎng)內實現(xiàn)了重要數(shù)據(jù)的在線自動備份,能夠減輕系統(tǒng)管理員的工作量,同時保障企業(yè)數(shù)據(jù)的安全,有效提高網(wǎng)絡的可用性和可靠性。

2.6 建立完善的計算機局域網(wǎng)安全管理制度

首先,要嚴格控制硬件設備的物理安全管理。在局域網(wǎng)規(guī)劃設計階段就應該充分考慮到網(wǎng)絡設備的物理安全問題,將一些重要的設備,如各種服務器、主干交換機、路由器等盡量實行集中管理,各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止無意損壞,對于終端設備,如工作站、小型交換機、集線器和其他轉接設備要落實到人,進行嚴格管理。其次,要加強管理人員隊伍的建設。要培養(yǎng)一支強有力的具有安全管理意識的網(wǎng)絡管理人員隊伍。落實必需的編制,組建專職、專家化的隊伍,全天候、高質、高效地管理維護,確保局域網(wǎng)安全穩(wěn)定地運作。再次,要加強計算機局域網(wǎng)的內部組織管理。要制定一套嚴格的、完善的安全管理規(guī)章制度來規(guī)范和加強管理。網(wǎng)絡管理人員通過對所有用戶設置資源使用權限與口令,并對用戶名和口令進行加密存儲、傳輸,提供完整的用戶使用記錄和分析等方式,可以有效地保證系統(tǒng)的安全。最后,要加強對計算機局域網(wǎng)內用戶的安全教育。對用戶進行有關網(wǎng)絡安全的法律法規(guī)和規(guī)章制度進行宣傳教育,同時還要提高他們的局域網(wǎng)安全防范意識和技能。

3 結語

本文主要針對現(xiàn)在廣泛使用的計算機局域網(wǎng)的安全問題進行了簡要的分析,提供的安全解決策略及方案可為計算機局域網(wǎng)絡安全問題的解決提供參考。