关键词:局域网;安全;体系结构;管理制度
中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2016)10-00-03
0 引 言
随着计算机技术和信息技术的进步和发展,特别是近年来移动互联网的迅猛发展,越来越多的单位、企业和家庭都建立了属于自己的局域网。局域网为用户内部信息资源共享提供了方便,在人们的工作和生活中发挥着不可替代的作用。但由于网络本身的开放性和共享性,在网络为大家带来便利的同时,网络本身存在的不安全因素也给各企业单位和家庭带来了信息泄露的风险,为实现社会稳定,保证计算机网络安全,人们迫切需要解决目前计算机局域网应用中存在的安全问题[1,2]。
1 局域网中主要的安全问题
网络安全问题主要由网络的开放性和共享性造成。网络安全问题的实质是对网络安全缺陷的潜在利用,这些缺陷可能导致网络的非法访问、信息泄露、资源耗尽、资源被盗或者被破坏等;网络安全问题产生的根源在于网络协议的不完整性、网络操作系统的漏洞缺陷、应用程序漏洞、物理设备损坏及人为因素等。归纳起来,目前局域网安全问题主要来源于物理设备的安全威胁、来自互联网的安全威胁、来自局域网内部用户的安全威胁这三个方面[3-5]。
1.1 物理设备的安全威胁
来自物理设备的安全威胁主要有如下几项:
(1)自然灾害或非人为故意造成的软、硬件故障或冲突以及水灾火灾等;
(2)人为操作不当(属意外事件)导致数据信息的错误、丢失或其它一些硬件故障等。
1.2 来自互联网的安全威胁
一般情况下,局域网都与Internet进行了互联。由于Internet的开放性、国际性与自由性,来自Internet的世界各地的黑客都可以通过Internet和一些黑客工具来探测和扫描网络上存在的各种安全问题,如操作系统的类型及其它是否为弱口令、服务器开放的各种易于攻击的端口号及服务器应用程序是否存在开放权限或存在弱用户弱口令等,并采取相应的攻击手段进行攻击。同时还可以通过协议分析软件等手段监听并获得局域网内部用户的用户名、口令及一些敏感数据等信息,从而假冒内部的合法用户进行非法操作,窃取内部网络中的重要信息。而这些黑客也能通过控制大量肉机向网络中的服务器发送大量的数据包进行DDoS攻击,使服务器不能正常工作而拒绝为正常用户服务。
1.3 来自局域网内部用户的安全威胁
内部的网络管理人员有时为了对外进行宣传,会不经意间把内部网络拓扑结构及系统的一些重要信息(如设备型号、操作系统的类型等)放在网站上,这就致使网络内部信息严重泄露,网络上的不法分子可以利用这些包括网络拓扑、网络设备信息及应用系统信息等内部信息,制定有针对性的入侵策略,从而大大增加被攻破的机率,给内部局域网造成巨大的安全隐患。由于内部网络的大多数用户对计算机的操作及网络运行不熟悉,不知道哪些软件是安全的,若下载并使用了带有病毒或木马的软件,那么这些病毒或木马会收集并泄漏内部用户的重要信息,尤其是用户名及密码等重要信息,或是对计算机操作不当,误删除了重要数据等,这些都将给网络造成极大的安全威胁。
2 安全体系结构的设计
2.1 局域网安全总体设计思路
局域网安全是一项系统工程,需要充分考虑各层次各方面的安全因素。根据局域网运行所涉及到的层次,建立一个全方位的、可持续循环改进的局域网安全解决方案。以网络安全技术为主导,辅以法律法规和规章制度的安全管理,设计一个包含五个层次(物理安全、网络安全、系统安全、应用安全、数据安全)的局域网安全体系结构,如图1所示。
2.1.1 物理安全
在局域网安全系统中,物理安全是最基本的安全。如果物理安全得不到保证,那么其它一切安全措施都变得毫无意义。如果网络设备遭到破坏或被人非法接触,将会给局域网造成毁灭性的破坏,若安装有数据库的服务器被非法人员或是自然灾害损坏,就可能致使数据丢失且不可恢复,这同样是毁灭性的破坏。因此,要确保局域网有一个安全的物理环境,就应对接触到的网络设备及系统人员有一套完善的技术控制手段和规章制度约束,并且还要充分考虑自然灾害可能对局域网中的网络设备及线路等造成的威胁并加以规避。
2.1.2 网络安全
网络安全主要是整个数据传输网的安全,包括数据链路层、网络层及传输层等的安全。
(1)数据链路安全主要是保障通信链路不被非法窃听并防止借助链路的连接进行各种类型的攻击。
(2)网络层的安全主要包括网络访问控制、各种网络协议本身的缺陷和对这些协议的攻击等问题。
(3)传输层的安全与链路层的安全类型涉及的层次不一样,但也是关于数据被非法窃听的问题。
2.1.3 系统安全
系统安全主要是操作系统本身的安全问题,体现在系统是否完整坚固,是否存在漏洞,以避免攻击者通过系统漏洞实施入侵,主要涉及到以下两个问题:
(1)病毒和木马对局域网中系统的威胁。
(2)Internet上的黑客入侵了局域网中的系统后通过该系统对其它局域网设备和系统进行入侵和破坏。
2.1.4 应用安全
应用安全主要是应用平台和应用程序的安全。主要涉及到以下两方面问题:
(1)应用程序对数据的合法权限,即应用程序对数据的访问是否合法。
(2)应用程序对用户的合法权限,即用户是否有合法的权限访问该应用程序。
2.1.5 数据安全
数据安全是这些安全中最重要的一项,所有采取的措施都以数据安全为目标。保证信息资源的机密性、完整性、真实性、不可抵赖性以及可用性是安全防护的最终目标。
2.1.6 安全管理
安全管理包括国家制订的法律法规和单位组织制定的管理和技术操作规范,从法律和管理层面对人的行为进行规范。
2.1.7 网络结构设计
网络结构设计是为局域网设计的一个高安全性网络结构,涉及各种网络安全设备与技术的有机结合、综合应用与部署。
2.2 局域网安全方案设计
2.2.1 各层次技术解决方案设计
局域网工作的每个层次都有相应的安全措施,每个层次在大技术层面上常用的安全措施如图2所示。
2.2.1.1 物理安全技术与措施
物理安全最重要的就是选择地理位置安全的场所建设网络机房,应尽量远离生产或储存易燃、易爆物品和强电磁场场所的周围及低洼地带。对于网络设备应配备防电磁泄漏机柜或屏蔽机房等;关键设备要配备UPS电源;机房要配备空调以保持机房的恒温恒湿环境,并配备消防报警和灭火设施;建立严格的机房准入制度等。如果有更高级别的安全需要,需对机房中的网络设备及线路做远程的冗余备份。
2.2.1.2 网络安全技术与措施
网络安全技术与措施较多,主要涉及网络安全设备和技术及安全协议。常用的有各种防火墙设备和技术、入侵检测设备和技术、VPN设备和技术以及入侵防御设备和技术等。
(1)防火墙是常用的网络设备和技术,根据策略控制进出网络的数据权限,并可强制检查所有进出网络的各种链接,以避免局域网遭受外界入侵和破坏。因此,通过建立防火墙安全策略,可在内部网(局域网)和外网(Internet)之间,或者在内部网的各部分之间(即不同安全域之间)实施安全防护。
(2)入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,实时监测局域网的运行状况,常与防火墙联动运作。常用的安全协议有PPTP,L2TP,IPSec及SSL协议等。
除此之外,还有其它访问控制技术,常用的有VLAN划分技术和访问列表控制(ACL)技术等。
2.2.1.3 系统安全技术与措施
系统安全措施主要为系统安装防病毒和防木马软件以及为系统打补丁,加固系统的安全性,设置用户的访问权限等级和口令,可对系统的访问进行访问权限控制。安装分布式的网络防病毒软件,对局域网内的服务器和个人计算机进行有效防护,使局域网上的各个节点都不受病毒的侵害。同时,应尽量实时更新系统补丁和杀毒软件,确保系统和杀毒软件处于最新状态,并定期更换用户密码,使用户口令被破解的可能性降至最低。
2.2.1.4 应用安全技术与措施
应用安全包括应用平台和应用程序的安全性。可以通过身份认证来判别用户使用系统的合法性。身份认证一般通过用户名和口令来验证。身份认证可以有效防止数据被篡改及非法用户访问网络资源。同时还能通过审计用户相关的活动信息进行记录、存储和分析,系统通过分析网络信息系统的实际使用状况来对应用服务器的安全事件进行有效监控。
2.2.1.5 数据安全技术与措施
采用数据安全技术与措施的最终目的在于确保网络数据的可用性、完整性和保密性。为了确保数据的安全性,可以采用多种数据备份技术来确保数据的可用性和完整性,如磁盘冗余阵列技术、双机容错技术及SAN技术等。同时,为了增强数据的保密性,可采用加密技术对数据进行加密,如DES加密算法、IDEA加密算法及RSA加密算法等。
2.2.2 网络结构设计
一个设计合理的网络拓扑结构可以大大增加局域网的安全性,如图3所示的网络拓扑结构综合运用了多种安全技术,对局域网起到了很好的保护作用,大大提高了局域网的安全性。
图3所示为双路由单防火墙的拓扑设计,对外网(Internet)进入局域网内部的访问起到了三层过滤的作用,大大增强了局域网的安全性。对于一些常用的对外服务,设置一个DMZ区域,尽量减少外网用户对内网的访问,这也是增强局域网安全的一种措施。同时,DMZ为了保证服务器的安全,使用了入侵检测系统以提高DMZ区域的安全性。
2.2.3 安全管理规范
人是局域网安全中最不稳定的因素,也是最主要的因素。因此,规范人的行为对局域网的安全起到了至关重要的作用。建立健全的法律法规对入侵网络的不法分子有极大的震慑作用,使之不敢轻易破坏网络。同时,对于网络的管理也要建立规范的管理制度,严格机房管理。可采取如下措施:
(1)建立完整的计算机运行日志、操作记录及其它与安全有关的资料;
(2)机房必须有当班值班人员;
(3)严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房,重要技术资料应有副本并异地存放等。
3 结 语
局域网安全是一项系统工程,涉及到网络工作的各个层次,任何一个层次都可以通过安全技术措施来加强局域网的安全,但任何层次也有可能成为局域网的弱点。因此,在综合应用安全措施的同时应全面考虑各层次的特点,采用相应的安全技术措施,建立一个较完善合理的安全机制。同时还要运用技术之外的管理措施,从制度方面确保局域网的安全。
参考文献
[1]王坤晓.局域网网络安全存在的问题及对策探讨[J].网络安全技术与应用,2015,15(1):109.
[2]张梅馨,崔志云.实验室局域网的安全及防护[J].实验技术与管理,2010,27(2):86-88.
[3]张志国.计算机局域网网络安全问题以及相应对策探析[J].科技风,2014(15):197.
【关键词】企业 计算机网络 安全
当前,计算机网络环境非常复杂,各种计算机病毒层出不穷,网络黑客攻击计算机网络的手段越来越先进,导致企业计算机网络安全问题频发,严重影响了企业的安全稳定运行。因此结合当前企业计算机网络中存在的安全隐患,积极采取有效措施,提高企业计算机网络的安全性,促进企业的正常运行。
1 企业计算机网络面临的威胁
1.1 来自外部的安全威胁
随着现代化企业各项业务的不断拓展,企业计算机网络中有很多的服务需要和互联网相连,导致每天都会有网络黑客试图入侵企业的局域网窃取企业业务部、研发部、财务以及人事等多种机密的信息资源,例如,企业的一些重要的客户资料、新产品资料、公司账目、职员信息等,同时,在复杂的互联网环境下,木马病毒的传播、变化以及发展迅速,使企业计算机网络防不胜防,企业局域网一旦感染计算机病毒,有可能会引起整个网络的瘫痪,给企业带来不可估量的经济损失。
1.2 介质泄露
由于计算机在日常的工作中会辐射电磁波,企业局域网在没有防护的条件下,任何人可以利用无线电接收设备在一定范围内截取网络信息,造成企业信息资源的泄露。另外,计算机的磁介质如用来存储和记录的磁盘、磁带等设备,具有复制容易、存储量大等特点,如果这些磁介质没有进行良好的处理和保存,会导致磁介质的信息被删除或者复制,影响企业局域网的信息安全。
1.3 计算机病毒泛滥
互联网系统模式和单机系统模式相比,通讯能力更强,计算机病毒的种类更多,并且传播和感染速度更快,极大地增加了计算机网络管理和维护的难度。通常情况下,计算机病毒主要是通过固化软件系统中的程序、网络环境下的文件传输、移动存储设备等方式攻击计算机网络。计算机病毒可以冲破企业局域网的安全设置,入侵到网络的服务器中,破坏企业计算机网络的信息资源,甚至导致整个企业局域网瘫痪,泄露企业的一些机密核心信息。
1.4 系统配置不当
如果企业计算机网络中的路由器或者操作系统配置错误,无线网络缺少密码设置、终端保护命令不合理、口令文件没有设置安全保护、存在匿名的Telnet、FTP的开放等,使得企业的局域网自身存在多个安全漏洞,严重影响了企业计算机的网络安全。
2 企业计算机网络安全的有效策略
2.1 网络实体安全策略
企业计算机网络实体安全主要是对计算机网络管理人员、网络设备以及网络环境等采取相应的安全措施,企业的网络管理人员要积极评估企业局域网可能存在的风险,在企业局域网运行和设计过程中,设置安全措施。企业的计算机网络实体安全要充分考虑硬件防护、网络软件、防火防盗、接地系统设计、电源、场地安全措施等,例如要加强对企业局域网系统中设备以及传输路线的保护,尽量远离辐射源,最大程度地避免电磁干扰,对局域网一些重要的网络设备要安装防辐射装置,优化网络布线设计,禁止企业局域网外连,在日常使用过程中,定期更新计算机的杀毒软件,升级补丁包,用先进的工具软件扫描企业局域网系统端口状态,一旦发生问题,及时进行处理。
2.2 网络访问控制安全策略
为了有效地提高企业计算机网络的安全性,必须积极采取各种安全策略,其中访问控制就是一种非常重要的安全策略。利用访问控制,可以验证并识别企业计算机网络用户,将用户的访问权限限制在授权的资源和活动之内,确保企业的局域网系统不被非法访问和使用,保护企业的网络资源,维护企业的网络系统安全性。企业采用访问控制技术要结合自身局域网的实际运行情况,充分考虑企业局域网的跟踪和审计、网络安全监测、资源安全控制、数字控制、权限控制、口令控制等。
2.3 加强内部管理
2.3.1 加强企业机房服务器的控制
企业计算机网络管理人员要加强对机房服务器的控制,减少企业局域网的感染计算机病毒的机会,全面监视和控制局域网内部每一台计算机下载或者上传的文件资料,严格控制网络聊天和危险信息的扩散传播,加强企业局域网的密码管理。
2.3.2 制定严格企业计算机网络安全规则
企业要高度重视计算机网络安全问题,制定严格的企业计算机网络安全规则,严格限定进出企业局域网的信息资源,阻止网络黑客对局域网的攻击和非法访问。
2.3.4 控制和互联网的互通权限
企业计算机网络要尽可能的减少和互联网系统的互通权限,由于互联网环境非常复杂,一次计算机病毒很可能隐藏在访问的网页或者电子邮件中,企业通过局域网访问互联网中的一些操作,很可能会使企业局域网感染上计算机病毒,因此要严格控制企业局域网和互联网之间建立的服务数量。
2.3.5 加强职业道德教育
企业要加强对计算机网络管理人员和技术人员的职业道德教育,提高其计算机网络安全意识,加强计算机网络安全知识和企业法制内容教育,鼓励计算机网络管理人员和技术人员积极学习现代化的科学技术,不断提高自身的专业技能,全面监控企业局域网的运行过程,研究和观察企业局域网络中是否存在非法措施和不法攻击,进行全面的评估,不断地改建和完善,构建科学合理的企业局域网运行机制,不断提高企业局域网的安全稳定性。
3 结束语
计算机网络安全是一项复杂的综合工程,是企业计算机网络信息化发展需要面临和解决的关键问题,因此要结合当前企业计算机网络面临的威胁,积极采取相应的安全措施,加大对企业计算机网络安全的投入,健全企业网络管理队伍和体制,不断提高企业计算机网络的安全性。
参考文献
[1]沈娜,刘冬梅.企业计算机网络中存在的安全隐患和对策[J].新疆石油科技,2009(03).
[2]鲁林鑫.企业计算机网络安全防护措施和对策研究[J].科技创新导报,2010(04).
[3]孙兴超.谈企业计算机的网络安全问题[J].中国新技术新产品,2008(17).
[关键词]无线网络 安全 防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
it技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的it环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.mac地址过滤
mac地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(mac地址)下发到各个ap中,或者直接存储在无线控制器中,或者在ap交换机端进行设置。
2.隐藏ssid
ssid(service set identifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的vlan,计算机接入某一个ssid的网络后就不能直接与另一个ssid的网络进行通信了,ssid经常被用来作为不同网络服务的标识。一个ssid最多有32个字符构成,无线终端接入无线网路时必须提供有效的siid,只有匹配的ssid才可接入。一般来说,无线ap会广播ssid,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如windowsxp自带扫描功能,可以将能联系到的所有无线网络的ssid罗列出来。因此,出于安全考虑,可以设置ap不广播ssid,并将ssid的名字构造成一个不容易猜解的长字符串。这样,由于ssid被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出ssid全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线ap时采用wap加密模式,又因为不论ssid是否隐藏攻击者都能通过专用软件探测到ssid,因此不隐藏ssid,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[j].信息科技,2008,37(6):24-26.
局域网的连接是指局域网内的计算机通过网上邻居进行连接,而管理者的登录指令泄漏给其他使用用户,外部人员会通过登录方式进入到数据库中对数据进行篡改和盗取,这些都会给局域网内造成十分严重的危害,也会有计算机病毒和漏洞代码入侵造成网络安全危机,因为局域网中通常对网络没有进行防护措施,容易在使用程序过程中,更新或者修复补丁的同时,没有对病毒入侵做到实质的阻挡,这容易产生很多寄生软件,这些寄生软件部分也属于木马病毒,从而对计算机内的数据进行修改,再将自身的寄生文件输入到计算机内,严重危害到了计算机的安全和网络安全[3]。
2网络工程的安全保护措施
2.1局域网的安全防护
网络工程中的局域网用途较为广泛,需要在建立局域网的同时使用防火前对其进行安全保护,防火墙的主要功能是利用网络隔离的方式将局域网与外部互联网相隔离。防火墙的设置也可以说是内部网络和外部网络的桥梁,能够对外部网络中的信息进行分析、处理和筛选、过滤,防止了没有授权的访问直接进入到局域网,有效保证了局域网的信息资源[4]。防火墙的设置也可以是局域网和未知信任公共网络的一个安全过渡过程。防火墙能够根据对内部局域网络和外部公共网络之间进行信息监控,保证了内部网络工作的安全性。防火墙具有双重系统结构,这种结构具有借助两个或者多个的信息结构为信息传输设备,能够从一个数据地址发送到另一个数据地址,实现数据包的IP传输。防火墙的控制能够在进行IP传输的过程中防止数据外泄,外部的公共互联网通过防火墙和内部网络进行过滤和筛选控制,当主机存在危险时,防火墙通过路由器将内部局域网和外部公共网络相隔离。防火墙负责数据包的过滤,在过滤过程中能够将登录用户进行直接连接,而不必通过服务器和局域网。在连接过程中,任何一个外部网络程序访问内部局域网的同时,都需要通过登录来连接主机,而主机的防火墙设置级别最高。数据包的过滤过程中要保持主机连接的状态,对于允许可以连接的状态需要进行站点的安全保护,而主机在这种连接中如果认为不会产生危险时,才能够通过防火墙将内部局域网络连接到外部互联网。随着网络和计算机的不断发展,在网络工程的安全建设方面还需要进一步提升建设水平,采取先进的安全网络保护系统,从静态和动态两方面对网络工程进行保护,建立起全面的网络防御系统,提高网络运行的安全系数,这便对网络工程的管理和建设人员提出了更高要求,因此,网络工程的相关人员需要对网络进行不断的学习,借鉴国外的安全保护措施,建立起能够提升效率的网络安全运行机制,并对此机制进行不断的完善,使网络传输能够更加的安全可靠[5]。
3结论
[关键词]局域网;网络安全;网络维护
中图分类号:TU 文献标识码:A 文章编号:1009-914X(2015)47-0162-01
随着信息技术的不断发展,计算机已经成为我们日常办公不可或缺的重要工具,采取措施加强计算机局域网的安全与维护至关重要,本文对局域网存在的安全隐患进行了分析,并提出了安全管理的措施,以更好的推动企业局域网安全发展。
一、局域网存在的安全隐患
虽然近几年局域网技术发展取得了理想的成绩,帮助企业得到了快速发展。特别是对电子文件的存档、数据内容的安全传输起到了很好的管理作用。但也由于网络安全管理不完善,病毒的侵入等原因造成了不可估量的损失。以下对局域网存在的不安全问题进行了详细的分析。
1.1 局域网的安全管理意识不强
局域网安全管理为系统性的功能设计,对于企业的局域网管理人员综合素质和资金投入的要求较高,因此大部分企业的局域网管理人员没有认真规划网络的安全管理。其次,局域网管理人员主要注重的是技术上的建设,对于局域网的用户管理、制度管理并不太重视。还有就是目前局域网的管理人员所使用的辅助设备和软件也都是花钱从别处购买,需要局域网维护人员认真阅读学习用户手册,否则一旦发生故障,无法及时发现问题并快速解决问题,这也是导致管理不完善的一方面。从而造成网络发生故障停止运行、信息系统被攻击,内部文件泄露等问题,这样就给企业带来了重大的损失。
1.2 局域网的病毒问题
局域网的软件故障主要有协议问题、病毒问题、配置问题,目前最严重的软件故障就是病毒问题,它主要影响网络的运行速度,且在解决过程中难度很大。由于病毒难以发现,且可随意传播,如不进行及时处理,整个网络系统都会瘫痪。因此工作人员在发现病毒的第一时间,就要进行及时清理,并要加强病毒防护措施,这样才能有效的控制病毒的侵入。
1.3 局域网的硬件设备的隐患
局域网中的硬件设备主要是区分为服务器、网络设备和用户终端,是信息传输的重要节点。服务器与网络设备常年处于带电运行状态,自然对其的稳定性造成隐患,一旦出现故障,对局域网中的信息存储就会造成不可估量的损失;用户终端的硬件是局域网信息的发送端和接收端,主机、显示器、键盘、鼠标、网卡等,任何一个设备出现问题,都会导致终端无法使用,这也是造成局域网不能安全工作的一方面。
二、局域网安全管理的策略
2.1 全面的网络安全体系
要想保障计算机局域网络的安全,就应当构建一个合理、科学的安全维护体系,这个安全维护体系应是全方位的,从计算机网络的各个方面、各个角度出发。
1) 配备防火墙。防火墙主要起到一个拦截、防范的作用,是局域网安全管理的重要设备之一,防火墙主要是设置在不同网络之间或者设置在网络安全区域之间的,它是不同网络之间和网络安全区域中信息的唯一通道,它有较强的信息管理功能,能够明确的辨别出那些是允许外界访问的内容,哪些外部内容是用户可以访问的。防火墙还具有较强的抵抗能力,它能够为资料、信息的传递提供强有力的保障,是非常值得人们信赖的,在网络安全管理上具有不可替代的作用。
2)实现入侵检测。网络入侵除了来自网络外部之外,还来自网内,其中最主要的是来自网内的,如果是局域网络的内部用户入侵,那么防火墙就很难发挥到巨大作用,防火墙主要面对的是来自网络外部的入侵。针对网内的入侵,我们可以采取的方式是建构一个入侵检测体系,它主要是为了弥补防火墙无法防范网内攻击的缺陷而形成的,它所起到的主要作用是检测,时刻监视网络安全,并及时采取措施防范,采取的主要手段是记录下网内入侵证据,及时采取追踪、修复或者直接阻断其入侵等。
2.2 建立安全访问监控体系
在计算机局域网络安全维护中,要想使安全维护工作做得更加到位,就要时刻关注设备访问情况,将每个设备被访问的时间等重要信息记录下来,这样做能够更加全面的把握设备运行状况, 当出现问题时不至于无从下手,找不到根据,可以使安全防护的针对性得到增强。对访问进行实事监控,能够对访问用户的身份、位置等基础信息有个明确的了解,这样的监护是具有严密性的,因为该体系能够将一些非网络管理人员拒之门外。要想发挥网络管理员的全部价值,就要对网络管理人员进行一个明确的分工,这样必然会使网络管理有条不紊,有效防止管理人员全部利用权限进行网络管理的混乱局面的出现,从而减少网络管理中的漏洞。网络管理人员还有一个重要职责就是做好审核工作,他们对网络进行全方位、全时段的监护,可以在第一时间发现故障,而且根据其所做的记录寻找故障原因,从而较快解决问题,减少因网络问题给用户带来的不便。这是一种集中管理的方式,这种方式能够使网络维护有步骤的进行,并在一定程度上大大提高了工作效率。
2.3 自动化数据备份
我们已采取了一系列措施进行局域网络安全维护,但是还应注意计算机网络数据安全,局域网络关系到人们的工作、生活,绝不能有一点的疏忽大意,因此,采取数据、信息备份是绝对有必要的。可以构建一个数据备份系统,这个系统的主要功能是:当出现故障时能够迅速地采取措施对数据进行备份保护,如当网页出现意外关闭时,或者意外断网时,可以及时对数据采取保障措施,减少因数据丢失或更改而带来的损失。数据备份工作较为琐碎,操作起来过于麻烦,如果单单是人为操作,不仅耗时较长,而且容易出现因人为疏忽而产生的数据备份遗漏、更改等状况,这就使数据安全问题得不到可靠保障。那么如何才能确保数据安全呢?笔者认为,最好的方式是采取自动化的手段,让网络对数据进行自动化备份,而且除了备份数据之外,还应备份服务器软件、系统文件、控制文件等。自动化备份系统有一定的灵活性,它可以从具体实际出发,对出故障的部分进行智能分析,从而选择合理的备份方式。
三、局域网的日常维护
3.1 熟悉网络结构与用户
局域网管理员要认真阅读网络设备的用户手册,并熟悉其管理页面与功能操作;熟悉网络的结构布局,编制并补充完善网络拓扑图;熟悉网络中的用户,完成用户主机IP地址、网卡MAC地址与网络端口的绑定,对于不需要使用的网络端口及时进行封闭,避免用户擅自进行网络外联和拓展。
3.2 定期巡检机房及重要网络设备间
局域网络的安全平稳运行,重点不是发生问题后再进行解决,而是提前发现故障隐患,尽早针对隐患进行处理。当前的服务器、网络设备、监控设备上都有运行状态显示灯,定期的巡检能够帮助局域网管理人员及时发现设备故障。
3.3 检查并保存备份文件
信息系统数据的备份管理最好是每日备份,软件系统、配置文件等可根据实际需要明确保存周期。实现异地备份的,局域网管理员要定期检查备份文件的完整性、有效性。不具备异地备份条件的,要及时将备份文件拷贝保存。备份文件还需定期刻盘保存。
四、结束语
综上所述,局域网管理与日常维护是一项复杂的工作,要加强局域网硬件设备、软件系统以及计算机网络安全的维护,以防止出现不稳定因素,维持网络系统的安全使用,推动企业局域网安全发展。
参考文献
关键词:无线网络;安全问题;应对措施
中图分类号:TN925 文献标识码:A 文章编号:1674-7712 (2014) 04-0000-01
有线网络的发展和普及为人类社会带来了巨大变革,为了更好的方便日常生活和工作,人们对于实现随时随地上网越来越渴求,由此,无线网络应运而生,一经出现便迅速普及,极大的满足了人们的日常上网需求。但如何安全有效的应用无线网络又称为人们新一轮关注的焦点。针对无线网络安全问题采取应对措施,是当前急需解决的重要问题。
一、无线网络安全问题
在无线网络系统中,由于配置较为简单,更多通入的虚拟网络,由此也就导致其容易出现信息安全问题,而这必然会对无线网络应用造成巨大影响。为了满足无线网络发展需求,首先要找出网络运行中的安全问题。
(一)防火墙问题
在计算机网络运行中,防火墙设置是必要的,而在无线网络中设置防火墙也同样重要,但是,在设置防火墙的过程中,由于粗心或者其他因素导致无线系统的接入点连在防火墙外面,由此导致防火墙等同虚设,不安全因素不断入侵,严重影响到无线网络使用。
(二)非授权用户接入问题
相对于有线网络来说,无线网络的使用具有更大的危险性,这主要是由无线网络的虚拟性决定的。在无线网络的应用过程中,如果对于无线网络系统设置的安全防护较低,或者是未设置安全防护措施,那这些用户就属于非授权用户,要是利用攻击工具对无线网络进行攻击,就会对无线局域网内的所有用户造成入侵,从而造成严重后果。在此过程中,带宽是一定的,其他用户的非法入侵会导致无线局域网内部的流量被占用,降低此局域网内用户的网络流量,大大降低网络速度,影响到这部分用户对无线网络的正常使用,严重的还会导致局域网内的合法用户无法正常登陆,造成极大损失。
(三)数据安全问题
网线网络表现出的最大一个优点就是使用方便,这也是有线网络无法比拟的,但也正是由于无线网络使用中具有的配置简单特点,使得无线网络信号传输只能够通过开放的形式进行传送,如果非法用户或者是恶意攻击者破解无线网络的传输密钥,则会导致网络信息传输出现失误,接收方接收到错误的信息,从而给其带来巨大的损失。在这个过程中,数据信息已经遭到严重破坏,而接收方和发送方却并不知道信息遭到破坏,这样不仅会导致信息接收失误,同时还会导致传送方于接收方出现矛盾,制约其之间的联系。
(四)工作环境问题
无线网络的发展与有线网络发展有较大的不同,无线网络设备不仅要求设备合理,同时还对温度有一定的要求,通常情况下,无线网络设备的温度需要控制在0-40℃之间,湿度要控制在10-90℃之间,这样才能够保证无线网络设备稳定运行和正常工作。但是,一年四季的环境并非都能够满足无线网络设备的工作需求,如夏天气温较高、冬季气温太低、雨天太过潮湿等,都会导致无线网络设备不稳定,如果无线网络设备周围存在微波设备,还会对无线网络信号的传输造成严重影响。工作环境关乎无线网络设备的正常运行,因此采取有效的应对措施具有重要意义。
二、无线网络安全防护对策
针对无线网络运行中的安全问题,采取有效的安全防护对策,不仅能够满足局域网内用户的上网需求,同时还能够进一步改进无线网络设置,从而提升其可靠性。
(一)科学设置防火墙
在无线网络应用过程中,防火墙设置非常重要,因此,必须将无线系统的接入端口设置在防火墙以内,确保防火墙能够对通过无线网络的所有数据信息进行筛选和检验,阻隔掉不良信息,避免网络系统受到恶意攻击,从而提升无线网络系统的安全性和可靠性。
(二)加强用户接入控制
非授权用户对于局域网的入侵严重影响到局域网内合法用户的正常使用,对此加强用户接入控制至关重要。对于局域网内的用户接入,应当制定严格的身份验证机制,对于授权用户可以访问资源,如果未授权用户,则要禁止访问任何资源。对于链路安全要加强保护,无线网络上要实施信息加密处理,未经授权的用户不能够读取网络传输数据,以确保链路的安全、可靠。对于不定时接入的网络,要对数据信息进行筛查,确保其安全性高。尤其是对非授权接入点要立即清除相关操作,从而满足局域网内用户上网需求。
(三)加强数据防护
对于无线网络中的数据安全防护,首先要对无线网络动态主机的配置协议进行禁止处理,对于无线网络设备要设置复杂的参数,如子网掩码、IP地址等,最大限度的避免非法用户对无线网络的破解,从而加强无线网络的安全防护。此外,还可以在无线网络接入端口设置复杂性较高的SSID,以阻断非授权用户如前,并在传输过程中改变服务标识,实现各个接入点及无线网络传输设备的相互独立性,从而提升无线网络安全性。
(四)保证工作环境的适宜性
无线网络设备的运行环境对于局域网的稳定性至关重要,因此,保证工作环境的适宜性就非常重要。在无线网络的运行过程中,首先应当加强无线网络设备的管理与控制,采取合理的措施调整设备工作环境中的温度和湿度,将其控制在合理的范围内,以保证无线网络设备运行的稳定性,确保局域网内授权用户能够正常上网。此外,在无线信号发送与接收的环境内,要尽量避免微波设备的安装及工作,从而避免其对无线设备运行产生干扰,提升无线网络设备运行可靠性。
三、结束语
在无线网络运行的过程中,信息传输的安全问题一直是困扰用户的重要因素,对此,采取有效措施加强无线网络安全防护至关重要。在未来的发展过程中,应当加强对无线网络安全问题进行分析,并采取行之有效的安全防护措施,确保无线网络设备的稳定运行,并确保无线网络内只有授权用户可以进行信息传送,从而保障授权用户信息的安全性和可靠性。
参考文献:
[1]张爱香.无线网络的安全问题及其对策[J].硅谷,2011(04).
[2]郑莹.无线网络安全方法与技术研究[J].硅谷,2011(07).
[3]汪飞,赵娟.浅谈无线网络安全[J].硅谷,2011(13).
关键字:WLAN,WEP,SSID,DHCP,安全措施
1、引言
WLAN是WirelessLAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络,由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。[1]
2、威胁无线局域网的因素
首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
IEEE802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线网络,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。
3、无线局域网的安全措施
3.1采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。[2]
但是目前IEEE802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,WindowsXP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,VPN,SSH或其他
WEP的替代方法。不要仅使用WEP来保护数据。
3.2改变服务集标识符并且禁止SSID广播
SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。[3]
3.3静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。[4]设置方法如下:
首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。
3.4VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN(AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
3.5无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。[1]
3.6采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
[5]
3.7其他安全措施
除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
4、结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
参考文献
[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007,(5):91-94.
[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005,(17):18.
[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006,(20):6.
关键词:实验室;内部网络;局域网;信息安全;管理办法
基于整个互联网基础与结构进行分析,可以发现,局域网是互联网结构中的一个非常重要的部分。其分布范围非常广泛,而且所承载的任务也非常重。特别是在当今的学校、企业、公司等各种单位中,对于局域网的应用可谓是遍布于每一个角落。通过设立局域网,可以使其在应用的过程中用户在访问互联网的时候变得更加方便快捷,而且还可以实现资源的互通与共享,以此来带动整体的工作效率提升以及信息高速传递。但是,由于当前在互联网环境中病毒、木马等有害程序肆意横行,所以导致整个互联网环境变得乌烟瘴气。为有效抵制类似软件对互联网的侵害,务必要对其进行管理与控制。在该环境中,局域网的信息安全问题也日愈突出,特别是在针对各类实验室的内部局域网的信息安全方面,其面临的考验与遇到的威胁日益加大。因此,对实验室内部局域网信息安全问题进行有效的管理与解决,是当前实验室内部局域网研究与发展过程中需要直接面对的一个问题,同时也是一个需要对其进行深入思考与分析的问题。针对于此,伴随着互联网大量的信息传递,以及局域网的使用范围不断地扩大,其在安全方面的可靠度以及在自由度方面的管控也越来越困难。为确保实验室内部的数据信息绝对安全,保证实验室内部局域网不被外来病毒侵害,对其进行研究的是一个迫在眉睫的工作。
1造成安全缺陷的原因分析
在当前,我国所使用的绝大多数局域网网络通信协议都是TCP/IP协议,这一协议与Internet是相同的。所以,也比较符合当前各种黑客软件以及病毒系统的攻击范畴。自从局域网得到了大力的发展与推广之后,黑客对网络系统的攻击从互联网结构逐渐转向了局域网结构。旨在通过更简单的办法,利用更快的速度,突破更弱的防线,获得更大的利益。就如实验室的内部局域网当中,黑客对其进行攻击的时候会利用信息包展开分析与探索,通过对数据的分析与匹配之后,便会使广域传播的各种数据和信息完全暴露于透明空间中,从而方便黑客对其进行破坏与攻击。结合当前我国的实验室内部局域网的使用现状以及安全状况展开思考,可以发现,其在安全防护方面,以及网络系统的防御方面具有很多漏洞。
1.1TCP/IP较为脆弱
首先是TCP/IP。TCP/IP是互联网协议实现的基础,也是维持整个因特网协议的整体结构。但是,值得关注的是,当前的TCP/IP在设计过程中,对于网络的安全性能考虑的并不是非常到位,甚至可以用“没有考虑安全性能”来对其定义。而且,在当今的网络全球化普及的环境中,TCP/IP协议是面向全世界人群开放的,也是没有任何保密意义可言的。因此,但凡是了解过TCP/IP协议的人,都会对其作出一个较为全面的分析与掌握,并且可以快速发现其中的问题,找到其中的安全防范漏洞,并且可以根据其弱点直接制作相关攻击软件与木马程序对其实施网络破坏和侵袭。这就是TCP/IP协议脆弱的主要原因,也是当今TCP/IP协议越发展越没有安全保障的一大要素。而在实验室内部局域网的应用中,能否对TCP/IP协议进行安全问题上的管理与优化,直接关系到了实验室相关内容研究的进度以及质量,甚至会与科研成果以及科研事故产生紧密的联系。
1.2网络结构不健全
其次是网络结构的不健全与不安全性。在互联网的架构与应用和实现过程中,其所使用的是一种“网间网”的技术措施。换言之,“网间网”就是通过多个,甚至是无数个小型的局域网对其进行连接与架构,从而像一张不断扩大、不断编织的渔网一样,将全世界的网络用户笼罩在其中,并且为所有的用户提供相应的服务。在这一巨大网络的构建中,有着数不清的主机和客户服务端。在这一背景下,如果众多主机中的一台主机需要与另一台主机进行联络和互通的时候,就必须要利用局域网的桥梁实现通信关系的建立。在此,便可以发现,在网络黑客利用一台主机对另一台主机进行攻击的时候,且攻击的主机处于数据流传输路径时,此时的网络黑客便可以轻而易举的对被攻击的主机进行肆意的修改与数据调换。所以,在实验室内部局域网的安全问题管理过程中,还需要对网络结构做出相应的分析与思考,并且要探索该通过怎样的方法才能有效提高网络结构的安全性与实际应用价值,以及通过怎样的方法来体现网络结构的健全性和可靠程度。
1.3易被破坏被窃听
在实验室内部局域网的正常工作过程中,很少有主动加密的网络。一般使用者都认为,基于互联网的大平台有着信息加密与安全防护功能,所以在实验室的内部局域网上没有必要再设计加密项目。在此需要提出,这一认知是完全错误的,而且会严重的妨碍到实验室内部局域网的安全性与可靠性,甚至会导致实验室的内部实验数据得到泄露与丢失。为确保这一情况不会发生,务必要对当前的实验室内部局域网作出全面的分析与判断,以此了解其安全性的高低,以及防护措施的严密程度。若其安全性与防护措施无法达到既定的要求与标准,一定要想办法对其进行提升,以确保实验数据的安全,以及实验室内部局域网络的可靠程度。因为当前的互联网信息传输过程中,很多数据在传输时都是自动传输的,而且是没有任何加密措施的,所以如果有人蓄意对其进行破坏,只需要利用电子邮件以及一些其他的木马程序和口令便可完成。实现对其进行监控、盗取、破坏以及窃听等。如果该安全问题发生在实验室的内部局域网中,那么后期的损失是无法估量的,而且前期所研究数据安全也无法得到有效的保障。
1.4缺少必要的防范
随着互联网技术的不断发展与壮大,以及当前的网络安全问题日益严峻,很多人对于实验室内部局域网络的安全性以及可靠性也逐渐的重视了起来,并且提出了很多看法与意见,力求对其进行高效的管理与控制,从而确保在后期的局域网应用过程中尽量避免被网络黑客以及网络木马攻击与破坏的概率。但是,因为当前很多设计人员缺乏必要的网络安全认知,以及缺少相关的理论和实践能力。所以在对实验室内部局域网的安全性和可靠性进行重新设计与提升的过程中都无法实现高效率与高质量的目标达成。反而会因为设计不周以及管理不当出现意料之外的问题。这不仅会影响到实验室的工作开展,甚至会破坏实验室已有的研究成果与数据信息。另外,还有部分实验室内部局域网中,其安全系统以及安全防护功能形同虚设,在面对一般等级的网络病毒攻击时,就会表现出无法应对的状态。归根结底,造成这一问题的原因在于人为因素。比如,很多人在设计和管理的过程中,为了躲避防火墙服务器对其进行额外的认证与监管,会对PPP进行直接的连接,这就会导致防火墙的原有功能失效,而且会导致内部资源的流失。
2安全技术的应用方法
在当今信息技术与互联网科技飞速发展的背景下,网络安全与信息安全是其中的重中之重。在实验室内部局域网的应用与安全管理方面,其安全技术必须要有一个较为完善的机制,并且需要在该安全机制上进行特点的体现以及系统保密性的强化。只有在这一基础上,才能够有效实现实验室内部局域网的静态防护和可用性提升。特别是在当今的互联网普及阶段中,以信息保障技术框架为主所建立起来的标准模式为广大用户提供了一个可视化的信息安全结构,在该结构中,可以反映信息安全的保障措施与方法技术,从而有效避免了单一的防护措施和检测过程。利用该方法,能够大大提升实验室内部局域网的信息安全性,确保其在防护过程、检测过程以及响应过程和恢复过程中能够实现高效的统一与衔接。
2.1典型信息安全管理技术的分析
(1)关于环境安全、媒体安全以及设备安全的物理安全技术。(2)关于操作系统安全、数据库安全以及数据系统安全的整体系统安全技术。(3)关于网络隔离、VPN、访问控制、扫描评估以及入侵检测的网络安全技术。(4)关于Web访问安全、电子邮件安全以及内容过滤和应用系统安全的应用安全技术。(5)关于硬件安全、软件安全、硬件与软件加密安全、身份认证安全以及数据信息CIA特性的数据加密技术。(6)关于口令认证、证书认证以及SSO认证的认证授权技术。(7)关于访问控制列表以及防火墙的访问控制技术。(8)关于日志审计、入侵检测以及辨析取证的审计跟踪技术。(9)关于单机防病毒系统发展,以及整体防病毒体系的防病毒系统建设技术。(10)关于业务连续性技术和数据备份的问题回复与备份技术。以此作为典型信息安全管理技术的分析,可发现,在不同应用范围的局域网中,其发生问题的实际情况也不尽相同。因此,我们务必要强化实验室内部局域网的信息安全技术,并且要对其进行防护措施的提升,以此为其提供可靠地运行环境与运行空间。
2.2可采取的信息安全防护措施
在此,可以结合大型局域网对其进行分析与研究。如:(1)规划网络。在面对一些较为重要的基础服务器,以及较为特殊的用户和设置不同的网段时,可以对其进行安全策略的分析与匹配,以此来有效控制访问权限的问题。(2)需要对局域网的漏洞进行定期检测,同时需要对其进行全盘扫描,在生成数据信息之后,需要将之进行深入的分析,以此明确安全防护的状态与等级,该数据信息可作为一种实验室内部局域网安全问题管理工作开展实施的有效参考凭据。(3)可以通过构建WSUS服务器对其进行网络的升级,从而提升实验室内部局域网的实用性,同时还需要对网络安全进行即时监控,并根据问题快速开发相关补丁作出漏洞和问题的修复处理,保证把问题扼杀在萌芽之中。(4)可以利用无线网络构建安全认证机制,以此来确保无线网络的正常接入与认证服务管理。(5)需要对局域网进行服务器的装配,并且需要将其置于用户的网络当中,以此作为探针进行应用。该方法可有效确保对网络应用状况的实时了解与分析,并且还可以反应网络的故障问题和关键点。(6)可设计专门用于UPN的网络设备,以此来管理内部服务器以及控制远程端口。使其达到统一白的认证标准与要求。这样可以提高管理的效率,降低问题发生的概率。(7)需要对被采集的流量数据进行分析,从而全面了解实验室内部局域网的控制状况与不良信息。(8)需要构建安全门户,以确保网络信息的安全与正常宣传。(9)需要建立损坏恢复与备份系统,为实验室各种数据资料提供高效的保存空间。(10)需要明确防火墙的重要性,体现对防火墙部署的边界意识。
3安全的管理
解决网络及信息系统的安全问题不能只局限于技术,更重要的还在于管理。安全技术只是信息安全控制的手段,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则安全技术只能趋于僵化和失败。只有将有效的安全管理从始至终贯彻落实于安全建设的过程中,信息安全的长期性和稳定性才能有所保证。现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的。理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。我们常说,信息安全是三分技术七分管理,可见管理对于信息安全的重要性。信息安全管理作为组织完整的管理体系中一个重要的环节,构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动。
