李文斌

摘要:隨著計(jì)算機(jī)局域網(wǎng)絡(luò)應(yīng)用及其技術(shù)的不斷發(fā)展,在以后的局域網(wǎng)應(yīng)用及管理工作中,必然還會(huì)遇到各種新的安全問題,同時(shí)也會(huì)發(fā)展出越來越多的安全解決技術(shù),從而使得網(wǎng)絡(luò)安全防范及管理水平也會(huì)不斷提高。本文從計(jì)算機(jī)局域網(wǎng)絡(luò)安全入手,提出解決方案與對(duì)策。

關(guān)鍵詞:局域網(wǎng)洛;安全問題;解決方案

1 計(jì)算機(jī)局域網(wǎng)絡(luò)的安全問題分析

1.1 技術(shù)問題

對(duì)于技術(shù)方面的安全問題,首先是黑客的入侵。目前Internet上黑客攻擊活動(dòng)日益嚴(yán)重,入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、木馬程序攻擊、后門攻擊等黑客技術(shù)層出不窮。局域網(wǎng)黑客入侵一是來自外部網(wǎng)絡(luò)的入侵,二是來自網(wǎng)內(nèi)的入侵,例如網(wǎng)內(nèi)用戶發(fā)起對(duì)局域網(wǎng)服務(wù)器或其他網(wǎng)內(nèi)計(jì)算機(jī)的入侵。其次,病毒的危害也是威脅計(jì)算機(jī)局域網(wǎng)絡(luò)安全的主要問題。雖然局域網(wǎng)絡(luò)使用戶能方便地進(jìn)行數(shù)據(jù)共享,但同時(shí)也為病毒傳播提供了方便。近幾年網(wǎng)絡(luò)病毒危害日甚,尤其是蠕蟲病毒和木馬病毒,蠕蟲病毒發(fā)作時(shí)能夠使整個(gè)網(wǎng)絡(luò)陷于癱瘓,無法正常運(yùn)行;而木馬病毒則會(huì)盜竊用戶的各種信息,嚴(yán)重威脅用戶的工作和生活。此外,認(rèn)證安全的漏洞也是一個(gè)比較大的安全問題。目前隨著網(wǎng)絡(luò)規(guī)模越來越大,網(wǎng)絡(luò)用戶中經(jīng)常發(fā)生IP地址盜用、IP地址沖突、賬號(hào)盜用等,令計(jì)算機(jī)局域網(wǎng)絡(luò)的管理及維護(hù)人員非?？鄲馈?/p>

1.2 管理漏洞

嚴(yán)格的管理是局域網(wǎng)安全的重要措施。由于各方面的原因,很多單位都疏于網(wǎng)絡(luò)的管理,管理制度及管理人員沒有到位,沒有投入必要的人力、財(cái)力、物力來加強(qiáng)網(wǎng)絡(luò)的安全管理。有時(shí)是人為的失誤,例如網(wǎng)絡(luò)管理員安全意識(shí)不強(qiáng),在設(shè)置上對(duì)操作系統(tǒng)、硬件設(shè)備和相關(guān)軟件的配置不當(dāng),從而造成安全漏洞。然而以前的安全管理也存在一些誤區(qū):重視外部的防護(hù),忽略內(nèi)部的防范;重視安全產(chǎn)品的設(shè)置,忽略了網(wǎng)絡(luò)管理的作用;被動(dòng)防范的觀念誤區(qū)。隨著計(jì)算機(jī)的發(fā)展,網(wǎng)絡(luò)安全問題越來越復(fù)雜,解決策略不能再局限于某一節(jié)點(diǎn)、某一設(shè)備上,而是要從系統(tǒng)的高度出發(fā),全面考慮全網(wǎng)的設(shè)施、全新認(rèn)識(shí)安全防護(hù)來構(gòu)建局域網(wǎng)的安全體系,有效防范來自內(nèi)外網(wǎng)的攻擊。

2 計(jì)算機(jī)局域網(wǎng)絡(luò)的安全解決方案與策略

2.1 應(yīng)用VLAN技術(shù)

VLAN是一種與位置無關(guān)的虛擬局域網(wǎng),將企業(yè)網(wǎng)絡(luò)劃分為虛擬VLAN網(wǎng)段,可有效抑制網(wǎng)絡(luò)上的廣播風(fēng)暴,而且如果局域網(wǎng)中沒有路由的話,不同VLAN之間不能相互通訊,這樣也增加了網(wǎng)絡(luò)的安全性。VLAN的劃分方式非常靈活,它可以基于交換機(jī)端口,計(jì)算機(jī)MAC地址,網(wǎng)絡(luò)層協(xié)議、IP廣播組等,在幾種劃分方式中,基于交換機(jī)端口的劃分方式相對(duì)簡(jiǎn)單,比較適合中小型企業(yè)局域網(wǎng),這種方式允許設(shè)備在網(wǎng)絡(luò)中移動(dòng),只要簡(jiǎn)單地更改IP地址即可。在實(shí)際應(yīng)用中,采氣一廠采用了基于交換機(jī)端口的VLAN劃分方式,根據(jù)地理位置將不同的部門劃分到不同的LAN,既方便了網(wǎng)絡(luò)管理管理又提高了網(wǎng)絡(luò)安全性能。

2.2 科學(xué)的IP地址管理方法

IP地址管理是計(jì)算機(jī)局域網(wǎng)中網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié)。計(jì)算機(jī)局域網(wǎng)絡(luò)在進(jìn)行地址劃分時(shí),可將最終劃分的地址段對(duì)應(yīng)到VLAN,同時(shí)將網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址和設(shè)備的MAC地址進(jìn)行綁定。具體的地址綁定方案是:接入層交換機(jī)下所有網(wǎng)絡(luò)節(jié)點(diǎn)的地址綁定在其上一層的匯聚層交換機(jī)上;直接接入?yún)R聚層交換機(jī)或者通過二層交換機(jī)接入?yún)R聚層交換機(jī)的網(wǎng)絡(luò)節(jié)點(diǎn),地址綁定在所接入的匯聚層交換機(jī)上;直接接入核心交換機(jī)或通過二層交換機(jī)接入核心交換機(jī)的網(wǎng)絡(luò)節(jié)點(diǎn),地址綁定直接在核心交換機(jī)上。這種IP地址管理方法能夠大大提高了安全規(guī)則和流量控制規(guī)則的可用性,減小了局域網(wǎng)中IP攻擊的可能,提高了網(wǎng)絡(luò)的安全性和可靠性,方便網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的管理維護(hù)以及各種規(guī)則的制定。

2.3 全方位的網(wǎng)絡(luò)安全防范系統(tǒng)

計(jì)算機(jī)局域網(wǎng)絡(luò)的安全設(shè)計(jì)應(yīng)當(dāng)建立一個(gè)由防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件、網(wǎng)管軟件及其他,如過濾系統(tǒng)、桌面管理系統(tǒng)等組成的全方位安全防范系統(tǒng)。(1)防火墻。防范來自外部網(wǎng)絡(luò)攻擊最常用的方法是在網(wǎng)絡(luò)的入口部署防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的移動(dòng)客戶自動(dòng)服務(wù)系統(tǒng)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口,能根據(jù)移動(dòng)客戶自動(dòng)服務(wù)系統(tǒng)網(wǎng)絡(luò)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問,哪些外人被許可訪問所允許的內(nèi)部服務(wù),哪些外部服務(wù)可由內(nèi)部人員訪問。并且防火墻本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。(2)入侵檢測(cè)系統(tǒng)部署。據(jù)統(tǒng)計(jì),大部分的攻擊事件來自網(wǎng)絡(luò)內(nèi)部,也就是說內(nèi)部人員作案,而這恰恰是防火墻的盲區(qū)。入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。(3)病毒過濾及防護(hù)。網(wǎng)絡(luò)可能會(huì)受到來自于多方面的病毒威脅,包括來自Internet網(wǎng)關(guān)上、網(wǎng)絡(luò)內(nèi)部所連接的網(wǎng)段等,為了免受病毒所造成的損失,可以采用多層的病毒防衛(wèi)體系,實(shí)現(xiàn)全網(wǎng)統(tǒng)一殺毒。并在互聯(lián)網(wǎng)網(wǎng)關(guān)上配置硬件的病毒過濾網(wǎng)關(guān),實(shí)現(xiàn)全網(wǎng)分布式的病毒防護(hù)。應(yīng)采用網(wǎng)絡(luò)版的防病毒軟件,這樣整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是由病毒系統(tǒng)的控制中心有程序地完成,能夠避免由于個(gè)人疏忽而造成的沒有及時(shí)更新病毒定義碼和掃描引擎而失去最佳的防病毒能力的情況,同時(shí)在服務(wù)器端,管理員可以定期查看病毒報(bào)警日志,及時(shí)、準(zhǔn)確地了解整個(gè)網(wǎng)絡(luò)的病毒情況。

2.4 有效的安全訪問控制服務(wù)器系統(tǒng)

在計(jì)算機(jī)局域網(wǎng)中,有效地控制和記錄重要設(shè)備的被訪問情況,確保有據(jù)可查,會(huì)使網(wǎng)絡(luò)的安全管理更加有效。通過建立安全訪問控制服務(wù)器系統(tǒng),能夠?qū)W(wǎng)絡(luò)訪問的用戶進(jìn)行身份、授權(quán)和審計(jì)方面的控制,有效地防止了非網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)進(jìn)行操作。系統(tǒng)還可根據(jù)網(wǎng)絡(luò)中的管理角色給管理員分配相應(yīng)的管理權(quán)限,減小了所有人都用特權(quán)模式對(duì)網(wǎng)絡(luò)操作帶來的風(fēng)險(xiǎn),并且管理員對(duì)網(wǎng)絡(luò)的操作進(jìn)行了審核記錄,提高了故障的發(fā)現(xiàn)和解決速度,實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備的集中管理,有效地提高了網(wǎng)絡(luò)維護(hù)的效率,在減少管理員工作量的同時(shí),提高了網(wǎng)絡(luò)的安全性能。

2.5 網(wǎng)絡(luò)的自動(dòng)化數(shù)據(jù)備份

無論系統(tǒng)的安全性已經(jīng)得到如何的保障,數(shù)據(jù)的備份都是必要的。數(shù)據(jù)備份系統(tǒng)是保障數(shù)據(jù)安全的重要手段,主要用于在網(wǎng)絡(luò)出現(xiàn)故障時(shí)的快速恢復(fù),使數(shù)據(jù)損失最小。但由于數(shù)據(jù)備份是一個(gè)完全程序化的、機(jī)械的過程,人工操作不可避免會(huì)造成一些人為的錯(cuò)誤,這將給系統(tǒng)帶來了嚴(yán)重的潛在威脅。因此在進(jìn)行計(jì)算機(jī)局域網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)時(shí),應(yīng)采用網(wǎng)絡(luò)自動(dòng)化數(shù)據(jù)備份系統(tǒng),備份各服務(wù)器的重要軟件、數(shù)據(jù)和數(shù)據(jù)庫(kù)服務(wù)器的系統(tǒng)文件以及數(shù)據(jù)庫(kù)控制文件等。備份系統(tǒng)可根據(jù)實(shí)際情況制定相應(yīng)的備份方案,針對(duì)不同的需要選擇不同的備份方式。當(dāng)操作系統(tǒng)或存儲(chǔ)設(shè)備出現(xiàn)故障甚至損壞時(shí),通過備份文件可迅速地恢復(fù)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù),做到數(shù)據(jù)損失最小。網(wǎng)絡(luò)自動(dòng)化數(shù)據(jù)備份系統(tǒng)的實(shí)施,在局域網(wǎng)內(nèi)實(shí)現(xiàn)了重要數(shù)據(jù)的在線自動(dòng)備份,能夠減輕系統(tǒng)管理員的工作量,同時(shí)保障企業(yè)數(shù)據(jù)的安全,有效提高網(wǎng)絡(luò)的可用性和可靠性。

2.6 建立完善的計(jì)算機(jī)局域網(wǎng)安全管理制度

首先,要嚴(yán)格控制硬件設(shè)備的物理安全管理。在局域網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的物理安全問題,將一些重要的設(shè)備,如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理,各種通信線路盡量實(shí)行深埋、穿線或架空,并有明顯標(biāo)記,防止無意損壞,對(duì)于終端設(shè)備,如工作站、小型交換機(jī)、集線器和其他轉(zhuǎn)接設(shè)備要落實(shí)到人,進(jìn)行嚴(yán)格管理。其次,要加強(qiáng)管理人員隊(duì)伍的建設(shè)。要培養(yǎng)一支強(qiáng)有力的具有安全管理意識(shí)的網(wǎng)絡(luò)管理人員隊(duì)伍。落實(shí)必需的編制,組建專職、專家化的隊(duì)伍,全天候、高質(zhì)、高效地管理維護(hù),確保局域網(wǎng)安全穩(wěn)定地運(yùn)作。再次,要加強(qiáng)計(jì)算機(jī)局域網(wǎng)的內(nèi)部組織管理。要制定一套嚴(yán)格的、完善的安全管理規(guī)章制度來規(guī)范和加強(qiáng)管理。網(wǎng)絡(luò)管理人員通過對(duì)所有用戶設(shè)置資源使用權(quán)限與口令,并對(duì)用戶名和口令進(jìn)行加密存儲(chǔ)、傳輸,提供完整的用戶使用記錄和分析等方式,可以有效地保證系統(tǒng)的安全。最后,要加強(qiáng)對(duì)計(jì)算機(jī)局域網(wǎng)內(nèi)用戶的安全教育。對(duì)用戶進(jìn)行有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和規(guī)章制度進(jìn)行宣傳教育,同時(shí)還要提高他們的局域網(wǎng)安全防范意識(shí)和技能。

3 結(jié)語

本文主要針對(duì)現(xiàn)在廣泛使用的計(jì)算機(jī)局域網(wǎng)的安全問題進(jìn)行了簡(jiǎn)要的分析,提供的安全解決策略及方案可為計(jì)算機(jī)局域網(wǎng)絡(luò)安全問題的解決提供參考。