局域网网络安全及防范技术
2013-06-08路明
路明
【摘 要】本文通过分析当前局域网中存在的问题, 阐明安全防范的重要性, 同时提出了安全防范的措施, 并从管理和技术上对构建局域网安全防范体系作了深入探讨。
【关键词】局域网;安全;防范
【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158(2013)02-0136-02
全球化时代的到来,信息技术的日新月异,这已是人类社会不可回避的现实,计算机网络正是在这个背景下应运而生。伴随着计算机网络的发展,其具有开放性、自由性、互联性特点的同时,也容易遭受病毒、黑客等形式的攻击。因此,计算机网络的安全与否已成为了一个亟待解决的重要问题。
不论是企事业的内部局域网或者广域网,都会存在人为的和网络本身的安全隐患。随着越来越多的内部局域网投入运行和接入Internet, 内部局域网的安全管理问题越来越突出。作为开放网络的组成部分,它也面临着病毒泛滥、非法攻击、未授权访问、盗用网络资源、内部信息非法窃取等一系列安全问题。本文结合笔者几年来在网络管理上的实践和经验, 针对内部局域网网面临的安全威胁以及应对的手段进行了探讨。
一、对内部局域网网络安全的威胁因素
目前, 对内部局域网络安全构成威胁的因素很多, 归结起来,主要有以下几点。
1、病毒危害
一旦计算机感染上病毒之后,一般都会造成系统速度变慢,如蠕虫病毒和木马程序等,会使计算机的运行速度大幅降低。而有些严重的病毒甚至会造成系统的崩溃,导致存储在计算机内的部分重要文件丢失,更严重的是可能还会导致计算机的硬件损坏。病毒已经成为了计算机网络安全的最大隐患。病毒是程序编制人员在计算机网络程序中所插入的一些具有破坏功能的程序,它可以使计算机网络丧失部分功能和数据,并影响计算机网络的运行。病毒具有自我繁殖性,它可以复制程序的代码和指令,通过更改这些代码和指令达到破坏计算机网络的目的。病毒如果不依靠反病毒软件或防火墙是很难发现的,它具有隐秘性、传染性、破坏性等特点。所以,采取有力措施防止其危害,对于计算机网络的安全有着极其重要的作用。
2、窃取和干扰网络传输媒介上承载的信号
这种威胁主要是以窃听和干扰正常通信为目的, 主要表现方式有:局域网内一些恶意用户在网内接入非法终端或在传输线路上非法安装接收/转发设备, 对网络传输媒介上的电磁信号进行截收、窃听和分析, 对其传播进行人为干扰。
3、网络协议安全漏洞
网络协议的漏洞分为两种:一是自身协议的漏洞;二是协议服务上的漏洞。网络协议分为数据链路层、网络层、传输层和应用层四个层次结构。攻击者会寻找这四个层次的漏洞进行攻击。在数据链路层中,网络中的计算机,每一台机器都处于一个网络节点上,它们所发送的数据包都占用同一个通信通道,攻击者可以通过对信道的修改,把错误的数据包发往信道中的每个节点。数据包在发送的过程中,攻击者可以替换原来的数据包,先伪装起来看似和平常的数据包没有区别,没有立刻进行破坏活动,而是隐藏了起来。攻击者通过匿名的方式,耗用系统中的资源,通过电子邮件服务的方式,传播病毒,在TFTP 服务中,盗用用户名和口令,对计算机进行各种破坏活动;攻击者还可以通过防火墙的漏洞或者在它关闭时,对系统进行破坏。
4、网络管理员的技术水平和防范意识不高
现在许多网络管理员并没有进过正规的教育,他们的职责感和技术水平都没有达到一个合格网络管理员所应具备的素质,这往往表现在实际的工作中,会出现许多不合理的人为管理失误。如有的管理员不能及时对潜在的安全隐患加以预防和限制,对于网络用户给予了过大的权限,这些做法都极易给计算机网络带来巨大的危害。还有一些网络管理员他们不对网络系统进行调试和检测,缺乏实时的监控机制,即使在已运行多年的网络系统中,也经常会出现各种低级的错误,导致网络系统漏洞百出,极易受到攻击。
二、针对内部局域网安全威胁的防范技术措施
内部局域网网络安全风险来源于内部脆弱性和外部威胁。针对内部脆弱性风险的防范属于主动控制范畴, 针对外部威胁的防范属于被动控制范畴, 因此, 必须全方位解析网络的脆弱性和威胁, 才能构建网络的安全防范措施, 保证内网的安全。
1、防火墙系统
防范来自外部网络攻击最常用的方法是在网络的入口部署防火墙。防火墙是指设置在不同网络 ( 如可信任的移动客户自动服务系统内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 能根据移动客户自动服务系统网络的安全政策控制( 允许、拒绝、监测) 出入网络的信息流, 防火墙可以确定哪些内部服务允许外部访问, 哪些外人被许可访问所允许的内部服务, 哪些外部服务可由内部人员访问。并且防火墙本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。
2、入侵检测系统部署
据统计大部分的攻击事件来自网络内部, 也就是说内部人员作案,而这恰恰是防火墙的盲区。入侵检测系统( IDS) 可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段, 如记录证据用于跟踪、恢复、断开网络连接等。
3、建立集中式网络防病毒系统
早期的内部网用户习惯于使用单机版防病毒系统, 但是随着计算机网络的发展, 病毒的危害和传播已经脱离了单机的模式, 原有的单机版防病毒系统已经不能适应新的要求, 最突出的表现就是, 即便被证明是有效的单机版防病毒系统也仅能对本机进行防杀, 而无法阻止病毒在网络上的传播, 一旦本机防病毒系统出现问题, 将不能避免病毒的侵害。
目前, 集中式防病毒系统是有效防杀内部网病毒的最有效措施之一, 其具有防护范围广、病毒库更新及时、系统稳定、投资效益高等特点。在内部网中建立病毒防杀中心, 既可以对网内的联网计算机进行管理,进行统一的病毒扫描和清除,而且可以对终端进行自动更新和病毒库升级, 及时对病毒防杀信息进行公告, 还可以对位于网外的特定联网用户提供在线杀毒功能, 更重要的是, 集中式防病毒系统可以提供电子邮件病毒网关, 与电子邮件系统相结合, 对邮件实施病毒过滤。
4、加强内部网的监控和对用户的管理
在内部网出口处采用高性能硬件防火墙, 可以有效地阻止大部分来自外网的网络攻击,然而,在网内部,虽然在各节点仍有各种防火墙产品安装,并采用VPN技术,但来自内网的攻击仍有可能对内网的正常工作造成极大的威胁。来自内网的攻击主要表现为网络病毒和一些恶意用户使用非法手段窃取用户信息, 实施危害活动, 前者可以通过建立内部网集中式网络防病毒系统加以解决,后者除使用防火墙技术以外, 还需管理员加强对网络的监控以及对用户的管理。
内部网管理员可以通过使用网络管理系统对网内部进行安全管理、安全检测、安全控制,需要建立严格的网络安全日志和审查系统, 建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等, 并定时对其进行审查分析, 一方面可以及时发现和解决网络中发生的安全事故, 另一方面可以便于查找网络安全事故的原因及事故的责任人。
三、加强校园网网络安全建设的建议
如何建设一个高速高效、资源丰富、应用广泛的内部网是一个非常复杂的问题, 需要综合考虑各方面的因素。
首先, 在规划过程中, 需要从实际需求出发, 制定功能实现目标,根据所制定目标在拓扑结构、主干技术、网络施工、软硬件平台选型等方面进行周密的前期设计;
第二, 在建设过程中,一方面,要根据前期设计严格施工, 另一方面, 针对新出现的新情况灵活进行调整, 但必须根据规划过程中拟定的安全原则, 确保网络的整体安全性;
第三, 在管理过程中, 需要建立强力有效的多层次网络管理机构, 制定详细科学的网络管理规范, 实施严格的网络管理。
[1] 胡世昌.计算机安全隐患分析与防范措施探讨[J].信息与电脑,2010,(10)
[2] 雷峥嵘,吴为春.校园网的安全问题及策略[J].广州大学学报(社会科学版),2001,11
[3] 葛秀慧.计算机网络安全管理(第2版)[M]. 北京:清华大学出版社,2008
[4] 夏丹丹,李刚,程梦梦,于亮.入侵检测系统综述[J].网络安全技术与应用,2007,(1)