APP下载

局域网的安全管理

2014-04-29冯兴川

中国管理信息化 2014年6期
关键词:局域网信息系统信息安全

冯兴川

[摘 要] 随着中石油对信息化技术的重视及不断投入,各个地区分公司的信息化水平得到了飞速发展。以吉林石化为例,每个生产厂均组建了自己的局域网,它将各个车间(部门)连接起来,实现了文件管理、打印机共享、电子邮件和即时通通信服务等功能。各个生产厂的局域网络又与石化公司机关网络互联,更是方便了两者之间的交流沟通和资源共享,提高了工作效率,降低了办公成本。其次中石油投资建设的专业信息系统,如MES系统、ERP系统、网上报销系统、薪酬管理系统等系统的数据采集、上传也依赖于局域网。因此,局域网的安全平稳运行无疑就显得十分重要。本人近些年来开始从事整个吉林石化公司的网络运维工作,以下从信息安全管理的角度出发,首先对信息运维中的局域网安全隐患因素进行分析,然后提出相应有效的解决措施。

[关键词] 信息化;局域网;信息系统;网络运维;信息安全

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 026

[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194(2014)06- 0042- 03

1 局域网概述

1.1 局域网的架构

局域网[1](Local Area Network,LAN)是在一个局部的地理范围内(如一个部门、工厂或地区分公司内)将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网,“局域”意即带有局限性。局域网之间的信息传输主要是通过网络拓扑结构来实现的。其拓扑结构分为:环形拓扑结构、树形拓扑结构和星型拓扑结构等,它们之间可以互相组合,进而组成局域网运行的基础构架。局域网的硬件主要包括:工作站、网络服务器、路由器、网桥、网管、网络传输中的线路。与此同时,根据拓扑结构和连接线路的不同,还需要集中器和集线器等特殊设备,以满足特定应用要求的网络软件的正常运行。

1.2 局域网的数据传输

局域网数据传输多以数字信号和模拟信号的形式进行,但无论是哪种信号的形式进行传输,均需实实在在的物理线路为载体。一般而言,终端接入线路用双绞线,主干线路多用多模或单模光纤。

2 局域网存在的安全隐患

根据局域网的架构及数据传输形式,我们以下将从物理安全和运行安全这两个方面对局域网所存在的安全隐患进行讨论。

2.1 物理安全隐患

局域网的物理安全指构成局域网的硬件设备的安全,包括各个链路的物理线路、线路之间的各层交换机及布置在核心机房的Web服务器、数据库服务器等设备的安全。

局域网链路的物理线路在构建局域网时就基本固定,无论是干线链路还是支线线路,其存在的安全隐患就是人为有意或无意的破坏,造成线路的物理中断。对于支线线路损坏影响是少数用户的网络中断,若是干线线路则其影响范围就更广范。

局域网线路之间的各层交换机及布置在核心机房的Web服务器、数据库服务器等设备当然也存在人为有意或无意破坏的安全隐患,甚至是整个设备被盗的潜在风险。但除此外其重点还在于这些设备的运行环境,比如运行环境的温度、湿度及四季变化天气对设备的影响。以吉林石化为例,X厂所布置的一台汇聚交换机就因冬天暖气管线爆裂而导致其整机浸泡在水中,进而影响了整个汇聚层以下用户对网络的正常使用。

以上提及的局域网物理硬件设备的安全隐患,虽然具有较大的偶然因素成分,但是当我们在讨论局域网所存在的各个安全隐患因素时,也是不能将其忽视的。

2.2 运行安全隐患

局域网的运行安全隐患是指局域网的硬件设备(交换机、服务器等)供电系统安全隐患及局域网运行中遭到病毒和恶意代码攻击、非授权访问或破坏数据库完整性3方面的安全隐患,该3方面隐患在安全风险系数中占有较大的比重,是局域网安全隐患讨论的重点。

2.2.1 供电系统安全隐患

局域网中的交换机、服务器平稳运行的基础是供电系统的正常供电,因此局域网的运行安全隐患也与供电系统有关。对于局域网的供电系统而言,无非就是供电线路老化或者过载导致的电路火灾隐患和意外停电等使整个局域网用户不能访问Web服务器及数据库服务器。

2.2.2 病毒和恶意代码攻击、非授权访问及破坏数据库完整性等对局域网构成的安全隐患

2.2.2.1 病毒和恶意代码攻击

病毒和恶意代码一直是计算机安全的主要威胁。计算机病毒通过网络进行传播,对网络的可用性进行攻擊,损耗可用带宽;破坏网络管理的通信,通过攻击网络基础设施的控制信息,从而干扰网络中的信息流,造成网络基础设施不能正常使用。吉林石化研究院某部门就曾因一台终端中毒,导致整个部门网络中断的事故发生。而恶意代码主要利用本地主机上一些特殊的Native API 函数和内核系统函数,进行感染、传播和隐藏,从而控制系统进程、文件、注册表、系统服务和网络服务等。虽然采用物理方法将公司局域网和互联网隔离,可以降低从互联网上感染病毒以及受到恶意代码攻击的几率,但是采用物理方法的同时又会使用移动存储介质,若感染病毒的移动存储介质被频繁使用,系统的安全隐患依然不容忽视。

2.2.2.2 非授权访问

用户分为合法用户和非法用户两种,当两者对网络资源进行非授权访问时,因占用大量的系统资源,容易导致网络发生异常甚至瘫痪等危险,还极有可能留下泄密的安全隐患。所谓非授权访问即未经允许,就使用网络或计算机资源。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限、越权访问信息。非授权访问主要有以下几种形式:假冒合法用户入侵系统、对合法账户进行身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。因此假如网络资源被非授权访问,则会造成信息被非法获取的隐患。

2.2.2.3 破坏数据库完整性

数据库作为所有业务系统的数据处理和存储的平台,存储了大量重要信息,因此极易受到非法者的攻击。非法者利用各种工具监视、收集网络中传输的信息,当他们截获用户账号或者口令后即可随意进出数据库,对数据库进行篡改、伪造,窃取。另外,若数据库的个别用户账号户权限过大,容易造成合法用户的非授权访问,如:访问、修改其他合法用户的信息等,从而造成数据库信息紊乱,丢失等极其严重的后果。

3 局域网安全策略研究

通过以上对局域网安全隐患的分析,现进行安全隐患的策略研究,提出对应的防范及解决措施。

3.1 物理安全隐患的防范及解决措施

对于局域网物理线路的安全隐患来说,主要还是预防为主,做到定期检查,对可能会被损坏的线路进行及时的环境整治,避免其遭到破坏。其次是对于主干链路,要有备份链路,这样做的好处是在主干链路损坏中断后,可以切换到备份链路,从而在尽可能短的时间里让网路恢复正常,进而减轻网路中断的影响。

局域网交换机、Web服务器、数据库服务器等硬件设备的安全隐患,主要在于其运行环境。①要求其所处环境地点安全可靠,保证不会被人为破坏甚至是丢失,这就要求在局域网的管理上形成严格的规章制度,由专门的信息管理员负责监督执行。②设备所处自然环境,针对一年四季的氣候变化做好相应的安全隐患预防工作,比如局域网重要的服务器、核心交换机要有防雷设施。总的说来,对于局域网硬件设备安全隐患的解决措施重点还在于做好定期的检查工作,针对检查结果再进行问题整改或是提前预防隐患发生。

3.2 运行安全隐患的防范及解决措施

3.2.1 供电系统安全隐患的解决措施

解决局域网供电系统线路老化或过载的安全隐患主要还依赖于制定的局域网管理规章制度,做到定期检查、发现问题、整改问题,进而避免隐患事故的发生。其次是对核心设备的供电系统提供UPS备用应急电源,以防止意外停电带来的大规模网络中断。

3.2.2 病毒和恶意代码攻击、非授权访问及破坏数据库完整性等对局域网构成的安全隐患解决措施

根据病毒和恶意代码攻击、非授权访问及破坏数据库完整性等局域网安全隐患的各自特点,我们将采取病毒防护、授权管理以及数据库管理这3方面对应措施来保障局域网的安全平稳运行。

3.2.2.1 局域网病毒和恶意代码攻击类安全隐患的解决措施

针对病毒[2]入侵一般采用病毒扫描的方法。病毒扫描就是在文件和引导文件记录中使用病毒扫描程序来搜索病毒的工作。病毒扫描程序一般分为按需扫描型和内存驻留型两种。

按需扫描型:按需扫描程序是在系统后台运行的程序,通常在事后工作,往往造成系统先被感染病毒后才被发现。

内存驻留型:每个系统在系统初始化时都会启动一个内存驻留扫描程序,以便在病毒留存本地文件之前或进入内存运行之前把它们清除。一般来说,反病毒程序都含有一个内存扫描组件,负责通过扫描内存来搜索存储在内存中的文件和引导记录病毒。内存扫描病毒主要是针对计算机感染了读取隐藏病毒的情况。

针对网络之前残留的病毒以及移动存储介质的使用导致用户终端交叉感染恶意代码等安全隐患,主要采用安装网络版查毒软件,定期更新病毒库,并设置定时且强制查杀病毒的策略以及开机对内存进行病毒扫描策略,降低病毒爆发的隐患。另外移动存储介质采用集中管理的方式,确保每次使用完成后由专人进行病毒查杀,从而避免用户终端之间的病毒交叉感染。

3.2.2.2 通过授权管理解决非授权访问的安全隐患

授权管理主要采用防火墙和交换机来实现:

(1) 防火墙

防火墙设置[3]在不同网络或网络安全域之间的信息的唯一出入口处。通过监测、限制、更改通过防火墙的数据流,尽可能地对外屏蔽被保护的网络内部信息、结构和运行情况等,从而实现对网络的保护。虽然防火墙的主要作用用于禁止外部非法信息流入,但是为了避免内部员工的泄密事件,防火墙对内部信息的流向也同样需要审核和限制。防火墙主要具有以下5大功能:①过滤进、出网络的数据;②管理进、出网络的访问行为;③封堵某些禁止的业务;④记录通过防火墙的信息内容和活动;⑤对网络攻击的检测和告警。

根据防火墙的特性,在防火墙上,开放客户端与服务器之间的访问策略,根据双向最小化原则,进行相应的设置。双向最小化的原则即为满足用户的正常使用需求而开放相应的端口。

(2)交换机

在吉林石化这样规模较大的企业局域网中,通常存在多个功能不同的网络分支,如财务部、科技发展部及各个二级厂的生产业务等,为了企业的机密信息不发生外漏现象, 需要对不同部门用户的访问进行合理控制, 通过在交换机上划分虚拟网络(Virtual Local Area Network,VLAN)可以将整个网络按部门划分为几个不同的广播域,实现不同部门网络隔离的访问控制。这样还可以防止影响一个网段的问题传播到整个网络。

3.2.2.3 数据库安全隐患解决措施

数据库作为应用系统的数据处理和存储的重要平台,为防止其遭受攻击而破坏其数据库完整性,需指定专人管理,及时更新数据库补丁,对数据库的默认设置进行更改,完善各种安全设置,对账户进行最小授权,定期备份数据库确保数据的完整性。

4 结 语

随着吉林石化信息化水平的不断提高,各种专业生产系统和办公信息系统也陆续建设起来,这些IT信息系统的平稳运行更是离不开局域网网络,企业对网络安全性的需求也会随之日益增强。为此,我们作为企业网络运维的信息人员,需要在不断巩固现有网络安全的基础上,进一步结合企业未来的发展,加强网络安全措施,为企业提供一个安全、稳定的网络环境。

主要参考文献

[1]李全红.局域网组建与维护[M].上海:上海科学普及出版社,2010.

[2]王建锋,钟玮,杨威.计算机病毒分析与防范大全[M].第3版.北京:电子工业出版社,2011.

[3]阎慧.防火墙原理与技术[M].北京:机械工业出版社,2004.

猜你喜欢

局域网信息系统信息安全
企业信息系统安全防护
轨道交通车-地通信无线局域网技术应用
基于VPN的机房局域网远程控制系统
基于区块链的通航维护信息系统研究
保护信息安全要滴水不漏
信息系统审计中计算机审计的应用
高校信息安全防护
基于802.1Q协议的虚拟局域网技术研究与实现
局域网性能的优化
基于SG-I6000的信息系统运检自动化诊断实践