企业局域网安全与维护策略探讨
2015-05-20谭惠
谭惠
摘要:企业局域网的建设对企业的经营、管理和办公有不可估量的益处,与此同时,企业局域网的安全问题又给企业带来了一定的隐患。数据泄露、病毒攻击以及网络设备遭到破坏等时有发生,这些都是影响企业局域网安全的问题。为此,文章介绍了目前企业局域网面临的安全问题,并针对局域网的安全问题提出了安全维护策略。
关键词:企业;局域网;网络安全;数据泄露;病毒攻击;网络设备 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2015)17-0085-02 DOI:10.13535/j.cnki.11-4406/n.2015.17.043
1 概述
进入新世纪以来,国家对于中小企业的支持力度不断加大,并且领导着中小型企业向信息化的方向发展。一些企业顺应国家的号召,先后成立了自己的网络信息平台,而此网络信息平台绝大多数以局域网为核心。然而,来自网络的安全隐患也呈现了高速增长态势。数据泄露、病毒攻击以及网络设备破坏等安全问题时有发生,影响了企业局域网的安全问题,严重制约了企业的发展。因而,关于企业局域网安全维护成为了网络管理者的研究热点,加强构建企业局域网的安全体系势在必行。涉及网络安全的问题方方面面,大体总结为:局域网物理安全问题、数据安全问题、局域网系统安全性以及管理安全性,而针对这些问题的安全维护策略本文将在此一一阐述。
2 企业局域网面临的安全问题
2.1 局域网物理安全问题
局域网的物理安全问题主要指设计整个系统的物理设备、配套部件等问题。为了确保网络信息的顺利传递,就必须确保信息系统的采集、处理、传输和储存过程不受到人为破坏和影响。典型的物理安全威胁有蛇虫鼠蚁、地震、火灾等自然灾害;灰尘、潮湿等外部物理环境;断电、静电以及电磁干扰等电磁环境影响。
2.2 数据安全问题
虽然杀毒软件和防火墙能够保护企业的网络抵挡一定的安全入侵,但是企业局域网依旧面临着数据安全问题。具体来说表现为以下三点:第一,遭受Internet网络木马程序入侵的企业网络客户端会和其他网络客户端进行数据交换,从而造成大量数据争相拥堵互联网与企业局域网的接口,使得防火墙工具几近瘫痪。而此时,企业网络客户端会陆续向Internet发包,传输企业内部的珍贵数据,造成数据泄露;第二,随着移动网络的兴起以及企业特权用户的增多,企业的局域网数据受到了越来越多的威胁。企业的一些保密级数据非常不容易管理,而企业又没有统一的有效管理软件,从而全时段地监督企业本地网和移动网络。因而,必须尽快推广集成化的企管软件系统,以更好地管理企业的数据网络;第三,众所周知,杀毒软件的病毒库总是需要更新,这是因为病毒库一直在更新,而企业局域网进行病毒库更新总是滞后于病毒的产生,病毒完全可能在企业进行杀毒软件更新之前入侵系统。因而,这种情况下,新病毒的产生使得杀毒软件毫无用武之地,这也是局域网数据安全迫切需要解决的问题之一。
2.3 系统安全性
对于企业的局域网而言,目前国内尚无足够安全的系统。无论是微软的Windows系统,还是苹果的Mac系统,甚至是Unix、Linux开源系统,都不是完全安全的。因而,对于企业而言,唯一能做的就是更好地保护系统的安全性。从软件角度讲,安装防火墙、杀毒软件等来进行定期的更新和杀毒。从管理角度讲,通过规章制度约束计算机网络管理人员的安全管理方法以及公司内部人员的规范操作等。
2.4 管理安全性
一些企业认为企业的局域网是一项技术活,因而不必实施管理工作。殊不知,管理是网络的一项重要组成部分。科学的管理能够更好地让局域网为企业服务,而网络安全管理不到位或者缺乏可操作性则会进一步引起局域网安全风险。例如,当网络出现攻击行为或者内部人员进行了一些违规操作,但是没有实时网络监控、报告或者预警时,则对企业造成的损失将是致命的。因为一旦发生类似事件,但是无法提供相应的犯罪事实及破案线索。为此,必须做好站点访问的记录机制管理工作,以及时记录和发现非法入侵,及时制止。
3 企业局域网的安全维护对策
3.1 企业局域网物理硬件维护
企业局域网的物理故障可从以下四处进行排查和维护:第一,网络发生故障的必须排查网卡。如果配置后,网卡不能够被操作系统检测到,说明网卡配置不正确。对于Windows系统来说,网卡可以使用其自带的程序进行设置,而在纯DOS系统下,则需要配置终端(IRQ)、I/O接口地址范围等参数。配置完成后,需要重启系统,再次检查网卡是否能被检测。检测方法很简单,通过观察指示灯即可。一般来说,网卡指示灯不亮则说明网卡损坏,需要更换网卡;第二,保证网络连接的正常。网络的连通性是指从插座、网线、集线器、调制解调器等整个网络通路均正常连通。连通测试方法可以使用硬件工具进行测试验证;第三,当确认网卡没有问题之后,登陆电脑,查看网络邻居中是否能够看到其他局域网计算机。如果能看到则证明物理硬件正常,如果没有看到,则可能是网络连线出问题。包括双绞线、水晶接头等接触不良等问题,都需要进行一一排查,可以使用测线仪进行测量,看看是否线路有断裂;第四,造成局域网连接不成功的原因也可能是网卡过旧,其他计算机无法识别。这种情况就应该更换网卡,使之与局域网其他计算机相匹配。
3.2 建立起安全数据访问控制
通过统一终端集成管理软件,将数据终端的监视全部纳入管理软件之下。具体做到以下四点:第一,只能通过网络受控端提供系统信息,从而注册将受控段纳入LDAP管理体系中去;第二,通过安全控制根据用户可能存在的安全风险选择合适的安全防护方法;第三,采用边界防护的方法,通过防火墙、VPN以及身份认证等技术来进行网络边界的监控,从而确保核心的业务和数据不会被删除;第四,在终端运行的过程中,要进行实时监控,并且生成日志记录模块,为可能存在的安全隐患提供分析依据。如图1所示,如果应用程序使用SQL身份验证连接到SQL Server或者连接到需要显式登录凭据的非Microsoft数据库,则在这些情况中,连接字符串包含明文形式用户名和密码。利用调用进程的进程标识、一个或多个服务标识或者原调用方的标识(使用模拟/委派)可以执行数据访问。选择什么样的标识由数据访问模型确定-受信任的子系统或模拟/委派。
3.3 系统安全防护
正是由于没有足够安全的操作系统供企业局域网直接使用,使得系统的安全漏洞成为了黑客的攻击目标。为了能够更好地保护系统的安全性,不同的企业级用户应该根据其自身特点采用不同的网络分析方法来确定自身选用的系统。选择系统尽量选择安全系数高的系统,例如Linux或者Unix等系统。不仅如此,企业网络管理人员还需要进行科学的安全配置工作,以充分地为企业局域网安全打造“防护衣”。为此,需要进行用户的安全登录验证,特别是远程登录认证,确保用户的合法性。与此同时,还应该严格地限制登陆者的权限。
3.4 局域网管理策略
第一,制定局域网管理条例。用规章制度来规范局域网的使用规则和检修制度,从而从管理的角度约束局域网中工作人员的网络行为;第二,可以采取限制带宽、封闭BT下载、切断使用BT的电脑网络等,以防止非法入侵或者病毒入侵等;第三,可以使用现成的局域网安全管理软件,通过集成化的管理软件进行机器流量检测和网络智能监控等。例如:网络执法官局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe,都可以穿透防火墙、实时监控、记录整个局域网用户上线情况,限制各用户上线时所用的IP、时段,并可将非法用户踢出局域网。
4 结语
综上所述,企业的局域网因其自身特点不同,需要根据网络拓扑结构的特点采取合适的方法进行维护。企业局域网的安全问题解决之后,企业就可以毫无阻力的利用好该平台,更好地服务自身的发展,节约企业的管理成本,为企业带来更加便捷的现代化管理方式。
(责任编辑:秦逊玉)