計算機局域網絡的安全問題分析及解決方案

李文斌

摘要:隨著計算機局域網絡應用及其技術的不斷發展,在以后的局域網應用及管理工作中,必然還會遇到各種新的安全問題,同時也會發展出越來越多的安全解決技術,從而使得網絡安全防范及管理水平也會不斷提高。本文從計算機局域網絡安全入手,提出解決方案與對策。

關鍵詞:局域網洛;安全問題;解決方案

1 計算機局域網絡的安全問題分析

1.1 技術問題

對于技術方面的安全問題,首先是黑客的入侵。目前Internet上黑客攻擊活動日益嚴重,入侵系統攻擊、欺騙攻擊、拒絕服務攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等黑客技術層出不窮。局域網黑客入侵一是來自外部網絡的入侵,二是來自網內的入侵,例如網內用戶發起對局域網服務器或其他網內計算機的入侵。其次,病毒的危害也是威脅計算機局域網絡安全的主要問題。雖然局域網絡使用戶能方便地進行數據共享,但同時也為病毒傳播提供了方便。近幾年網絡病毒危害日甚,尤其是蠕蟲病毒和木馬病毒,蠕蟲病毒發作時能夠使整個網絡陷于癱瘓,無法正常運行;而木馬病毒則會盜竊用戶的各種信息,嚴重威脅用戶的工作和生活。此外,認證安全的漏洞也是一個比較大的安全問題。目前隨著網絡規模越來越大,網絡用戶中經常發生IP地址盜用、IP地址沖突、賬號盜用等,令計算機局域網絡的管理及維護人員非常苦惱。

1.2 管理漏洞

嚴格的管理是局域網安全的重要措施。由于各方面的原因,很多單位都疏于網絡的管理,管理制度及管理人員沒有到位,沒有投入必要的人力、財力、物力來加強網絡的安全管理。有時是人為的失誤,例如網絡管理員安全意識不強,在設置上對操作系統、硬件設備和相關軟件的配置不當,從而造成安全漏洞。然而以前的安全管理也存在一些誤區:重視外部的防護,忽略內部的防范;重視安全產品的設置,忽略了網絡管理的作用;被動防范的觀念誤區。隨著計算機的發展,網絡安全問題越來越復雜,解決策略不能再局限于某一節點、某一設備上,而是要從系統的高度出發,全面考慮全網的設施、全新認識安全防護來構建局域網的安全體系,有效防范來自內外網的攻擊。

2 計算機局域網絡的安全解決方案與策略

2.1 應用VLAN技術

VLAN是一種與位置無關的虛擬局域網,將企業網絡劃分為虛擬VLAN網段,可有效抑制網絡上的廣播風暴,而且如果局域網中沒有路由的話,不同VLAN之間不能相互通訊,這樣也增加了網絡的安全性。VLAN的劃分方式非常靈活,它可以基于交換機端口,計算機MAC地址,網絡層協議、IP廣播組等,在幾種劃分方式中,基于交換機端口的劃分方式相對簡單,比較適合中小型企業局域網,這種方式允許設備在網絡中移動,只要簡單地更改IP地址即可。在實際應用中,采氣一廠采用了基于交換機端口的VLAN劃分方式,根據地理位置將不同的部門劃分到不同的LAN,既方便了網絡管理管理又提高了網絡安全性能。

2.2 科學的IP地址管理方法

IP地址管理是計算機局域網中網絡安全建設的一個重要環節。計算機局域網絡在進行地址劃分時,可將最終劃分的地址段對應到VLAN,同時將網絡節點的IP地址和設備的MAC地址進行綁定。具體的地址綁定方案是:接入層交換機下所有網絡節點的地址綁定在其上一層的匯聚層交換機上;直接接入匯聚層交換機或者通過二層交換機接入匯聚層交換機的網絡節點,地址綁定在所接入的匯聚層交換機上;直接接入核心交換機或通過二層交換機接入核心交換機的網絡節點,地址綁定直接在核心交換機上。這種IP地址管理方法能夠大大提高了安全規則和流量控制規則的可用性,減小了局域網中IP攻擊的可能,提高了網絡的安全性和可靠性,方便網絡管理員對網絡設備的管理維護以及各種規則的制定。

2.3 全方位的網絡安全防范系統

計算機局域網絡的安全設計應當建立一個由防火墻、入侵檢測系統、防病毒軟件、網管軟件及其他,如過濾系統、桌面管理系統等組成的全方位安全防范系統。(1)防火墻。防范來自外部網絡攻擊最常用的方法是在網絡的入口部署防火墻。防火墻是指設置在不同網絡(如可信任的移動客戶自動服務系統內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口,能根據移動客戶自動服務系統網絡的安全政策控制(允許、拒絕、監測)出入網絡的信息流,防火墻可以確定哪些內部服務允許外部訪問,哪些外人被許可訪問所允許的內部服務,哪些外部服務可由內部人員訪問。并且防火墻本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。(2)入侵檢測系統部署。據統計,大部分的攻擊事件來自網絡內部,也就是說內部人員作案,而這恰恰是防火墻的盲區。入侵檢測系統(IDS)可以彌補防火墻的不足,為網絡安全提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤、恢復、斷開網絡連接等。(3)病毒過濾及防護。網絡可能會受到來自于多方面的病毒威脅,包括來自Internet網關上、網絡內部所連接的網段等,為了免受病毒所造成的損失,可以采用多層的病毒防衛體系,實現全網統一殺毒。并在互聯網網關上配置硬件的病毒過濾網關,實現全網分布式的病毒防護。應采用網絡版的防病毒軟件,這樣整個網絡的升級、更新都是由病毒系統的控制中心有程序地完成,能夠避免由于個人疏忽而造成的沒有及時更新病毒定義碼和掃描引擎而失去最佳的防病毒能力的情況,同時在服務器端,管理員可以定期查看病毒報警日志,及時、準確地了解整個網絡的病毒情況。

2.4 有效的安全訪問控制服務器系統

在計算機局域網中,有效地控制和記錄重要設備的被訪問情況,確保有據可查,會使網絡的安全管理更加有效。通過建立安全訪問控制服務器系統,能夠對網絡訪問的用戶進行身份、授權和審計方面的控制,有效地防止了非網絡管理人員對網絡進行操作。系統還可根據網絡中的管理角色給管理員分配相應的管理權限,減小了所有人都用特權模式對網絡操作帶來的風險,并且管理員對網絡的操作進行了審核記錄,提高了故障的發現和解決速度,實現了網絡設備的集中管理,有效地提高了網絡維護的效率,在減少管理員工作量的同時,提高了網絡的安全性能。

2.5 網絡的自動化數據備份

無論系統的安全性已經得到如何的保障,數據的備份都是必要的。數據備份系統是保障數據安全的重要手段,主要用于在網絡出現故障時的快速恢復,使數據損失最小。但由于數據備份是一個完全程序化的、機械的過程,人工操作不可避免會造成一些人為的錯誤,這將給系統帶來了嚴重的潛在威脅。因此在進行計算機局域網絡安全系統的設計時,應采用網絡自動化數據備份系統,備份各服務器的重要軟件、數據和數據庫服務器的系統文件以及數據庫控制文件等。備份系統可根據實際情況制定相應的備份方案,針對不同的需要選擇不同的備份方式。當操作系統或存儲設備出現故障甚至損壞時,通過備份文件可迅速地恢復網絡系統和數據,做到數據損失最小。網絡自動化數據備份系統的實施,在局域網內實現了重要數據的在線自動備份,能夠減輕系統管理員的工作量,同時保障企業數據的安全,有效提高網絡的可用性和可靠性。

2.6 建立完善的計算機局域網安全管理制度

首先,要嚴格控制硬件設備的物理安全管理。在局域網規劃設計階段就應該充分考慮到網絡設備的物理安全問題,將一些重要的設備,如各種服務器、主干交換機、路由器等盡量實行集中管理,各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止無意損壞,對于終端設備,如工作站、小型交換機、集線器和其他轉接設備要落實到人,進行嚴格管理。其次,要加強管理人員隊伍的建設。要培養一支強有力的具有安全管理意識的網絡管理人員隊伍。落實必需的編制,組建專職、專家化的隊伍,全天候、高質、高效地管理維護,確保局域網安全穩定地運作。再次,要加強計算機局域網的內部組織管理。要制定一套嚴格的、完善的安全管理規章制度來規范和加強管理。網絡管理人員通過對所有用戶設置資源使用權限與口令,并對用戶名和口令進行加密存儲、傳輸,提供完整的用戶使用記錄和分析等方式,可以有效地保證系統的安全。最后,要加強對計算機局域網內用戶的安全教育。對用戶進行有關網絡安全的法律法規和規章制度進行宣傳教育,同時還要提高他們的局域網安全防范意識和技能。

3 結語

本文主要針對現在廣泛使用的計算機局域網的安全問題進行了簡要的分析,提供的安全解決策略及方案可為計算機局域網絡安全問題的解決提供參考。