篇一:构建局域网内部安全防护体系的八种方法
构建局域网内部安全防护体系的八种方法
摘要 随着局域网内部计算机用户的不断增加,局域网安全面临的问题也由以前的只注重防范外网病毒、木马的入侵转变为同时应对来自局域网内外各种因素的挑战。本文叙述了采用八种方法尽可能消除来自局域网内部的安全威胁,构建可靠的安全防护体系。
关键词 局域网;内部;安全;防护体系
随着计算机网络技术的飞速发展和社会各行业、各领域局域网应用的日益广泛,各企事业、团体的局域网规模迅猛扩展。一些单位由于管理不善、人员安全意识淡薄,局域网内部存在IP地址冲突频发,病毒、木马通过U盘、移动硬盘等在网内泛滥,信息泄密等问题,严重影响了网络的正常运行和信息的安全。如何有效应对来自内部的威胁,构建安全可靠的防护体系值得我们加以重视并认真思考。经过研究和总结,可以采取以下8种方法:
一是高度重视物理隔离、物理安全。对于网内非联网的计算机绝对禁止与外网相连,禁止使用外来U盘、移动硬盘、MP3等存储介质,尽量防止病毒、木马等轻易进入网内。此外,还要注重服务器、重要用户计算机的物理安全,除了关门上锁之外,还要专门给机箱配锁,避免硬盘被盗。这也是平常人们容易忽视的,攻击者常常可以简单地通过物理层面直接对服务器主机进行渗透操作,破解了管理者设下的重重关卡。
二利用交换机划分多个网内子网,控制病毒传播。利用交换机的访问控制列表,控制子网间的访问规则,控制病毒的传播,增加网络安全系数。
三是IP地址绑定。采用上网计算机IP地址与MAC地址唯一对应,内网没有空闲IP地址的方法,可以有效地防止IP地址引起的网络阻断和随意用个人笔记本电脑上内部局域网引起的病毒传播和数据泄密。
四是主机系统安全加固。首先要关闭危险服务,包括:关闭Netbios(139端口);关闭445端口;关闭135端口;关闭Telnet服务;关闭Terminal Services服务;关闭Remote Registry服务;关闭Workstation服务等。其次要保护账户密码安全。要重命名Administrator和Guest账户。操作步骤如下:[开始]-[运行]-[gpedit.msc]-[Windows设置]-[安全设置]-[本地策略]-[安全选项]-[账户:重命名系统管理员账户],同法重命名Guest账户。此外,还要删除多余账户,设置高强度密码等。再次,要安装360安全卫士等安全软件与本机自带防火墙相互协作,共同维护系统安全。
五是利用入侵检测系统查找内网病毒。利用入侵检测系统监测到的数据,分析、查找、判断内网中有无病毒,并及时采取有效措施。
六是利用病毒过滤网关保护服务器区域。网络防病毒过滤网关可以有效地拦
篇二:局域网网络安全及防护措施.doc
局域网网络安全及防护措施
作者:齐桂芳
来源:《信息安全与技术》2012年第03期
【 摘 要 】 文章介绍了局域网的安全与防护措施。为企业内部加强网络安全,保证局域网提供可靠安全稳定的服务提供参考。
【 关键词 】 局域网;安全;防火墙;VLAN;病毒防护
LAN Security and Protection Measures
Qi Gui-fang
(Information Center of Supply Department of Shengli Oil Field Dongying Shandong Province ShandongDongying 257024)
【 Abstract 】 This article introduces measures for LAN security and protection. It provides a valuable reference for the network security enhancement and ensures a much safer and more reliable service of LAN within the enterprise.
【 Keywords 】 LAN;security;firewall;VLAN;virus protection
0 引言
当今网络技术飞速发展,它已经和我们日常工作生活息息相关,办公自动化、网上银行、网络购物、收发电子邮件等更是依赖于网络。随着网络的不断普及和延伸,互联网的开放性和匿名性即给我们带来了方便,也带来了来自各方面的各种进攻和威胁。如果安全措施不到位就有可能会导致机密泄漏、数据丢失、网络滥用、非法入侵等。为了确保工作的顺利进行,就要确保网络信息安全以及网络硬件及软件系统的正常运转,所以我们必须加强计算机网络和系统安全建设。
局域网是指在一定范围内(通常是企业、组织内部)由各种计算机、外部设备和数据库系统组成的网络。局域网内信息的传输速率很高,但安全隐患却不少。目前多种技术可以用于加强局域网络安全。
1 防火墙技术
1.1 什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列防火墙部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监
测、限制、更改跨越防火墙的数据流,尽可能地对外部网络屏蔽掉网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备 监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
1.2 防火墙主要控制手段
防火墙通常使用的安全控制手段主要有包过滤、状态检测。
1.2.1包过滤
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP 端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
1.2.2状态检测
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。
2 访问控制和授权
内部用户访问服务器需要被授权和用户身份认证,防止服务器共享数据被删除或篡改。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其它资源,可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限制、检测非法访问,对密码不符合要求的计算机在多次警告后阻断其连网。 3 病毒防护
病毒的侵入对系统资源构成很大的威胁,可影响系统的正常运行甚至导致系统瘫痪。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络崩溃,从而造成巨大的损失。防毒的重点是控制病毒的传染。目前推荐采用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。这样可以保证已有的病毒会被及时查杀,避免通过网络快速传播。
4 VLAN的划分
为了克服以太网的广播问题,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠
篇三:局域网的安全与防护(初 稿)
局域网的安全与防护
局域网络是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个企业内的上千台计算机组成。组建于同一局域网络内的计算机可以实现文件管理、应用软件共享、打印机共享等诸多功能。
我们知道,组建局域网是为了更好发挥办公效益、加快信息传递、实现资源共享。办公局域网在推动办公效率的同时,也带来了不容忽视的安全风险。如何实现局域网的安全防护和信息保密机制,成为当前一个重要问题。为达到企业内网的安全需求,网络管理必须针对网络结构、应用及安全风险,依据国家有关计算机信息系统安全标准和规定,从技术和管理等方面设计网络安全体系的功能结构。
网络安全隐患
网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受恶意的攻击而遭到破坏、更改、泄漏或者应用系统连续可靠正常地运行,网络服务不被中断。本文从物理安全、运行安全、安全保密管理3个方面分别介绍有可能存在的网络安全隐患。
物理安全隐患
物理安全是指为实现和维护计算机网络物理设备的安全所采取的相关措施。其中物理设备是指服务器、交换机、计算机等保证网络正常运行的各种设备。物理安全隐患主要包括设备损坏或丢失、电磁泄漏等方面。
服务器、交换机、计算机等维护网络正常运行的硬件设备的运行状态都会定期检测,因此对于设备损坏 或者丢失这一安全隐患的风险系数较低。然而任何一台电子设备在工作时都会不同程度地产生电磁辐射,而电磁泄漏这一安全隐患除需要专门的仪器进行检测外,它还和设备所处的物理环境有关。相同的物理设 备若摆放在不同的物理环境中所造成的安全隐患风险系数也会不同。因此电磁泄漏是企业目前较为关注的一方面。
电磁泄漏通常有两种途径:一是被处理的信息通过电磁波向空中发射,称为辐射发射[1]。如计算机的视频CRT显示器属于辐射发射,显示器在工作过程中是将低电平小信号放大,加到显像管阴极,经高电压加速后,产生轰击荧光屏的强电子束,这些强电子束向周围辐射载有信息的电磁波,构成了计算机辐射泄密最危险的因素。经数据表明,在3000m范围内电磁波侦察装置能接收无屏蔽的计算机显示器工作时所产生的电磁波,并且能够还原出原始信息。二是这种含有信息的电磁波经电源线、信号线、地线等导体传送和辐射出去,称为传导发射[1]。因传导发射造成的信息泄漏是指利用电磁泄漏或者搭线窃听等高科技的检测技术对网 络线路进行侦收,通过对信息流向、流量、通信频度和长度等参数的分析推出对其有用的重要信息。
运行安全隐患
运行安全隐患中非授权访问、病毒和恶意代码攻击以及破坏数据库完整性这三方面在运行安全风险系数中占有较大的比重。
非授权访问
用户分为合法用户和非法用户两种,当两者对网络资源进行非授权访问时,因占用大量的系统资源,容易导致网络发生异常甚至瘫痪等危险,还极有可能留
下泄密的安全隐患。所谓非授权访问即未经允许,就使用网络或计算机资源。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限、越权访问信息。非授权访问主要有以下几种形式:假冒合法用户入侵系统、对合法账户进行身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。因此若网络资源被非授权访问,则会造成信息被非法获取的隐患。
病毒入侵和恶意代码攻击
病毒和恶意代码一直是计算机安全的主要威胁。计算机病毒通过网络进行传播,对网络的可用性进行攻击,损耗可用带宽;破坏网络管理的通信,通过攻击网络基础设施的控制信息,从而干扰网络中的信息流,造成网络基础设施不能正常使用。而恶意代码主要利用本地主机上一些特殊的Native API函数和内核系统函数,进行感染、传播和隐藏,从而控制系统进程、文件、注册表、系统服务和网络服务等 [2]。
虽然采用物理方法将企业局域网和互联网隔离,可以降低从互联网上感染病毒以及受到恶意代码的攻 击的机率,但是采用物理方法的同时又会使用移动存储介质,若感染病毒的移动存储介质被频繁使用,系统 的安全隐患依然不容忽视。
破坏数据库完整性
数据库作为所有业务系统的数据处理和存储的平台,存储了大量重要信息,因此极易受到非法者的攻击。非法者利用各种工具监视、收集网络中传输的信息,当他们截获用户账号或者口令后即可随意进出数据库,对数据库进行篡改、伪造,窃取。另外,若数据库的个别帐户权限过大,容易造成合法用户的非授权访问,如:访问、修改其他合法用户的信息等,从而造成数据库信息紊乱,丢失等严重后果。
安全保密管理漏洞
采用物理隔离的方式能够有效的防止互联网用户的侵入,但是局域网用户在使用过程中依然存在安全风险。因此计算机安全方面的主要威胁来自内部的蓄意攻击或操作失误。比如:操作员或者管理员等内部用户利用熟悉服务器、小程序、脚本和系统的弱点来窃取机密信息,并出卖原始的或者解密后的商业机密或者盗卖密码、软硬件等,这些行为都属于蓄意攻击。而操作失误是指具有相应权限的内部操作人员,因为操作失误而受到的攻击或者为攻击者提供便利的攻击条件。
安全措施
随着计算机系统功能的不断扩展,系统组成越来越复杂、网络系统规模越来越大,网络信息安全措施也越来越受到关注。有效的网络信息安全措施能够保障计算机网络免受来自各方面的入侵或攻击,通常包括物理安全、运行安全、安全保密管理3个方面。
物理安全措施
根据电子对抗原理,通过电磁检测,对不满足国家要求的显示器以及采用非屏蔽网线或电话线与网线共用线槽的线路,采用一定的技术措施,对计算机的辐射信号以及信息传导线路进行干扰,增加接收还原解读的难度。从而降低了电磁泄漏和信息传导过程中的线路泄漏的安全隐患。
运行安全措施
运行安全措施中针对非授权访问、病毒和恶意代码、数据库的各自特点分别采用相应的安全措施。主要分为授权管理、病毒防护以及数据库管理这三方面。
授权管理
授权管理主要采用防火墙和交换机来实现。
防火墙
防火墙设置在不同网络或网络安全域之间的信息的唯一出入口处。通过监测、限制、更改通过防火墙的数据流,尽可能地对外屏蔽被保护的网络内部信息、结构和运行情况等,从而实现对网络的保护。 虽然防火墙的主要作用用于禁止外部非法信息流入,但是为了避免内部员工的泄密事件,防火墙对内部信息的流向 也同样需要审核和限制。
防火墙主要具有以下5大功能:
1)过滤进、出网络的数据;
2)管理进、出网络的访问行为;
3)封堵某些禁止的业务;
4)记录通过防火墙的信息内容和活动;
5)对网络攻击的检测和告警。
根据防火墙的特性,在防火墙上,开放客户端与服务器之间的访问策略,根据双向最小化原则,进行相应的设置。双向最小化的原则即为满足用户的正常使用需求而开放相应的端口。
交换机
在规模较大的企业网络中,通常存在多个功能不同的网络分支,如财务部门、研发部门等,为了企业的机密信息不发生外漏现象,需要对不同部门用户的访问进行合理控制,通过在交换机上划分虚拟网络(Virtual Local Area Network,VLAN)可以将整个网络按部门划分为几个不同的广播域,实现不同部门网络隔离的访问控制。这样还可以防止影响一个网段的问题传播到整个网络。
病毒防护
针对病毒入侵一般采用病毒扫描的方法。病毒扫描就是在文件和引导文件记录中使用病毒扫描程序来搜索病毒的工作。
病毒扫描程序一般分为两种
1) 按需扫描型。按需扫描程序是在系统后台运行的程序,通常在事后工作,往往造成系统先被感染病毒后才被发现。
2)内存驻留型。每个系统在系统初始化时都会启动一个内存驻留扫描程序,以便在病毒留存本地文件之前或进入内存运行之前把它们清除。一般来说,反病毒程序都含有一个内存扫描组件,负责通过扫描内存来搜索存储在内存中的文件和引导记录病毒。内存扫描病毒主要是针对计算机感染了读取隐藏病毒的情况。
针对网络之前残留的病毒以及移动存储介质的使用导致用户终端交叉感染恶意代码等安全隐患,主要采用安装网络版查毒软件,定期更新病毒库,并设置定时且强制查杀病毒的策略以及开机对内存进行病毒扫描策略,降低病毒爆发的隐患。另外移动存储介质采用集中管理的方式,确保每次使用完成后由专人进行病毒查杀,从而避免用户终端之间的病毒交叉感染。
数据库管理
数据库作为应用系统的数据处理和存储的重要平台,指定专人管理,及时更新数据库补丁,对数据库的 默认设置进行更改,完善各种安全设置,对帐户进行最小授权,定期备份数据库确保数据的完整性。
安全保密管理
针对用户违规操作的安全隐患,除制定了相应的管理规定外,还在技术手段
上严格限制了用户终端对于移动存储等接入设备的使用,只有信息化部门允许的设备接入用户终端才可正常使用,如未经授权的设备接入,除不能正常使用外,还会产生报警,并生成日志报表,为追查问题提供详细的内容。
结束语
随着企业的不断发展,网络规模逐渐扩大,网络的拓扑结构越来越复杂,企业对网络安全性的需求日益增强,在不断巩固现有网络安全的基础上,进一步结合企业未来的发展,加强网络安全措施,为企业提供一个安全、稳定的网络环境。
参考文献
[1] 国家保密局.保密知识读本[M].北京:金城出版社.1999.
[2] 刘晓辉.网络安全设计、配置与管理大全[M].北京:电子工业出版社.2009.