时间:2023-09-12 17:10:12
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇局域网网络安全措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:局域网;安全;体系结构;管理制度
中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2016)10-00-03
0 引 言
随着计算机技术和信息技术的进步和发展,特别是近年来移动互联网的迅猛发展,越来越多的单位、企业和家庭都建立了属于自己的局域网。局域网为用户内部信息资源共享提供了方便,在人们的工作和生活中发挥着不可替代的作用。但由于网络本身的开放性和共享性,在网络为大家带来便利的同时,网络本身存在的不安全因素也给各企业单位和家庭带来了信息泄露的风险,为实现社会稳定,保证计算机网络安全,人们迫切需要解决目前计算机局域网应用中存在的安全问题[1,2]。
1 局域网中主要的安全问题
网络安全问题主要由网络的开放性和共享性造成。网络安全问题的实质是对网络安全缺陷的潜在利用,这些缺陷可能导致网络的非法访问、信息泄露、资源耗尽、资源被盗或者被破坏等;网络安全问题产生的根源在于网络协议的不完整性、网络操作系统的漏洞缺陷、应用程序漏洞、物理设备损坏及人为因素等。归纳起来,目前局域网安全问题主要来源于物理设备的安全威胁、来自互联网的安全威胁、来自局域网内部用户的安全威胁这三个方面[3-5]。
1.1 物理设备的安全威胁
来自物理设备的安全威胁主要有如下几项:
(1)自然灾害或非人为故意造成的软、硬件故障或冲突以及水灾火灾等;
(2)人为操作不当(属意外事件)导致数据信息的错误、丢失或其它一些硬件故障等。
1.2 来自互联网的安全威胁
一般情况下,局域网都与Internet进行了互联。由于Internet的开放性、国际性与自由性,来自Internet的世界各地的黑客都可以通过Internet和一些黑客工具来探测和扫描网络上存在的各种安全问题,如操作系统的类型及其它是否为弱口令、服务器开放的各种易于攻击的端口号及服务器应用程序是否存在开放权限或存在弱用户弱口令等,并采取相应的攻击手段进行攻击。同时还可以通过协议分析软件等手段监听并获得局域网内部用户的用户名、口令及一些敏感数据等信息,从而假冒内部的合法用户进行非法操作,窃取内部网络中的重要信息。而这些黑客也能通过控制大量肉机向网络中的服务器发送大量的数据包进行DDoS攻击,使服务器不能正常工作而拒绝为正常用户服务。
1.3 来自局域网内部用户的安全威胁
内部的网络管理人员有时为了对外进行宣传,会不经意间把内部网络拓扑结构及系统的一些重要信息(如设备型号、操作系统的类型等)放在网站上,这就致使网络内部信息严重泄露,网络上的不法分子可以利用这些包括网络拓扑、网络设备信息及应用系统信息等内部信息,制定有针对性的入侵策略,从而大大增加被攻破的机率,给内部局域网造成巨大的安全隐患。由于内部网络的大多数用户对计算机的操作及网络运行不熟悉,不知道哪些软件是安全的,若下载并使用了带有病毒或木马的软件,那么这些病毒或木马会收集并泄漏内部用户的重要信息,尤其是用户名及密码等重要信息,或是对计算机操作不当,误删除了重要数据等,这些都将给网络造成极大的安全威胁。
2 安全体系结构的设计
2.1 局域网安全总体设计思路
局域网安全是一项系统工程,需要充分考虑各层次各方面的安全因素。根据局域网运行所涉及到的层次,建立一个全方位的、可持续循环改进的局域网安全解决方案。以网络安全技术为主导,辅以法律法规和规章制度的安全管理,设计一个包含五个层次(物理安全、网络安全、系统安全、应用安全、数据安全)的局域网安全体系结构,如图1所示。
2.1.1 物理安全
在局域网安全系统中,物理安全是最基本的安全。如果物理安全得不到保证,那么其它一切安全措施都变得毫无意义。如果网络设备遭到破坏或被人非法接触,将会给局域网造成毁灭性的破坏,若安装有数据库的服务器被非法人员或是自然灾害损坏,就可能致使数据丢失且不可恢复,这同样是毁灭性的破坏。因此,要确保局域网有一个安全的物理环境,就应对接触到的网络设备及系统人员有一套完善的技术控制手段和规章制度约束,并且还要充分考虑自然灾害可能对局域网中的网络设备及线路等造成的威胁并加以规避。
2.1.2 网络安全
网络安全主要是整个数据传输网的安全,包括数据链路层、网络层及传输层等的安全。
(1)数据链路安全主要是保障通信链路不被非法窃听并防止借助链路的连接进行各种类型的攻击。
(2)网络层的安全主要包括网络访问控制、各种网络协议本身的缺陷和对这些协议的攻击等问题。
(3)传输层的安全与链路层的安全类型涉及的层次不一样,但也是关于数据被非法窃听的问题。
2.1.3 系统安全
系统安全主要是操作系统本身的安全问题,体现在系统是否完整坚固,是否存在漏洞,以避免攻击者通过系统漏洞实施入侵,主要涉及到以下两个问题:
(1)病毒和木马对局域网中系统的威胁。
(2)Internet上的黑客入侵了局域网中的系统后通过该系统对其它局域网设备和系统进行入侵和破坏。
2.1.4 应用安全
应用安全主要是应用平台和应用程序的安全。主要涉及到以下两方面问题:
(1)应用程序对数据的合法权限,即应用程序对数据的访问是否合法。
(2)应用程序对用户的合法权限,即用户是否有合法的权限访问该应用程序。
2.1.5 数据安全
数据安全是这些安全中最重要的一项,所有采取的措施都以数据安全为目标。保证信息资源的机密性、完整性、真实性、不可抵赖性以及可用性是安全防护的最终目标。
2.1.6 安全管理
安全管理包括国家制订的法律法规和单位组织制定的管理和技术操作规范,从法律和管理层面对人的行为进行规范。
2.1.7 网络结构设计
网络结构设计是为局域网设计的一个高安全性网络结构,涉及各种网络安全设备与技术的有机结合、综合应用与部署。
2.2 局域网安全方案设计
2.2.1 各层次技术解决方案设计
局域网工作的每个层次都有相应的安全措施,每个层次在大技术层面上常用的安全措施如图2所示。
2.2.1.1 物理安全技术与措施
物理安全最重要的就是选择地理位置安全的场所建设网络机房,应尽量远离生产或储存易燃、易爆物品和强电磁场场所的周围及低洼地带。对于网络设备应配备防电磁泄漏机柜或屏蔽机房等;关键设备要配备UPS电源;机房要配备空调以保持机房的恒温恒湿环境,并配备消防报警和灭火设施;建立严格的机房准入制度等。如果有更高级别的安全需要,需对机房中的网络设备及线路做远程的冗余备份。
2.2.1.2 网络安全技术与措施
网络安全技术与措施较多,主要涉及网络安全设备和技术及安全协议。常用的有各种防火墙设备和技术、入侵检测设备和技术、VPN设备和技术以及入侵防御设备和技术等。
(1)防火墙是常用的网络设备和技术,根据策略控制进出网络的数据权限,并可强制检查所有进出网络的各种链接,以避免局域网遭受外界入侵和破坏。因此,通过建立防火墙安全策略,可在内部网(局域网)和外网(Internet)之间,或者在内部网的各部分之间(即不同安全域之间)实施安全防护。
(2)入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,实时监测局域网的运行状况,常与防火墙联动运作。常用的安全协议有PPTP,L2TP,IPSec及SSL协议等。
除此之外,还有其它访问控制技术,常用的有VLAN划分技术和访问列表控制(ACL)技术等。
2.2.1.3 系统安全技术与措施
系统安全措施主要为系统安装防病毒和防木马软件以及为系统打补丁,加固系统的安全性,设置用户的访问权限等级和口令,可对系统的访问进行访问权限控制。安装分布式的网络防病毒软件,对局域网内的服务器和个人计算机进行有效防护,使局域网上的各个节点都不受病毒的侵害。同时,应尽量实时更新系统补丁和杀毒软件,确保系统和杀毒软件处于最新状态,并定期更换用户密码,使用户口令被破解的可能性降至最低。
2.2.1.4 应用安全技术与措施
应用安全包括应用平台和应用程序的安全性。可以通过身份认证来判别用户使用系统的合法性。身份认证一般通过用户名和口令来验证。身份认证可以有效防止数据被篡改及非法用户访问网络资源。同时还能通过审计用户相关的活动信息进行记录、存储和分析,系统通过分析网络信息系统的实际使用状况来对应用服务器的安全事件进行有效监控。
2.2.1.5 数据安全技术与措施
采用数据安全技术与措施的最终目的在于确保网络数据的可用性、完整性和保密性。为了确保数据的安全性,可以采用多种数据备份技术来确保数据的可用性和完整性,如磁盘冗余阵列技术、双机容错技术及SAN技术等。同时,为了增强数据的保密性,可采用加密技术对数据进行加密,如DES加密算法、IDEA加密算法及RSA加密算法等。
2.2.2 网络结构设计
一个设计合理的网络拓扑结构可以大大增加局域网的安全性,如图3所示的网络拓扑结构综合运用了多种安全技术,对局域网起到了很好的保护作用,大大提高了局域网的安全性。
图3所示为双路由单防火墙的拓扑设计,对外网(Internet)进入局域网内部的访问起到了三层过滤的作用,大大增强了局域网的安全性。对于一些常用的对外服务,设置一个DMZ区域,尽量减少外网用户对内网的访问,这也是增强局域网安全的一种措施。同时,DMZ为了保证服务器的安全,使用了入侵检测系统以提高DMZ区域的安全性。
2.2.3 安全管理规范
人是局域网安全中最不稳定的因素,也是最主要的因素。因此,规范人的行为对局域网的安全起到了至关重要的作用。建立健全的法律法规对入侵网络的不法分子有极大的震慑作用,使之不敢轻易破坏网络。同时,对于网络的管理也要建立规范的管理制度,严格机房管理。可采取如下措施:
(1)建立完整的计算机运行日志、操作记录及其它与安全有关的资料;
(2)机房必须有当班值班人员;
(3)严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房,重要技术资料应有副本并异地存放等。
3 结 语
局域网安全是一项系统工程,涉及到网络工作的各个层次,任何一个层次都可以通过安全技术措施来加强局域网的安全,但任何层次也有可能成为局域网的弱点。因此,在综合应用安全措施的同时应全面考虑各层次的特点,采用相应的安全技术措施,建立一个较完善合理的安全机制。同时还要运用技术之外的管理措施,从制度方面确保局域网的安全。
参考文献
[1]王坤晓.局域网网络安全存在的问题及对策探讨[J].网络安全技术与应用,2015,15(1):109.
[2]张梅馨,崔志云.实验室局域网的安全及防护[J].实验技术与管理,2010,27(2):86-88.
[3]张志国.计算机局域网网络安全问题以及相应对策探析[J].科技风,2014(15):197.
关键词:局域网;交换机;维护管理;网络安全
1 概述
局域网是指由一台或多台计算机组成的计算机组,在指定区域内具有打印共享、办公软件应用和文件管理等多种功能。局域网的出现和应用提高了企业的生产效率,节约了成本支出,有利于企业经济效益的提升;同时局域网在使用过程中也存在一些问题,如使用者安全意识不高,容易被黑客攻击或被病毒传染,给企业生产和管理带来极大的损失。鉴于此,加强局域网的维护和管理,确保网络的安全性就显得十分必要。
2 局域网的维护和管理
2.1 局域网的维护 局域网维护的主要目的是确保网络的稳定,避免网络故障的发生,维护工作涉及的主要内容有交换机和网络链路的保护和性能维护,这是整个维护工作的核心内容。首先,交换机是局域网的核心,因此也是局域网维护的关键设备。核心层交换机和汇聚层交换机在局域网中起路由转发、数据交换和网关的重要作用,因此,交换机的管理工作十分重要,要有专门的网络管理人员对交换机进行管理和维护,交换机命令配置好之后要进行数据备份,在交换机故障时能够快速地恢复数据,保证网络运行。网管人员对交换机要设置用户名和密码,不允许其他人员对交换机随意操作。其次,是网络链路的维护,网络链路的畅通是网络安全平稳运行的基础,网管人员应按时对网络链路进行巡检。最后,局域网的系统维护应通过软件和硬件两方面进行。软件维护是指使用功能强大的信息管理和安全管理软件,通过专业的软件扫描及时查找和排除局域网中软件或者硬件中的安全隐患,并根据提示采取合适的解决方案;硬件维护主要是对传统的传输媒介进行改进升级,采用光纤传输数据,提高信息传输质量和传输效率。
2.2 局域网的管理 局域网的功能能够正常发挥主要依靠管理,按照管理内容的不同,可将局域网管理分为人员管理和局域网管理两个方面。人员管理主要是对使用局域网的人员进行管控,要求局域网使用人员不得破坏局域网内的计算机硬件及配套软件,确保硬件和软件功能的正常性;网络管理主要是对局域网结构选择、功能扩展、网络所处环境的优化等内容进行管理。局域网的网络结构主要是由规划功能决定的,企业可根据自身需求选择不同的网络拓扑结构;局域网功能会随着企业的发展显现出一定的不适应性,在对功能进行扩展时,应对实际需求、经济效益、实现方法等内容进行综合考虑,确保企业能使用最低的经济投入,获得最全面的网络功能;对局域网所处环境进行改进时,要考虑网络使用人员的技术水平与局域网性能之间的匹配性,确保网络资源得到充分利用。
3 局域网安全
3.1 物理安全措施 物理安全措施是指通过局域网硬件安全保护,提高局域网的安全性。第一,企业可制定一系列局域网安全防护措施,加强对局域网内网络设备的保护,避免设备受到外界因素的破坏。以交换机的保护为例,企业可设置使用权限,减少无权限人员使用交换机。第二,提高局域网使用人员的管理,通过制定完善的工作制度,杜绝外来人员使用局域网,禁止外来人员利用局域网安装非法软件,拆卸硬件,影响局域网的正常使用。第三,提高局域网使用人员的安全防范意识。企业应组织员工参与专业的网络安全培训,使员工意识到网络攻击的危害,提高员工的网络安全防范技巧,做好企业内部局域网安全防范工作。
3.2 加强访问控制 防止局域网被恶意攻击、病毒感染的主要手段是加强访问控制。第一,做好局域网入网访问控制工作。入网访问应输入正确的用户名和密码,只有二者同时正确时才能进入局域网,获取自己所需资源,若用户名或密码不符,则被拒绝访问,这样就能有效避免非法人员访问。第二,给用户设置不同的访问权限。用户登录到局域网服务器后,只能对其所拥有权限内的资源进行查阅或使用,无法获取或使用权限外的信息资源。将资源按照其重要程度进行等级划分,使具有查阅权限的人员可方便使用,同时避免权限外人员的非法攻击,保护了信息资源的安全。第三,加强网络监测。局域网网络管理人员应利用先进的技术对网络用户形成全程监测,对用户的访问记录进行登记,一旦发现用户对局域网网络进行攻击或其他不法行为,就应立即采取措施,限制用户的进一步访问。第四,加强硬件安全保护工作。企业可将信息资源进行划分,根据不同的保密等级设置不同的安全防护措施,目前常用的安全防护措施可从数据库层面、应用层以及网络层设置防火墙,为企业重要的信息资源构建有效的安全防护保障体系。数据库防火墙主要是对访问进行控制,一旦发现能对数据库构成威胁的行为时,发出阻断指令,另外该技术还具有对用户行为进行自动审计的功能,能快速有效地判断用户行为是否会对数据库信息构成破坏;应用层防火墙可以实现对程序所有包的拦截,对防止木马、蠕虫病毒的屏蔽效果较好;网络层防火墙是以TCP/IP协议为基础,根据协议规定对访问行为进行是否被允许的判断;协议规则主要由管理员设定,并且规则内容可执行修订、删除和增加操作。
3.3 加强安全管理 网络病毒的危害是巨大的,为避免病毒给局域网造成破坏性损害,管理员可通过以下措施加强网络病毒的防范工作。第一,局域网内用户不可擅自下载、安装可以软件,不接受不明邮件,切断隐藏在某文件或某程序中病毒的入口。第二,用户在使用U盘时,应先对其进行病毒扫描,确保无误后方可插入使用。第三,安装病毒查杀软件,并对安装的软件进行及时的更新,为病毒的查杀提供技术保障。第四,安装入侵检测系统,利用该系统对网络信息资源的传输情况进行检测,一旦发现可疑文件立即执行中断命令,并发出警报,保护局域网的安全。
4 结语
局域网在很多企业的生产和管理中得到广泛应用,很大程度上提高了企业的信息化管理水平,为保障企业生产和管理工作的正常进行,应对局域网进行全方位的安全保护,确保网络的稳定性和安全性,防止不法分子或网络病毒的入侵,给企业带来不必要的经济损失。
参考文献:
[1]胡石林.论计算机局域网的维护管理与网络安全[J].科技资讯,2011.
[2]马一楠.浅析计算机局域网的安全保密与管理措施[J].价值工程,2010.
关键词:局域网;网络安全;网络体系结构
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)16-30985-02
Shallowly Discusses the Unit Local Area Network Security Sometentative Plans
GONG Lan,WEI Liang-xiu
(SichuanZigong meteorological bureau,Zigong 643000,China)
Abstract:Develops the unceasing application along with the computer network atthe meteorological enterprise, the computer has become themeteorological system processing data and the supervisory workimportant constituent. This article will act according to this unitexisting local area network, will carry on the analysis to itssecurity, and will propose this unit local area network networksecurity solution.
Key words:LAN;network security;Network Architecture
1 引言
Internet的广泛使用为气象事业的发展带来了前所未有的高效和快捷,但诸如病毒侵袭、黑客入侵、拒绝服务、密码破解、网络窃听、数据篡改、垃圾邮件和恶意扫描等大量的非法操作或信息堵塞合法的网络通信,导致网络崩溃而无法进行办公乃至威胁到办公信息的安全,因此必须系统地规划和部署本单位的网络。本文以单位局域网为例,设计单位局域网的安全解决方案,该方案的目标是在不影响本单位局域网当前业务的前提下,实现对局域网全面的安全管理。
2 单位网络系统现状
目前本单位局域网采用的是总线型结构,这种网络拓扑结构虽然比较简单,但是局域网络内的各工作站和服务器均挂在一条总线上,各工作站地位平等,无中心节点控制,因此存在以下问题:
(1)维护难,分支节点故障查找难;
(2)采用资源共享的访问机制,经常造成网络拥塞;
(3)如果总线一断,则整个网络就断了;
(4)这种网络因为各节点是共用总线带宽的,所以在传输速度上会随着接入网络的用户的增多而下降;
(5)由于防毒性差等诸多原因,造成了办公网络常为“病毒多发区”的现状。
3 网络系统安全要解决的问题
(1)局域网的主服务器作为信息平台,它的地位是至关重要的。所以应该将它与内部网络和外部网络进行隔离。要采取相应的安全措施杜绝安全隐患,公开服务器的安全保护、防止黑客从外部攻击、入侵检测与监控、病毒防护、数据安全保护、数据备份与恢复、网络的安全管理等。
(2)在用户管理方面要把用户分成不同的用户组,不同的用户组拥有不同的权限级别,以控制可访问的资源范围及对资源的存取方式、可访问的网络区域等,同时应考虑到用户状态的动态性,做到及时更新用户状态及保持各子系统间用户状态的一致性。可将信息资源分成不同组,针对各组资源的特性制定其相应的服务方式、导航与协调方式、供各类用户的存取方式、加密与保护方式等。
(3)要进行网络分段,这样就能将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
3.1防火墙[1]技术
防火墙技术也是针对非法用户入侵内部局域网络、对网络造成破坏的防御性技术。它应当具有以下几种功能:
(1) 限制他人进入气象内部网络,过滤掉不安全的服务和非法用户;
(2)限定无关用户访问特殊的资源;
(3)对发送和接收的数据进行甄别,过滤外方利用特殊手段搭载在数据里的病毒或其他非法的信息;
(4)为监视整个气象网络的安全提供便利的条件;
(5)实施监控气象内部局域网的通信数据,严防病毒等破坏性数据的流通。
3.2防病毒技术
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测、在工作站上用防病毒软件对网络目录及文件设置访问权限等。
3.3加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破译所采用的主要技术手段之一。现在的网络用户大幅度增加,在这些人当中,不乏有网络的破坏者或不怀好意的人即所谓的黑客。他们常常会潜进系统,做违规的操作如篡改消息,盗取数据等。所以要对系统内的信息进行加密,在信息的传输过程防止被篡改或盗取。
3.4易操作性
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
4 网络安全设计方案
(1)根据以上对网络安全的全面分析了解,按照安全策略的要求,以及对整个网络的安全目标,设计了一个适合气象部门网络特点的安全系统体系。它由物理安全、网络安全、系统安全、信息安全、应用安全和安全管理等方面组成,见图1。
(2)考虑设计本单位的计算机网络结构为:总线+星型的混合结构,这样的拓扑结构更能满足现有网络的拓展和安全维护,见图2:两台IBM专用服务器,一台作为主服务器及一台作为备份服务器,由中心交换机连接,一旦主服务器受到攻击崩溃,迅速由备份服务器接入,保证系统网络的正常运行。中心交换机支持VLAN,中心交换机通过VPN路由器接入省局局域网,中心交换机通过宽带路由器接入Internet,各个科室自己组建各自虚拟局域网(VLAN)分别接入二级交换机。二级交换机再和中心交换机连接。每个虚拟局域网用户拥有不同的管理权限和访问权限,各工作组的用户既独立又互相进行数据交换,此外局域网可以为用户提供的功能包括:办公自动化、电子邮件服务、文件的管理、对外建立企业门户网站等。
图1 安全体系结构
图2 单位局域网拓扑结构设计图
4.1实现网络中内网访问控制[2]
目前,气象网络的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点设置中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法来实现对气象局域网的安全控制。
局域网的访问控制技术的安全部署,可以有效的防御来自于内部破坏分子的攻击和数据篡改等威胁。采用访问控制技术,建立安全合理的访问列表,可以通过对数据通讯的源地址、目的地址以及应用类型的分类,控制流入网络的数据流,保证内、外网用户访问的安全性。虚拟局域网(VLAN)可以不考虑用户的地理位置,根据功能、应用等因素将网络从逻辑上划分为一个个功能相对独立的工作组。如果附加上VLAN间的访问控制技术可以使一个个功能相对独立的工作组变成不同的安全区,互不影响,一个工作组里出现病毒、掉线等问题,不会影响整个局域网络的运行。使核心主服务器和重要部门(如气象台、财务科)的安全得到充分的保障。
4.2构建局域网安全监控中心
为了确保局域网的正常运行,及时发现和处理网络异常事件,需要在局域网中构建局域网安全监控中心。它的主要任务是针对网络资源、网络性能和密钥进行管理,对网络进行监视和访问控制。这个监控中心可以在主服务器上通过安装网络版杀毒软件来实现,主要负责网内所有工作站的可视化管理和控制,及时发现并处理网络攻击和异常行为。
4.3信息传输的安全措施
数据信息的安全是整个系统正常运行的保障,因此把数据信息的安全放到首要的位置来进行保护,由于网络的开放型和TCP/IP的不安全性,不法人员完全有可能通过一些技术手段窃取,再通过一些技术读出数据信息,造成信息泄漏或者做一些修改来破坏数据的完整性,对网络信息的传输构成威胁。VPN技术也被称为网络加密机,己经被证明是一种成熟的网络安全互联技术,可以有效地保证信息传输的安全。这个技术已经运用到市局和省局,市局和县局的数据信息传送上,取得很好的效果。如果再综合利用防火墙的访问控制技术、VPN的隧道技术、完整性保护和加密技术,不仅可以实现虚拟专网内的信息安全传输,同时可以在专网上进行更为严格的访问控制,从而构建起基于VPN的网络安全通信平台,实现完整的网络通信平台安全解决方案。
4.4安全的管理制度
安全的管理制度是气象网络安全问题得以实现的重要保证,也是防止内部攻击最有效的方法,我认为应该包含以下内容:
(1)建立严格的安全监督机制,网络管理员和操作员都要受到监督和制约;
(2)根据数据的安全性要求对用户权限进行严格划分,用户的操作应有详细的操作明细记录;定期检查安全报警信息, 监视网络运行状态;
(3)完善日志记录,安全策略的建立或修改、设备或系统配置文件建立或修改必须记录文档并保存,完整的数据备份制度;
(4)提高气象员工的业务素质,增强防范意识和防攻击的能力;加强气象员工的思想道德教育,从根源上杜绝内部攻击行为。
5 小结
造成网络不安全的因素很多,归结不外乎管理和技术两个方面上的问题。我们要做到管理上的标准化,同时让管理安全策略强化到系统之中,寻求相应的技术支持,由计算机帮助去强制执行。
参考文献:
[1]杨永增.谈防火墙技术的发展趋势[J].电脑学习,2007(2),15-16.
关键词:局域网安全防止策略
一、引言
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,计算机网络和系统的安全与管理工作就显得尤为重要。
二、局域网安全的威胁分析
局域网主机间大多以局域网的方式进行互连,这些主机形成以物理互连,逻辑隔离的方式共存,但为实现主机间的资料共享及数据通信需求,又不得让其之间建立各种互信关系,因此某台主机的有意或无意的误操作都会对整网主机的安全性造成威胁。局域网安全威胁主要分为以下几类:
(一)缺乏有效身份认证机制
内部主机使用者缺乏特定的身份识别机制,只需一根网线或者在局域网AP信号覆盖的范围之内,即可连入内部网络获取机密文件资料。局域网犹如一座空门大宅,任何人都可以随意进入。
(二)缺乏访问权限控制机制
企业或政府单位网络大体上可以分为两大区域:其一是办公或生产区域,其二是服务资源共享区域,目前上述两大逻辑网络物理上共存,并且尚未做明确的逻辑上的隔离。办公区域的人员可随意对服务资源共享区域的资源进行访问,另外需要的注意的是,来宾用户在默认情况下,只要其接入内部网络并开通其网络访问权限,相应的内部服务资源的访问权限也将一并开通,局域网机密文件资源此时将暴露于外部。
(三)局域网主机漏洞
现有企业中大多采用微软系列的产品,而微软系列产品的特点就是补丁特别多,包括IE补丁、office办公软件、以及操作系统等。如果这些补丁不及时打上的话,一旦被黑客所利用,将会作为进一步攻击局域网其他主机的跳板,引发更大的局域网安全事故,如近年来爆发的各种蠕虫病毒大都是利用这种攻击方式。
三、局域网安全策略控制与管理
(一)网络系统的安全控制
为保护网络的安全,必须对访问系统及其数据的人进行识别,并检查其合法身份,对进入网络系统进行控制。访问控制首先要把用户和数据进行分类,然后根据需要把二者匹配起来,把数据的不同访问权限授予用户,只有被授权的用户才能访问相应的数据。通过用户识别和验证、用户口令识别和验证以及用户账号的默认限制检查进入系统,选择性访问控制是基于主体或者主体所在组的身份,这种访问控制是可选择性的,如果一个主体具有某种访问权,则它可以直接或简接地把这种控制权传递给别的主体。选择性访问控制被内置于许多操作系统当中,是任何安全措施的重要组成部分。文件拥有着可以授予一个用户或一组用户访问权。
(二)网络互连设备的安全管理
网络中的互连设备包括集线器、交换机、路由器等设备,这些设备在网络中起着非常重要的链接作用,因此,这些设备的安全性更是关系到整个网络的关键命脉。实际中,一定对网络中这些设备的登录有严格的控制管理,登录方式只能掌握在网络的管理人员手中,网络的管理人言要正确配置设备的参数,运行过程中,能够顺利连接局域网中的各个环节,使整个网络运行顺畅。
四、病毒防治策略
防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
(一)提高安全意识和安全知识,对工作人员定期培训
如果技术人员对网络安全产品一只半解,就不能正确配置,甚至根本配置错误,不但安全得不到保护,而且还带来虚假的安全,因此,在网络中,首先对技术人员进行专业的培训。只有真正掌握安全管理各方面的知识,才能使整套的安全策略得到充分的执行和实施。
(二)小心使用移动存储设备
日常工作过程中,数据的传输、备份,难免使用移动存储设备,那么,在局域网中使用这些设备时,注意的问题有:使用是保证存储设备的安全性,在使用移动存储设备时,要做到不把病毒带到网络中,以防发生网络故障,同时,也注意网络中某台计算机上的病毒感染移动存储设备,防止数据的丢失。
(三)挑选网络版杀毒软件
我们在选择杀毒软件时需要注意到以下几个方面:首先,杀毒软件对客户端设备的要求不是很高,能够保证网络中层次不齐的客户端都能安装该软件,并且运行起来顺畅。其次,杀毒软件病毒库升级比较方便,在出现新的病毒时,病毒库能够第一时间更新,确保客户端不被侵犯。最后,杀毒软件使用比较灵活,网络中的客户端都安装杀毒软件,但如果依靠人为手动进行查杀,运行起来比较麻烦,选择杀毒软件,一定能够设置某时间点进行自动查杀。
五、信息化安全管理制度
局域网网络的安全管理制度是网络的安全运行的保障,在制定安全管理制度中,最重要的是关于网络各种文档的制定。其中有网络建设方案文档、机房管理制度文档、各类人员职责分工、安全保密文档、网络安全方案、安全策略文档、口令管理制度、安全防护记录、应急响应方案等等制度。实际中,通过以上各种文档,在网络运行过程中,随时可以用到,只有健全的管理制度,才能确保更快地处理遇到的各类问题。
六、结语
要想保证计算机局域网的安全,在做好边界防护的同时,更要做好内部网络的管理。所以,目前在安全业界,安全重在管理的观念已被广泛接受。没有好的管理思想,严格的管理制度,负责的管理人员和实施到位的管理程序,就没有真正的安全。在有了“法治”的同时,还要有“人治”,即经验丰富的安全管理人员和先进的网络安全工具,有了这两方面的治理,才能得到一个真正安全的网络。
参考文献:
关键词:局域网;网络安全;防治策略
Abstract: With the expansion of information, promotion and application of Internet application software, computer network to improve the efficiency of data transmission, is playing an increasingly important role to realize data integrity, data sharing aspects, the construction of network and information system has gradually become an important infrastructure of the work. In order to ensure the safe and efficient operation of the work, work safety and management of computer systems and network is particularly important. This paper first analyses the security threat, secondly analyzes the control and management of network security strategy.
Key words: LAN; network security; prevention strategy
中图分类号:TP393.1
一、局域网安全的威胁分析
局域网是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。一般的情况下,局域网的网络安全威胁通常有以下几类:
1.核心设备自身的安全威胁
软交换网络采用呼叫与承载控制相分离的技术,网络设备的处理能力有了很大的提高。可以处理更多的话务和承载更多的业务负荷,但随之而来是安全问题。对于采用板卡方式设计的网络设备,一块单板在正常情况下能够承载更多的话务和负荷,那么在发生故障时就有可能造成更大范围的业务中断。
目前,软交换设备安全完全依赖厂商的软硬件的安全设计,主要通过主备、1+1、N+1备份和自动倒换以及软硬件模块化设计等方式实现故障情况下的切换和隔离。但备份和倒换的可靠性无法保障:关键设备的倒换(特别是一些关键接口板)一般会影响业务或者设备运行,倒换的成功率目前无法保障,可能在紧急情况下无法顺利进行倒换。
2.网络层面的安全威胁
虽然单个或者区域核心节点的安全可以通过负荷分担或者备份来保证,但是从网络层面来看仍然存在安全隐患。在现有的软交换网络中,各种平台类设备很多,而且往往都是以单点的形式存在,这些节点一旦失效,将严重影响网络业务。目前网络层面的威胁主要是重要业务节点瘫痪造成的业务中断、拥塞和溢出,其中SHLR、通用号码转换(一号通平台)等关键平台的影响最大。因此,应该重视突发话务冲击导致话务资源耗尽等现象。
3.承载网的安全威胁
软交换系统的承载网络采用的是IP分组网络,通信协议和媒体信息主要以IP数据包的形式进行传送。承载网面临的安全威胁主要有网络风暴、病毒(蠕虫病毒)泛滥和黑客攻击。黑客攻击网络中的关键设备,篡改其路由和用户等数据,导致路由异常,网络无法访问等。从实际运行情况来看,承载网对软交换网络的影响目前是最大的,主要是IP网络质量不稳定引起的。
4.接入网的安全威胁
软交换网络提供了灵活、多样的网络接入手段,任何可以接入IP网络的地点均可以接入终端。这种特性在为用户提供方便的同时带来了安全隐患,一些用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务,甚至向网络发起攻击。另外,接入与地点的无关性,使得安全事件发生后很难定位发起安全攻击的确切地点,无法追查责任人。
正是由于局域网内在应用上存在这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。根据这些存在的安全隐患,在局域网中采取如何策略进行防范呢?
二、局域网安全策略控制与管理
(1)网络系统的安全控制
为保护网络的安全,必须对访问系统及其数据的人进行识别,并检查其合法身份,对进入网络系统进行控制。访问控制首先要把用户和数据进行分类,然后根据需要把二者匹配起来,把数据的不同访问权限授予用户,只有被授权的用户才能访问相应的数据。通过用户识别和验证、用户口令识别和验证以及用户账号的默认限制检查进入系统,选择性访问控制是基于主体或者主体所在组的身份,这种访问控制是可选择性的,如果一个主体具有某种访问权,则它可以直接或简接地把这种控制权传递给别的主体。选择性访问控制被内置于许多操作系统当中,是任何安全措施的重要组成部分。文件拥有着可以授予一个用户或一组用户访问权。
(2)网络互连设备的安全管理
网络中的互连设备包括集线器、交换机、路由器等设备,这些设备在网络中起着非常重要的链接作用,因此,这些设备的安全性更是关系到整个网络的关键命脉。实际中,一定对网络中这些设备的登录有严格的控制管理,登录方式只能掌握在网络的管理人员手中,网络的管理人言要正确配置设备的参数,运行过程中,能够顺利连接局域网中的各个环节,使整个网络运行顺畅。
三、病毒防治策略
防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
(1)增加安全意识和安全知识,对工作人员定期培训。如果技术人员对网络安全产品一只半解,就不能正确配置,甚至根本配置错误,不但安全得不到保护,而且还带来虚假的安全,因此,在网络中,首先对技术人员进行专业的培训。只有真正掌握安全管理各方面的知识,才能使整套的安全策略得到充分的执行和实施。
(2)小心使用移动存储设备。日常工作过程中,数据的传输、备份,难免使用移动存储设备,那么,在局域网中使用这些设备时,注意的问题有:使用是保证存储设备的安全性,在使用移动存储设备时,要做到不把病毒带到网络中,以防发生网络故障,同时,也注意网络中某台计算机上的病毒感染移动存储设备,防止数据的丢失。
(3)挑选网络版杀毒软件。目前市面上杀毒软件比较多,但任何一个杀毒软件都不能对所有病毒都起作用,我们在选择杀毒软件时需要注意到以下几个方面:首先,杀毒软件对客户端设备的要求不是很高,能够保证网络中层次不齐的客户端都能安装该软件,并且运行起来顺畅。其次,杀毒软件病毒库升级比较方便,在出现新的病毒时,病毒库能够第一时间更新,确保客户端不被侵犯。最后,杀毒软件使用比较灵活,网络中的客户端都安装杀毒软件,但如果依靠人为手动进行查杀,运行起来比较麻烦,选择杀毒软件,一定能够设置某时间点进行自动查杀。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。
四、信息化安全管理制度
局域网网络的安全管理制度是网络的安全运行的保障,在制定安全管理制度中,最重要的是关于网络各种文档的制定。其中有网络建设方案文档、机房管理制度文档、各类人员职责分工、安全保密文档、网络安全方案、安全策略文档、口令管理制度、安全防护记录、应急响应方案等等制度。实际中,通过以上各种文档,在网络运行过程中,随时可以用到,只有健全的管理制度,才能确保更快地处理遇到的各类问题。
五、结束语
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的研究和探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系, 要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
关键词:无线局域网;网络安全;入侵检测;分布式系统
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2007)05-11247-02
1 引言
无线局域网(WLAN)是指以无线信道作为传输媒介的计算机局域网络,是计算机网络与无线通信技术相结合的产物。它无需线缆介质,利用电磁波在空气中发送和接收数据,提供传统有线局域网的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。它是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,使传统的计算机网络由有线走向无线,由固定走向移动,达到“信息随身化、便利走天下”的理想境界。
虽然无线网络正成为市场的热点,在企事业单位等得到了广泛的应用,但是,由于无线网络的特殊性,使WLAN的安全问题显得尤为如出。安全问题始终是无线局域网的软肋,一直制约着无线局域网技术的进一步推广
2 无线局域网的网络现状、所面临的安全问题
2.1 无线局域网的基本架构
无线局域网由无线网卡(NetworkI nterfaceC ard,NI C)、无线接入点(Access Point, AP)、无线终端和其他相关设备组成。
无线局域网按照其拓扑结构可以划分为两种:对等网络和结构化网络。通常主要采用第二种组网方式。
2.2无线局域网的安全技术
访问控制和数据加密是两种常用的无线局域网安全技术。访问控制保证系统资源只能由授权用户进行访问,而数据加密则保证被发送数据的安全性和保密性,使得该数据只能被期望的用户接收和理解。无线网络的数据传输利用红外线或者无线电波在空气中进行传播,因此只要在网络的覆盖范围内,所有的无线终端都可以接收到无线信号,AP无法将无线信号定向到一个特定的接收设备,因此无线的安全保密问题就显得尤为突出。
为了提高无线网络的安全性,IEEE802.11b协议中包含了一些基本的安全措施,包括无线网络设备的服务区域认证ID (ESSID), MAC地址访问控制以及WEP加密等技术。IEEE802.l1b利用设置无线终端的ESSID来限制非法接入。利用ESSID,可以很好地进行用户群体分组,避免任意漫游带来的安全问题。
另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址,在AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝接入。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。
无线网络安全的另一重要方面数据加密可以通过WEP(Wired Equivalent Privacy)协议来进行,WEP是IEEE802.11 b协议中最基本的无线安全加密措施,其主要用途是:提供接入控制,防止未授权用户访问网络;应用加密算法对数据进行加密,防止数据被攻击者窃听、中途恶意纂改或伪造。
2.4无线局域网的安全问题
虽然无线局域网的应用扩展了网络用户的自由,但是自由也同时带来了安全性的挑战,无线局域网存在着比有线局域网更复杂的安全威胁:
(1)传统有线局域网存在的安全威胁和隐患
由于无线局域网只是传输方式上和有线网络有差异,因此,常规威胁:病毒、木马、漏洞利用、扫描攻击及拒绝服务等都是存在的
(2)无线网络信息传输在空气中的扩散性意味着传统的防火墙等手段阻止无线电波的网络通讯都是徒劳的。
(3)非授权访问威胁:从理论上讲无线网络采用服务区域认证ID 、WAC地址访问控制等技术为无线网络提供了相当的安全性, 然而事实并非如此,攻击者通过嗅探窃取到授权客户的MAC 地址, 并将其网卡的MAC 地址进行修改, 伪装成授权的客户, 通过访问控制。另外还存在欺骗AP攻击。
(4)安全威胁,网络窃听、密码破解
由于无线网络在通讯区域中传输信息可以被窃听,并且很多用户对自己的网络系统采用的默认配置和弱配置,导致黑客很容易就可以进行网络欺骗和破解,对无线网络信息进行窜改和插入等。
(5)无线环境拒绝服务攻击
基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁,从而使得无线局域网难于正常工作。另外,黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。
从上面对无线局域网安全问题的分析来看,采用入侵检测系统来加强WLAN的安全性将是一种很好的选择。
3 无线入侵检测系统的设计和实现
3.1入侵检测技术
入侵是指有关试图破坏资源完整性、机密性和可用性的活动。
入侵检测是指发现非授权用户使用计算机系统或企图使用计算机系统的行为一级发现合法用户滥用其特权行为的过程,是用来防范各种入侵的一种安全措施。
入侵检测根据数据分析方法的不同分为误用入侵检测和异常入侵检测。误用入侵检测也称基于知识或基于特征的入侵检测,是收集非正常操作即入侵行为的特征,建立相关特征库,之后运用该特征库对收集到的数据进行比较,根据比较的结果得出是否入侵的结论;异常入侵检测也称基于知识或基于行为的入侵检测,是对正常操作特征进行总结,得出正常操作的模型后,对后续的操作进行监视,一旦发现偏离统计学意义上的操作模式,即认为该操作是入侵行为。完成入侵检测的计算机系统称为入侵检测系统IDS(Intrusion Detection System)。
3.2入侵检测系统模型
目前无线局域网大多采用结构化网络(基础结构模式网络)组网方式,针对其无线网络的特点,本文提出了一个分布式无线入侵检测系统,对来自无线网络的攻击进行检测,系统架构如图1所示,系统总体分为两个部分:中心控制台和检测。
图1 系统整体架构
图2系统逻辑结构图
中央控制台对检测单元进行配置,并对检测结果进行综合决策分析;检测单元由信息收集模块、分析检测模块、通信模块组成。信息收集模块捕获相应数据后,传给分析检测模块后,首先进行协议解码,然后对协议解码后的数据进行检测,若发现入侵,将产生报警,记录攻击特征,并通过安全的通道,将报警信息发给中央控制台,中央控制台根据各检测单元上报的报警信息进行综合分析,判断入侵情况,进行相应处理。
3.3入侵检测系统实现
(1)信息收集模块拥有较高的权限,可以网络数据包进行收集和过滤并将收集到的信息交给检测模块进行分析。
根据网络布线与否,可以采用两种模式:一种是使用1张无线网卡再加一张以太网卡,无线网卡设置为“杂凑”模式,监听所有无线数据包,以太网卡则用于与中心控制台通信;另一种模式是使用2张无线网卡,其中一张网卡设置成“杂凑”模式,另一张则与中心控制台通信。
为了能够对网络数据进行实时分析,必须实现对网络数据包的捕获。Winpcap是windows平台下一个免费,公共的网络访问系统。开发Winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
它提供了以下的各项功能:捕获原始数据包;设定数据包的过滤规则;发送原始数据包;收集网络通信过程中的统计信息等。
使用pcap捕获数据包的流程分为几个阶段:选择网络监听接口、建立监听会话、编译过滤器、设置过滤器和捕获符合要求的数据包
(2)分析检测模块,是模型的基本检测单元,包含一个入侵检测模型,分布在网络的关键节点,负责利用信息收集模块提供的网络数据进行入侵检测,它是系统实施业务功能核心,执行主要的业务逻辑。各检测模块的行为模式是很相似的,一般都经过一下几个步骤:
a.对捕获的数据进行检测,确定是否为入侵;b.若为入侵,调用响应单元,执行相应措施;c.若无法判断为入侵,将可疑事件交给通信模块送中央控制台进行处理;d.记录信息,存入临时事件库。
信息捕获完成后,信息收集模块将信息送至检测引擎进行检测,目前最常用的实时检测技术手段是模式匹配和统计分析。
模式匹配:模式匹配就是将收集到的信息与一致的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
入侵规则数据库的建立:制定一套完善的入侵检测策略是建立黑的规则数据库的前提。策略初步制定如下:
a.是否出现新增无线设备;b.网络设备所在的位置;c.入侵数据包的特征值;d.入侵行为的统计特性;e.网络中AP是否安全;f.数据量是否异常增多。
统计分析:统计分析发放首先对系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用过的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象支出。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登陆时,突然用ADMIN帐号登陆。这样做的优点是可以检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
在系统中,考虑到两者的互补性,两种分析方式结合使用。
模式匹配检测算法技术:为了提高检测效率及系统性能,本系统采Aho_Crasick自动机匹配算法,此算法是多模式匹配算法中最著名的算法之一,和其他模式匹配算法相比检测速度比较快。
统计分析检测算法技术:在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。目前提出了可用于入侵检测的5种统计模型包括:
a.操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很可能是口令尝试攻击。
b.方差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
c.多元模型:操作模型的扩展,通过同时分析多个参数实现检测。
d.马尔柯夫过程模型:将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,若对应于发生事件的状态矩阵中转移概率较小,则该事件可能是异常事件。
e.时间序列分析:将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
通常发现入侵之后,监测会记录攻击特征,根据入侵检测之后反映字段做出的“通过”“报警”“审计”“联动”等措施,并通过安全通道(采用一定强度的加密算法加密,无线网络通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和进一步关联分析等
(3)中央控制台由决策响应模块和管理模块组成
a.决策模块:决策对收到的信息进行融合及态势分析,把整个分析系统联合分析,进一步进行态势评估,从而得出整个网络区域的安全情况以及评价。决策模块功能如下:
1)对检测上报的可以入侵信息进行进一步分析,降低系统误报率。决策内部实现了一个投票机,对于同一数据只有当大多数检测都判定其为入侵时,才认为它是真正的入侵,之后,决策发送确认消息给各个检测;
2)执行响应功能,对入侵进行物理定位;
3)提供与管理模块的通信接口,通过该接口,管理模块可以对检测的行为和状态进行控制。管理员界面的信息也是通过决策模块提供的通信接口来发送和接收。
b.管理模块:进行人机对话,控制管理,入侵信息的数据库更新等。
本系统是在Windows 操作系统下实现的一个无线网络入侵检测系统,采用多模式匹配的AC 自动机匹配算法和统计分析技术, 能快速检测出目前针对无线网络的经常的一些入侵行为,具有低误报率和实时处理的特点,对无线局域网的安全提供基本的保障。但随着无线网络技术的普及和提高,对于无线网络的攻击行为也会越来越多,采用的攻击技术也会越来越先进,本系统需要不断更新特征库才能检测新的攻击。下一步需要深入研究的是:怎样解决好无线加密环境中有效入侵检测和怎样有效融合分析结果的问题
参考文献:
[1]李庆超,绍志清,无线网络的安全架构于入侵检测的研究[M].计算机工程,2005.405-412.
[2]蒋见春,冯登国,网络入侵检测原理与技术[M].北京:国防工业出版社,2001.200-302.
[3]王斌,孔璐译.HoldenG.防火墙与网络安全入侵检测和VPNs[M].清华大学出版社,2004:106-214.
[4]唐谦,张大方,入侵检测中模式匹配算法的性能分析[J].计算机工程与应用,2005:136-137.
[5]柴平u,龚向阳,程时端,分布式入侵检测技术的研究[J].北京邮电大学学报,2002.
[6]张涛,网络安全管理技术专家门诊[M].清华大学出版社,2005.50-64.
[7]夏春和,张欣,网络入侵检测系统RIDS的研究[J].北京邮电大学学报,2002.200-255.
[8]唐正军网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.
[9]韩东海,王超,李群,入侵监测系统实例剖析[M].清华大学出版社,2002.
[关键词]VPN技术无线局域网SSL VPN
[中图分类号]TP3[文献标识码]A[文章编号]1007-9416(2010)03-0091-02
随着信息产业的飞速发展,通信技术和计算机技术的融合越来越快。无线通信已经成为我们生活不可缺少的一部分。但由于其无线通信设备采用的是无线信号的空中传输,使得在无线链路中传输的信息很容易被窃听,存在很不安全的因素。严重的话甚至导致整个网络的瘫痪。为此在一个企业当中建立一个无线局域网,安全性应是头号要解决的问题。VPN是无线网络建设当中解决无线通信安全问题的一个很好的方案。本文试图就VPN技术在无线局域网中的应用做出一定的探讨。
1 VPN技术概述
VPN (Virtual Private Network,虚拟专用网)是专用网络在公共网络如Internet上的扩展。VPN通过隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的,基于Internet的VPN也称为IP-VPN。所以从本质上说,虚拟专用网(VPN)是一种能够通过公用网络安全地对内部专用网进行远程访问的技术。其要点是在远程用户和VPN服务器之间建立一条加密隧道,将原始数据包加密,并在外面封装新的协议包头。这样只有知道密钥的通信双方能够解开数据包,保证了数据包在公共媒质上传送的时候,不会被非VPN 用户截取。
2 VPN技术在无线局域网中的应用分析
无线局域网因其传输介质、访问方式等原因,使得其很容易受到攻击。无线局域网常用的安全方式,如MAC地址过滤、服务区标识符(SSID)匹配等存在很多明显的弊端。利用VPN技术可以为无线局域网提供更可靠的安全解决方案。但是从目前现状来看,VPN在无线局域网中应用实现方式主要有两种,一种是基于IPSec 的无线VPN设计,另外一种是基于SSL的无线VPN设计。但是IPSec 的无线VPN设计是较早时期VPN在无线局域网中的实现方式,随着近年来无线局域网以及VPN技术的逐渐成熟,基于SSL的无线局域网实现技术已经成为主流,本文将重点探讨基于SSL的VPN技术在无线局域网中的应用。
2.1 SSL VPN在无线局域网中应用原理及功能特点
SSL(Secure Socket Layer,安全套接层)是一种在两台机器间提供安全通道的协议,它具有保护传输数据以及识别通信机器的功能。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。SSL VPN使用SSL协议和为终端用户提供基于HTTP, C/S和共享文件资源的认证和安全访问。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSL VPN的工作原理如图1所示:
SSL VPN的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需使用标准Web浏览器即可访问到企业内部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,从而大幅降低VPN网络的实施成本。二是适用于大多数设备及系统。由于Web方式的开放性,支持标准浏览器的任何设备都可以使用SSLVPN进行远程访问,包括非传统设备,如PDA等。三是适用于大多数操作系统。任何支持标准Web浏览器的操作系统都可以作为S SL VPN的客户端进行远程访问。不管用户使用的操作系统是Windows、Macintosh、UNIX还是Linux。都可以非常容易地访问到企业内部网站的资源。
2.2 SSL VPN在无线局域网中的具体应用
通过图1的示意图可以看出,SSL VPN在无线局域网网中应用的整个系统由SSL网关和Web服务器以及AP组成,其中最重要的是SSL网关。网关由多个服务器组成,LDAP服务器负责证书以及证书吊销列表的保存,RADIUS服务器负责访问控制策略,DHCP服务器负责为接入网关的局域网计算机分配IP地址,AD是证书验证服务器。
对于SSL VPN来说,要保证通信的安全,必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密,消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过,端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。SSL协议通过SSL握手来确定密钥并用该对称密钥来对通信的数据进行加密。在握手期间通过公钥技术对双方进行认证,并用密钥交换技术交换通信使用的对称密钥,然后使用对称密钥加密通信数据。SSL的安全依赖于所使用的加密套件,每个加密套件使用四种算法,即:数字签名算法,消息摘要算法,密钥确立算法以及数据加密算法。
SSL VPN在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于SSL VPN服务器来说,有效地保证自身的安全和对客户端接入的控制是最重要的。应该具备一个专门的子系统来负责对客户端的认证,它的功能是针对不同的客户端选择相应的策略进行认证;二是有效的访问控制策略。当用户通过了系统的认证之后,如何有效而灵活控制客户的访问权限,是非常重要的问题,同时也是SSL VPN系统最具特色的特点之一。如何实施用户的集中化管理,通过SSL VPN控制台进行管理,更加有效的监控用户使用权限,如何做到能够基于内容的访问控制策略等等都需要更多的关注。三是传输性能问题。对于一个SSL VPN服务器来说,传输在整个SSL VPN系统中是一个性能的瓶颈点。
总之,随着我国网络用户的快速增长,无线网络作为有效网络的有效补充,在人们的网络生活中将会占据更加重要的地位。而VPN技术作为无线局域网的一种有效安全措施,在无线局域网中具有非常广泛的应用。
[参考文献]
[1] 刘乃安.无线局域网(WLAN)――原理、技术与应用[M].西安:电子科技大学出版社,2004.
[2] 周明.SSL VPN体系结构在无线局域网中的应用与设计[J].电子科技大学.2006(4).
【关键词】医院;网络信息;安全因素;防护
【中图分类号】R197.324【文献标识码】A【文章编号】1006-4222(2016)01-0048-01
引言
在我国,信息化建设起步较晚,这无疑就造成了我国计算机网络信息安全技术的相对落后,安全措施方面的局限性也是暴漏无疑。好在随着全球化网络安全技术的不断发展,我国的网络安全技术也随之得到一定的提高,再加上新的医改方案的落实实施,更是使医院的信息化管理得到了巨大的发展,这不仅在很大程度上提高了广大医护人员的工作效率,也在一定程度上给医院的管理带来了极大的方便,更是使医院的各项工作顺以有序的进行。现阶段医院的各项工作都依赖于网络信息系统的正常运转,其安全性在很大程度上直接关系到医院工作的正常运行,因此确保医院网络系统的安全工作势在必行。
1网络安全概述
网络安全是指系统中的数据受到保护,不论是网络系统的硬件、软件还是其系统中的数据都不因任何原因被恶意更改,也不因偶然的原因而遭受到重大的破坏,甚至泄露;网络安全还要求网络系统能够连续可靠的正常运行,不出现网络服务中断的现象。网络安全顾名思义究其本质上来讲就是指网络上的信息安全。但从广义来说,任何涉及到网络上信息的保密性,或是其完整性和可用性,亦或是其真实性和可控性的相关技术及其理论都在网络安全的研究范畴。
2医院网络信息的不安全因素
2.1管理因素
管理在网络安全中扮演着至关重要的角色,其地位不容动摇。安全管理中的责权不明,会给安全管理工作带来混乱的局面,当然不健全的安全管理制度以及缺乏可操作性的管理制度都可能在不同程度上引起管理安全的风险。
2.2硬件因素
硬件安全是网络信息安全工作中的重要组成部分,其主要是指信息系统中的硬件设备的相关性能,如果其硬件性能不能够稳定的工作或者存在这样那样的故障问题:①就会使医院的各项工作受到不同程度的影响;②还会使整个网络信息系统的服务器出现问题,紧接着交换机等设备也会相继出现这样那样的问题,严重时导致医院整个网络处于瘫痪状态也是不无可能。
2.3软件因素
软件安全也是网络安全中不可或缺的因素。其主要是指计算机病毒或是黑客的侵入。在过去一段时间,医院的网络信息系统大多都采用封闭式的局域网,这样虽然避免了外来病毒以及黑客的侵入,但是就医院整体而言在很大程度上还是有局限性。现如今,现代医院网络信息系统不再使用以前封闭式的局域网,而是采用开放式的互联网网络,这样一来虽然医院的工作效率得到了明显提高,但是很容易受到外来病毒或者是黑客的侵入,致使医院网络信息系统的不安全性大大提高。
3医院网络信息的有效防护措施
3.1安全管理制度
不断完善医院网络安全管理制度是确保医院网络信息安全的有效措施之一。在执行安全策略时要制度化,确保信息化设备及系统各项工作过程中的相关管理制度的落实,并严格实施与执行。
3.2硬件安全措施
在硬件安全方面,服务器是医院网络信息系统的中心,所以加强服务器的安全管理工作十分重要。为进一步确保服务器的安全运行,需要在服务器以及安全性要求较高的设备上安装入侵检测系统,这样就能在很大程度上避免病毒的侵入。此外,外在环境也能在一定程度上对医院网络信息的安全造成一定的影响,因此就要求我们控制好设备运行的环境、湿度、温度等外在环境,从而达到确保医院网络系统安全运行的目的。
3.3软件安全措施
在软件安全方面,数据库在安全管理工作中扮演着核心角色,因此对于数据库的选择也是至关重要,目前现有医院计算机网络系统中常见的数据库有SQLSERVER、ORACLE数据库。在数据库的管理工作中严格操作以及规范管理是最基本的要求,对数据库进行及时的备份才是数据库管理工作的重中之重,备份能够有效的预防数据的丢失,确保数据库的整体完整。目前在医院中常用的数据备份方法有以下几种;双机热备、异地备份和磁带备份。双机热备是指书库从主服务器备份到备份服务器上,能够实时有效的进行,另外其每天进行三次将数据分别备份在主服务器和备份服务器上,这样一来即使其中的一台服务器出现了故障,启动另一台服务器就能保证系统的正常运转,数据的完整性也不会遭到破坏。磁带备份也是较常用的备份方式,高容量、易携带以及易保存是其较为显著的特点,在数据的异地保存中工作中具有很大的灵活性和可靠性,能够有效的预防医院中心机房发生灾难性的事故,使丢失的恢复完整。
4结语
综上所述,为了确保医院各项工作顺利有序的进行,提高医院各项工作的工作效率,就要做好医院网络信息安全的防护工作,提高医院网络信息的安全性及稳定性。
参考文献
[1]王淑梅,朱芮颖.电子文件管理中的不安全因素及防护措施[J].黑龙江档案,2002,06:47.
[2]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,17:104+110.
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
关键词:校园网安全;端口绑定;端口隔离;最大连接数
中图分类号:TP39 文献识别码:A 文章编号:1001-828X(2015)024-0000-01
一、引言
随着国家网络信息化建设的飞速发展,网络已成为人们生活中不可或缺的工具并享受着更便捷的生活方式,随着数字化校园建设的不断推进,越来越多的学校利用自己的校园网络进行教学和管理,通过Internet的形式来实现远程教育教学,教育不再受地域、学校、学科的限制,学习者也能够充分享受教育的多样性、多面性提高学习者的趣味性、选择性。鉴于校园网特殊的使用群体,日常师生较多访问量校园网,因此安全问题已为各类学校所关注,校园网安全状况直接影响着学校学习、教学的方方面面,作为局域网中不可或缺的交换设备-“交换机”就成为安全防范的着眼点。
为了保证网络的安全,一般我们需要在网络的边缘――接入层进行安全控制。在接入层所能的实施安全措施主要包括以下几个方面:Mac-ip地址绑定技术、端口接入认证技术、端口隔离技术 报文过滤技术。
二、 MAC-IP地址绑定技术
首先谈一下MAC地址与端口绑定,进行绑定操作后,只有指定MAC地址和IP地址的计算机发出的报文才能通过指定端口转发,提高了系统的安全性,增强了对网络安全的监控,同时也防止内部人员进行非法IP盗用,以H3C交换机为例(网络拓扑如图所示):
参数配置命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] user-bind ip-address 10.1.1.1 mac-address 0001-0201-2123
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] user-bind ip-address 10.2.1.1 mac-address 0001-0401-2126
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] user-bind ip-address 10.3.1.1 mac-address 0002-0261-2562
三、端口隔离技术概述
所谓端口隔离技术是指在客户端的端口间实现足够的隔离度从而确保一个客户端不会收到另外客户端的流量的技术。所实现的方法为用户将受控端口加入到某个隔离组中,进而达到实现组中的端口间二层、三层的数据隔离,进一步增加网络的灵活性和安全性。使用该技术后单播、广播和组播便不会在隔离端口间产生,ARP 病毒也就不会在被隔离计算机之间传播。(参照网络拓扑如上图)。
配置参数命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] port-isolate enable
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] port-isolate enable
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] port-isolate enable
[JX]interface ethernet1/0/1
[JX-Ethernet1/0/1] port-isolate uplink-port
四、端口接入认证技术802.1x
802.1X身份验证协议由最初的无线网络应用,后来扩展到在二层交换机和路由器等网络设备上使用。它对用户身份进行认证可基于端口来完成,也就是说当用户的数据流量试图通过配置过802.1X协议的端口时,必须要进行身份的验证,只有合法则允许其访问网络。这样的做的有点可以对内网用户进行认证,并且配置简化,在一定的程度上可以取代Windows的AD。
802.1X身份验证协议的配置,首先必须要全局启用aaa认证,这与在边界网络上使用aaa认证没有过多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证协议,并使用radius服务器来管理用户名和密码)
下面的配置aaa认证,所使用的为本地用户名和密码。
3560#config
3560(config)#aaa new-model /启用aaa认证。
3560(config)#aaa authentication dot1x default local /启用802.1X协议认证,并使用本地用户名与密码。
3560(config)# interface range fastethernet 0/1-24
3560(config-if-range)#dot1x port-control auto /在所有接口上启用802.1X身份验证。
五、结束语
综上所述,在校园网环境中,为能够实现用户稳定、安全、高效的上网,更好地服务于教育教学,网络管理人员都应当采用多元化的管理模式,对地址绑定技术、端口接入认证技术、端口隔离技术 报文过滤技术的分析,明确了交换机端口管理技术的特点,结合自己工作实际和我校的网络应用现状,选择合理的模式来管理交换机的端口。为校园网络的安全管理和有效实践奠定了良好的基础。
参考文献:
[1]陈程,欧阳昌华.互联网网络安全性及其对策[J].企业技术开发,2007(09).
关键词 医院;计算机;网络;病毒攻击
中图分类号:V355.1 文献标识码:A 文章编号:1671-7597(2013)11-0000-00
随着社会信息化水平的不断提高,信息化已经逐渐渗透到各行各业,人们变得更加的依赖计算机网络带来的信息化服务,计算机网络的成熟与发展引起了医疗行业的高度关注[1],经过多年的不断发展,大部分的医院基本上实现了网络化的全面普及,医院所有的数据信息都存储在自身的计算机网络环境中,计算机网络给予人民带来方便的同时,也使得计算机网络的正常运行时刻遭受着各种因素的威胁,因此必须总结出一套足以保障医院计算机网络安全的措施以及方法,才能使得医院的计算机网络环境更加安全、更加高效。
1 医院计算机网络存在的安全隐患
1.1 计算机病毒感染
计算机病毒(Computer Virus)是造成计算机网络中大量信息资源泄漏的主要途径,医院内部的所有计算机都存在着感染到计算机病毒的可能性,计算机病毒与医学中的病毒完全不同,计算机病毒具体指的是制造者在计算机应用程序中植入的具备破坏数据信息资源或者计算机功能的程序,该计算机程序能够对计算机产生一定的影响,通常具备自我复制性、极大的破坏性以及极强的传染性。
计算机病毒隐蔽性非常强,通常隐蔽在文件、网上下载的程序、不健康的网页等,这种形式再借助互联网网络、移动存储介质、电子邮件等传播媒介进行复制传播。一旦计算机遭受到病毒的攻击,轻的情况下会影响到计算机系统的运行效率、占用被攻击计算机的存储空间等,重的情况下则会造成重要数据信息资源的丢失,用户帐号以及密码等信息的丢失则会直接造成用户财产的不安全性,此外,计算机病毒还能够删除以及篡改计算机内部的数据信息,造成信息数据的丢失以及不准确性,医院的局域网由于具备较多的客户端机器,因此在安全维护上存在着诸多问题,当计算机遭受到类似蠕虫一样的计算机病毒的时候,则会造成整个医院计算机服务器以及网络出现瘫痪的严重现象。
1.2 黑客攻击
黑客攻击通常采取的攻击技术手段便是非法入侵以及拒绝服务(DOS,DENIAL-OF-SERVICE)攻击,非法入侵攻击手段的主要措施便是对攻击的计算机中的数据进行删除、篡改以及复制等[3],有的医疗工作人员借助黑客软件或者其他的一些非法措施窃取到数据库访问密码以及帐号,并通过该帐号以及密码对医院的核心数据库进行修改,给医院的数据信息的安全带来极大的隐患。拒绝服务攻击也是黑客攻击最为常用的攻击手段,具体指的是攻击者通过各种技术措施使得目标计算机停止提供服务,进而造成被攻击目标出现瘫痪的现象,或者使得整个医院的网络出现瘫痪。
1.3 软件自身漏洞
计算机系统的组成通常离不开软件以及硬件,其中不完善的软件系统通常会存在着巨大的安全隐患,攻击者针对软件系统的漏洞能够迅速的找到攻击策略,进而成功对计算机进行攻击。
1.4 计算机网络物理硬件安全
硬件物理设备的安全是整个医院计算机网络安全的基础,物理安全的最终目标是确保计算机网络设备不会遭受到环境事故或人为操作失误以及犯罪等行为而导致的物理破坏。
2 医院计算机网络安全保障措施以及方法研究
医院计算机网络安全的保障措施非常多,本文针对前面提到的几点安全隐患给出了对应的安全防范措施以及方法。
2.1 计算机病毒防治方法
计算机病毒是目前医院计算机网络中防护的重点对象,计算机病毒的不定时攻击对医院的计算机网络带来了极大的安全隐患,针对此种现象,本文提出统一管理、统一防护以及统一升级的防范措施,统一管理具体指的是对医院的所有计算机进行统一全面管理,统一防护指的是采用同样的防治策略能够确保医院网络中的计算机都能够得到防护,统一升级指的是对于计算机病毒库的升级同样采取统一策略,并且病毒库的升级尽量避免人为因素的干扰,可以采取自动下载升级的策略更新病毒库系统[4]。除此之外计算机病毒防护还需要软件以及硬件相结合的防治策略,硬件指的是在整个医院计算机网络拓扑中添加防火墙、三层交换机等设备,从物理角度防范病毒软件的植入等安全攻击,软件系统指的是则可以借助现有的比较流行的安全防护软件系统对计算机进行安全保护,定时扫描计算机。时刻监控计算机是否遭受到计算机病毒的攻击。
2.2 数据信息资源备份
医院计算机网络中的数据信息资源量比较大,可以对医院的数据库服务器数据采用双机热备份措施,本文建议对于医院的数据可以采取每五个小时进行一次差异备份,数据完全备份的时间间隔建议在一天以内,在数据完全备份的同时将数据转存到数据库备份服务器上,如果医院条件允许,则建议将备份数据进行异地存储。
2.3 安装网络实时监控软件系统
实时监控软件系统的部署能够有效的帮助医院计算机管理工作人员实时监控所有的操作,能够第一时间发现用户的非法操作,并且能够将用户非法操作的画面进行截图存储到控制台中,画面可以作为证据,此外还能够发送警告等指令提醒用户正在进行非法操作。通过实时监控软件系统能够很大程度上降低用户非法操作所产生的安全隐患。此外,还可以对整个医院网络进行信息侦听,借助信息侦听软件能够迅速的捕获非授权的违规访问以及网络尝试访问,进而第一时间侦听到系统所遭受到的攻击危害。信息侦听技术是现阶段防范黑客攻击效果最好的技术措施。
2.4 计算机网络物理隔离
物理隔离指的是对于医院中的计算机网络则采用三层交换机、防火墙以及虚拟网络技术等措施进行隔离,通过虚拟网络的分割划分能够有效的实现子网段的物理隔离,这样某个网段的安全隐患则不会渗透到整个网段。
2.5 数据信息加密以及访问控制
数据信息资源以及网络资源是医院计算机网络中最为珍贵的资源,因此可以对数据信息采取加密的措施,与此同时,还必须对数据信息资源的访问进行安全控制,对于所有的非授权访问全部拒绝。
2.6 建立完善的计算机网络安全管理制度
医院的计算机网络的安全防护必须建立在一套完善的计算机网络安全管理规章制度上,制度与技术的结合才能够有效的保障医院计算机网络信息系统的安全,才能够确保医院的计算机网络安全、稳定、高效的运行。
3 总结
随着计算机网络技术的不断进步,以全球互联网网络作为代表的互联网技术瞬间渗透到了世界的每个角落,这同时也给计算机网络带来了潜在的安全隐患。医院的计算机网络安全防护是一个巨大而艰巨的工程,需要依赖于一个全面的、整体的技术保障,与此同时也是一个动态以及长期的防护过程,医院计算机网络安全措施的研究需要紧密的将医院实际情况以及技术结合起来,并制定有效的保证措施以及规章制度才能逐步提升医院计算机网络系统的安全。
参考文献
[1]周薇.医院网络系统中病毒防范策略研究[J].中国医疗设备,2009(02).
[2]张真真.大型医院网络安全防护体系的架构[J].现代医院管理,2008(06).
[3]刘莉.医院信息网络系统的安全维护[J].中国医疗设备,2008(12).
[4]毛晔沁.医院网络安全的技术实现与改进[J].信息安全与技术,2011(06).
关键词 校园网;网络信息;安全措施;分析
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)97-0230-02
1校园网安全特性分析
通常来讲,信息安全重点关注的是信息资源、通信资源以及计算机资源等被一些恶意的行为破坏,出现了信息泄露、被篡改、滥用的现象。信息网络的安全特性主要有完整性、可用性、保密性以及未授权使用资源的安全威胁,这些安全特性也是校园网的安全特性。
目前,不少学校的校园网中使用的网络没有设置防护系统,也没有内部网络和外部网络的区别,可以说安全策略和安全措施的设置丝毫没有受到学校的重视。
主要表现在网络的应用管理系统较为分散、没有设置完善的防毒策略、没有采取数据备份措施以及尚未建立集中的身份验证系统等等。
在教育信息化速度日益加快的今天,学校中的很多工作都需要通过网络来完成,例如管理、科研方面的工作,除此之外,校内的诸多业务系统都需要通过校园网来建立,如教务系统、人事系统、办公系统以及财务系统等。如果校园网网络信息的安全问题再得不到足够的重视,将会给校园网埋下严重的安全隐患。
2校园网网络信息安全风险分析
校园网具有网络连接形式复杂、设备种类数量多以及操作系统平台不一致的特点,这就给校园网的网络信息的安全带来了很多威胁,风险主要来自一些几个方面。
2.1互联网导致的风险
校园网络的构建几乎都需要用到Internet技术,并且还需要连接到互联网上。网络用户可以直接访问互联网的资源,同样任何能上互联网的用户也可以直接访问校园网的资源。
这样的网络构建方式对于提高学校的知名度、扩大学校的影响力具有十分重要的作用。然而互联网具有网络信息的开放性和共享性,这就导致了网络信息存在一定的安全隐患,学校在获得知名度的同时,也会出现一些安全问题。
互联网上的信息都不能完全信任,因为网络信息的安全性无法保证,是否会出现网络攻击更难以预料,这就需要学校在使用校园网时切实做好安全防范工作,预防和化解存在的安全风险。
2.2内部导致的风险
据相关统计显示,有将近75%的网络信息安全事件都是源于内部。可见,内部网络存在的安全风险十分严重。
因为内部人员比其他人员更熟悉内部网络的应用系统和网络结构,这就容易出现网络内部人员攻击内部网络的事件,或者内部人员与外部人员联手攻击网络,亦或是内部人员将网络信息随意泄露出去的行为,这都可能会给校园网的网络系统带来破坏性的打击。
特别是近年来校园网络的迅速发展,并且和一般性的局域网络不同,校园网使用的用户中网络高手较多,更需要切实做好校园网的安全预防工作。
2.3病毒导致的安全风险
病毒是一种非法程序,它是为了达到某种企图而秘密编写的,它的复制能力非常强。病毒能够给计算机网络带来毁灭性的破坏。
尤其是目前互联网的发展速度日新月异,使用电子邮件系统的用户变得越来越多,致使网络成为了病毒扩散的重要载体,并且能够借助计算机这一载体将病毒肆意地传播开来。由此可见,校园网的网络信息在病毒肆意蔓延的环境下存在着诸多安全隐患。
2.4管理导致的安全风险
在网络安全中,管理占据着十分重要的地位。不少学校都将学校的建设放在重要的位置,而不太重视学校的管理工作,尤其是网络安全管理。
可见,出现网络安全的一个重要原因就是学校没有制定完善的安全管理制度。
如,校园网的网络用户没有树立较强的安全意识,校园网缺乏完善的管理制度,校园网络管理员设置不合理以及用户口令设置不恰当等等,这些都给校园网带来了严重的安全隐患。
2.5系统导致的安全风险
由系统导致的安全风险主要来自于数据库系统、操作系统以及各种应用系统。大多数校园网一般使用三种系列的操作系统,它们是Linux、Unix以及Windows,使用程度最高的系列是最后一种。
不言而喻,每一种操作系统都不可能是完美的,或多或少都会存在一些未知和已知的安全问题,并且国家安全组织也对系统中存在的大量漏洞给予了披露。系统中存在的有些漏洞能够使攻击者畅通无阻地进入到管理员的网络系统中,进而破坏网络系统,还有些漏洞能够为病毒的入侵提供便利的条件等等。
总之,系统中存在的风险也严重威胁着校园网的网络信息的安全。
3保护校园网信息安全的对策
3.1重视网络安全规划
注重对校园网实施安全规划的目标是为了从系统性的角度对网络中的安全问题进行全面性的思考。网络安全规划的内容比较多,主要有病毒防御、加密技术、访问拦截、认证技术以及攻击检测技术等安全预防措施;安全服务;安全管理制度,如工作流程、网络工作人员以及维护保障制度等;安全防范策略;应用服务器、应用系统的分布情况、数据库系统设置的位置;内部网络的逻辑划分以及外部网络的逻辑划分;安全评估、数据备份与恢复措施、减灾措施以及实施计划等。
在校园网建设规划的同时,要同时做好校园网的信息规划工作,并将其列入到校园网建设规划中的重要事项当中。
3.2对网络区域进行科学合理地划分
站在安全的角度考虑,校园网对网络区域进行科学合理地划分是十分有必要的。在对网络区域进行划分时,需要充分考虑整体的安全规划以及信息安全密级,运用逻辑思维对内网和外网进行划分,划分出安全区域(内网区域)、不安全区域以及非军事区(DMZ),然后还要考虑到学校对网络的需求情况,对虚拟专用网(VLAN)进行合理地划分,如图1所示。
图1网络区域的划分
校园网的内部网络区域属于安全区域,这个区域是不允许外部用户进行访问的,因为其拥有较高的安全等级。
该区域运行的系统主要有OA系统以及各种应用系统,而这个区域应该存放的服务器主要有数据库服务器以及不同种类的内部服务器。
内部网络和外部网络用户都可以对非军事区进行访问。这个区域能够为外界提供Ftp服务、Web服务以及Email服务等多种服务。
因此,也需要为这个区域制定一些安全防护措施。校园网防火墙以外的网路接口处外部的区域被规定为了不安全区域。在认真分析了校园网用户的特征之后,总结出该结构具有的特征如下:
1)通过校园网的入侵检测系统和防火墙,校园网用户都能对互联网进行访问,使广大校园网的用户能够方便地使用网络;
2)DMZ(demilitarized zone)与外部区间之间设有防火墙,能够为校园网提供信息过滤以及访问控制等防护措施。非军事区域内提供的所有网络服务,内部网络用户和外部网络用户都能够享受,即都能够对该区域进行访问。
因此,需要在分析非军事区域的特点,为其制定出行之有效的安全防护措施。在这些安全措施制定期间,要对内部网络用户和外部网络用户做出一些规定,对开放服务不设置权限,但是对内网的各种服务需要暂时设置一些权限,不能允许内外网用户进行访问;
3)内网区域具有较高的安全级别,在对其进行设置安全防护措施时,可以同时利用入侵检测系统和防火墙,使二者进行相互配合,建立健全安全防御体系。
3.3运用行之有效的网络安全防御技术
3.3.1防火墙安全技术
防火墙这种网络设备能够对网络之间的访问起到一定的控制作用,它主要是通过拦截认证资格的用户进入内部网络、筛选不安全信息的方式,以达到保护内部网络的目的,实质上防火墙是一种位于内外网之间的安全防御系统。然而防火墙这种安全技术无法控制内部出现的没有认证授权
就进行访问的状况。所以比较适合应用于相对较为独立的内部网络,并且和外网的连接的途径受到一定的限制、网路服务种类比较集中的网络。
在对外界入侵者进行防御时,防火墙应用的技术主要有应用网关、数据包过滤以及服务等,以达到维护校园网络安全的目的。
3.3.2数据加密技术
数据加密技术可以提高网络数据的安全系数,避免出现重要数据信息被滥用、篡改以及泄露的现象,从而为网络的安全运行提供一个良好的环境。
而那些没有运用加密技术的网络数据容易在运行时受到外界的阻拦,给信息使用者带来极大的经济损失。数据加密技术主要有三大类:对称型加密技术、不可逆加密技术以及不对称型加密技术。
总之,在网络上应用这三大类加密技术可以为网络运行创造出一种安全可靠的环境。
3.3.3网络入侵检测技术
网络入侵是指通过不合法的手段企图使信息系统的完整性、机密性以及可信性受到严重破坏的任何网络活动,对网络环境的安全性造成了严重的威胁。
而入侵检测(Intrusion Detection)技术能够对网络的外部环境进行检测,而且还能对网络内部用户的未授权活动进行检测,极大程度上提高了其安全性。网络入侵技术通过利用新型的攻守结合战略来对相关数据进行检测,并及时验证其是否具有合法利用特权,并且还能搜集相关证据,借此来追究入侵者的非法行为。
IDS是入侵检测技术中常用的一种能够为管理者提供安全可靠信息的检测系统,它能够及时地检测到网络运行中出现的可疑或不安全因素,然后将其真实地告诉网络管理者,以便于采取有效的措施进行防御。
市场上比较常见的IDS产品综合采
用三个基本方法来检测网络入侵:即为追踪分析、网包分析及实时活动监控。
参考文献
[1]邓长春.浅谈网络信息安全面临的问题和对策[J].电脑与电信,2007(3).
[2]陈文冠,曹亮,陈兴华.高校校园网信息安全的研究[J].科技管理研究,2007(2).