淺談局域網管理中的安全防護技術

康曉霞

武警甘肅省總隊

淺談局域網管理中的安全防護技術

康曉霞

武警甘肅省總隊

隨著信息化建設不斷推進,相對獨立的計算機局域網建設快速發展，依托地方電信網絡建成的集圖像、聲音、數據的遠程傳輸和信息共享網絡得到企業單位青睞，自動化辦公水平得到大幅提高。然而，由于互聯網技術固有缺陷和非法操作的客觀存在，局域網建設還存在薄弱環節。因此，如何加強安全技術防范，提高網絡安全防護建設水平,有效防止失泄密事件的發生成為不容忽視的問題。

網絡安全；系統漏洞；對策

一、局域網建設現狀及存在的安全問題

信息化建設中，網絡應用不斷拓展，網絡環境日趨復雜，網絡安全事件時有發生。

造成網絡安全問題的原因主要有以下幾個方面。一是系統固有的脆弱性。計算機網絡本身具有開放性、互聯性等特點，容易受到外來用戶攻擊。計算機網絡的基礎是TCP/IP協議、網絡設備和具有聯網能力的操作系統。然而，TCP/IP協議族有先天的設計漏洞，到目前仍然無法克服。例如，利用協議漏洞而出現的Smart攻擊、SYN攻擊、拒絕服務攻擊及源路由篡改攻擊等。同樣，網絡設備功能強大而且復雜，但以目前的技術而論，也沒有完全避免漏洞的可能。各種操作系統存在先天缺陷的同時，隨著一些新功能的不斷開發而帶來一些新的漏洞。例如常見的FTP Daemon缺省帳戶攻擊等。在網絡系統上所存在的這些安全隱患，極易被別有用心的人員利用來實施攻擊、入侵和盜取信息。二是防護能力弱。局域網內部,個別用戶利用自己掌握的一些黑客小程序、惡意腳本和系統漏洞，進行試探性攻擊入侵活動。常見的有登錄數據庫、泄漏涉密信息、刪除重要數據等。還有個別人員違反規定，私自將局域網終端接入因特網，如果網絡邊界防護不到位，黑客就會通過嗅探程序來探測、掃描網絡及操作系統存在的安全漏洞，并使用相應黑客程序進行攻擊。還可能通過網絡監聽等手段獲得內部網用戶的用戶名、口令等信息，進而假冒合法身份進行非法登錄，竊取內部網絡中重要信息。還可能通過發送大量數據包對網絡服務器進行攻擊，導致拒絕服務，甚至使系統癱瘓，給網絡安全造成極大的威脅。三是違規操作。在使用網絡過程中，部分用戶還存在僥幸心理和違規操作現象，他們對網絡安全考慮較少，個別用戶關閉殺毒軟件，強行卸載管理軟件，違規將存儲介質“兩網通用”，從而將那些針對性強，偽裝程度高的蠕蟲、木馬程序帶入局域網中，導致數據阻塞,網絡癱瘓。四是法規意識淡薄。由于職責定位不清晰、定期安全測試及安全監控不到位，從而造成網絡安全出現問題。涉密信息一般都存儲在服務器和計算機終端的磁盤上，如果操作系統的安全存取策略設置不合理，存儲的數據就可能被非法訪問。

二、網絡安全管理防護辦法

網絡安全涉及安全技術和安全管理兩個方面。只有安全技術手段和安全管理制度有效結合，才能達到網絡信息保密、真實、可靠、完整和可控五個目標。

（一）網絡安全防護系統建設

1、虛擬網絡劃分。虛擬網技術將網絡中物理基礎設施與網絡邏輯基礎設施相分離，使網管人員能方便而動態地建立和重構虛擬網絡，以適應各部門的協作與變動，方便網絡管理，降低管理成本。

2、防護系統建設。網絡安全防護系統包括防火墻、入侵檢測系統、漏洞掃描系統、安全審計系統、病毒防護系統、非法外聯系統、漏洞掃描系統等安全設備。

防火墻是用來加強網絡之間訪問控制、防止外部網絡用戶以非法手段進入內部網絡、訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互連設備，被用來進行網絡安全邊界的防護。

入侵檢測收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略行為和被攻擊的跡象。入侵檢測提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，被認為是防火墻之后的第二道安全閘門。

安全審計系統是以維護網絡安全為目的的審計，保障了網絡和數據不受來自外網和內網用戶的入侵和破壞。它運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件，以便集中報警、分析、處理，它可以為事后攻擊事件的分析提供有力的原始依據。

網絡版殺毒軟件采用分級部署，多層次立體病毒防護體系，保護網絡內數據安全。

非法外聯系統能有效保證內網中接入節點的合法性，同時對通過非正常鏈路接入非安全域的節點做實時預警和阻斷。

（二）嚴格遵守規章制度，加強日常管理

網絡信息安全需要先進技術和科學管理的有效結合。建立完善的網絡安全組織體系，做到明確分工，責任到人，要建立健全科學實用的管理制度并嚴格執行。建立網絡安全應急預案和定期網絡風險評估制度，提高對網絡安全事件的預測、反應、防范和恢復能力。要綜合應用各種手段拓展網絡路由，加裝網絡備份冗余設備，提高網絡抗毀性能。安裝電磁屏蔽設備，防止電磁泄漏。加裝火災、外來入侵報警等設備，確保網絡設備運行環境的絕對安全。設置合理訪問控制策略，做好用戶名識別驗證、用戶口令識別、用戶帳號缺省限制等工作。同時，做好網絡權限控制，目錄級別安全控制、網絡端口和節點控制等工作。加強對網絡用戶操作監控，避免使終端用戶的行為管理工作流于形式。

（三）加強技能培訓，提高安全防范意識

網絡技術的特性決定了網絡安全是一個不斷變化、快速發展的領域，網絡又是人機結合的有機載體，網絡能否高效運行，關鍵取決于網管人員的技術水平和終端用戶的科技素養。必須改變網絡信息安全服務機構專業化程度不高，專業技術人才短缺的現狀。分層次進行專業知識和操作技能培訓，改善知識結構，增強保密意識，提高保密技能。

網絡安全管理是一個系統工程，不僅依靠先進的技術，同時要依靠嚴格的管理、制度約束和安全教育。網管機構應建立適合自己的網絡管理系統，加強用戶和授權管理，并建立審計和跟蹤制度。同時，專業人員要加強網絡新技術研究，從而為網絡安全管理提供有力的保障。

[1]嚴思達.計算機網絡安全技術的影響因素及其防范措施[J].信息與電腦,2011,12.

[2]薛新慈,任艷斐.計算機網絡管理與安全技術探析[J].通信技術,2010（06）.

[3]王濤.淺析計算機網絡安全問題及其防范措施田.科技創新與應用,2013.