论文部分内容阅读
【摘 要】本文分析了计算机网络局域网系统安全存在的问题,并且提出了局域网系统安全防范策略。
【关键词】局域网系统 安全 问题
一、引言
随着计算机网络的不断发展和普及,计算机网络带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要。由于来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
二、计算机网络局域网系统安全存在的问题
(一)欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,而正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息,如用户名、口令、账号ID、ATM、PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站,但由于大型网站反应比较迅速,而且所提供的安全功能不断增强,网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段,因此会造成经常性的信息丢失等现象发生。
(二)计算机病毒及恶意代码的威胁
对计算机局域网络安全造成威胁的主要问题在于病毒的危害。由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。因为局域网络在数据共享上给用户提供方便的同时,也便于病毒的传播。近些年来,网络病毒层出不穷,其中蠕虫病毒和木马病毒最为严重,一旦出现蠕虫病毒,整个网络就会陷于瘫痪,无法进行正常的运行,而木马病毒能将用户的各种信息盗窃,致使用户的工作和生活受到严重威胁。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件(crime ware)汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。
(三)破坏数据库完整性
由于数据库作为所有业务系统的数据处理和存储的平台,存储了大量重要信息,因此极易受到非法者的攻击。非法者利用各种工具监视、收集网络中传输的信息,当他们截获用户账号或者口令后即可随意进出数据库,对数据库进行篡改、伪造,窃取。另外,若数据库的个别帐户权限过大,容易造成合法用户的非授权访问,例如:访问、修改其他合法用户的信息等,从而造成数据库信息紊乱,丢失等严重后果。
三、计算机网络局域网系统安全防范策略
(一)采用VLAN(虚拟局域网)技术
VLAN是一种不受网络用户的物理位置限制而根据用户需求进行网络分段的虚拟局域网,其具有灵活性和扩张性等特点,利于网络的维护和管理。在局域网中,对VLAN技术进行有效利用,可以为局域网解决冲突域、广播域、宽带问题,从而大大提高网络运行效率。VLAN在划分后,可以缩小广播域,从而大大降低网络中广播包消耗带宽所占的比例,大幅度提高网络的安全性能。由于是通过网络层的路来实现不同VLAN之间的数据传输,因此,采用VLAN技术,结合数据链路层和网络层的交换设备,可以搭建安全可靠的网络。
(二)应用防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙高可靠性网络部署是为了避免因为网络的故障和设备的停工造成的损失。配置防火墙冗余总共需要三套IP地址,其中每个防火墙有一套自己真实的地址(内部地址、外部地址和DMZ区地址),另外两个防火墙还共享一套虚拟的地址,而真正起到作用的正是这套真实的地址,内部用户的网关以及外部的一些相关的路由设置都需要指向这个虚拟的地址。
分布式的环境一般分为一个中心节点和多个分支节点,一般来说,中心节点采用性能高的防火墙,可以采用双机热备份的模式,保证网络的可靠性;另外也可以通过对VPN功能实现与总部的信息通讯的安全;对于没有专线的分支节点,可以采用防火墙自带的对子网拨号的VPN功能,也能够实现与总部之间的安全通讯。
(三)局域网防病毒技术
对于局域网防病毒技术主要有以下几种:分布式杀毒技术。是一种建立在集中式管理基础上的网络防病毒技术。安装在网络系统中特定计算机的中央控制台和安装在每台计算机的杀毒软件,共同构筑成协调一致的病毒防护体系。网络管理员只需要通过控制台就可管理整个网络的所有杀毒程序,掌管全网各节点的病毒防护状况,对各节点同一实施病毒特征代码库和杀毒软件的联网升级和更新;病毒源监控技术。密切关注和测控外部网络中的病毒动向,将所有病毒堵截在网络入口处,是当前网络防病毒技术的一个重点。例如用于Internet访问代理服务器的模块、用于邮件服务器的模块、用于文件服务器的模块和用与计算机的模块,形成一个全方位的防病毒解决方案,构成了一道网关防毒网;数字免疫系统。采用该技术的网络防病毒产品能够应付网络病毒爆发和极端恶意事件的发生。在网络系统的管理中,数字免疫系统能够根据网络管理员的要求,自动进行病毒检测和分析,还可以自动监视计算机和网络中的可疑行为,为网络防病毒产品对付未知病毒提供依据。
(四)加强数据库的信息保密防护
文件和数据库网络中两种数据组织形式,缺乏共享性的文件组织形式的数据已成为现在网络存储数据的主要形式。由于在对系统的操作过程中,对数据库没有进行特殊的保密措施,而数据库的数据就会以可读的形式存储系统中,因此,须要采取另外的方法进行数据库的保密。例如,可以针对具体的应用直接在应用系统开发时进行加密。
四、结束语
综上所诉,局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]吴俭.局域网安全内部防范措施的思考[J].信息与电脑(理论版).2010(12)
[2]凌金波.局域网的安全管理与维护[J].科技传播.2010(21)
【关键词】局域网系统 安全 问题
一、引言
随着计算机网络的不断发展和普及,计算机网络带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要。由于来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
二、计算机网络局域网系统安全存在的问题
(一)欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,而正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息,如用户名、口令、账号ID、ATM、PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站,但由于大型网站反应比较迅速,而且所提供的安全功能不断增强,网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段,因此会造成经常性的信息丢失等现象发生。
(二)计算机病毒及恶意代码的威胁
对计算机局域网络安全造成威胁的主要问题在于病毒的危害。由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。因为局域网络在数据共享上给用户提供方便的同时,也便于病毒的传播。近些年来,网络病毒层出不穷,其中蠕虫病毒和木马病毒最为严重,一旦出现蠕虫病毒,整个网络就会陷于瘫痪,无法进行正常的运行,而木马病毒能将用户的各种信息盗窃,致使用户的工作和生活受到严重威胁。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件(crime ware)汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。
(三)破坏数据库完整性
由于数据库作为所有业务系统的数据处理和存储的平台,存储了大量重要信息,因此极易受到非法者的攻击。非法者利用各种工具监视、收集网络中传输的信息,当他们截获用户账号或者口令后即可随意进出数据库,对数据库进行篡改、伪造,窃取。另外,若数据库的个别帐户权限过大,容易造成合法用户的非授权访问,例如:访问、修改其他合法用户的信息等,从而造成数据库信息紊乱,丢失等严重后果。
三、计算机网络局域网系统安全防范策略
(一)采用VLAN(虚拟局域网)技术
VLAN是一种不受网络用户的物理位置限制而根据用户需求进行网络分段的虚拟局域网,其具有灵活性和扩张性等特点,利于网络的维护和管理。在局域网中,对VLAN技术进行有效利用,可以为局域网解决冲突域、广播域、宽带问题,从而大大提高网络运行效率。VLAN在划分后,可以缩小广播域,从而大大降低网络中广播包消耗带宽所占的比例,大幅度提高网络的安全性能。由于是通过网络层的路来实现不同VLAN之间的数据传输,因此,采用VLAN技术,结合数据链路层和网络层的交换设备,可以搭建安全可靠的网络。
(二)应用防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙高可靠性网络部署是为了避免因为网络的故障和设备的停工造成的损失。配置防火墙冗余总共需要三套IP地址,其中每个防火墙有一套自己真实的地址(内部地址、外部地址和DMZ区地址),另外两个防火墙还共享一套虚拟的地址,而真正起到作用的正是这套真实的地址,内部用户的网关以及外部的一些相关的路由设置都需要指向这个虚拟的地址。
分布式的环境一般分为一个中心节点和多个分支节点,一般来说,中心节点采用性能高的防火墙,可以采用双机热备份的模式,保证网络的可靠性;另外也可以通过对VPN功能实现与总部的信息通讯的安全;对于没有专线的分支节点,可以采用防火墙自带的对子网拨号的VPN功能,也能够实现与总部之间的安全通讯。
(三)局域网防病毒技术
对于局域网防病毒技术主要有以下几种:分布式杀毒技术。是一种建立在集中式管理基础上的网络防病毒技术。安装在网络系统中特定计算机的中央控制台和安装在每台计算机的杀毒软件,共同构筑成协调一致的病毒防护体系。网络管理员只需要通过控制台就可管理整个网络的所有杀毒程序,掌管全网各节点的病毒防护状况,对各节点同一实施病毒特征代码库和杀毒软件的联网升级和更新;病毒源监控技术。密切关注和测控外部网络中的病毒动向,将所有病毒堵截在网络入口处,是当前网络防病毒技术的一个重点。例如用于Internet访问代理服务器的模块、用于邮件服务器的模块、用于文件服务器的模块和用与计算机的模块,形成一个全方位的防病毒解决方案,构成了一道网关防毒网;数字免疫系统。采用该技术的网络防病毒产品能够应付网络病毒爆发和极端恶意事件的发生。在网络系统的管理中,数字免疫系统能够根据网络管理员的要求,自动进行病毒检测和分析,还可以自动监视计算机和网络中的可疑行为,为网络防病毒产品对付未知病毒提供依据。
(四)加强数据库的信息保密防护
文件和数据库网络中两种数据组织形式,缺乏共享性的文件组织形式的数据已成为现在网络存储数据的主要形式。由于在对系统的操作过程中,对数据库没有进行特殊的保密措施,而数据库的数据就会以可读的形式存储系统中,因此,须要采取另外的方法进行数据库的保密。例如,可以针对具体的应用直接在应用系统开发时进行加密。
四、结束语
综上所诉,局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]吴俭.局域网安全内部防范措施的思考[J].信息与电脑(理论版).2010(12)
[2]凌金波.局域网的安全管理与维护[J].科技传播.2010(21)