论文部分内容阅读
【摘要】局域网在当今各单位信息化建设中的作用举足轻重,但其存在的安全问题也不容忽视。本文在分析威胁局域网安全主要因素的基础上,着重探讨了安全立法、教育管理以及技术等方面的防范措施,对提高局域网使用中的安全性具有重要意义。
【关键词】局域网 安全 措施 技术
【中图分类号】TP39 【文献标识码】A 【文章编号】1672-5158(2013)01—0146-01
当今社会,基于网络技术的局域网在各单位、企业、公司广泛应用,并发挥了举足轻重的作用。然而,局域网在给我们工作生活带来巨大便利的同时,也存在不容忽视的安全问题。分析局域网安全问题,并采取相应措施加以防范,对于一个单位的办公安全、经济安全乃至整个数据信息的安全都具有十分重要的意义。
一、威胁局域网安全的主要因素
目前,局域网中重建设使用、轻安全管理的现象还很普遍。因此,对安全领域的投入和管理远远不能满足安全防范的要求。
(一)安全意识淡薄
局域网用户信息安全的观念和意识明显滞后于网络建设速度,这是局域网安全问题的思想根源。比如有的用户为图方便,随意开启硬盘和打印机共享、远程桌面连接等功能,为他人从远程发动攻击提供了途径;有的用户在日常使用中,对超级管理员帐号不设密码或所设密码过于简单,他人很容易猜出密码而获得超级权限。
(二)人为攻击
人为恶意攻击是局域网安全的主要威胁。攻击者利用系统的漏洞或用户的疏忽,以各种方式有选择地破坏信息的有效性、完整性和真实性,其目的在于篡改系统中所含信息,或改变系统的状态和操作,或通过信息的破译以获得重要机密信息,对网络安全造成极大的危害,并导致机密数据的泄漏。
(三)计算机病毒
自从1986年计算机病毒的出现被专家们在实验中证实以后,便迅速蔓延到全世界,一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络陷入瘫痪。这充分反映了计算机病毒的危害性。这样的例子很多,例如一个网络教室局域网经常会发生这样的情况:一台机子染毒,稍不注意,很快所有机子都被感染并使局域网瘫痪。
(四)网络软件漏洞和“后门”
我们使用的网络软件不可能是百分之百无缺陷和漏洞的。这些漏洞和缺陷恰恰也是黑客进行攻击的首选目标。软件的“后门”是软件设计编程人员为自便而设置的,一般不为外人所知,可是一旦“后门”洞开,将使黑客对网络系统资源的非法使用成为可能。
二、局域网安全问题主要对策
局域网安全是一个复杂的系统工程,它至少应包括:社会的法律法规;安全教育;安全管理;技术措施如防火墙、网络防毒、信息加密、网络监控等。
(一)安全立法是前提
随着网络应用的普及,计算机犯罪日益增加。网络的发展需要法律的支持和保障。世界各国纷纷制定相关的法律法规。我国《刑法》对计算机犯罪作了明文规定,对多种计算机犯罪形式规定了相应的惩治条款,这是防范、打击计算机犯罪的有力武器。先后出台的《计算机信息系统保密管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等为确保计算机信息网络健康有序地发展提供了保障。
(二)教育管理是保障
对于局域网安全而言,法律制裁只能提供一种威慑,我们还必须从教育管理的角度采取措施,增加局域网系统的自我防范能力。安全教育的目的不仅是提高防范意识,同时还要自觉抵制利用计算机进行各类犯罪活动的诱惑。重视信息化的安全教育,还在于尽快培养一批信息化安全的专门人材,提高全民的信息化安全意识。此外,要建立与系统相配套的有效地和健全的管理制度,对管理和操作人员起到鼓励和监督的作用;要制定预防措施和恢复补救办法,杜绝人为差错和外来干扰,保证网络运行过程有章可循、按章办事。
(三)安全技术是基础
一是防火墙技术。防火墙是位于局域网与外部网络之间的屏障,它主要对进出局域网的数据包进行过滤。它一般有包过滤技术、代理技术和应用网关技术等三种工作方式。包过滤技术通过数据包的简单信息对其安全性加以判斷,因此,其安全性不高。而应用网关技术则将要进入局域网的信息包打开,检查里面的内容有没有破坏性的信息。一旦信息包被检查通过,网关按其内容创建一个新的信息包在局域网中传输,从而确保网内数据包的安全。代理服务技术则是在局域网与外部网络之间设立一个代理服务器,局域网与外部网络之间没有直接的连接关系。局域网内部的客户机欲访问外部网络,首先访问作为防火墙的代理服务器,然后通过代理服务器运行的代理服务程序,再去访问外部网络的资源。因此,代理服务技术有较高的安全性。
二是数据加密技术。加密技术是在存储或传输数据之前,先对数据按照一定的规则进行编码,以防止非法用户读取数据,从而保障信息数据的安全性。目前,网络中常用的加密方法有对称密钥加密方法和非对称密钥加密方法两大类。对称密钥加密方法虽然简单易行,但它也存在密钥管理量巨大、易被破解等问题。而非对称密钥加密法采用了复杂的数学处理,因此其加密强度高但加密速度较慢。在实际应用中,通常把非对称密钥法与对称密钥法结合起来以实现最佳性能。对涉密信息在局域网内部存储以及在网间传输可以使用上述加密法进行处理,以提高信息的保密性。
三是安全监控技术。网络安全监控就是检查网络中的各个系统的文件和登录以及各种网络行为。常用的方法有入侵检测和漏洞扫描。入侵检测系统位于局域网与外部网络之间或位于局域网的敏感部位,通过实时截获网络数据流,将用户当前的网络行为与其正常行为的统计概要或入侵行为规则进行对比,寻找网络攻击行为和违规的网络活动。一旦发现网络攻击或违规活动时,入侵检测系统能够根据系统安全策略做出实时响应,包括实时报警、自动阻断通信连接或执行用户自定义的策略程序等。而漏洞扫描本身并不能起到保护计算机系统的作用,对每个发现的漏洞也不会及时加补丁。漏洞扫描只是帮助局域网管理者发现入侵者潜在的进入点。漏洞扫描不检测合法用户不合适的访问,也不检测已经在系统中的入侵者。因此其安全功能具有一定的局限性。
四是数据备份和冗余技术。数据备份是把存储的数据复制到其他存储介质上,以确保在系统发生灾难事件后能尽可能的恢复数据减小损失。数据冗余技术是一种技术更高的磁盘备份技术,它是将数据同时写入不同硬盘,就好像是同时建立了几个相同的硬盘,一个出故障,另一个能立即顶替,防止系统硬盘的单点故障,保证系统不间断的正常工作。这一安全环节与局域网管理员的实际工作关系密切,所以系统管理员要定期地备份文件系统或选择合适的磁盘冗余阵列,以便在非常情况下(如系统瘫痪或受到黑客的攻击破坏时)能及时恢复系统,将损失减少到最低。
五是病毒防治技术。病毒的防治,防是主动的,治是被动的。防就是尽量避免病毒的入侵。我们应尽量做到:对外来存储介质要做到先扫描杀毒然后再使用;不要随意打开来历不明的文件或邮件。在治理上,则要尽量安装正版知名的杀毒软件,并经常对杀毒软件病毒库升级,对全盘进行彻底扫描杀毒。
其实,从某种意义上说,局域网安全的各种防范对策并不能从根本上解决网络安全问题,安全的问题归根结底还是人的问题,安全问题的最终解决还在于提高人的道德素质。
【关键词】局域网 安全 措施 技术
【中图分类号】TP39 【文献标识码】A 【文章编号】1672-5158(2013)01—0146-01
当今社会,基于网络技术的局域网在各单位、企业、公司广泛应用,并发挥了举足轻重的作用。然而,局域网在给我们工作生活带来巨大便利的同时,也存在不容忽视的安全问题。分析局域网安全问题,并采取相应措施加以防范,对于一个单位的办公安全、经济安全乃至整个数据信息的安全都具有十分重要的意义。
一、威胁局域网安全的主要因素
目前,局域网中重建设使用、轻安全管理的现象还很普遍。因此,对安全领域的投入和管理远远不能满足安全防范的要求。
(一)安全意识淡薄
局域网用户信息安全的观念和意识明显滞后于网络建设速度,这是局域网安全问题的思想根源。比如有的用户为图方便,随意开启硬盘和打印机共享、远程桌面连接等功能,为他人从远程发动攻击提供了途径;有的用户在日常使用中,对超级管理员帐号不设密码或所设密码过于简单,他人很容易猜出密码而获得超级权限。
(二)人为攻击
人为恶意攻击是局域网安全的主要威胁。攻击者利用系统的漏洞或用户的疏忽,以各种方式有选择地破坏信息的有效性、完整性和真实性,其目的在于篡改系统中所含信息,或改变系统的状态和操作,或通过信息的破译以获得重要机密信息,对网络安全造成极大的危害,并导致机密数据的泄漏。
(三)计算机病毒
自从1986年计算机病毒的出现被专家们在实验中证实以后,便迅速蔓延到全世界,一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络陷入瘫痪。这充分反映了计算机病毒的危害性。这样的例子很多,例如一个网络教室局域网经常会发生这样的情况:一台机子染毒,稍不注意,很快所有机子都被感染并使局域网瘫痪。
(四)网络软件漏洞和“后门”
我们使用的网络软件不可能是百分之百无缺陷和漏洞的。这些漏洞和缺陷恰恰也是黑客进行攻击的首选目标。软件的“后门”是软件设计编程人员为自便而设置的,一般不为外人所知,可是一旦“后门”洞开,将使黑客对网络系统资源的非法使用成为可能。
二、局域网安全问题主要对策
局域网安全是一个复杂的系统工程,它至少应包括:社会的法律法规;安全教育;安全管理;技术措施如防火墙、网络防毒、信息加密、网络监控等。
(一)安全立法是前提
随着网络应用的普及,计算机犯罪日益增加。网络的发展需要法律的支持和保障。世界各国纷纷制定相关的法律法规。我国《刑法》对计算机犯罪作了明文规定,对多种计算机犯罪形式规定了相应的惩治条款,这是防范、打击计算机犯罪的有力武器。先后出台的《计算机信息系统保密管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等为确保计算机信息网络健康有序地发展提供了保障。
(二)教育管理是保障
对于局域网安全而言,法律制裁只能提供一种威慑,我们还必须从教育管理的角度采取措施,增加局域网系统的自我防范能力。安全教育的目的不仅是提高防范意识,同时还要自觉抵制利用计算机进行各类犯罪活动的诱惑。重视信息化的安全教育,还在于尽快培养一批信息化安全的专门人材,提高全民的信息化安全意识。此外,要建立与系统相配套的有效地和健全的管理制度,对管理和操作人员起到鼓励和监督的作用;要制定预防措施和恢复补救办法,杜绝人为差错和外来干扰,保证网络运行过程有章可循、按章办事。
(三)安全技术是基础
一是防火墙技术。防火墙是位于局域网与外部网络之间的屏障,它主要对进出局域网的数据包进行过滤。它一般有包过滤技术、代理技术和应用网关技术等三种工作方式。包过滤技术通过数据包的简单信息对其安全性加以判斷,因此,其安全性不高。而应用网关技术则将要进入局域网的信息包打开,检查里面的内容有没有破坏性的信息。一旦信息包被检查通过,网关按其内容创建一个新的信息包在局域网中传输,从而确保网内数据包的安全。代理服务技术则是在局域网与外部网络之间设立一个代理服务器,局域网与外部网络之间没有直接的连接关系。局域网内部的客户机欲访问外部网络,首先访问作为防火墙的代理服务器,然后通过代理服务器运行的代理服务程序,再去访问外部网络的资源。因此,代理服务技术有较高的安全性。
二是数据加密技术。加密技术是在存储或传输数据之前,先对数据按照一定的规则进行编码,以防止非法用户读取数据,从而保障信息数据的安全性。目前,网络中常用的加密方法有对称密钥加密方法和非对称密钥加密方法两大类。对称密钥加密方法虽然简单易行,但它也存在密钥管理量巨大、易被破解等问题。而非对称密钥加密法采用了复杂的数学处理,因此其加密强度高但加密速度较慢。在实际应用中,通常把非对称密钥法与对称密钥法结合起来以实现最佳性能。对涉密信息在局域网内部存储以及在网间传输可以使用上述加密法进行处理,以提高信息的保密性。
三是安全监控技术。网络安全监控就是检查网络中的各个系统的文件和登录以及各种网络行为。常用的方法有入侵检测和漏洞扫描。入侵检测系统位于局域网与外部网络之间或位于局域网的敏感部位,通过实时截获网络数据流,将用户当前的网络行为与其正常行为的统计概要或入侵行为规则进行对比,寻找网络攻击行为和违规的网络活动。一旦发现网络攻击或违规活动时,入侵检测系统能够根据系统安全策略做出实时响应,包括实时报警、自动阻断通信连接或执行用户自定义的策略程序等。而漏洞扫描本身并不能起到保护计算机系统的作用,对每个发现的漏洞也不会及时加补丁。漏洞扫描只是帮助局域网管理者发现入侵者潜在的进入点。漏洞扫描不检测合法用户不合适的访问,也不检测已经在系统中的入侵者。因此其安全功能具有一定的局限性。
四是数据备份和冗余技术。数据备份是把存储的数据复制到其他存储介质上,以确保在系统发生灾难事件后能尽可能的恢复数据减小损失。数据冗余技术是一种技术更高的磁盘备份技术,它是将数据同时写入不同硬盘,就好像是同时建立了几个相同的硬盘,一个出故障,另一个能立即顶替,防止系统硬盘的单点故障,保证系统不间断的正常工作。这一安全环节与局域网管理员的实际工作关系密切,所以系统管理员要定期地备份文件系统或选择合适的磁盘冗余阵列,以便在非常情况下(如系统瘫痪或受到黑客的攻击破坏时)能及时恢复系统,将损失减少到最低。
五是病毒防治技术。病毒的防治,防是主动的,治是被动的。防就是尽量避免病毒的入侵。我们应尽量做到:对外来存储介质要做到先扫描杀毒然后再使用;不要随意打开来历不明的文件或邮件。在治理上,则要尽量安装正版知名的杀毒软件,并经常对杀毒软件病毒库升级,对全盘进行彻底扫描杀毒。
其实,从某种意义上说,局域网安全的各种防范对策并不能从根本上解决网络安全问题,安全的问题归根结底还是人的问题,安全问题的最终解决还在于提高人的道德素质。