论文部分内容阅读
摘 要 本文对台内局域网面临的主要安全隐患做了详细的分析,并全面探讨了台内局域网的安全设计方案。
关键词 局域网 安全隐患 完全设计方案
一、台内局域网面临的主要安全隐患
(1)意外事故:由硬件故障、电路故障等意外事故及尘土覆盖、雷电天气、水灾火灾等自然因素造成的网络故障和系统瘫痪。
(2)局域网内部人员造成的安全隐患:由于工作人员粗心大意或者操作失误,导致重要数据损坏甚至丢失。
(3)局域网外部人员的非法介入导致台内机器频率参数、天线方位参数等机密信息泄露:局域网外部人员未经允许私自进入台内局域网非法篡改或截取网内信息甚至蓄意破坏或攻击,包括黑客攻击、信息修改、网络窃听、恶意代码等。
(4)病毒:病毒对台内局域网的危害防不胜防。它能通过网络或者移动磁盘进行传染,局域网内任何一台计算机中病毒都有可能传染给其它计算机,甚至造成整个台内局域网系统瘫痪。
(5)软件漏洞:台内所用软件自身存在的安全缺陷可能使攻击者在没有得到授权的情况下访问或破坏台内系统,从而导致台内重要信息的泄露。
二、台内局域网的安全设计
1、整体设计思路
在使用台内局域网系统前,按照用户的级别和处理的密级进行授权,对于不符合要求的用户,不准许其进入台内局域网;在处理台内信息前,对用户的身份进行验证,身份不真实者,杜绝其使用台内系统。对于身份符合的用户,检测其权限和级别,然后准予其启动权限和级别内的系统;在台内信息处理的过程中,加密信息,防止信息被非法篡改或破坏。保证授权用户对台内信息资源的正常使用和共享;信息处理后,审计追踪违反安全策略的时间和责任,防止用户抵赖。
2、局域网安全设计路径
(1)拓扑结构
局域网拓扑结构在设计时应基于保障网络设备安全的基础上。对于服务器、主干交换机、路由器等重要设备进行集中管理。同时防止各种通信线路的意外损坏。在涉及网络拓扑结构时,选用千兆以太网构建网络的主干部分,实现汇聚到核心的千兆链路。对于各种类型的应用服务器,选用千兆以太网技与骨干网络设备进行链接。这就是局域网的拓扑结构设计,设计台内局域网时可以此为参照。
(2)合理划分 VLAN
当前的VLAN技术不仅可以阻止网络广播风波,同时还可以防止病毒入侵。大部分的企业或单位使用的都是基于端口划分的VLAN。这种划分方法有它自身的优点,同时也有一定的缺陷。它的优点是只要将所有端口都指定一下就可以定义VLAN成员,操作十分简单。缺点是当中任何一个VLAN用户想从原来的端口调到另一个交换机端口,就必须对所有VLAN成员重新进行定义。
按端口划分V LAN 有多种划分方法,企业或单位中最常用的是按楼层划分、按科室划分和按管理方式划分方式。每种划分方法都有各自的优缺点。
按楼层划分操作起来比较简单,但由于单位信息共享的必要性和单位科室的复杂性,一旦有病毒入侵,很难把病毒控制在一个固定的范围内,容易造成病毒在整个单位扩散,甚至造成整个单位局域网的瘫痪。
而按科室划分必须在某些特定情况下才能应用,比如某科室为了防止信息外泄,把本科室的计算机连城一个局域网,拒绝其它可是用户访问。
现在许多大型企业或单位都按管理方式划分VLAN。简单说,就是将单位的行政部、财务部、执行部分别划到不同的VLAN中,且每个VLAN都是独立的,同一个VLAN中的信息可以相互传播。如果不同的科室之间有互通信息的需要,可以在信息中心内部传输(在计算机中心, 每一V LAN 都有相应的PC 机进行相关的监控)。
(3)防火墙技术
防火墙是一种保障网络安全的基础设施,同时又是保护局域网的第一道屏障。它通过一种访问控制尺度来保障网络通信的安全,具有较强的抗攻击能力。实际上就是通过对进、出网的权限设置,强制所有链接接受检测,防止外界因素对网络的攻击和破坏。台内局域网的防火墙设置能够保护台内局域网免受外来攻击,因而防火墙是台内局域网安全系统中必不可少的。我台可以在台内局域网与互联网之间建立防火墙,通过防火墙阻挡不安全的服务和非法用户攻击台内局域网,禁止未经授权的用户访问台内局域网内受保护的网络,对所有通过的访问进行记录和数据统计,提供预警和审计功能,从而达到保障台内局域网的安全目的。
(4)网络数据存储及传输安全的设计
存储加密、数据访问控制和数据备份都是基于保障网络数据存储及传输安全的技术设计。
数据加密是指把需要保护的数据信息经过加密处理,由明文变成密文。需要应用受保护的数据信息时再把它由密文转换成明文。这样即使非法用户得到了存储的数据信息也无法破解经加密的密文,从而达到保护存储数据信息的目的。
数据访问控制技术主要是通常对数据信息用户身份鉴防止用户非法访问受控信息和保密信息。目前对终端用户的身份进行识别和验证的方法有:口令验证、通行验证和口令与IC 卡双重认证技术。此外,访问权限的控制也属于数据访问控制技术中的一种。
数据备份是保护网络存储数据最有效、最简单的方法。数据备份无论是在网络系统故障、人为操作失误,还是非法用户入侵或破坏网络存储数据的情况下,都能快速、完整地恢复计算机系统所需的数据信息。
三、结语
保障台内局域网的安全是一项系统工程,必须从管理和技术两个层面着手。一方面提高台内计算机管理人员的管理水平和管理能力,保障台内计算机的物理安全、电路安全;另一方面采用权限管理、流量控制、设置防火墙、加密认证等一系列技术措施将台内局域网的安全保障工作落到实处、落到细处。只有全面构建台内局域网的安全防御体系,才能最大限度的保障台内局域网的安全。
参考文献:
[1]王群.最新局域网管理与维护全接触[M].北京:清华大学出版社,2004:160-161.
[2]教育部考试中心.全国计算机等级考试三级教程———网络技术[M].北京:高等教育出版社,2007:191-204.
关键词 局域网 安全隐患 完全设计方案
一、台内局域网面临的主要安全隐患
(1)意外事故:由硬件故障、电路故障等意外事故及尘土覆盖、雷电天气、水灾火灾等自然因素造成的网络故障和系统瘫痪。
(2)局域网内部人员造成的安全隐患:由于工作人员粗心大意或者操作失误,导致重要数据损坏甚至丢失。
(3)局域网外部人员的非法介入导致台内机器频率参数、天线方位参数等机密信息泄露:局域网外部人员未经允许私自进入台内局域网非法篡改或截取网内信息甚至蓄意破坏或攻击,包括黑客攻击、信息修改、网络窃听、恶意代码等。
(4)病毒:病毒对台内局域网的危害防不胜防。它能通过网络或者移动磁盘进行传染,局域网内任何一台计算机中病毒都有可能传染给其它计算机,甚至造成整个台内局域网系统瘫痪。
(5)软件漏洞:台内所用软件自身存在的安全缺陷可能使攻击者在没有得到授权的情况下访问或破坏台内系统,从而导致台内重要信息的泄露。
二、台内局域网的安全设计
1、整体设计思路
在使用台内局域网系统前,按照用户的级别和处理的密级进行授权,对于不符合要求的用户,不准许其进入台内局域网;在处理台内信息前,对用户的身份进行验证,身份不真实者,杜绝其使用台内系统。对于身份符合的用户,检测其权限和级别,然后准予其启动权限和级别内的系统;在台内信息处理的过程中,加密信息,防止信息被非法篡改或破坏。保证授权用户对台内信息资源的正常使用和共享;信息处理后,审计追踪违反安全策略的时间和责任,防止用户抵赖。
2、局域网安全设计路径
(1)拓扑结构
局域网拓扑结构在设计时应基于保障网络设备安全的基础上。对于服务器、主干交换机、路由器等重要设备进行集中管理。同时防止各种通信线路的意外损坏。在涉及网络拓扑结构时,选用千兆以太网构建网络的主干部分,实现汇聚到核心的千兆链路。对于各种类型的应用服务器,选用千兆以太网技与骨干网络设备进行链接。这就是局域网的拓扑结构设计,设计台内局域网时可以此为参照。
(2)合理划分 VLAN
当前的VLAN技术不仅可以阻止网络广播风波,同时还可以防止病毒入侵。大部分的企业或单位使用的都是基于端口划分的VLAN。这种划分方法有它自身的优点,同时也有一定的缺陷。它的优点是只要将所有端口都指定一下就可以定义VLAN成员,操作十分简单。缺点是当中任何一个VLAN用户想从原来的端口调到另一个交换机端口,就必须对所有VLAN成员重新进行定义。
按端口划分V LAN 有多种划分方法,企业或单位中最常用的是按楼层划分、按科室划分和按管理方式划分方式。每种划分方法都有各自的优缺点。
按楼层划分操作起来比较简单,但由于单位信息共享的必要性和单位科室的复杂性,一旦有病毒入侵,很难把病毒控制在一个固定的范围内,容易造成病毒在整个单位扩散,甚至造成整个单位局域网的瘫痪。
而按科室划分必须在某些特定情况下才能应用,比如某科室为了防止信息外泄,把本科室的计算机连城一个局域网,拒绝其它可是用户访问。
现在许多大型企业或单位都按管理方式划分VLAN。简单说,就是将单位的行政部、财务部、执行部分别划到不同的VLAN中,且每个VLAN都是独立的,同一个VLAN中的信息可以相互传播。如果不同的科室之间有互通信息的需要,可以在信息中心内部传输(在计算机中心, 每一V LAN 都有相应的PC 机进行相关的监控)。
(3)防火墙技术
防火墙是一种保障网络安全的基础设施,同时又是保护局域网的第一道屏障。它通过一种访问控制尺度来保障网络通信的安全,具有较强的抗攻击能力。实际上就是通过对进、出网的权限设置,强制所有链接接受检测,防止外界因素对网络的攻击和破坏。台内局域网的防火墙设置能够保护台内局域网免受外来攻击,因而防火墙是台内局域网安全系统中必不可少的。我台可以在台内局域网与互联网之间建立防火墙,通过防火墙阻挡不安全的服务和非法用户攻击台内局域网,禁止未经授权的用户访问台内局域网内受保护的网络,对所有通过的访问进行记录和数据统计,提供预警和审计功能,从而达到保障台内局域网的安全目的。
(4)网络数据存储及传输安全的设计
存储加密、数据访问控制和数据备份都是基于保障网络数据存储及传输安全的技术设计。
数据加密是指把需要保护的数据信息经过加密处理,由明文变成密文。需要应用受保护的数据信息时再把它由密文转换成明文。这样即使非法用户得到了存储的数据信息也无法破解经加密的密文,从而达到保护存储数据信息的目的。
数据访问控制技术主要是通常对数据信息用户身份鉴防止用户非法访问受控信息和保密信息。目前对终端用户的身份进行识别和验证的方法有:口令验证、通行验证和口令与IC 卡双重认证技术。此外,访问权限的控制也属于数据访问控制技术中的一种。
数据备份是保护网络存储数据最有效、最简单的方法。数据备份无论是在网络系统故障、人为操作失误,还是非法用户入侵或破坏网络存储数据的情况下,都能快速、完整地恢复计算机系统所需的数据信息。
三、结语
保障台内局域网的安全是一项系统工程,必须从管理和技术两个层面着手。一方面提高台内计算机管理人员的管理水平和管理能力,保障台内计算机的物理安全、电路安全;另一方面采用权限管理、流量控制、设置防火墙、加密认证等一系列技术措施将台内局域网的安全保障工作落到实处、落到细处。只有全面构建台内局域网的安全防御体系,才能最大限度的保障台内局域网的安全。
参考文献:
[1]王群.最新局域网管理与维护全接触[M].北京:清华大学出版社,2004:160-161.
[2]教育部考试中心.全国计算机等级考试三级教程———网络技术[M].北京:高等教育出版社,2007:191-204.