浅谈局域网管理中的安全防护技术

康晓霞

武警甘肃省总队

浅谈局域网管理中的安全防护技术

康晓霞

武警甘肃省总队

随着信息化建设不断推进,相对独立的计算机局域网建设快速发展，依托地方电信网络建成的集图像、声音、数据的远程传输和信息共享网络得到企业单位青睐，自动化办公水平得到大幅提高。然而，由于互联网技术固有缺陷和非法操作的客观存在，局域网建设还存在薄弱环节。因此，如何加强安全技术防范，提高网络安全防护建设水平,有效防止失泄密事件的发生成为不容忽视的问题。

网络安全；系统漏洞；对策

一、局域网建设现状及存在的安全问题

信息化建设中，网络应用不断拓展，网络环境日趋复杂，网络安全事件时有发生。

造成网络安全问题的原因主要有以下几个方面。一是系统固有的脆弱性。计算机网络本身具有开放性、互联性等特点，容易受到外来用户攻击。计算机网络的基础是TCP/IP协议、网络设备和具有联网能力的操作系统。然而，TCP/IP协议族有先天的设计漏洞，到目前仍然无法克服。例如，利用协议漏洞而出现的Smart攻击、SYN攻击、拒绝服务攻击及源路由篡改攻击等。同样，网络设备功能强大而且复杂，但以目前的技术而论，也没有完全避免漏洞的可能。各种操作系统存在先天缺陷的同时，随着一些新功能的不断开发而带来一些新的漏洞。例如常见的FTP Daemon缺省帐户攻击等。在网络系统上所存在的这些安全隐患，极易被别有用心的人员利用来实施攻击、入侵和盗取信息。二是防护能力弱。局域网内部,个别用户利用自己掌握的一些黑客小程序、恶意脚本和系统漏洞，进行试探性攻击入侵活动。常见的有登录数据库、泄漏涉密信息、删除重要数据等。还有个别人员违反规定，私自将局域网终端接入因特网，如果网络边界防护不到位，黑客就会通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞，并使用相应黑客程序进行攻击。还可能通过网络监听等手段获得内部网用户的用户名、口令等信息，进而假冒合法身份进行非法登录，窃取内部网络中重要信息。还可能通过发送大量数据包对网络服务器进行攻击，导致拒绝服务，甚至使系统瘫痪，给网络安全造成极大的威胁。三是违规操作。在使用网络过程中，部分用户还存在侥幸心理和违规操作现象，他们对网络安全考虑较少，个别用户关闭杀毒软件，强行卸载管理软件，违规将存储介质“两网通用”，从而将那些针对性强，伪装程度高的蠕虫、木马程序带入局域网中，导致数据阻塞,网络瘫痪。四是法规意识淡薄。由于职责定位不清晰、定期安全测试及安全监控不到位，从而造成网络安全出现问题。涉密信息一般都存储在服务器和计算机终端的磁盘上，如果操作系统的安全存取策略设置不合理，存储的数据就可能被非法访问。

二、网络安全管理防护办法

网络安全涉及安全技术和安全管理两个方面。只有安全技术手段和安全管理制度有效结合，才能达到网络信息保密、真实、可靠、完整和可控五个目标。

（一）网络安全防护系统建设

1、虚拟网络划分。虚拟网技术将网络中物理基础设施与网络逻辑基础设施相分离，使网管人员能方便而动态地建立和重构虚拟网络，以适应各部门的协作与变动，方便网络管理，降低管理成本。

2、防护系统建设。网络安全防护系统包括防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防护系统、非法外联系统、漏洞扫描系统等安全设备。

防火墙是用来加强网络之间访问控制、防止外部网络用户以非法手段进入内部网络、访问内部网络资源，保护内部网络操作环境的特殊网络互连设备，被用来进行网络安全边界的防护。

入侵检测收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略行为和被攻击的迹象。入侵检测提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，被认为是防火墙之后的第二道安全闸门。

安全审计系统是以维护网络安全为目的的审计，保障了网络和数据不受来自外网和内网用户的入侵和破坏。它运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件，以便集中报警、分析、处理，它可以为事后攻击事件的分析提供有力的原始依据。

网络版杀毒软件采用分级部署，多层次立体病毒防护体系，保护网络内数据安全。

非法外联系统能有效保证内网中接入节点的合法性，同时对通过非正常链路接入非安全域的节点做实时预警和阻断。

（二）严格遵守规章制度，加强日常管理

网络信息安全需要先进技术和科学管理的有效结合。建立完善的网络安全组织体系，做到明确分工，责任到人，要建立健全科学实用的管理制度并严格执行。建立网络安全应急预案和定期网络风险评估制度，提高对网络安全事件的预测、反应、防范和恢复能力。要综合应用各种手段拓展网络路由，加装网络备份冗余设备，提高网络抗毁性能。安装电磁屏蔽设备，防止电磁泄漏。加装火灾、外来入侵报警等设备，确保网络设备运行环境的绝对安全。设置合理访问控制策略，做好用户名识别验证、用户口令识别、用户帐号缺省限制等工作。同时，做好网络权限控制，目录级别安全控制、网络端口和节点控制等工作。加强对网络用户操作监控，避免使终端用户的行为管理工作流于形式。

（三）加强技能培训，提高安全防范意识

网络技术的特性决定了网络安全是一个不断变化、快速发展的领域，网络又是人机结合的有机载体，网络能否高效运行，关键取决于网管人员的技术水平和终端用户的科技素养。必须改变网络信息安全服务机构专业化程度不高，专业技术人才短缺的现状。分层次进行专业知识和操作技能培训，改善知识结构，增强保密意识，提高保密技能。

网络安全管理是一个系统工程，不仅依靠先进的技术，同时要依靠严格的管理、制度约束和安全教育。网管机构应建立适合自己的网络管理系统，加强用户和授权管理，并建立审计和跟踪制度。同时，专业人员要加强网络新技术研究，从而为网络安全管理提供有力的保障。

[1]严思达.计算机网络安全技术的影响因素及其防范措施[J].信息与电脑,2011,12.

[2]薛新慈,任艳斐.计算机网络管理与安全技术探析[J].通信技术,2010（06）.

[3]王涛.浅析计算机网络安全问题及其防范措施田.科技创新与应用,2013.