1局域網的安全隱患
目前,局域網中的壹些計算機連接到了互聯網,但沒有配備相應的高級殺毒軟件和防火墻,壹些計算機系統或多或少存在各種漏洞。局域網面臨著黑客攻擊、目錄共享導致的信息泄露、計算機操作人員安全意識不足等安全風險。
2.局域網安全風險的防控策略
2.1備份局域網內的重要數據,配置網絡安全協議。
局域網中有非常重要的信息,需要及時對這些信息進行完整的備份,以便出現問題時及時恢復。備份壹方面包括局域網內部重要數據的備份,另壹方面也包括核心設備和線路的備份。對於局域網內的web服務器,需要安裝網頁防篡改系統,避免網頁被惡意篡改。局域網內核心設備的系統配置必須定期和不定期的檢查和備份,以便設備出現問題時能緊急恢復。對於局域網中的核心線路,要保持完整,並進行適當的備份,以便在某些線路出現問題時,能夠及時使用備份線路,維持整個局域網的正常工作。
TCP作為保證兩臺計算機設備之間數據順序傳輸的協議,是面向連接的,需要雙方同意才能進行通信。任何兩臺設備之間建立TCP連接,都需要壹個相互確認的初始過程,即“三次握手”。
2.2建立統壹的局域網反病毒系統。
傳統的單機殺毒形式已經不能滿足局域網安全的需求。要建立統壹的局域網防病毒系統,使用全方位的防病毒產品,針對局域網內每壹個可能的病毒攻擊點安裝相應的防病毒軟件,實現全方位、多層次的病毒防範功能。同時,局域網統壹殺毒系統可以定期自動升級,更好地避免病毒攻擊。
具體來說,局域網的統壹反病毒系統應該包括兩個模塊:反病毒服務器和客戶端。反病毒服務器是整個系統的控制中心,負責全面的病毒防範。通過客戶端安裝或網絡分發,可以在所有工作站上分別安裝客戶端軟件,所有工作站都必須由服務器進行管理和部署。局域網管理員只有通過控制臺軟件,才能達到統壹清除和防範局域網內所有計算機病毒的目的,從而有效控制整個局域網內病毒的爆發和傳播。壹旦出現新的病毒庫,只需更新殺毒服務器上的病毒庫,客戶端就可以自動下載更新殺毒服務器上的病毒庫。局域網統壹反病毒系統的病毒庫可以及時方便的更新,也可以統壹徹底的防止查殺病毒。同時具有操作簡單快捷的特點,對局域網病毒防控十分有利。360安全衛士是壹款不錯的局域網殺毒軟件。
2.3防火墻的合理安裝和配置
防火墻是壹種非常科學、有效、應用廣泛的保證局域網安全的軟件,有助於避免計算機互聯網上的不安全因素擴散到局域網內部。通過正確安裝和配置防火墻,可以在使用局域網進行通信時實施訪問控制列表,允許合法的人和數據訪問局域網,拒絕非法的用戶和數據訪問局域網,從而最大限度地防止黑客對局域網的攻擊,避免黑客任意更改、移動甚至刪除局域網上的重要信息。為了做好局域網的安全工作,必須根據局域網的安裝要求,嚴格配置防火墻內部服務器和客戶端的規則。PIX是實現局域網防火墻的壹種科學有效的方案。PIX是思科公司開發的壹系列防火墻設備,主要起到策略過濾、隔離內外網、根據用戶實際需求設置DMZ (fire zone)的作用。
2.4配備入侵檢測系統和漏洞掃描系統。
入侵檢測系統是防火墻的必要補充部分,可以實現更全面的安全管理功能,幫助局域網更好地應對黑客攻擊。入侵檢測系統可以實時捕獲內外網之間傳輸的數據,通過內置的攻擊特征庫和模式匹配、智能分析等方法,實時監控和記錄局域網內可能的入侵行為和異常。此外,入侵檢測系統還可以產生實時報警,有利於局域網管理員的及時處理和響應。
此外,還應配備漏洞掃描系統。隨著計算機網絡的快速發展,局域網中不可避免地會出現各種安全漏洞或“後門”程序。為了有效應對,必須配備現代化的漏洞掃描系統,對局域網內的工作站和服務器進行定期和不定期的安全檢查,同時提供非常具體的安全分析數據,及時修復局域網內的各類安全漏洞。
微軟基線安全分析器(MBSA)是微軟整個安全部署方案之壹,可以從微軟官網/security/default.aspx下載..MBSA將掃描基於Windows的計算機,並檢查操作系統和其他已安裝的組件(如IIS和SQL Server)以查找安全配置錯誤,並通過推薦的安全更新及時修復。
通過提供各種形式的安全產品,我們可以有效地保護、預警和監控局域網中存在的各種安全風險,有效地阻止黑客和不健康信息的非法訪問,也可以及時發現和處理局域網中存在的故障。
2.5使用VLAN技術
VLAN的英文全稱是虛擬局域網,也就是虛擬局域網。它是實現虛擬工作組的壹種先進技術,通過對局域網中的設備進行邏輯分段,可以為整個局域網生成許多不同的網段。VLAN技術的關鍵是對局域網進行分段,將整個局域網分成幾個不同的VLAN。它可以通過按照各種應用服務和相應的安全級別劃分VLANs來實現隔離,還可以控制相互訪問,對限制非法用戶訪問局域網起到了非常巨大的作用。對於使用ATM或以太網交換的交換式局域網技術的局域網,通過VLAN技術的有效使用,可以有效地加強內部網絡的管理,從而更有效地保證局域網的安全。
2.6使用訪問控制技術
通過訪問控制技術的應用,可以保證局域網中的數據不被非法使用或訪問。壹般來說,用戶的訪問控制主要包括用戶名的識別和驗證、用戶密碼的識別和驗證、用戶賬號的默認限制檢查。壹旦用戶連接並登錄局域網,局域網管理員可以自動授予用戶適當的訪問控制權限,用戶只能在自己的權限內添加、修改和刪除數據。因此,通過這種方式,局域網內部的數據只能由授權用戶訪問。當壹個主體訪問壹個對象時,它必須滿足自己的安全級別要求,並且應該遵守以下兩個原則:
①往下讀:主體的安全等級必須高於被讀對象的原則。
②寫上去:主語的安全等級必須低於被寫對象的安全等級。
需要註意的是,訪問控制權限必須嚴格按照最小權限原則進行設置,即用戶的權限不能超過他實現某項操作所必需的權限。只有明確用戶的操作,找出實現用戶操作的最小權限集,並根據這個最小權限集限制用戶擁有的權限,才能實現最小權限原則。
2.7建立良好的人才隊伍,提高電腦操作人員的安全意識。
為了保證局域網的安全,建立壹支優秀的人才隊伍是非常重要的。通過專業水平高、專業能力好、責任心強的人才隊伍,做好局域網的合理規劃和建設,有效保障局域網的日常維護和管理,用最先進的技術防控局域網的各種安全風險。
同時,電腦操作人員的安全意識也要提高。可以加強對局域網安全的教育和培訓,建立健全科學合理的規章制度,切實提高大家的安全意識。要求計算機操作人員規範操作各種局域網設備,合理設置設備和軟件的密碼,尤其是服務器密碼,必須由系統管理員掌握。
3結論
局域網安全風險的防控不是壹勞永逸的,而是壹項復雜而艱巨的系統工程。在局域網的建設和管理過程中,必須及時分析局域網中的各種安全風險,采取最有效的措施保證局域網的正常工作,為單位的信息化建設提供有力的支持。