局域网安全内部防范(精选11篇)
局域网安全内部防范 第1篇
网关是内外网通信的必经之路, 是外网联入内网的咽喉。相对来说, 内网的木马病毒都是比较少的, 但是缺乏隔离机制的内网, 一旦有一台计算机被病毒木马所感染, 其它的也就都陷入了非常危险的境地。
建议在网络内部使用代理网关。使用代理网关的好处在于, 网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关, 进而才能访问到Internet, 这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。
在代理服务器两端采用不同协议标准, 也可以阻止外界非法访问的入侵。还有, 代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。
所以对于一个局域网络来说, 在边际处至少应当有一个初具安全防范功能的路由器或是防火墙, 以建立第一道防线。防火墙的选择应该适当, 对于微小型的企业网络, 可从Black ICE、Lock Down2000、Zone Alarm、Norton Internet Securitv2001、PCcillin2001、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。
二、口令安全
现在大部分人都认识到口令安全的重要性了, 不过还是要重申一下:口令的位数要尽可能的长;不要选用生日、门牌号码、电话号码等容易猜测的密码作为口令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和没有规律的密码作为口令, 并定期改变各系统的口令。另外, 个人私用密码最好与工作时使用的密码分开。
为了保障网络的安全, 也可以利用网络操作系统所提供的保密措施。以Windows为例, 进行用户名登录注册, 设置登录密码, 设置目录和文件访问权限和密码, 以控制用户只能操作什么样的目录和文件, 或设置用户级访问控制, 以及通过主机访问Internet等。为了安全起见, 还可对主机的网络属性进行设置, 去掉TCP/IP协议和其他协议中的“Microsoft网络上的文件与打印机共享”和“Microsoft网络用户”的绑定, 其他计算机也可进行同样的设置, 且可去掉TCP/IP协议中的绑定。若使用Windows2000, 可使用其自带的一个Routing amp Remote Access工具, 设定输入ICMP代码255丢弃可防ICMP的风暴攻击和碎片攻击。
同时, 可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性, 现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施, 而数据库的数据以可读的形式存储其中, 所以数据库的保密需采取另外的方法。针对计算机及其外部设备和网络部件的泄密渠道, 可以采取相应的保密措施。
电子邮件是企业传递信息的主要途径, 因此, 必须对电子邮件进行加密处理, 可安装网盾或手写的数码签名on Sign2.0等工具软件。
三、终端计算机防护
一般来说, 终端计算机上必然需要安装的防护软件就是杀毒软件了, 基本要求就是能实时防护 (特别在上外网的时候) 、数据库更新快, 以及占用系统资源小。个人强烈推荐使用kaspersky, 技术实力没的说, 俄国技术, 病毒数据库每天更新两次, 并承诺对新病毒的响应时间为30分钟, 使用起来也比较方便, 又有汉化版, 好处说不完 (唯一缺点就是不是国产的, 使用它不能算支持民族企业了) 。
操作系统绝大多数人用的是微软的windows系列, 主要受影响的就是在安装软件时不小心装上的那些如同“牛皮癣”一般的各类插件了, 不仅占用了大量的系统资源和窗口空间, 影响开机速度, 有时还会引起不知名的错误。值得注意的是系统补丁也要及时打上。
四、防范外部攻击
目前, 计算机网络系统的安全威胁有很大一部分来自拒绝服务 (Do S) 攻击和计算机病毒攻击。为了保护网络安全, 也可以从这几个方面进行。对付“拒绝服务”攻击有效的方法, 是只允许跟整个Web站台有关的网络流量进入, 就可以预防此类的黑客攻击, 尤其对于ICMP封包, 包括ping指令等, 应当进行阻绝处理。
通过安装非法入侵侦测系统, 可以提升防火墙的性能, 达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作, 当窃取者入侵时可以立刻有效终止服务, 以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问, 规定具有IP地址的工作站对本地网络设备的访问权限, 以防止从外界对网络设备配置的非法修改。
五、重要资料及时进行备份
为了维护企业局域网的安全, 必须对重要资料进行备份, 以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃, 进而蒙受重大损失。
对数据的保护来说, 选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的, 例如ARC Serve、CA的Inocu LAN等, 配合CA的灾难恢复软件, 可以较为全面地保护数据的安全。
六、外部环境安全
局域网安全内部防范 第2篇
一、禁止外来设备与域内连接;
二、电子数据的存储介质指定为U盘或移动硬盘等数码设备,以下以移动硬盘为存储介质来说明交换过程;
三、配置两台孤机,即不连接任何网络的独立计算机,为域内数据交换的前端工作台;
四、两台孤机中,一台为数据交换计算机(以下简称交换机),一台为病毒受染计算机(以下简称受染机);
五、交换机安装防病毒软件单机版,软件版本和病毒库版本与域内防病毒系统软件保持一致;
六、受染机安装与域内客户端同版本的系统软件,安装客户端常用的应用软件;
七、受染机安装文件、注册表监视软件;
八、两台孤机在每次装机(升级)后未运作前进行全系统数据备份(ghost),备份数据存储在专用移动硬盘或直接刻录为光盘;
九、配置两只移动硬盘;
十、两只移动硬盘中,一只用作域外数据的存储盘(以下简称存储盘),一只用作与域内数据交换的 交换盘(以下简称交换盘);
十一、存储盘只存储当次需要交换的数据,交换盘只存储本次交换的数据;
十二、开启受染机的文件、注册表监视软件,连接存储盘,浏览存储盘文件,打开存储盘中的各个可执行文件;
十三、断开存储盘,拨出存储盘数据线接口;
十四、停止文件、注册表监视;
十五、分析文件、注册表监视软件日志;
十六、若有异常(感染)现象,转相应的其它作业流程;
十七、无异常,交换机开启防病毒软件;
十八、存储盘接入交换机;
十九、扫描存储盘;
二十、若有异常(扫描出病毒)现象,转相应的其它作业流程;
二十一、无异常,拷贝交换数据到交换机的新建目录;
二十二、若有异常(扫描出病毒)现象,转相应的其它作业流程;
二十三、无异常,清空存储盘,断开存储盘,拨出存储盘数据线接口;
二十四、交换盘接入交换机;
二十五、拷贝交换机新建目录下的数据到交换盘;
二十六、断开交换盘;
二十七、交换盘接入域内,交换数据;
二十八、断开交换盘与域内连接;
二十九、交换盘接入交换机;
三十、清空交换盘数据;
三十一、断开交换盘数据;
三十二、停止交换机防病毒监视;
三十三、受染机与交换机处于待命状态.
如果操作过程中有异常,如果在其它作业流程中用到两台孤机,处理完毕后,则:
三十四、交换机中,存储盘、交换盘按需分别格式化;
三十五、受染机或交换机、或两者同时做系统备份还原;
三十六、在受染机中,存储盘、交换盘按需分别格式化;在交换机中,存储盘、交换盘按需分别格式化;
三十七、若异常,废弃相应盘,重新起用新盘;
计算机局域网安全与防范技术分析 第3篇
关键词:计算机局域网;网络化技术;病毒;防范措施
中图分类号:TP393.08
计算机网络为我们的学习、工作和生活带来了极大的便利。然而,伴随着互联网网络信息资源的开放与共享,使用计算机网络也面临着诸多危险和危害。如何提升网络安全防范意识、提高网络安全防护技能,成为广大网络市民高度关注的问题。病毒、黑客、网络犯罪等给我们的信息安全带来了很大的威胁和困扰。基于此,我们应积极应对网络空间新形势,加快建设我国网络安全保障体系,切实可行的做好安全防护措施,使我国计算机局域网络在健康、安全、和谐的友好环境中又好又快的持续发展。
1 计算机网络安全的内涵
如今网络安全相关的问题越来越突出,网络安全内涵也不断的扩展。過去,人们通常把网络基础设施的安全称为网络安全,把数据与内容的安全称为信息安全。然而随着网络信息化新阶段的突破性发展,计算机网络安全不仅仅包括传统的网络基础设施安全,还包括信息层面即数据或内容的安全以及执行决策层面的安全,即与信息化有关的非传统安全的综合。即:凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。计算机局域网安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科交叉的综合性学科。我们应致力于计算机网络安全的研究上,积极开发和使用多种防护手段以此来保证计算机局域网的安全性、可靠性。
2 计算机网络安全的组成
计算机网络安全主要包含了网络设备安全、网络软件安全以及网络信息安全。首先,从网络设备安全来讲:主要包括对计算机的物理条件、物理环境及基础网络设施的安全标准,计算机网络设备的配置与管理及网络传输线路的安装及配置等;其次,网络软件安全:网络系统在安全的环境中有效运行,不被非法侵入或破坏,网络系统软件与应用软件不受病毒的侵害、或黑客等手段的篡改、复制以及侵害;再次,网络信息安全:网络信息安全是计算机网络安全的重中之重,它主要是指网络信息数据不被非法窃取,信息不被泄漏、篡改及破坏,身份不被识别等,保证系统信息的完整性、统一性;最后,网络安全管理:在计算机运行时,可能遇到的突发事件的安全处理等方面,主要包括通过对计算机网络安全建立相应地安全管理制度,开展安全审计,对网络病毒和以及造成网络威胁的可能性进行规避等。
3 加强计算机网络安全的防范技术具体措施
3.1 制定网络安全审计制度,加强网络安全自主可控
将网络信息的安全性审查作为一种制度,不仅大大的加强了网络信息安全的刚性属性,同时还会因审查力度的加大,而增加了网络安全的信息量需求,因此通过制定完整的网络安全审计制度可以行之有效的避免网络信息的潜在影响。审计制度的安全技术主要包括:入侵检测系统(IDS)网络入侵防护系统(NIPS)、安全审计系统以及漏洞扫描系统等等。其中以IDS为例:入侵检测系统(Intrusion Detection System)它是近两年热起来的安全产品,是防火墙的另一延伸和补充。它在网络安全体系中所发挥的主要作用就是能够全方位的检测到非法入侵行为并及时报警。入侵检测是根据计算机网络系统在运行中经对信息数据的采集和分析,检测网络系统中是否有非法入侵或遭到攻击的迹象,并积极地采取应对措施来阻挡对方的非法侵入,从而维护系统的安全性以及完整性的一项安全技术,在一定程度上可以有效的加强网络安全的可控性以及自主维护能力。
3.2 防火墙安全技术
防火墙技术是一种通过在网络系统边界上建立相应的网络通信监控系统,以此来保障计算机网络的安全。它主要是一种控制技术,既可以是一种软件产品,又可以通过制作嵌入到某种硬件产品之中。其最大的优势在于可以对两个网络之间的访问空间进行有效地控制,可以限制所保护的系统与其他不安全因素的网络系统想切割,与此同时所有来自互联网的传输信息以及发出的信息都须经过防火墙这一信息安全子系统,那么防火墙就可以有效地保护来自互联网上的电子邮件、文件传输以及远程控制等在特殊系统中进行信息交换的安全保护作用。当前,实现防火墙技术的主要途径包括:分组过滤和代理服务两部分。分组过滤是一种基于路由器的防火墙。它主要是在路由器中根据网络安全策略配置一张访问表或黑名单,即借助数据分组中的IP地址以此来确定XX类型的信息是否可通过防火墙等等。防火墙的主要职责就是根据访问表(或黑名单)对进出路由器的分组信息进行检查和过滤。这种防火墙简单易行,但不能完全有效地防范非法攻击。
3.3 信息加密技术分析
信息加密技术就是对系统网络信息设置个性的网络编码且不易破解,进而使得所保护的信息被隐藏,使非法用户无法获取信息的真实内容的一种技术手段。在对信息进行加密其主要在密钥的控制下,经过设置复杂的密码程序将重要的机密信息数据变换成不可直观的加密数据库称之为加密。同时对于一些重要的口令、数据、电子邮件用加密软件进行加密之后,再发送或保存,信息即使被非法获取之后,非法者仍然需要耗时耗力去解密,从而为采取补救措施赢得了必要的时间。因此,可以说加密技术是保护信息传输惟一实用的技术方法。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别。
3.4 提高创新能力,健全网络法制,保障网络安全
需要进步提高技术自主创新能力。目前,我国所用的PC操作系统和手机操作系统技术几乎都源自国外,就连所使用的核心芯片几乎都是从国外进口,这对我国网络安全带来很大的潜在的隐患。在网络安全方面,一个国家如果没有过硬的技术,就很难实现安全可控的管理。外国的核心技术是买不过来的,也是市场换不来的。基于此,我国急需培育并且自主创新网络新技术以及对网络安全产品的开发势在必行,这就需要积极发挥我国经济市场在资源配置中的决定性作用以及发挥国家政府的宏观调控作用。与此同时,单纯依靠技术水平的提高来保护安全不可能真正遏制网络危险和危害,应该尽快出台相应的法律法规来约束和管理网络的安全问题,每个人都应当从我做起,遵守国家网络安全法律和法规,共同维护、营造和谐的网络环境。
4 结束语
伴随着国际互联网络的高速发展,网络安全和信息化对一个国家很多领域都是牵一发而动全身的。因此,我们需认清现行面临的形势,充分认识做好工作的重要性和紧迫性,它是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,我们需从国际国内大势出发,统筹各方,创新发展,努力把我国建设成为网络强国。
参考文献:
[1]黄健.计算机局域网安全与防范技术探究[J].中国高新技术企业,2011(31):69-71.
[2]张莉萍.计算机局域网安全与防范技术研究[J].计算机光盘软件与应用,2013(23):158+160.
[3]黎敏聪.浅谈计算机局域网安全管理与防范[J].科学之友,2012(02):113-114.
企业局域网安全与防范 第4篇
随着信息时代的发展, 计算机网络得到了广泛应用, 网络的安全性已成为不同层次的用户共同关心的问题。广域网的安全防御体系相对而言建立的比较完善, 而企业局域网的客户端的安全威胁问题却日益严重, 且缺乏有效的安全管理手段。用户通过局域网相连接的计算机自动进入企业的内部网络, 这样可能给局域网造成安全隐患。
局域网的安全是一个系统工程, 我们需要周密地设计和部署。它是一项长期的任务, 需要我们建立完善的网络安全制度、树立牢固的安全意识的同时, 建立一个综合性的网络安全防护系统。
目前, 局域网络安全隐患正是利用了网络系统本身存在的安全弱点, 而使系统在使用和管理过程的疏漏增加了安全问题的严重程度。
2 企业局域网安全存在的威胁
2.1 欺骗性的软件使数据安全性降低
局域网用户可以实现资源共享与交互, 而正是由于资源的共享性, 会导致一些信息特别容易被改动, 别有用心的人可能利用网络的这一特性恶意修改重要信息, 给用户造成不必要的麻烦或损失。欺骗性软件是对破坏系统正常运行的一类软件的统称。它既不属于正规商业软件, 也不属于真正意义上的病毒, 它会造成电脑运行变慢、浏览器异常等现象, 还可以造成数据泄密等严重事故。
同时由于用户缺乏数据备份, 因此会造成信息的丢失, 而这些信息很可能是独一无二的。它往往会在没有经过用户许可的情况下强行潜伏到系统中, 且无法正常卸载和删除, 强行删除后还会自动生成。这些欺骗性软件通过大量发送欺骗性垃圾邮件, 试图引诱收信人给出诸如身份证号码、手机号码等敏感信息, 有时甚至冒充一些大的知名网站来骗取用户的重要信息。以往此类攻击的冒名的多是大型或著名的网站, 但由于大型网站反应比较迅速, 而且所提供的安全功能不断增强, 所以这类软件已越来越多地把目光对准了较小的网站。
2.2 计算机病毒
随着信息化社会的发展, 计算机病毒的威胁日益严重。计算机病毒是一段人为编制的计算机程序代码, 这段程序代码一旦进入计算机并得以执行, 它就会搜寻其他符合其传染条件的程序或存储介质, 确定目标后再将自身代码插入其中, 达到自我繁殖的目的。计算机病毒不但本身具有破坏性, 更有害的是具有传染性, 一旦病毒被复制或产生变种, 其速度之快令人难以预防。
有些病毒像定时炸弹一样, 始作俑者事先设定好病毒的发作时间, 定点发作。比如黑色星期五, 这种病毒不到预定时间不会对用户的电脑产生影响, 一旦条件具备马上就发作, 对用户的系统进行破坏, 让人防不胜防。一个编制精巧的计算机病毒程序, 进入系统之后不会马上发作, 在磁盘或磁带里呆上几天, 甚至几年, 一旦得到发作机会, 就会快速繁殖、复制、传播, 并且给用户造成危害。因此, 计算机病毒的泛滥会造成计算机资源的损失和破坏, 不但会造成资源和财富的巨大浪费, 而且有可能造成社会性的灾难。
2.3 用户安全意识不强
笔记本电脑在内外网之间频繁切换使用的情况很普遍, 许多用户将在外网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用, 这样很容易造成外网病毒在不经意情况下传入企业局域内网, 还可能导致内部重要信息的泄密。许多用户使用U盘、MP3类似的移动存储设备来传递数据, 经常还未将外部数据经过必要的安全检查程序, 就将信息拷贝到内部局域网的电脑上, 或者将内部数据带出企业局域网, 这给病毒的进入提供了可乘之机, 同时增加了数据泄密的可能性。
2.4 管理制度不健全
局域网安全最为重要的核心保障在于对其严格的管理, 但纵观我国国内局域网络安全管理现状, 其由于各方面因素影响, 很多企业与事业单位在网络安全方面都疏于管理。在相关局域网管理制度及其管理人员配置上方面不达标, 当下局域网网络管理严重缺乏必要的人力、财力、物力资源投入。没有投入, 自然没有相应好的管理成果;在局域网相关技术及其硬件设备配置方面, 很多企业仍旧普遍采用传统的老式网络设施, 这很难满足日常局域网络安全管理的需求;很多企业与事业单位仍采用传统的、局限于某一节点、某一设备的网络管理策略, 这明显无法适应时代与企业经济的发展。
3 企业局域网安全问题的解决办法
3.1 控制访问权限
为了实现网络的高可用性、高安全性、可扩展性, 应采用模块化的方式对整个网络进行安全区域的划分, 从而使连接在网络上的各个业务系统实现一定程度的隔离。通过在局域网第三层设备上要在不同的VLAN间设置访问控制列表, 以实现VLAN之间的访问控制, 对于核心数据区、互联网区、办公区、工业生产区等重要区域间需要通过防火墙隔离。在内外网隔离及访问系统中, 防火墙成为了时兴的保护计算机网络安全的一项重要技术性措施, 同时也是最有效和经济的措施之一。
防火墙技术可以决定哪些内部服务可以被外界访问, 外界的哪些人可以访问内部的哪些服务, 以及哪些外部服务可以被内部人员访问。强调的是, 防火墙是整体安全防护体系的一个重要组成部分, 而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中, 通过以防火墙为中心的安全方案配置, 将所有安全软件配置在防火墙上。
3.2 建立防病毒入侵系统
传统的安全解决方案中, 防火墙和入侵检测系统 (IDS, Intrusion Detection System) 已经被普遍接受, 但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备, 不能充分地分析应用层协议数据中的攻击信号, 而IDS也不能阻挡检测到的攻击。因此, 即使在网络中已部署了防火墙、IDS等基础网络安全产品, IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周, 而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果, 必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。
以入侵防御系统 (IPS, Intrusion Prevention System) 为代表的应用层安全设备, 作为防火墙的重要补充, 很好的解决了应用层防御的问题, 并且变革了管理员构建网络防御的方式。通过在线部署, 检测并直接阻断恶意流量。为了应对目前全方位的网络威胁, 选用卡巴斯基防病毒软件, 为企业内部局域网组成一个完整统一的接入端防护体系。启用杀毒软件强迫装置战略, 监测一切运转在局域网内的计算机, 对没有安装杀毒软件的计算机采用正告和阻断的方法强迫运用人安装杀毒软件。
3.3 智能分析与联动, 设立多重保护
对来自于网络、安全、操作系统、数据库、存储等设施的安全信息与事件进行分析, 关联和聚类常见的安全问题, 过滤重复信息, 发现隐藏的安全问题, 使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口, 并能根据预先制定的策略做出快速的响应, 保障网络安全。任何单一的安全保护措施都不能保证网络绝对安全, 都存在被攻破的可能。
因此需要设立多重保护系统, 各层保护相互补充, 当一层保护被破坏时, 其它层继续发挥保护网络安全的功能, 这样可以大大增加信息安全可靠度。基于这点考虑, 在做安全方案的设计时应该考虑采用多重保护机制, 不能单独依赖具体的某一个安全措施或者产品, 这样才能确保企业局域网的安全。
3.4 建立安全防范体系
目前, 现已出现的很多局域网络管理问题中, 其问题出现的根源并非由产品的质量引起, 而是由于不完善、不合理的安全管理制度而造成的。为此, 我们必须对其予以重视, 通过全面安全防范体系的构建及其日常的维护与管理, 真正意义上实现高效、规范、通用的局域网络安全管理与防护。
建立监控设施管理, 确保计算机网络系统实体安全。建立健全安全管理制度, 防止非法用户进入计算机控制室和其它各种非法行为的发生, 在保护计算机系统、打印机、网络服务器等外部设备和通信链路上下大功夫, 并不定期的对运行温度、湿度、清洁度、供电接头、三防措施、设备等进行检查、测试和维护。用网络实现流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能。如果可以图形化界面和直观全面的展现各种统计信息, 就能够帮助管理人员掌握网络状况, 增强了网络的风险防范能力。
3.5 备份重要数据
系统在崩溃或出现故障时, 可能会彻底破坏原来系统中的信息。因此, 我们应经常性地备份原来系统分区中的重要数据。简单的数据备份只要复制相关数据到非系统分区, 或移动硬盘上, 或刻录光盘备份。如果是与系统有关的数据, 则用引导光盘开机启动GHOST克隆镜像到非系统分区, 最简单的用一键备份克隆一下就可以。个人文件的转移, 是趋利避险的一个行之有效的途径, 把有用的信息转移出来, 就不再担心电脑C盘出现问题。当然, 转移毕竟不是最保险的方法, 因为C盘以外的其他逻辑盘也并不是百分之百保险, 危险还是存在。因此, 最好的万全之策是“文件转移+数据备份”。
4 总结
企业局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。企业局域网安全与网络的发展息息相关, 是一个系统的工程。保障网络安全不能仅靠杀毒软件、防火墙等硬件设备的防护, 也不仅是网络管理员的工作, 还需要每位网络用户的密切配合、群策群力、群防群治保证企业内部网络的安全, 既要做好边界防护, 又要做好内部网络的管理。
目前人们对安全管理的观念已广泛接受, 只有好的管理思想, 加上严格的管理制度, 并且负责的管理人员将管理程序实施到位, 才能保证网络的安全, 才能更好地推进企业信息化建设的进一步深入。
参考文献
[1]赛胜林.局域网的信息安全与病毒防治策略分析[J].黑龙江科技信息, 2010.
[2]李辉.计算机网络安全与对策[J].潍坊学院学报, 2007, (3) .
[3]万国根, 秦志光等.网络内容安全分析及审计技术研究[J].计算机应用研究.2004.1.
[4]金勇.网络信息内容监控技术及应用研究[D].四川大学, 2005.
单位内部安全防范 第5篇
单位内部的安保工作是社会治安管理的重要组成部分,单位内部安保人员是社会治安管理的重要力量。今天,在这里我结合当前**辖区的实际,就单位内部安全保卫工作和大家探讨三个问题。
一、当前单位内部安全防范工作存在的主要问题
(一)部分单位防范意识不强。**目前处在开发建设时期,相当一部分单位存在重效益、轻保卫的思想,加之未参加过公安机关组织的《企业事业单位内部治安保卫工作条例》等相关法律、法规的培训,致使对《企业事业单位内部治安保卫工作条例》贯彻落实不到位,对本单位内部防控网络建设的战略地位和治本意义认识不足,从而忽视对企业自身内部的保卫防范工作。
(二)部分单位在防范上的资金投入少。由于部分单位忙于企业生存发展问题,对企业防范工作重视程度不够,认为治安防控网络建设投入大、见效慢,既花费了大量的人力、物力和财力,又没有可观的效益,不愿、不敢投入太多资金搞防控网络建设或设备维护上,对于防控网络建设应付思想较突出,致使部分已有的技防设施因为缺乏专职维护、操作人员和必要的维修保养资金,在平时实战中根本无法真正发挥作用,有的形同虚设,单位防控建设水平长期滞后。
(三)部分单位内部的保卫机构和保卫人员配设不到位。部分单位过分追求眼前的经济效益,因保卫工作不能给单位带来直接的效益,导致保卫组织功能弱化,保卫干部身兼数职,保卫机构的设臵和人员配备处于边缘化,甚至是处于可有可无状态。
(四)部分单位规章制度不健全,保卫机制不规范。部分单位内部防范还处于“看门守院”式的低水平状态,同时,很多潜在的安全隐患还未在单位转化为现实安全危害,单位自身存在侥幸认识,客观上很难形成规范的内部安全保卫机制。
(五)公安机关监管不到位,日常监督检查流于形式,未能真正做好指导、监督、检查工作。
二、强化单位内部治安防控体系建设工作的对策 针对**辖区内部单位存在的问题,我们应狠抓具体措施落实,强力推进单位的内部安全防控网络建设,力求内部安全保卫工作实现效益与安全同步,使其步入“安全保效益,效益促安全”的良性循环。
(一)积极开展《单位内部治安保卫条例》的学习宣传贯彻,统一思路,提高认识。通过内保进一步加强并提高内部单位的防范、控制、报警等功能。公安机关的治安部门及派出所积极引导宣传,主动指导内部单位工作。
(二)强化依法管理,改“执法不力”为“有法必依”。要解决单位内部治安管理防范中存在的问题,必须走内部单位治安管理工作法制化、规范化的路子。内部单位治安保卫工作贯彻“预防为主、单位负责、突出重点、保障安全”的方针。同时单位内部治安保卫工作应当突出保护单位内部人员的人身安全,单位不得以经济效益、财产安全和其他任何借口忽视人身安全。强化宣传造势。要通过宣传《内保条例》、《刑法》等相关法律法规,使单位的主要负责人必须对单位内部治安保卫工作负责,必须切实加强对本单位治安保卫工作的领导,强化内部防范工作,建立安全保卫制度。
(三)加强检查指导监督,确保工作落实。公安机关依法对内部单位的治安保卫工作进行经常性的检查指导,使单位负责人将这些工作纳入议事日程,适时依法做出决策。
(四)逐步建立内部单位保卫工作新模式。要从根本上改变当前内部单位保卫工作现状,必须从适应社会主义市场经济特点出发,探索多元化体制下单位内部保卫人员、保卫手段的组织形式和方法。根据《内保条例》规定要求,治安保卫重点单位要设臵与治安保卫任务相适应的治安保卫机构,配备专职治安保卫人员,充分发挥保安公司治安管理方面的辅助作用,采取“自愿申请,公司选配,服务社会”的原则,加大保安公司的覆盖面、服务面,切实加强保安队伍管理力度,不断提高正规化建设水平。建立健全机关、企事业内部单位防范机制,重点落实要害单位的治安责任制。一般单位应当根据内部治安保卫工作需要,设臵治安机构或者专职、兼职治安保卫人员。因此,要加强保卫队伍建设,选调一批年纪轻、素质高的人员充实到保卫队伍中来,并强化教育管理,加大对保安员的教育培训力度。在培训内容上让保安员掌握基本法律常识、保安礼仪、安全防范知识、防卫技能以体高服务质量。不断提高实战能力。要建立24小时全天候不间断地值班巡逻制度,坚持领导带班,重点加强仓库、财会室、办公楼和其它要害部位、易发案部位的巡逻、守护以及夜间、双休日、节假日的守护,保证安全。加强对单位内部治安保卫队伍和重点单位保卫机构建设的业务指导,积极开展治安保卫人员业务培训和考核工作,不断提高单位内部治安保卫人员的整体素质。积极组织开展义务巡逻、企地共建、区域联防、单位协防等群防群治活动,推动内部防范与外部社会防范的一体化,共保一方平安。
(五)各单位应认真贯彻《企业事业单位内部治安保卫条例》,参与治安保卫的安全防范服务。加大技防的推广,内部单位应安装监控录相和报警装臵,安保人员和夜勤人员应配备相应的器材装备(警棍、对讲机、强光手电等)。按照《企业事业单位内部治安保卫条例》的要求,大力推进企 事业内部单位治安保卫工作机制,形成人防、物防、技防相结合的内部治安防控网络,以内促外,以外保内、联防联控、确保安全。
(六)公安部门应对内部单位的夜勤人员经常进行检查、指导、督促、对在工作中不负责任的人员,加大依法管理力度。对违反《内保条例》的单位法人,发放《隐患整改通知书》,逾期仍不整改的,造成人身伤害、财产损失的,要依法进行处罚,做到不徇情、不手软,确实使法人负起第一责任人的职责。建立“单位负责、政府监管”的新机制,依法做好单位的指导监督工作,开展创建“治安安全单位”、“平安单位”、改变经验型的指导监督方式,对企事业内部单位开展检查指导,督促建立高效的内部治安保卫责任制,对因不落实《企业事业单位内部治安保卫条例》规定而造成严重后果的,依法追究有关单位及其主要负责人和其他直接责任人员的责任。
三、具体做法
(一)强化单位内部管理,切实落实安全防范措施。
1、存放原料、成品的仓库和存放贵重物品的办公室、财务室要落实防盗措施,加装牢固的防盗门、栅;保险箱要进行必要的加固、“穿衣”;笔记本电脑等小型贵重物品要放在安全隐蔽处,离开时建议随身携带,养成出门随手锁门的好习惯。
2、强化门卫值班工作,严格执行人员、车辆进出登记制度,严格落实夜间巡防工作,值班领导要切实加强督促和检查工作。
3、有条件的单位要安装监控,已装监控的单位要检查监控效果,确保有效使用,并做好相关数据备份保存工作。
4、防范设施不健全的企业要尽量减少原料和成品的存储量。
5、大宗现金要及时存入银行,切忌在单位或保险箱过夜。
6、发生案件时要及时拨打“110”报警,并注意保护好现场。
(二)强化职工队伍管理,坚决堵塞内部安全隐患。
1、加强对内部职工的教育,提升职工自身安全防范和遵纪守法意识。
2、规范人员管理,督促外来员工及时到公安机关办理暂住证,以利于及时发现职工中的重大前科或负案在逃人员。
3、强化内部宿舍管理,落实宿舍巡视制度,杜绝外来人员随意进出现象,切实防止发生企业内的打架斗殴和宿舍财物被盗案件。
4、加强内部各部门的协调配合,对已离开本单位的职工,要及时通知门卫和宿舍管理人员,防止其回厂滋事或伺机作案。
信息技术在局域网安全防范中的应用 第6篇
关键词:局域网;安全管理;技术分析
中图分类号:TP3文献标识码:A文章编号:1007-3973(2010)010-050-02
现代信息技术发展迅猛,Intemet已经在全球范围内得到普及和应用,计算机网络技术也越来越多的服务于人类生活,并给信息技术行业带来了更多的发展机会和经济效益。目前,有大部分的网络攻击事件都是由内部人员发起的攻击或者滥用网络资源而造成的,该类攻击占网络攻击的多数,因此,内部网络安全问题应及时解决,确保局域网的安全稳定运行
1、无线局域网安全发展概况
无线局域网802.11b公布之后,已迅速成为真实标准。但自从它开始实施以来,当中的安全协议WEP就遭到人们的质疑。例如,美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早提出WEP中协议存在设计问题。而我国自2001年开始着手制定无线局域网安全标准,再通过各大科技院校的联合协作,经过2年多的努力,终于制定出无线认证和保密基础设施WAPI,现已成为国家标准。
2、局域网网络安全设计的原则
2.1网络信息系统安全与保密的“木桶原则”
计算机网络系统结构复杂,在操作和管理过程中,会因为各种漏洞而引起系统安全问题,由于多用户的网络系统本身的情况复杂,数据资源在共享时容易遭到非法用户的窃取,安全性差。攻击者寻找最容易渗透的部位,在系统的薄弱地区进行攻击。因此,我们应全面的做好系统安全漏洞修补、对一系列的安全做具体分析、并评估和检测,这是保证系统设计安全的关键。
2.2信息安全系统的“有效性与实用性”原则
在保护局域网系统安全的同时,不得影响系统的正常运行以及合法用户的正常活动,但网络信息的安全和信息资源的共享还存在一些矛盾:首先,为了更好的修补系统漏洞,技术人员会采取各种技术手段进行修补;其次,系统漏洞的修补必会给用户的使用带来不便,在当前的网络环境下,网络服务要求具备实时性,容忍安全连接和安全处理造成延误和数据扩张都会影响网络服务的质量。如何在确保安全性的基础上,将安全处理的运算量减到最小,减少不必要的服务器储存量,是现代计算机网络信息设计者迫切需要解决的问题。
3、局域网的不安全因素
3.1局域网网络安全管理体系需建立完善
网络用户数量大,对局域网的网络安全见解并不清晰,他们认为:网络安全的关键还在于网络管理员的技术投入,只要实现必要的技术投入,网络安全问题必可迎刃而解。实际上,技术上的加强只是保护网络安全的一个方面,而系统上的安全管理才是重点。俗话说“三分技术、七分管理”,这样的道理同样适用于局域网安全管理。例如,我国胜利油田制定的网络安全管理制度过于宏观,不利于各二级单位具体执行操作,甚至连花费大量经费买回的软件也无法保证正常使用,虽然技术上符合国家要求,但由于胜利油田的相关标准太宏观,难以操作,执行力不强,有时出现随意更换IP地址,导致地址冲突而无法上网,网络服务器难以履行下载任务,而病毒库也无法升级,系统中的杀毒软件形同虚设。因此,我们应根据网络安全的要求和服务规范建设合理的安全制度,健立完备的、具有指导性和可操作性的标准、规范,并不断完善制度,提高可执行性。
3.2网络安全意识淡薄
网络是现代信息科技技术发展中新事物,大多数人利用网络进行休闲、娱乐等活动,却常常忽略网络安全问题,在使用过程中存在侥幸心理,缺乏安全意识。甚至有人认为,网络安全问题只是小问题,即使开展网络安全管理,也很难取得实质的经济效益,安全技术投资难以见效;还有人认为,网络安全问题与个人无关,只需要网络管理员加强安全技术,网络的安全威胁问题就不会出现。由于网络安全意识的淡薄,导致网络安全问题愈发严重。
3.3网络安全维护资金投入严重不足
很多网络管理部门不想投入过多的资金进行网络维护,也没有指定正确的网络维护费用量,导致费用年年萎缩,计算机信息系统未得到更新,信息数据易被人盗取,所以,大多网络管理部门只能力争,能否争取到或者能争取多少运维费用存在很大变数,造成计算机系统硬件设备的落后,网络安全无法得到保障。
4、安全机制与策略
4.1建立MAC地址表,减少非法用户的侵入
如果网络用户接入不多,可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表,对所有进入的用户进行身份验证,预防非法用户的非法接入。同时。可以在AP中对批准接入的MAC地址列表进行手工维护,这个物理的地址过滤方案要求AP中的MAC地址列表能随时更新,但扩展性差,难以实现服务器在不同AP之间的漫游,而且MAC地址被认为是可以伪造的,因此,这是比较低级的地址授权。
4.2采用有线等效保密改进方案
(WEP2)IEEE802.11标准中对一种被称为有线等效保密(WEP)的可选加密方案做了规定,其目标是为WLAN提供相同级别的网络有效使用。WEP在链路层采用RC4对称加密算法,可以禁止非法用户的进入和非法接听使用。有线等效保密(WEP)方案主要是为了实现三个目标:接入控制、数据保密性和数据完整性。
4.2.1认证
当两个站点之间要建立網络连接时,首先应通过认证,执行认证管理的站点应管理认证帧到一个相应的站点,IEEE802.1Ib标准对两种认证任务有所定义:第一是开放性的认证,即802.11b默认的认证方式,这是认证方法中较简单的一种,分为两步,首先向认证另一站点的站点发送个含有发送站点身份的认证管理帧:然后,接收站发回一个提醒它是否识别认证站点身份的帧。第二是共享密钥认证,这种认证先假定每一个站点都需要有独立的802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
4.2.2WEP-WiredEquivalentPrivaey加密技术
WEP安全技术来自于RC4的RSA数据加密技术,它可以满足高层次的网络安全要求。WEP为无线局域网提供了一种安全运行方式,WEP是一种对称加密,加密和解密的密钥及算法相同,WEP的目的是控制接入,预防未被授权的网络访问。安全维护的方式是通过加密和只允许有正确WEP密钥的用户解密来保证数据的安全流通。IEEE802.11b标准一共提出了两种网络WEP加密方案。一是提供四个缺省密钥,为所有的用户终端提供包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统进行安
全通信和数据共享了,缺省密钥所存在的安全问题就是,它在被广泛分配的过程中容易遭到漏洞威胁。二是,在每个客户适配器建立一个与其他用户联系的密钥表、该方案比第一种方案更加安全,但在用户终端增加的过程中,终端分配密钥也会更加困难。
4.3IEEE802.11i的设计和实现
限于篇幅,本文仅介绍802.11i的核心部分TKIP算法的实现。
MSDU的加密和解密
规范中对MIc的算法定义如下:输入:Key(KO,K1)和MI-Mn-I输出:MICvalue(VO,VI)K,M和v都代表了32位的字。其中密钥KO,KI是从TK2的第0-63位映射过来的。MO-Mn_I表示填充了的數据(sA+DA+protrity+DATA)。MIC函数还调用了规范中定义的b(L,R)的函数。TKlP的MSDU加密过程其实就是计算MIC值的过程,而MSDU的解密过程其实就是验证MIC值的过程。
MDPU的加密和解密它们分为两步,首先通过混合函数生成WEP密钥和Iv,然后进行加密。TKIP的混合函数是要生成wEP的128位的加密(包括24位的IV)密钥。它由两个阶段的混合函数组成,它们的实现在规范中都由详细的说明。
阶段一和阶段二都依赖s一盒,其定义
如下:#define s-(v16)(sbOx[O][L08(v16)Sbox[1][Hi8(v16)])其中Sbox为二维常量数组,eonstul6bSbox[21[256]=“…),(…))。L08是获得16位参数v16的低八位的函数,Hi8是获得高八位的函数。规范对阶段一的定义如下:入:传送方的地址TAO…TA5,临时密钥TKO…TKl5-HTSCO…TSC5。输出:中间阶段密钥TTAKO…TTAK4规范对阶段二的定义如下:输入:中间阶段密钥TTAKO…TTAK4,TK-glTSC输出:WEP的种子WEPSEEDO…W EPSeedl5发送的时候从priv获得tx-iv32(TSC[2…5])]I和TKl(key[0…15])和发送缓冲区skbuff获得传送地址TA[O…5],输入到阶段一的混合函数计算出临时TTAK[0…5]。然后再把TTAK[O…5]-tx-ivl6(TSC[O…l])输入到阶段二的混合函数,计算出WEP IV和密钥。生成的WEP密钥后,就可以用它们加密数据,最后扩展skbuff把TSC等数据加密到头部。接收的时候同样先计算出wEP IV和密钥,不过此时TSC是从缓7-Oskbuff获得的。
4.4无线入侵检测系统
无线入侵检测可以随时监控计算机网络的安全情况,但无线入侵检测系统可以加强无线局域网的检测以及对系统破坏的反应能力。无线入侵检测系统可以以最快的速度找出入侵者,同时进行防御。通过该系统强有力的防范,保证局域网可以更安全的运行。
5、总结
如今,网络发展速度快,并且不断更新完善,当我们在享受网络给我们的生活带来各种便捷的同时,还要清晰的认识到,各种局域网安全问题还是依然存在的。而网络安全技术是系统综合系统中的一部分,需要对局域网的各部分加强技术分析,利用各种安全技术,积极发挥局域网应有的安全服务功能,并对各种安全技术实行完善更新,及时适应现代局域网的发展,促进局域网安全治疗的提高。
参考文献:
[1]王顺满,陶然,陈朔鹰,等,无线局域网技术与安全[M],北京:机械工业出版社,2005,09
[2]孙宏,杨义先,无线局域网协议802.11安全性分析[J],电子学报,2003,07
[3]韩旭东,IEEE 802.11i研究综述[J],信息技术与标准化,2004,11
[4]李勤,张浩军,杨峰,等,无线局域网安全协议的研究和实现[J],计算机应用,2005,01
[5]安力,无线局域网的分布式入侵检测方案[J],科技创新导报,2009,09
[6]刘衡萍,802.11标准的最新进展,现代电信科技,2003,10
浅谈企业局域网网络安全防范 第7篇
关键词:企业局域网,网络安全,防范
1 企业局域网存在的安全威胁
企业局域网网络安全的主旨, 是确保内部网络系统内的数据安全, 包括保障本网络系统中各种硬件、软件等等系统中的数据不被破坏、更改、泄露, 保证系统和服务运转的安全连续性。它本质上是为了保护企业的隐私不被泄露, 保护企业数据的机密、完整和真实。但是, 越来越开放的网络, 在给我们带来方便的同时, 也带来了更大的安全隐患。这些隐患带来的威胁, 有人为因素, 包括人不经意的失误和恶意的人为攻击, 还有网络软件的漏洞等等。当前来说, 随着网络应用的深入, 各种非法访问、恶意攻击等安全威胁也在不断加大。
对于硬件方面来说, 主要的问题是设备落后。计算机, 特别是服务器也要跟上技术发展的步伐, 更好的适应软件的安装和系统的运行。这其中, 最主要的就是防火墙和无线设备。防火墙的局限性在于对内部网络之间的入侵行为很难防范。在单位中, 许多同事自己购买的简单便宜的无线路由器搭建的无线网, 其安全风险也是非常大的。
软件方面。操作系统以及各类的软件等都是人们编写和调试的, 其本身的设计和结构避免不了人为因素, 不可能毫无缺陷和漏洞。病毒和网络攻击也正是利用这些漏洞来对网络中计算机程序进行恶意入侵修改, 导致其无法正常工作。作为网络协议和网络服务实现的载体, 操作系统需要提供网络数据通信交换所需要的各种协议支持, 还需要实现网络服务的各种程序支撑。这样大量的需求, 以及其中的人为等因素, 使在运行的过程中出现缺陷和漏洞的可能性大大增加。
人为因素。企业网络安全不仅牵扯到技术人员, 也涉及到每个人。网络资源的共享性使人们可以轻松实现信息资源的共享, 也使得企业中每个员工对计算机依赖程度不断加深, 加大了人为隐患的存在。
2 防范措施
重中之重, 是做好数据备份。主要有三种方式的数据备份:完全备份, 差异备份以及文件备份。完全备份是最花时间, 也是最必要。每隔一段时间, 我们都要进行一次完全备份, 这有利于数据的安全性与完整性。差异备份主要是把上次完全备份之后, 又有变化的部分备份一下。文件备份能用的不这么多。除了这些之外, 我们还需要进行重要数据
内部监管。加强内部监管主要有两个方面:首先, 为了有效的减小硬件设施的损坏对网络造成的损坏, 必须经常检查, 加强包括主机、交换机、路由器、防火墙, 甚至光驱等硬件设施的监管力度, 做好硬件设备的备案、治理, 做好常用设备的零件备份工作。同时加强网络管理, 控制网络行为。
安装防火墙, 加强对内部网络的细分管理。强化网络之间的互访控制, 保护内部网络信息安全。防火墙可以在内网和外网之间构筑安全防护屏障, 可以把内部网和外部网隔离开来, 规范外部网络到内部网络的访问, 确保内部网络的安全。当计算机流入流出的所有数据通过防火墙的时候进行安全检测, 对网络信息的传输提供安全保障支持。在网络中, 所谓“防火墙”, 实际上是一种隔离技术, 它将各个网络进行分割管理, 互访时用某种访问控制尺度进行安全监测, 允许规则允许的数据进出你的网络, 拦截规则之外的数据, 最大限度地阻止网络中黑客病毒等等访问内部网络。也可以说, 防火墙是内部网与外部网互联的唯一通道。不通过防火墙, 局域网就无法连接外网, 从而保护企业网内部网络不受侵害。
安装杀毒软件。杀毒软件, 也称反病毒软件、安全防护软件或防毒软件, 是对网络进行主动防御, 消除电脑病毒、特洛伊木马和恶意软件等等一系列网络威胁的软件。杀毒软件是计算机防御系统的重要组成部分, 集成主动防御、软件监控、病毒查杀、自动升级、防范黑客入侵、网络流量控制以及数据恢复等功能。平常我们主要用到的是杀毒软件的主动防御以及病毒查杀功能。它通过不断及时的升级病毒库, 对通过的数据和病毒库进行比对, 从而完成对数据的安全防护和病毒查杀。在快速的网络环境下, 病毒的传播扩散也更快。安装杀毒软件, 通过全方位、多层次查杀, 以期能最大限度的控制病毒对内部网络的侵害。
防范交叉感染。对于企业来说, 内部网应该是一个相对封闭的网络。这就要求加强对外接设备的管理, 特别是U盘的管理。U盘使用便捷, 但是也非常容易感染病毒。当一个U盘被感染病毒后, 很容易引起交叉感染。
及时修复系统漏洞, 一台未及时更新补丁, 特别是高危漏洞补丁的计算机可以说对病毒等侵害行为基本不设防, 因此对系统及时更新补丁可以最大限度的减少漏洞, 降低安全隐患。
做好IP地址保护。IP地址是一台主机在网络中最直接的显现, IP攻击也是网络攻击中比较常见的攻击方式。网络黑客可以从用户的上网痕迹或者跟踪用户的上网账号来获取IP地址。如果黑客知道了主机的IP地址, 也就有了攻击目标, 可以向这个IP地址发动各种的攻击。在网络中, 黑客经常利用某些软件和探测技术来获取主机的信息, 得到IP地址。隐藏IP地址的主要方法就是使用代理服务器, 使其它用户只能探测到代理服务器的IP地址, 隐藏真正的地址, 从而使我们的主机得到安全保证。在日常工作中必须养成良好的习惯, 防止个人关键信息泄露, 以免造成不必要的损失。
不下载安装来路不明的软件。在日常工作中, 不要随便从非官方网站上下载软件, 杜绝历不明的软件有可能带来的病毒危害。对来历不明的邮件谨慎处理, 尽量不要直接打开, 以免遭受病毒侵害。我们稍有不慎就会中病毒邮件的圈套, 遭受恶意邮件的攻击。当然, 由于当前防火墙以及杀毒软件的查杀, 现在的病毒邮件的危害范围, 已经没有以前那么大了, 但仍得引起我们的重视。
其他的, 包括关闭不必要的端口, 经常更换账号密码, 禁止建立空链接等等。
3 结束语
局域网安全内部防范 第8篇
本文将对无线局域网所面临的安全威胁进行分析, 并提出技术防范措施。
一、无线局域网安全威胁分析
(一) 非授权接入无线局域网
基于公共的电磁波进行辐射传播, 电磁波能够穿越一定范围内的玻璃、墙、天花板等物体, 因此在一个无线接入点 (AP, Access Point) 覆盖的区域内, 未授权用户也可以轻易地接收到无线AP的电磁波信号。如果无线局域网缺少全面可靠的网络接入控制措施, 可能导致非授权用户非法接入无线局域网。
(二) 数据窃取
有线局域网的数据通过双绞线或光纤传输到特定的目的地址, 一般只有在物理链路遭到破坏的情况下, 数据才有可能泄露。但是在无线AP覆盖的范围内, 所有的无线终端都可以接收到无线信号, 无线AP无法将无线信号定向到一个特定的接收设备上, 因此无线局域网被窃听和干扰的问题就显得尤为突出。
(三) 协议漏洞
无线局域网的主流标准IEEE 802.11在设计方面存在一定的缺陷, 安全漏洞较多, 给无线局域网的安全带来了威胁。比如, 无线局域网安全加密协议WEP的加密算法存在较大的漏洞, 攻击者可以借助工具软件轻易地破解无线局域网的共享密钥实现非法接入。
二、无线局域网安全防范的主要技术
(一) 无线AP静默
每个无线A P都有一个服务集标识符 (SSID, Service Set Identifier) , 以便无线终端识别不同的无线局域网, 类似手机识别不同的移动运营商的机制。默认情况下, 无线AP会将无线局域网的SSID广播出去, 无线局域网覆盖范围内的所有无线终端都可以自动接收到这些SSID信息。如果将无线AP设置为静默状态, 即手动关闭SSID广播功能, 无线终端在无法获得SSID信息的情况下不能连接到无线局域网。
(二) MAC地址过滤
在无线AP中设置一组允许接入无线局域网的MAC地址列表, 实现物理地址过滤。无线AP会对接收到的每个数据包的MAC地址进行检查, 只有具有授权MAC地址的无线终端的数据包才能被转发, 否则将被丢弃。
(三) WEP加密协议
WEP协议是IEEE 802.11b协议中最基本的无线局域网安全加密协议。该协议的主要功能包括:一是对无线终端的接入进行身份认证, 防止未授权用户访问网络;二是使用RC4加密算法对数据进行加密, 防止数据被攻击者窃听或篡改。
(四) WPA加密协议
WPA协议是一种替代WEP协议的无线安全标准协议。该协议沿用WEP协议的基本原理, 进一步加强了加密算法和用户认证机制, 解决了WEP协议存在的安全漏洞。
WPA协议主要由TKIP协议和IEEE 802.1x协议2个部分组成。其中, TKIP协议在原有的WEP加密引擎中追加了密钥细分、消息完整性检查、具有序列功能的初始向量、密钥生成和定期更新功能等4种算法, 极大地提高了加密安全强度;IEEE 802.1x是一种基于端口的网络接入控制技术, 提供一个可靠的用户认证和密钥分发的框架, 可以控制用户只有在认证通过后才能连接网络。
(五) 通过VPN进行无线连接
采用VPN技术在无线连接的基础上建立虚拟专用网来对数据传输进行认证和加密。IPSec VPN和SSL VPN是2种具有代表性的VPN技术。IPSec VPN是一种采用IPSec协议来实现网络接入的VPN技术, 可以提供公用和专用网络的端到端加密和认证服务;SSL VPN则采用了SSL协议来实现网络接入的VPN技术, 保证信息的真实性、完整性和保密性。
三、无线局域网安全防范的主要措施
为了加强无线局域网的管理, 进一步防范和化解无线局域网所面临的安全风险, 可考虑以下几种安全防范措施。
一是启用无线AP的静默和MAC地址过滤功能, 防止非授权用户非法接入无线局域网。
二是采用IEEE 802.1x技术对无线终端接入无线局域网进行控制和认证。
三是由于WEP加密协议存在安全漏洞, 建议尽量使用WPA加密协议对无线局域网进行身份认证和传输加密。
四是使用IPSec VPN或SSL VPN技术进一步增强对无线局域网的安全保护。
五是在无线局域网和有线网络之间部署防火墙, 设置必要的安全控制策略, 对无线终端的网络接入和访问进行安全控制。
局域网安全内部防范 第9篇
1.1 WEP
1997年9月IEEE 802.11标准获批, WEP加密是最早在无线加密中使用的技术。WEP密钥格式里面可选择“自动”、“开放系统”、“共享密钥”三项。
WEP标准在无线网络出现的早期就已创建, 它的安全技术源自于名为RC4的RSA数据加密技术, 是无线局域网WLAN的必要安全防护层。目前常见的是64位WEP加密和128位WEP加密。随着无线安全的一度升级, WEP加密已经出现了100%破解的方法, 通过抓包注入, 获取足够的数据包, 即可彻底瓦解WEP机密, 在短短几分钟之内就可以破解出10位数的WEP密码。
从无线安全的角度, 目前有彻底抛弃WEP加密方式的趋势。
1.2 WPA-PSK/WPA2-PSK
WPA的功能是替代较不安全的WEP (Wired Equivalent Privacy) 协议。WPA继承了WEP基本原理而又解决了WEP缺陷的一种新技术。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能, WEP中此前致命安全问题得以较好改进, 侵入无线局域网 (WLAN) 变得困难许多。
尽管WPA比WEP是有了很大的改善, WPA标准仍然不够安全。TKIP是WPA的核心组件, 设计初衷是为对现有WEP设备进行固件升级。因此, WPA必须重复利用WEP统中的某些元素, 最终WPA也可能被入侵者破解。
1.3 WPA2
WPA2是Wi Fi联盟推出的第二代标准, 使用CCMP加密标准, 也可以向下兼容TKIP, WEP。值得说明的是, WPA和WPA2都是基于802.11i的。但WPA2是基于WPA的一种更新的加密方式。
WPA2有两种版本:WPA2个人版和WPA2企业版。有一些无线路由器里集成了WPA2个人版, 可直接使用;但有一部分无线路由器使用的是WPA2企业版, 企业版则需要一台具有IEEE802.1X功能的RADIUS服务器, 否则不能使用。
2 几种非法入侵无线局域网 (WLAN) 的方法
2.1 PIN码暴力破解法 (穷举法)
2.1.1 了解WPS/QSS、PIN码
WPS (Wi-Fi Protected Setup) 是Wi-Fi保护设置的英文缩写。WPS并不是一项新增的安全性能, 它只是使现有的安全技术更容易配置。对于一般用户, WPS提供了一个相当简便的加密方法。通过该功能, 不仅可将都具有WPS功能的WiFi设备和无线路由器进行快速互联, 还会随机产生一个八位数字的字符串作为个人识别号码 (PIN) 进行加密操作。省去了客户端需要连入无线网络时, 必须手动添加网络名称 (SSID) 及输入冗长的无线加密密码的繁琐过程。[4]
WPS/QSS技术给用户使用带来了极大的方便, 但是非常不幸的是:PIN暴力破解法 (穷举法) 恰恰正是利用了WPS/QSS这项技术。据本人测试, 绝大多数 (估计90%以上) 无线路由器 (不同品牌) 默认设置都是开启了WPS/QSS功能。
PIN码是每个路由器出厂都带有一个默认的8位纯数字码, 相当于这个路由器的身份证ID号。当开启了WPS/QSS功能的无线路由器, 如果通过穷举暴力破解法获得了PIN码, 那么就可以破解得到无线密码。理论上, 这种破解方法可100%破解出密码。
因此, 曾经一度认为是100%安全的WPA2加密模式, 目前也被认为是极度的不安全了 (理论破解率达100%) 。据测试, 破解成功率可达80%以上 (和信号强度、电脑配置有关) 。
2.1.2 实际破解测试——Back Track (简称BT)
(1) 硬件要求:电脑一台, 外置无线网卡 (需与BT软件兼容) 。
(2) 软件要求:Linux环境或windows+虚拟机、Back Track、minidwep、网卡驱动程序。由于篇幅所限, 对于以上软件的安装过程, 本文在这里不再赘述。
(3) 扫描到所要破解的无线信号后, 经破解得到PIN码和密码 (PSK) 。
2.2 截取封包法 (查字典法)
2.2.1 BT破解
用上述方法, 对于没有开启WPS/QSS功能的路由器就只能截取封包, 但可采用软件查字典 (跑包) , 如果密码设置的也很复杂, 则破解仍然不成功, 这里不再赘述。
2.2.2 智能手机破解
目前有一些智能手机软件可通过查字典法破解得到无线密码, 此方法的运用原理也是查字典法。
2.2.3 智能手机密码共享 (WIFI万能钥匙)
Wi Fi万能钥匙是一款自动获取周边免费Wi-Fi热点信息并建立连接的智能手机软件。所有的WIFI信息基于云端数据库, 只要手机连上了WIFI (授权用户) , 此软件会直接将此WIFI密码保存到远程云端数据库, 以便更多的人可以使用 (可能没授权) 。
此类软件对企业的无线WLAN危害极大, 所以企业的无线WIFI最好的办法是经常更换密码来降低被未授权者入侵的风险。
3 无线局域网 (WLAN) 安全解决方案
3.1 使用较高级别加密技术
前面我们已经分析过目前几种加密方式的安全性和破解的难易程度。加密方式安全性由高到低如下:WPA2+AES;WPA+AES;WPA+TKIP/AES (TKIP仅作为备用方法) ;WPA+TKIP;WEP;Open Network开放网络, 无密码 (无安全性可言) 。
3.2 不使用弱口令 (密码) 、默认口令 (密码)
弱口令是指容易被别人猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令, 因为弱口令 (密码) 、默认口令很容易被别人破解, 从而使用户的无线WIFI面临风险, 因此做为企业级无线网络, 应严禁使用。
强烈推荐使用数字+大小写字母+标点符号等复杂口令。
3.3 静态IP与MAC地址绑定
建议关闭DHCP服务, 给授权用户每台电脑分配固定的静态IP地址, 然后再把这个IP地址与该电脑网卡的MAC地址进行绑定, 这样就能大大提升网络的安全性。入侵者不易得到合法的IP地址, 即使得到了, 因为还要验证绑定的MAC地址, 相当于又增加了一重安全堡垒。
至此, 入侵者要想入侵网络, 就必须经过三重关卡, 合法IP、合法MAC、无线密码, 这将使破解入侵变得相当困难。
3.4 隐藏无线SSID
SSID (Service Set Identifier) 也可以写为ESSID, 是无线接入的身份标识符, 用户用它来建立与接入点之间的连接, 用来区分不同的网络, 最多可以有32个字符。
出于安全考虑可以不广播SSID (有些路由器里叫隐藏) , 此时用户就要手工设置SSID才能进入相应的网络。当然这并不是说你的网络不可用。只是它不会出现在可使用网络的名单中, 不易被扫描无线信号者扫到。
即使扫描到了这个隐藏的信号, 由于不知道SSID号, 常规的破解方法也很难破解成功, 无线安全系数大大提高。
3.5 定期更换密钥
在前面章节我们分析过无线网络的可破解性, 对于设置相对复杂密码的无线网络, 即使在某个环节给了入侵者可趁之机, 入侵者可能需要花很长时间去破解密码, 如果我们养成定期更改密码的习惯, 无线网络安全的风险性也会大大降低。
3.6 严禁个人私自架设、安装无线AP (WIFI)
随着无线技术的发展, 目前出现了一种简易的无线AP——随身WIFI。通过共享有线电脑网络, 使得智能手机、平板等无线终端方便地接入到无线网络, 真正方便了用户。然而该设备却给企业网络安全带来了巨大的安全隐患。
针对随身WIFI的使用, 建议企业对无线网络安全采取以下措施加以防范:
(1) 从《信息管理安全规章制度》中明文规定, 未经允许, 严禁个人私自架设无线设备; (2) 不定期巡查; (3) 结合《网络行为管理规范》监视, 一经发现私自架设, 立即制止, 以降低无线网络被外界入侵的风险。
3.7 关闭无线WPS/QSS功能
如前一章3.1“PIN码暴力破解法 (穷举法) ”所述, PIN暴力破解法 (穷举法) 恰恰正是利用了WPS/QSS这项技术。
因此, 强烈建议关闭无线路由WPS/QSS功能, 毕竟相对安全性而言, 方便性当然不是最重要的。
3.8 结合企业防火墙与无线入侵监测系统
无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统不但能找出入侵者, 还能加强策略。通过使用强有力的策略, 会使无线局域网 (WLAN) 更安全。如今, 在市面上流行的无线入侵检测系统是Airdefense Rogue Watch和Airdefense Guard。像一些无线入侵检测系统也得到了Linux系统的支持。[5]
公共图书馆局域网安全防范措施 第10篇
1 公共图书馆局域网安全现状
据报道, 80%的安全问题是由网络内部引起的。公共图书馆由于其特殊性, 部分局域网有“公用网络”的性质, 如电子阅览室、OPAC、图书馆之城终端等, 而使用这些网络的人更是形形色色, 因此公共图书馆网络面临着更多从内部攻击的威胁。
主观上, 总有一些好奇心强的读者或者别有用心的人可能会利用电子阅览室、OPAC等终端, 通过各种黑客工具或其他技术手段, 入侵到图书馆内部核心网络, 窃取或破坏相关信息, 甚至将公共图书馆网络作为跳板, 对外界网络进行攻击或传播不良信息, 造成网络阻塞, 影响图书馆业务运行等等;客观上, 由于电子阅览室可以自由拔插U盘等外部设备 (方便读者拷贝数据) , 读者可能在不知情的情况下将自己U盘里面的病毒或木马感染到电子阅览室计算机中, 如Autorun、ARP病毒等, 由此可能引发大面积的网络瘫痪, 影响图书馆业务的进行, 有部分读者由于个人需要运行不够健壮的软件, 引起系统崩溃等等。因此, 搭建安全的局域网环境, 做好局域网安全防范, 对公共图书馆具有重大意义。
2 公共图书馆局域网安全防范总体思路
根据公共图书馆局域网安全现状分析来看, 公共图书馆局域的安全防范, 应主要从以下几个方面着手:
首先是网络隔离。任何入侵行为, 首先都必须有“目标”才能进行, 如果我们将核心网络与“公用网络”相隔离, 将我们的核心网络隐藏起来, 使企图入侵者找不到“目标”, 入侵也自然无从谈起。
其次是预警。通过建立健全的网络安全预警机制, 使入侵者在入侵的第一时间被暴露踪迹, 并无处遁形, 可以有效地防止安全隐患扩大化。
第三是防病毒。防病毒、防木马, 是计算机网络安全永恒的话题, 通过对局域网内的各个终端部署病毒实时检测工具, 搭建安全的上网环境, 可以将网络安全隐患扼杀在摇篮中。
第四是版权意识。树立正确的版权观, 安装正版的系统和软件, 可以减少网络安全风险。
第五是备份。任何网络都不是100%安全的, 因此做好数据备份是网络安全不容忽视的一个环节。
最后是以人为本。通过宣传法律知识, 增强读者的法律意识, 引导和规范读者上网行为, 从而消除网络安全隐患。
3 公共图书馆局域网安全防范具体措施
为了保障公共图书馆局域网安全, 应从以上的局域网安全防范总体思路出发, 实施以下各项措施:
3.1 合理利用防火墙、代理服务器、VLAN、VPN等技术
在互联网上, 防火墙是一种非常有效的网络安全系统, 通过它可以隔离风险区域与安全区域的连接, 同时不会妨碍相互间的安全访问。因此可以通过在核心网络与公用网络之间配置一台防火墙, 将核心网络隐藏在防火墙之后, 以限制内部核心网络与公用网络之间的连接, 这样, 既对入侵者隐藏了“目标”, 又不影响对读者的相关服务。
代理服务器 (Proxy Server) 是一种重要的安全功能, 它的工作主要在开放系统互联 (OSI) 模型的对话层, 从而起到防火墙的作用。因此, 通过设置代理服务器, 也同样可以达到限制访问和隐藏“目标”的目的。
在两个区域网络之间配置防火墙或代理服务器的方法是最安全有效的, 但同时代价也比较高。如果无法接受如此高的代价, 那么我们可以从逻辑上隔离核心网络和公用网络, 这就是VLAN。VLAN, 即虚拟局域网是一组逻辑上的设备和用户, 这些设备和用户并不受物理位置的限制, 可以根据功能、部门及应用等因素将它们组织起来, 相互之间的通信就好像它们在同一个网段中一样, 与此同时, 不同功能、部门、及应用之间却不能相互访问或只能有限访问。将核心网络与电子阅览室、OPAC等公共网络通过VLAN进行逻辑分割, 可以有效地阻止公用网络对核心网络的非法访问, 从而保证核心网络的安全。
VPN, 即虚拟专用网络, 通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术等安全技术, 为用户提供一条一条穿过混乱的公用网络的安全、稳定隧道, 。深圳图书馆之城网络即采用VPN的形式将各街区自助图书馆与深圳图书馆核心网络相连, 从而实现让街区读者享受与在图书馆馆体内无差别的服务。
3.2 入侵检测
部分不法分子, 为了防止网络追踪并隐藏其身份, 通常会选择公共场所的网络进行网络犯罪。而公共图书馆的电子阅览室等公用网络往往是其认为最好的选择。这样, 作为图书馆的网络管理员, 自然也多了一种无形的压力。面对这种压力, 我们必须做出积极的应对措施, 而入侵检测系统为我们提供了这种便利。
入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据以及计算机系统中若干关键点的信息, 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测。通过对入侵系统的数据分析, 我们可以及时地预警入侵行为, 在第一时间获取入侵者来源、去向、入侵方式, 并对其加以控制, 有效地防止安全隐患扩大化和网络犯罪深入化。
3.3 病毒防范
在我国计算机信息系统安全保护条例中, 病毒的定义是:编制者在计算机程序中插入的破坏计算机功能或者破坏数据, 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
从国家计算机病毒应急处理中心的数据来看, 在过去十年, 我国计算机病毒感染率均在70%以上, 可见病毒防范形势严峻, 在公共图书馆更应建立严密的病毒防范体系。以深圳图书馆为例, 深圳图书馆每台电脑 (包括办公区域) 均安装有防病毒客户端, 客户端的主要工作是根据策略实时监控文件和网络, 防止感染病毒和网络攻击, 同时上传病毒信息和网络威胁信息;在服务端, 主要是定制防病毒策略并下发到客户端, 根据搜集客户端信息, 及时分析数据, 以报表的形式将数据提供给管理员, 让管理员能够充分了解和掌握全馆计算机病毒感染和网络威胁情况, 并及时采取相应措施进行处理。通过“用户-客户端-服务端-管理员”自下而上的防病毒体系, 可以及时、有效地防止公共图书馆相关终端和网络以及数据因病毒的感染和传播而遭到破坏。
3.4 应用安全
应用系统的强壮性, 对于公共图书馆来说也尤其重要。脆弱的应用程序, 常常会产生各种莫名的错误, 甚至为病毒所利用, 从而破坏整个系统和数据, 这对于以数据和服务为核心的公共图书馆网络来说是致命的。因此, 网络管理员应树立正确的版权观, 在客户端上安装正版的软件和系统, 减少软件上带来的安全风险。同时, 应在网络安全“重灾区”安装还原系统, 使应用系统始终保持最安全最稳定的状态。
3.5 桌面安全管理与上网行为规范
不管是网络入侵, 还是病毒的感染, 其实都与人上网行为有关。内部人员通过互联网与外部通讯时, 可能会引入含有恶意的或者攻击性的内容, 如若未能得到监测和控制, 这将成为一大隐患。并且充满诱惑的网络资源往往是风险的发源地。部署桌面安全管理系统, 通过对上网人员的网络行为审计, 实时洞悉网络使用过程中存在的各种问题, 通过分析审计报告, 制定具有针对性的网络安全策略, 规定用户可以做什么, 不可以做什么, 从源头上阻止网络安全威胁, 保护公共图书馆网络安全。另外, 通过宣传, 增强用户的法律意识, 使用户能够自觉规范自己的上网行为, 是减少人为网络风险的有效手段。
3.6数据备份
正如安全补丁总是在发现漏洞之后发布的一样, 防火墙技术、VLAN划分、代理服务器、入侵检测、防病毒软件等的可靠性也并不是万无一失的。入侵手段不断更新, 黑客工具层出不穷, 木马、病毒变种速度快等等, 使得网络安全防范在大多数时候都处于被动状态, 因此, 做好数据备份, 是公共图书馆网络安全必不可少的一个环节。
数据安全是衡量网络安全工作的基线, 一旦服务器或网络设备被恶意破坏, 图书馆IT部门应尽可能的将数据丢失的影响减至最小, 至少具备关键业务数据的恢复能力。以深圳图书馆为例, 深图核心业务数据存放在Oracle数据库中, 同时Oracle数据库的表空间存放在一套高性能的HP XP12000SAN存储系统中, 数据库备份使用Oracle的Rman工具与Veritas Netbackup备份软件联动从而实现数据库的热备份;备份策略为全备份加差异, 每周一次全备份, 每日差异备份备份策略于每日凌晨2:00通过磁带库将数据备份至磁带中, 一旦发生数据丢失, 可通过这套机制将数据恢复到凌晨2:00。磁带备份是数据安全的基础防线, 在这之上深图又在HP XP12000 SAN存储系统内部实施了快照备份, 将两份快照卷与生产卷平时保持同步, 其中一份在早晨8:00断开同步并在中午12:00重新同步, 另外一份在中午12:00断开同步, 在晚6:00重新同步, 利用快照技术可以将数据丢失减小, 由磁带备份的最多丢失1整天数据缩减为最多丢失半天数据;快照技术还可以使得数据恢复时间大幅缩短, 快照卷可以马上作为生产卷使用。随着图书馆之城系统的逐步推进, 深图已然成为全市的数据中心, 数据安全问题也比以往更为重要, 目前深图正在积极探索数据持续保护技术, 将数据丢失的影响继续缩小, 使整个图书馆之城系统的可用性、持续服务能力进一步提升。
4结语
公共图书馆的发展, 离不开现代网络技术的支持, 充分体现了科学技术作为第一生产力的重要性。作为公共图书馆的技术员人员, 应以电子阅览室、OPAC、图书馆之城、办公区等区域网络为重点, 坚持以人为本, 以技术为手段, 充分利用好网络技术这把双刃剑, 解决公共图书馆局域网面临的各种安全问题, 保护好公共图书馆局域网, 保障公共图书馆业务安全、稳定地进行。
摘要:文章通过对公共图书馆局域网安全现状的分析, 提出公共图书馆局域网安全防范总体思路和具体措施。
关键词:局域网,网络安全,防范措施,公共图书馆
参考文献
[1]曾宪付.图书馆网络安全及其应对策略.公共图书馆文萃.深圳:海天出版社, 2010:142~143
[2]邢美凤.浅谈图书馆局域网的安全问题[J].雁北师范学院学报, 2006, (4) :107~108
[3]林晓玲.图书馆的局域网规划及安全解决方案.电脑知识与技术, 2011, 第七卷, (34) :8856~8857
企业内部局域网安全控制策略分析 第11篇
(一) 企业内部局域网。
局域网是指在某一区域内由多台计算机联成的计算机组, 可以在这一区域范围内进行资源共享。局域网是一个较为封闭的网络。而企业内部局域网是指在企业内部建立的较为封闭的网络, 只有通过企业的内部局域网才可以进入到企业的工作管理中, 在企业内部网络以外的网络中无法完成企业的各项工作[1]。
(二) 企业内部局域网的安全。
企业内部局域网络的安全不仅仅只是企业的计算机硬件设施和应用软件的安全管理, 更主要是保证企业内部的信息数据的保密性和完整性。企业内部的信息数据包括了企业的经营理念和经营管理中独有的方法或手段, 属于商业机密。企业内部局域网的安全受到威胁, 企业的商业机密的安全也同样会受到侵害。
二、企业内部局域网存在的安全隐患
(一) 企业内部计算机中的病毒破坏难以根除。
企业的工作人员中, 计算机专业人士除外, 对于计算机的使用也只停留在最基本的操作层面, 缺乏计算机网络的安全防范意识。在计算机出现病毒侵害时, 无法将病毒清除。以至于病毒对计算机造成的破坏无法修复。在企业内部局域网中, 由于一台计算机受到病毒的侵害, 会使整个局域网内的其他计算机也产生连锁侵害, 为整个局域网络的应用造成危害, 严重者会使整个局域网络陷于瘫痪状态, 影响整个企业工作的正常进行。
(二) 网络操作系统存在漏洞。
每个操作系统都或多或少存在漏洞, 给病毒和木马的入侵提供了便利的条件。因而对于网络操作系统进行定期更新和定期检查, 查杀病毒, 修复漏洞, 能够减少病毒对计算机的破坏[2]。
(三) 网站管理中疲于防范。
网络中病毒通常以插件的形式, 在网页中安插各种问题插件, 对浏览过网页的计算机进行侵害。很多网站在管理中, 由于疏忽或持有疲于管理的态度, 导致网站中存在病毒, 也不进行清理。对进入网站、浏览网页的计算机造成连锁感染, 使计算机也携带了病毒。在企业内部局域网中, 一台计算机携带病毒, 造成局域网内部的其他计算机也感染病毒, 对企业的数据安全造成威胁。
三、企业内部局域网的安全防范措施
(一) 对企业内部局域网设置防火墙和网络侵入检测技术。
防火墙是指一个内部局域网络与外部网络之间的安全系统。设置网络防火墙, 可以有效防止外部网络的非法用户对内部局域网络的入侵, 对内部网络的资源和数据造成破坏。在企业内部局域网设置防火墙, 可以有效保护企业各项资源不受破坏, 保证企业的商业秘密不被泄漏。
(二) 制定网络管理制度。
为维护企业内部局域网的安全, 要加强网络管理, 制定网络管理制度。首先, 企业要聘用高素质人员, 在企业的管理工作中, 高素质人才对计算机的应用知识有一定的了解, 在计算机的使用过程中能够保证计算机的网络安全。其次, 企业要雇佣计算机专业人士, 专门负责维护企业内部局域网的安全问题。最后, 提高工作人员的网络安全意识, 对工作人员普及网络安全防范知识, 加强宣传。
(三) 进行数据备份和加密。
在企业内部局域网的安全易受到威胁的情况下, 对数据进行备份和加密, 是保证数据安全的有效手段。企业的工作人员在工作中要经常进行数据备份, 对数据进行加密设置。在数据丢失时, 数据备份可以找回丢失的数据;数据加密能够限制其他用户对数据的访问, 保证数据安全。
结论
在现代企业的经营管理中, 对于网络的应用范围不断扩大。企业内部局域网络的资源安全直接影响着企业的经营与管理。企业内部局域网络的安全问题, 是企业要解决的关键性问题。对企业而言, 加强企业的内部局域网的安全管理, 可以保证企业各项工作的有效进行, 促进企业的顺利发展。
摘要:随着信息技术的不断提高, 网络技术得到了广泛的应用。在企业的经营管理中, 各企业也建立了企业内部的局域网络, 以方便企业的工作安排和员工管理。但近几年来, 网络上的病毒和木马等恶意程序时刻威胁着企业内部局域网的安全。本文主要介绍企业内部局域网的相关概念, 结合企业内部局域网络存在的安全隐患, 提出相关的解决对策, 为企业保证内部局域网的安全提供依据。
关键词:局域网,黑客,防火墙
参考文献
[1]孟海霞.计算机局域网的维护管理与网络安全分析措施[J].硅谷, 2015, 04 (03) :212.
【局域网安全内部防范】相关文章:
局域网安全防范初探05-10
企业局域网安全与防范05-23
局域网安全防范初探论文04-29
局域网安全防范初探论文提纲08-31
局域网安全防范初探论文参考文献09-24
局域网安全05-20
局域网安全测试05-15
企业局域网安全综述07-01
局域网网络安全论文05-07
局域网的安全性研究05-20