探讨局域网安全
“bbomega”通过精心收集,向本站投稿了9篇探讨局域网安全,下面就是小编给大家分享的探讨局域网安全,希望大家喜欢!
篇1:探讨局域网安全
探讨局域网安全
摘要:随着计算机网络的不断发展和普及,计算机网络带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要,文章重点介绍了局域网安全控制与病毒防治的一些策略。
关键词:局域网信息安全病毒防治
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。但是计算机网络连接的安全问题也日益突出,计算机病毒无处不在。为了确保各项工作的安全高效运行,保证网络信息安全,计算机网络和系统安全建设就显得尤为重要。
1、局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大 致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能 通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前, 局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏更增加了安全问题的严重程度。
2、局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于是通过服务器和交换机连接网内的每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,给病毒传播提供了有效的通道同时也给数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
2.1欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,但正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATM PIN 码或信用卡详细信息等的一种攻击方式。
2.2服务器区域没有进行独立防护
局域网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器, 这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
2.3计算机病毒及恶意代码的威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。
2.4局域网用户安全意识不强
许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间平凡切换使用,许多用户将在In ternet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和信息的泄密。
2.5IP 地址冲突
局域网用户在同一个网段内,经常造成IP 地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP 地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
3、局域网安全控制与病毒防治策略
3.1技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
(1)网络访问控制。访问控制是网络安全防范和保护的.主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
(2)采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
(3)封存所有空闲的IP地址。启动IP地址绑定采用上网计算机IP地址与MCA地址一一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP 地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
(4)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
(5)启用杀毒软件强制安装策略。监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
3.2管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。这就要求加强人员的培训。
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。进而加强工作人员的安全培训,增强内部人员的安全防范意识, 提高内部管理人员整体素质。对局域网内部人员,应从下面几方面进行培训:
(1)加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
(2)加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。
(3)加强网络知识培训,通过培训掌握一定的网络知识,能够掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
3.3病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络瘫痪,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染,防毒的关键是对病毒行为的判断。如何有效地辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的, 主要从以下几个方面制定有针对性的防病毒策略:
(1)增加安全意识和安全知识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。
(2)小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,或者对计算机移动存储接口进行统一管理也可把病毒拒绝在外。
(3)挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。据此选择一个合适的杀毒软件并定时进行统一查杀对于局域网的安全也能起到很好的保护作用。
3.4物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
(1)计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
(2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
通过以上策略的设置, 能够及时发现网络运行中存在的问题, 快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点, 及时、准确的切断安全事件发生点和网络。
4、结束语
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]冯普胜.ARP病毒处理方法[J] .内蒙古电力技术,,(5).
[2]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,,(5).
[3]李辉.计算机网络安全与对策[J].潍坊学院学报,2007,(3).
[4]张千里.网络安全新技术[M].北京:人民邮电出版社,.
[5]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,.
[6]常建平,靳慧云,娄梅枝.网络安全与计算机犯罪[M]. 北京:中国人民公安大学出版社,.
篇2:局域网安全技术
网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能。
2.1 防火墙安全策略
防火墙是将内部网络和外部网络分开的设备,是提供信息安全服务、实现网络和信息安全的重要基础设施。
防火墙主要用于限制被保护的内部网络与外部网络之间进行的信息存取、信息传递等操作,保护内部网络不受外界不安全信息的干扰。
2.2 入侵检测系统
入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过此次信息分析入侵特征的网络安全系统。
该系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;并且在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。
2.3 数据备份
后台数据库是系统的核心,所有功能的实现都是靠后台数据库支撑的,考虑到系统及数据的安全性,可采用两台机器作为数据库服务器(一主一备),操作系统授予不同用户不同的权限。
同时,系统管理员要养成良好的安全管理习惯,例如:定期修改管理员口令,避免使用规律的、易猜测的密码,定期检查安全漏洞等。
2.4 安装杀毒软件
培养集体防毒意识,部署统一的防毒策略。
安装网络版杀毒软件,对局域网用户的电脑进行统一的防毒策略,统一管理,按时查杀病毒,高效及时地应对病毒的入侵。
2.5 访问权限控制
访问权限控制是指对合法用户进行的对存储信息的文件或数据操作权限控制这种权限主要对信息资源的读、写、执行等。
信息存储访问权限控制主要采用以下方法:确定合法用户对信息的访问权限,定期检查存储信息的访问权限和操作权限。
2.6 网络安全制度
1)每天定时检查网络设备,及时排除故障,保障网络设备自身和网上信息的安全。
2)组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自
觉性。
3)对本局域网用户进行安全教育和培训,提高用户的网络安全意识。
4)对已经发生的网络破坏行为在最短的时间内做出响应,使损失减少到最低限度。
3 结束语
局域网安全问题是一个全方位、多层次的问题,需要不断地完善和提升。
网络的安全不能单靠技术手段一劳永逸的解决,人的因素十分重要。
因此,要做好内部网络安全,不仅需要高新的安全技术手段、周密的安全策略,更需要不断提高系统管理人员和系统使用人员的安全意识。
只有在物力和人力资源都充分发挥作用的基础上,网络安全才能得到有效保障。
参考文献
[1]张敏波.网络安全实战详解[M].北京:电子工业出版社,2008.
[2]胡道元.计算机局域网[M].北京:清华大学出版社,.
[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.
[4]赵欣,贾方,范晓娟.天津水务外部信息网系统安全体系改造建设[J].信息系统工程,,5.
篇3:局域网安全技术
摘要:随着计算机网络的不断发展和广泛运用,局域网的.安全问题也越来越受到人们的关注。
本文将阐述局域网的存在的一些不安全因素及相应的安全策略和采用的安全技术。
篇4:局域网安全技术
摘?要 局域网作为一种在较小区域内的计算机通讯网络, 已被众多企事业单位应用。
随着局域网在生产和生活中发挥的作用日益增大,其安全性和可靠性问题越来越受到人们的重视。
本文通过对影响局域网安全主要因素的分析,提出了一些可防范网络安全威胁的有效措施,以提高网络的安全性,保障网络正常运行。
关键词 局域网;网络安全
局域网是一种在较小区域内把各自独立的计算机通过通信介质连接,并按照一定的协议相互访问的计算机网络。
局域网具有短距离、高速率、低延时、低出错等特点。
现今许多企事业单位根据自己的个性需求建设起各种各样的专用业务网络,一方面促进了局域网的发展,另一方面为了防止敏感数据泄密、丢失或破坏等,保障局域网的正常使得人们越来越关注于局域网的网络安全技术。
1 网络安全存在的问题
1.1 突发事件危害
突发事件主要体现在机房突然断电、电压不稳以及自然灾害对网络硬件的损害,或者施工人员在施工时造成的通信线路阻断等,引起计算机网络的瘫痪。
1.2 漏洞问题
漏洞问题是造成局域网安全隐患的重要因素之一。
大多数病毒是通过系统漏洞访问到局域网内,对局域网造成破坏。
因此系统漏洞给局域网的安全带来了巨大的隐患。
1.3 病毒
由于局域网自身的访问方式决定了病毒在局域网内很容易传播,并且危害性比广域网获取信息来的更容易些,随着局域网的应用越来越普及其网络病毒的维护也越来越严重,尤其是蠕虫病毒,发作时能够使整个局域网陷于瘫痪。
严重时可能会导致重要的数据丢失,从而造成巨大损失。
1.4 TCP/IP协议缺陷
TCP协议存在着许多安全方面的漏洞,通过这个漏洞,只授权给某个主机,而不是授权给特定的用户,这样攻击者就可利用被授权的主机与服务器通信,对系统进行攻击。
IP协议也存在许多安全缺陷。
地址可以通过软件设置,攻击者伪装成源自一台内部主机的一个外部地点传送信息包,这些信息包中包含有内部系统的源IP地址,冒名他人,窃取信息。
这就造成了地址假冒和地址欺骗两类安全隐患。
1.5 管理维护不到位
严格的管理措施是保证局域网安全的重要保证,但是往往有些单位忽略了对网络的管理,通常体现在管理制度不健全及网络管理人员没有到位,没有很强的安全管理观念;即使有了制度和管理人员后,没有对网络设备及时的更换、更新使得网络安全措施形同虚设。
篇5:局域网安全技术
一、引言
局域网是在一个局部的地理范围内,将各种计算机、外部设备等联接起来组成的一个计算机通信网。
局域网可以实现文件管理、软件共享、打印机共享等功能,在很短的时间就深入到各个领域,大大提高了人们的工作效率。
但由于网络的开放性、互联性等特性,数据信息在存储、传输过程中不断受到各种不安全因素的威胁,我们也将会面临越来越多的网络安全问题。
二、局域网存在的不安全因素
(一)硬件因素。
局域网的硬件主要包括计算机、传输线路、网络通信设备等。
计算机存储数据的关键部件是硬盘,硬盘一旦损坏就会丢失数据,而传输线路、通信设备的故障也很容易导致整个局域网的稳定性和可靠性下降。
局域网硬件设备只要一个出现问题,都会给整个局域网带来灾难。
(二)软件因素。
软件因素主要包括操作系统和应用软件两个方面。
操作系统及应用软件的漏洞是病毒、木马程序侵入的重要途径之一。
黑客可以利用这些漏洞对其进行攻击,破坏操作系统、窃取用户数据。
保密性一旦丧失,将会造成不能访问和系统瘫痪等一系列网络安全问题。
对操作系统以软件的漏洞及时进行更新,是提高操作系统及局域网安全的重要方式。
(三)人为因素。
人为因素是防人为的无心失误和故意破坏。
无心失误是指操作人员因操作不够熟练或能力较低,在使用中操作失误而造成局域网出现故障。
故意破坏是指服务器、交换机、路由器、线路等设备被人破坏,为了防止各种设备遭到破坏,网络中心机房要防止非专业人员进入。
(四)计算机病毒泛滥和黑客攻击。
篇6:局域网共享资源安全防护
在虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在付出惨重的代价时才会后悔不已,下面笔者就介绍几个保护局域网中的共享资源的安全防范技巧,希望能够给大家带来帮助。
大家在Windows局域网中,有时为了能够实现某些资源的共用,往往可以对需要实现共用的资源建立一个共享名称,然后需要使用该共用资源的用户通过局域网中的网上邻居功能,来实现对共用资源的访问。虽然共享能给我们带来操作上的方便,但不可否认它也给我们带来了安全方面的威胁。有些不法用户可以利用共享功能,来任意删除、更改或者破坏局域网中其他计算机上的资源。为了保护共享资源的安全,我们可以在Window的共享级系统设置共享密码;同时还可以将共享文件夹的访问类型设置为“只读”或“完全”,以此来保证其安全性。例如,为了安全的共享一个包含重要信息的文件夹,你可以对文件夹设置密码保护、设置访问权限并只把密码告诉特定的用户,
即使我们给共享资源设置了访问密码,但是局域网中的每一个用户仍然能够在“网上邻居”中看到这个共享资源,在 横行的今天,这些访问密码在那些高级 面前简直是形同虚设,因此我们千万不要认为设置密码就很安全了。
那么我们该采取什么方法才能确保相对安全呢?用过NT的用户可能会知道,NT会默认地给C盘建立一个形如“C$”的共享名称,但在网上邻居中我们并不能看到C文件夹,这就说明了“$”符号可以隐藏共享文件夹;所以在这里,我们同样可以使用这样的方法,在给需要共用的资源设置共享名称时,只需要在共享名后附加一个美元标志($)。设置完共享名称后,再打开“网上邻居”时就会发现被设置的共享资源现在找不到了,这时即使你 本领再大,也无法对这个共享资源进行破坏了。
使用$来设置共享名称为保证共享资源的安全又添加了一道有力的屏障,而且该共享资源的任何访问限制或密码仍然有效。下面,笔者就以实际的例子来说明这个技巧的应用情况假设,笔者在某个局域网中的A计算机中需要设置一个共享文件夹,而且要求设置的共享文件夹不能让其他用户看到,只允许指定用户B来访问。要实现上面的操作目的,我们就可以按照如下步骤来执行:
1、首先A在计算机中找到需要共享的资源文件夹,例如我们假设把E盘中的famen文件夹资源共享给B使用。
2、接着在famen文件夹上,用鼠标右键单击一下,从随后弹出的右键菜单中选择“共享”命令,程序将打开一个设置对话框。
篇7:局域网的安全及对策
摘 要 目前局域网在各领域中的应用日益广泛, 网络的安全问题逐渐受到人们的重视和关注,本文通过对局域网的现状和网络不安全因素的分析展开探讨,提出几点关于网络安全方面的可行性建议。
关键词 局域网 网络安全 局域网安全
网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及系统中的数据受到保护,避免偶然的或者恶意的原因而遭受到破坏、更改、泄露,确保网络系统连续可靠正常地运行。
局域网的安全主要包括物理安全与逻辑安全。
物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。
一、常用局域网的攻击方法
1、ARP欺骗 。
ARP(地址解析协议)是一种将IP地址转化成物理地址的协议。
ARP具体地说就是将网络层地址解析为数据连接层的MAC地址。
在局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP缓存表,在正常情况下这个缓存表能够有效的保证数据传输的一对一性,但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。
临时处理对策:
(1)能上网情况下,输入命令arp -a,查看网关IP对应的正确MAC地址,将其记录下来。
如果已经不能上网,则运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网,然后立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
(2)如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,输入命令:arp -s;但在计算机关机重启后这种绑定会失效,需要再绑定。
可以把该命令放在autoexec.bat中,每次开机即自动运行。
2、网络监听。
网络监听 (Sniffer)是将网络上传输的数据捕获并进行分析的行为。
网络监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而备受网络管理员的青睐。
然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
二、局域网病毒及防治
局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。
因此加强局域网病毒防护是保障网络信息安全的关键。
防治网络病毒应重点考虑以下三个部分:
1、基于工作站的防治技术。
(1)软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况;(2)在工作站上插防病毒卡,达到实时检测的目的;(3)在网络接口卡上安装防病病毒芯片,可以更加实时有效地保护工作站及通向服务器的桥梁。
2、基于服务器的防治技术。
服务器是网络的核心,是网络的支柱,服务器一旦被病毒感染,便无法启动,整个网络都将陷入瘫痪状态,造成的损失将是灾难性的。
目前市场上基于服务器的病毒防治采用NLM方法,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。
3、加强计算机网络的管理。
(1)从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程。
(2)加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。
三、局域网安全防范系统
防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙具有以下功能 :
1、数据包过滤技术。
数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口,而其余数据包则从数据流中被丢弃。
2、网络地址转换技术 。
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址 。
在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。
防火墙根据预先定义好的映射规则来判断某个访问是否安全和接受与否。
3、代理技术 。
代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。
另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。
4、全状态检测技术 。
防火墙在包过滤的同时,检测数据包之间的关联性,数据包中动态变化的状态码。
它有一个检测引擎,在网关上执行网络安全策略。
监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测,抽取状态信息,并动态地保存起来,作为以后执行安全策略的参考。
当用户访问请求到达网关是操作系统前,状态监测器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。
四、入侵检测系统(IDS)
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵监测系统处于防火墙之后,作为防火墙的延续,对网络活动进行实时监测。
从功能上将IDS 划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。
五、局域网安全防范策略
1、划分VLAN 防止网络侦听 。
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
2、网络分段。
局域网多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。
在接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这是以太网所固有的安全隐患。
网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的,所以网络分段是保证局域网安全的一项重要措施。
3、以交换式集线器代替共享式集线器。
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。
这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
4、实施IP/MAC 绑定。
启动IP 地址绑定采用上网计算机IP 地址与MCA 地址唯一对应,网络没有空闲IP 地址的策略。
由于采用了无空闲IP 地址策略,可以有效防止IP 地址起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
六、总结
网络安全技术和病毒防护是一个涉及多方面的系统工程,在实际工作中需要综合运用以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的立体防御系统,同时加强规范和创建必要的安全管理模式、规章制度来约束员工的行为。
只有这样才能确保整个局域网安全、稳定、高效的运行。
参考文献:
[1]张亚平. 计算机网络安全.人民邮电出版社.
[2]刘功申.计算机病毒及其防治技术.清华大学出版社.
[3]王秀和、杨明 .计算机网络安全技术浅析.
篇8:局域网的安全及对策
【摘要】局域网在当今各单位信息化建设中的作用举足轻重,但其存在的安全问题也不容忽视。
本文在分析威胁局域网安全主要因素的基础上,着重探讨了安全立法、教育管理以及技术等方面的防范措施,对提高局域网使用中的安全性具有重要意义。
【关键词】局域网 安全 措施 技术
当今社会,基于网络技术的局域网在各单位、企业、公司广泛应用,并发挥了举足轻重的作用。
然而,局域网在给我们工作生活带来巨大便利的同时,也存在不容忽视的安全问题。
分析局域网安全问题,并采取相应措施加以防范,对于一个单位的办公安全、经济安全乃至整个数据信息的安全都具有十分重要的意义。
一、威胁局域网安全的主要因素
目前,局域网中重建设使用、轻安全管理的现象还很普遍。
因此,对安全领域的投入和管理远远不能满足安全防范的要求。
(一)安全意识淡薄
局域网用户信息安全的观念和意识明显滞后于网络建设速度,这是局域网安全问题的思想根源。
比如有的用户为图方便,随意开启硬盘和打印机共享、远程桌面连接等功能,为他人从远程发动攻击提供了途径;有的用户在日常使用中,对超级管理员帐号不设密码或所设密码过于简单,他人很容易猜出密码而获得超级权限。
(二)人为攻击
人为恶意攻击是局域网安全的主要威胁。
攻击者利用系统的'漏洞或用户的疏忽,以各种方式有选择地破坏信息的有效性、完整性和真实性,其目的在于篡改系统中所含信息,或改变系统的状态和操作,或通过信息的破译以获得重要机密信息,对网络安全造成极大的危害,并导致机密数据的泄漏。
(三)计算机病毒
自从1986年计算机病毒的出现被专家们在实验中证实以后,便迅速蔓延到全世界,一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络陷入瘫痪。
这充分反映了计算机病毒的危害性。
这样的例子很多,例如一个网络教室局域网经常会发生这样的情况:一台机子染毒,稍不注意,很快所有机子都被感染并使局域网瘫痪。
(四)网络软件漏洞和“后门”
我们使用的网络软件不可能是百分之百无缺陷和漏洞的。
这些漏洞和缺陷恰恰也是黑客进行攻击的首选目标。
软件的“后门”是软件设计编程人员为自便而设置的,一般不为外人所知,可是一旦“后门”洞开,将使黑客对网络系统资源的非法使用成为可能。
二、局域网安全问题主要对策
局域网安全是一个复杂的系统工程,它至少应包括:社会的法律法规;安全教育;安全管理;技术措施如防火墙、网络防毒、信息加密、网络监控等。
(一)安全立法是前提
随着网络应用的普及,计算机犯罪日益增加。
网络的发展需要法律的支持和保障。
世界各国纷纷制定相关的法律法规。
我国《刑法》对计算机犯罪作了明文规定,对多种计算机犯罪形式规定了相应的惩治条款,这是防范、打击计算机犯罪的有力武器。
先后出台的《计算机信息系统保密管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等为确保计算机信息网络健康有序地发展提供了保障。
(二)教育管理是保障
对于局域网安全而言,法律制裁只能提供一种威慑,我们还必须从教育管理的角度采取措施,增加局域网系统的自我防范能力。
安全教育的目的不仅是提高防范意识,同时还要自觉抵制利用计算机进行各类犯罪活动的诱惑。
重视信息化的安全教育,还在于尽快培养一批信息化安全的专门人材,提高全民的信息化安全意识。
此外,要建立与系统相配套的有效地和健全的管理制度,对管理和操作人员起到鼓励和监督的作用;要制定预防措施和恢复补救办法,杜绝人为差错和外来干扰,保证网络运行过程有章可循、按章办事。
(三)安全技术是基础
一是防火墙技术。
防火墙是位于局域网与外部网络之间的屏障,它主要对进出局域网的数据包进行过滤。
它一般有包过滤技术、代理技术和应用网关技术等三种工作方式。
包过滤技术通过数据包的简单信息对其安全性加以判断,因此,其安全性不高。
而应用网关技术则将要进入局域网的信息包打开,检查里面的内容有没有破坏性的信息。
一旦信息包被检查通过,网关按其内容创建一个新的信息包在局域网中传输,从而确保网内数据包的安全。
代理服务技术则是在局域网与外部网络之间设立一个代理服务器,局域网与外部网络之间没有直接的连接关系。
局域网内部的客户机欲访问外部网络,首先访问作为防火墙的代理服务器,然后通过代理服务器运行的代理服务程序,再去访问外部网络的资源。
因此,代理服务技术有较高的安全性。
二是数据加密技术。
加密技术是在存储或传输数据之前,先对数据按照一定的规则进行编码,以防止非法用户读取数据,从而保障信息数据的安全性。
目前,网络中常用的加密方法有对称密钥加密方法和非对称密钥加密方法两大类。
对称密钥加密方法虽然简单易行,但它也存在密钥管理量巨大、易被破解等问题。
而非对称密钥加密法采用了复杂的数学处理,因此其加密强度高但加密速度较慢。
在实际应用中,通常把非对称密钥法与对称密钥法结合起来以实现最佳性能。
对涉密信息在局域网内部存储以及在网间传输可以使用上述加密法进行处理,以提高信息的保密性。
三是安全监控技术。
网络安全监控就是检查网络中的各个系统的文件和登录以及各种网络行为。
常用的方法有入侵检测和漏洞扫描。
入侵检测系统位于局域网与外部网络之间或位于局域网的敏感部位,通过实时截获网络数据流,将用户当前的网络行为与其正常行为的统计概要或入侵行为规则进行对比,寻找网络攻击行为和违规的网络活动。
一旦发现网络攻击或违规活动时,入侵检测系统能够根据系统安全策略做出实时响应,包括实时报警、自动阻断通信连接或执行用户自定义的策略程序等。
而漏洞扫描本身并不能起到保护计算机系统的作用,对每个发现的漏洞也不会及时加补丁。
漏洞扫描只是帮助局域网管理者发现入侵者潜在的进入点。
漏洞扫描不检测合法用户不合适的访问,也不检测已经在系统中的入侵者。
因此其安全功能具有一定的局限性。
四是数据备份和冗余技术。
数据备份是把存储的数据复制到其他存储介质上,以确保在系统发生灾难事件后能尽可能的恢复数据减小损失。
数据冗余技术是一种技术更高的磁盘备份技术,它是将数据同时写入不同硬盘,就好像是同时建立了几个相同的硬盘,一个出故障,另一个能立即顶替,防止系统硬盘的单点故障,保证系统不间断的正常工作。
这一安全环节与局域网管理员的实际工作关系密切,所以系统管理员要定期地备份文件系统或选择合适的磁盘冗余阵列,以便在非常情况下(如系统瘫痪或受到黑客的攻击破坏时)能及时恢复系统,将损失减少到最低。
五是病毒防治技术。
病毒的防治,防是主动的,治是被动的。
防就是尽量避免病毒的入侵。
我们应尽量做到:对外来存储介质要做到先扫描杀毒然后再使用;不要随意打开来历不明的文件或邮件。
在治理上,则要尽量安装正版知名的杀毒软件,并经常对杀毒软件病毒库升级,对全盘进行彻底扫描杀毒。
其实,从某种意义上说,局域网安全的各种防范对策并不能从根本上解决网络安全问题,安全的问题归根结底还是人的问题,安全问题的最终解决还在于提高人的道德素质。
篇9:无线局域网安全论文
无线局域网安全论文
对无线局域网的安全研究进行分析,首先对安全性的问题作出简介,并在接下来的内容中描述其研究的进展和研究的必要性。最后给对无线局域网的安全缺陷和相应的保障策略进行分析。
一、简介
无线局域网是在有线网络上发展起来的,是无线传输技术在局域网技术上的运用,而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势,因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于无线路径进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11,但其存在设计缺陷,缺少密钥管理,存在很多安全漏洞。本文针对IEEE802.11的安全性缺陷问题进行分析,并在此基础上对无线局域网的安全研究做出分析。
二、无线局域网安全研究的发展与研究必要性
无线局域网在带来巨大应用便利的同时,也存在许多安全上的问题。由于局域网通过开放性的无线传输线路传输高速数据,很多有线网络中的安全策略在无线方式下不再适用,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,而将发射功率对准某一特定用户在实际中难以实现。这种开放性的数据传输方式在带来灵便的同时也带来了安全性方面的新的挑战。
IEEE标准化组织在发布802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后
的研究表明,WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(Robust Security Network)的概念,增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP(Temporal Key Integri
ty Protoco1),CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。
三、无线局域网的安全现状及安全性缺陷
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。具体分析,无线局域网存在如下两种主要的.安全性缺陷:
(一)静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想像的。
(二)访问控制机制的安全缺陷
1.封闭网络访问控制机制:几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
2.以太网MAC地址访问控制表:MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
四、无线局域网安全保障策略
(一)SSID访问控制
通过对多个无线接人点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人,并对资源访问的权限进行区别限制。
二)MAC地址过滤
每个无线客户端网卡都有唯一的一个物理地址,因此可以通过手工的方式在在AP中设置一组允许访问的MAC地址列表,实现物理地址过滤。
(三)使用移动管理器
使用移动管理器可以用来增强无线局域网的安全性能,实现接入点的安全特性。移动管理器可以提高无线网络的清晰度,当网络出现问题时,它能产生告警信号通知网络管理员,使其能迅速确定受到攻击的接入点的位置。而且其降低接入点受到DOS攻击和窃听的危险,网络管理员设置一个网络行为的门限,这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置,可以防止
入侵者通过改变接入点配置而连接到网络上。
(四)运用VPN技术
VPN技术的运用可以为无线网络的安全性能提供保障。VPN技术通过三级安全保障:用户认证、加密和数据认证来实现无线网络的安全性保证。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力他也不能将这些信息解密。数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。
五、结论
从分析来看,在无线局域网的未来发展中,安全问题仍将是一个最重要的、迫切需要解决的问题。但这并不能限制无线局域网的迅猛发展。针对无线局域网的安全性研究仍将是一个热点。我们有理由相信,随着技术的成熟和无线网络应用商业化进程的加快,工业界和研究者都将对无线局域网安全投入更多的关注,为用户提供速率更快、安全性更高、应用更方便的无线局域网技术标准。
【探讨局域网安全】相关文章:
文档为doc格式
