小型局域網網絡安全技術與防范措施

前言：尋找寫作靈感？中文期刊網用心挑選的小型局域網網絡安全技術與防范措施，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著信息網絡通信技術的不斷發展，計算機技術得到廣泛的應用，也極大地方便了人們的生產生活，在個人電腦普及的今天，計算機網絡技術與人們的生產生活有了更加緊密的聯系，而計算機的網絡安全成為大家都要著重思考的重要問題，保障各種信息安全，成為計算機網絡技術發展所必須面臨的問題。通過分析某單位局域網絡網絡安全所存在的問題，從技術、管理等多方面給出了，網絡安全的防范策略。

關鍵詞：小型局域網；網絡安全；防范措施

1概述

隨著現代網絡通信技術的快速發展，計算機技術在此基礎上得到了廣泛的應用和發展，現在已經融入到了人們的各種生產生活中，上世紀90年代我國的計算機信息產業處于初步階段，看不出信息價值的重要性，更不存在信息安全這個概念，到現在我國計算機信息產業成為經濟支柱之一，網絡信息安全越發重要。隨著我國互聯網與國際互聯網接軌，從被境外攻擊的數據顯示，我國的信息網絡安全風險逐年增高，如何在網絡信息通信這條高速路上保證信息傳遞的安全，如何保證企業的信息網絡通信設備以及計算機終端不被不法分子破壞或劫持，如何保證企業所存儲的數據的安全，都成為現實中所要考慮的難題。矛與盾的斗爭永遠在路上，只有在計算機網絡安全技術這個盾上面下功夫才能為網絡信息安全提供保護屏障，才能夠有效地抵御外來風險，保證其網絡信息安全，將可能的風險降到最低。

2小型局域網絡系統

以某大學局域網進行安全評估為例，該局域網內共有計算機終端300余臺，主要層次為網絡接入層和網絡交換層，網絡交換層主要是核心交換機與二級交換機之間的數據交換通道，網絡接入層主要是用戶終端與網絡之間的數據交換通道，其三層核心交換機與二層交換機都采用的是默認的策略配置。三級交換機劃分了10個Vlan，各Vlan之間相互互通，該大學局域網的核心交換機采用的是企業級模塊化華為S7706核心交換機，數量一臺，無熱備，高可用性較差，容易造成業務中斷。二層交換機采用的均是華為s3700系列，具備網絡管理及安全管理的功能，無任何安防設備，DMZ區邊界防火墻未啟用，局域網絡與外網物理隔離。數據通過介質與外網交換。

3小型局域網絡的安全風險分析

小型局域網網絡安全風險大致可以分為兩大類，即人為風險和系統風險。人為風險可以分為人為誤操作風險和人的心理因素導致人的一些不法行為對內部計算機網絡、硬軟件設備以及信息數據造成的破壞，系統風險可分為網絡體系架構風險和網絡通信系統風險，網絡體系架構主要是缺乏一些對網絡進行監控和掃描的設備系統以及監聽終端等，對內網運行情況缺乏有效的監管。網絡通信系統風險主要是在通信系統中的通信設備和通信終端、服務器等安全策略配置的缺失和管控。

4局域網所存在安全風險因素

4.1網絡體系架構

DMZ（DemilitarizedZone）是整個網絡體系中的非軍事化區域，是網絡中的網絡特殊地帶，在這個區域里是部署各種公開對外服務的服務器和放置一些公開的數據，DMZ區在網絡體系中對內部網絡本是起到一個屏障作用，但是在這個區域里的服務器中存儲著眾多的重要機密數據。也就是說整個網絡體系架構中并不存在這樣一個區域，同時也沒有啟用硬件防火墻。缺乏有效的網絡監控和漏洞掃描設備系統，所有的交換機等通信設備都沒有進行網絡安全策略配置和安全管理，所有重要數據和內部系統直接暴露在內網局域網絡用戶之下。整個網絡體系安全級別幾乎處于裸奔狀態，任何一臺終端都可以對核心區域進行訪問。任何一臺終端配置IP后都可以接入網絡，沒有有效IP策略和端口管控。從而導致非法接入者對網絡進行破壞和數據丟失。

4.2服務器

該大學的機房采用VMwarevSphere將物理機虛擬化多個服務器操作系統，機房服務器操作系統主要以Windows系列為主，而服務器并未進行任何安全策略配置，系統防火墻都處于關閉狀態，所有端口都向外開放。在沒有任何安防設備下，很容易被嗅探，并進行攻擊，獲取管理員權限，從而獲取主機控制權。而且很容易被病毒入侵導致服務器癱瘓的風險。此前爆發的勒索病毒針對其445端口以及smb協議漏洞進行攻擊。而且微軟已經在2020年1月14日停止對Win7/Winserver2008系統的服務支持，也就是說不再提供相應的安全補丁，Win7/Winsever2008的安全風險進一步增加。

4.3操作系統

操作系統是計算機的靈魂和大腦，掌控著計算機硬件和軟件的各個資源，它所提供的用戶視圖界面給用戶創造了一個工作視窗。它來全權調度、創建和管理系統進程，分配計算機硬件資源，操作系統極大地方便了用戶的同時，操作系統里的遠程通信控制機制和本身系統所存在的漏洞，也為不法分子提供了可乘之機。不法分子可通過漏洞遠程獲取計算機控制權限，從而獲取自己想要的數據或者破壞計算機網絡，危及整個內部網絡安全。通過對端口開放、協議漏洞、系統漏洞、口令測試等進行內部網絡評估，該單位客戶端主機操作系統普遍存在管理員賬戶密碼口令弱，系統補丁漏洞較多，殺毒軟件以及病毒庫更新不及時，445端口并未封控，漏洞補丁沒有及時更新。很容易滲透其操作系統，幾乎近百分之七十幾的主機客戶端、服務器淪陷。

4.4數據交換共享

現計算機技術能夠快速發展到今天，也是源自于信息的共享。信息的共享對人們的生產生活提供了極大地便利和避免了勞動的重復性。信息的共享增加了人們的認知水平和擴大了人們的視野。同時也給人們的交際圈進行了延伸。但凡事都有其雙面性，提供了便利的同時，也為不法分子提供了犯罪的空間。不法分子總是以各種手段去進行數據獲取或破壞數據，隨之而來的高科技犯罪由此誕生。網絡空間中的矛與盾的斗爭就此開始，黑客通過網頁掛馬、計算機漏洞后門攻擊、部署釣魚網站等進行攻擊導致數據泄露和遭到病毒破壞。數據與外網通過介質進行交換時很容易將網上掛馬數據包或攜帶病毒的數據包帶入內部網絡。導致病毒對內部網絡的數據進行破壞和感染。

4.5數據庫及信息存儲

該大學的重要業務數據主要存儲在服務器操作系統的硬盤分區上并未安裝相應的軟件數據庫，其他一些數據文件以及門戶網站數據存儲在MySQL數據庫上，其數據庫密碼采用的是默認的弱口令密碼，并未進行更改。其數據安全風險相當于暴露在陽光之下。數據庫因為其存儲著海量信息，一直以來是黑客的重要目標，黑客慣用SQL注入、窮舉口令法等方法攻破數據庫進行數據獲取、篡改、破壞。數據的安全性難以保證。

4.6操作系統防火墻的脆弱性

防火墻是網絡與網絡之間的通信建立的一道安全屏障，也是保障計算機網絡安全和操作系統安全的安全守衛，其可以分為軟件防火墻，硬件防火墻以及芯片級防火墻，操作系統自帶的軟件防火墻，其安全機制都有其本身的應用局限性，操作系統防火墻很難發揮預想的作用，黑客可以通過操作系統自身所存在漏洞進行攻擊而繞過其防火墻。對主機進行控制，竊取或篡改信息并上傳病毒木馬，對網絡進行破壞感染。操作系統防火墻是軟件防火墻的一種，其作用有一定的局限性，并不能提供絕對的安全。系統本身自帶的防火墻在安防等級較低的情況下發揮效能，但在稍高一點的安防等級作用并不明顯。

4.7其他安全風險

計算機網絡的硬件設備和軟件設備都受自然環境的影響，如自然災害可以破壞計算機網絡的通信設備，灰塵較多會造成設備元器件加速老化導致設備損壞，從而對計算機網絡安全產生影響；或者電源故障導致元器件燒壞造成設備故障，引發數據丟失的風險等。

5網絡安全的防范策略

5.1技術方面

為了保障網絡體系中的網絡安全，應加強計算機網絡安全技術的學習研究和網絡安全測試。（1）針對其網絡拓撲架構升級優化，核心交換機應采取雙機熱備的方式增強可用性和安全性，構建DMZ區，作為內部私網的一道屏障，保障其重要數據安全。并在其內部私網邊界加裝硬件防火墻，并進行安全策略配置，防火墻作為行之有效可以推廣的安全機制，最大程度減少惡意入侵的數量，最大程度減少端口對外的開放。（2）將入侵檢測系統、漏洞掃描系統、補丁分發系統、網絡防病毒系統應用于計算機網絡安全防護體系中，及時將網絡體系中未經授權的入侵行為和網絡異?，F象發現，并對其入侵行為采取相應的限制措施，保障網絡體系中的網絡安全；對其網絡體系中的通信設備進行安全策略配置實施，對其IP和Mac地址、端口進行管控。（3）進行對人員權限策略進行配置，限制其內部人員和外來人員的權限，減少人員查看并掌握重要的涉密數據；定期對網絡體系中所存在的各種漏洞進行掃描和修復，定期對網絡防病毒系統和病毒庫進行更新，避免不法分子利用系統漏洞對于計算機網絡安全和數據造成破壞，不斷完善系統，優化網絡體系環境。（4）設計局域網專用的監聽程序，配置交換機鏡像端口，將其通過的數據包發送至監聽終端進行分析。方便網絡維護人員了解網絡體系中的運行情況，長期監測網絡情況并記錄到日志中，分析了解計算機間的聯系情況。（5）將數據庫密碼以及管理平臺密碼設置為8位以上的混合密碼，并定期對數據庫進行相應的備份，避免意外事件導致數據丟失的情況，有效地保障數據的完整性和安全性。（6）對服務器操作系統進行安全策略配置，加強服務器的安全性，將其安全屏障多增加一層。數據與外網交換建議用一次性介質，帶入內部網絡前進行充分的病毒檢測。并在擺渡機上進行測試后方可在內部網絡上傳輸。

5.2管理方面

從社會工程學中可以理解到人才是最大的漏洞，而且很難防范。人是社會生產生活中最主要的元素，想要達到真正意義上的網絡安全，構建起網絡安全體系。單純的技術防范是不可能從根本上解決網絡安全的，更需要將技術和管理緊密結合起來。（1）掌控網絡管理人員的思想底數和心理狀況，以及網絡管理人員的家庭環境情況，出現心理苗頭要及時對人員進行心理疏導等。（2）完善各種管理規章制度，對于網絡管理者定期進行安全教育，保證所在崗位人員的專業素質和職業道德素養；加強涉及崗位的責任制度，責任到人，減少網絡管理人員的玩忽職守和懈怠行為。

5.3物理設備的安全風險

針對其物理設備的安全應該構建網絡體系環境監測系統和預警機制，對網絡體系的各種設備環境數據進行監控、管控、報警，能夠在網絡體系物理設備出現異常時及時通知維護人員。（1）定期對重要機房服務器、磁盤陣列等物理設備進行檢查維護，保證數據安全。定期對網絡體系中的通信設備進行檢查維護，保證通信暢通。定期對UPS進行檢查防止電源故障導致設備損壞和數據丟失。（2）更新采購物理設備時必須做好檢查檢測，防止外部不法入侵設備進入內部網絡，以免不法分子有機可乘造成數據丟失和網絡體系破壞的風險。

6結語

該大學盡管網絡是物理隔離的，可以防范大部分外部網絡帶來的網絡安全風險，但是內部人員和數據與外部網絡之間的交換是存在高風險的，人是主要的安全漏洞，從人員管理和人員心理行為分析為主要手段，技術防范為輔助手段。針對其安全進行評估的結果擬定安全升級方案進行網絡安全升級改造?；灸軌驅崿F網絡安全全覆蓋，可以抵御各類網絡安全風險。以確保局域網內部的重要數據和網絡的安全。

參考文獻

[1]顧江.中小型局域網的網絡安全解決方案及技術探討[J].計算機光盤軟件與應用,2007,（11）：60-61.

[2]王啟.計算機網絡安全技術分析及防范策略研究[J].科技廣場,2011,（7）：111-114.

[3]孫保福.計算機網絡安全現狀防范的技術分析[J].電腦編程技巧與維護,2015,（9）：82-83.

[4]樊月輝.計算機網絡安全防護技術分析[J].信息系統工程,2015,（4）：68.

[5]梁直.計算機局域網安全與防范技術分析[J].計算機光盤軟件與應用,2014,（21）：193-193,195.

作者:陸奇 李鎖柱 單位:61243部隊