本站小编为你精心准备了局域网安全问题的建议参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
《计算机安全杂志》2014年第六期
1构建局域网
建设计算机网络,网络的硬件设备是基础。建设局域网亦是如此。尤其是在目前环境下,建设局域网可以有多种选择,但其中基本的设备应该包括三类、五类或更高级的电缆、多模光纤和单模光纤、集线器、交换机和网卡等,以确保网络中的硬件体系齐全。如果缺少将计算机连接到一起的硬件设备,即便是有分配主机名和IP地址也就毫无用处。其实,在建设和使用网络的过程中,“连接”是关键。企业应该把注意力集中在如何把计算机连在一起,不仅包括物理上的连接,而且还应该包括各种应用。目前,网络硬件体系主要用的是以太网(Ethernet),所以必须为每台计算机准备一块以太网卡(EthernetNetworkInterfaceCard,NIC),一个端口数至少和待连接计算机一样多的以太网兼容集线器,以及将网卡与集线器相连的网线。最后,在选择网线时一定要考虑到它的可扩展性。在通常情况下,以太网使用10BaseT电缆,并在它的两端接上RJ45接口。而在购买网线时,最好选择比实际需求要长出1或2倍,这样可以满足以后局域网拓扑结构(TopologyStructure)扩充的需求。在选择硬件设备时,还要注意确认它们是否能够与操作系统兼容。关于这些硬/软件兼容性的信息,通常可以在产品包装盒上的Requirements(要求)部分查找到。当然,也可以直接向出售计算机设备的厂商销售人员进行必要的询问。需要注意的是,在选购以太网集线器时,必须确认它的端口数至少应和局域网内计算机数目相等,以便于在日后扩展局域网时所需,最好是选择那些端口有盈余的品牌集线器。在构建局域网时,如果计划考虑到要让局域网中所有的计算机通过本地ISP(InternetServiceProvider,互联网提供商)连入互联网的话,那么路由器与以太网的结合是最理想的选择。局域网上的任何一台计算机,只要配置好路由器/以太网信息即可。在安置以太网集线器时,应该找一个既方便又安全的地方,最好是局域网所在建筑物的中心位置,或者是放置着所有待连接计算机的房间内。然后,再用网线将每台计算机的网卡接到以太网集线器上,以确保所有网线避开那些人们会经常经过的地方。而在启动这些连接到局域网上的计算机之前,需要再次确认已执行完硬件提供商所说明的安装操作。如果要使用路由器或者DHCP服务器将局域网连接到互联网,就需要根据用户手册的要求进行相应的配置。假如现在所有计算机的网卡都已经和集线器某指定端口相连,就可以开始在操作系统上使用软件进行配置了。
2建网的安全原则
企业若要建立一套安全的网络,如同信息系统建设一样,同样有“三分技术,七分管理”之说,也就是说,管理在网络建设中将起着至关重要作用。这就需要在企业局域网的建设中,同步需要建立一套网络安全管理制度体系作保障,如建立完善的机房管理制度、完善的网络使用制度、密钥管理制度、数据管理及备份制度、病毒防治管理制度、责任到人的设备管理制度、网络安全应急预案和定期网络评估制度等。但是,就局域网本身而言,在技术支撑层面上,建立一套局域网络安全体系架构尤为重要,它是网络可靠、安全、稳定运行的基础保障。一般而言,企业级的局域网网络安全系统包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等内容,目标是在不影响企业局域网当前业务的前提下,实现对局域网的全面安全管理。具体而言,可以涉及五方面内容:(1)将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效地阻止非法用户进入网络,以减少网络的安全风险;(2)定期进行漏洞扫描,审计跟踪,及时发现问题和解决问题;(3)通过入侵检测等方式,实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施;(4)使网络管理者能够很快地重新组织被破坏了的文件或应用,使系统重新恢复到破坏前的状态,最大限度地减少损失;(5)在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
3局域网建设的安全措施
目前,从技术手段方面,一般常见的基础网络安全防护系统有防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防护系统、VPN、数据加密等。但是针对局域网安全问题,一般可以采取两方面的防护措施:一是将网络进行分段;二是运用虚拟网技术实现虚拟网。网络分段是保证安全的一项重要措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。这其中又可分为物理分段和逻辑分段两种方式。物理分段通常是指将网络从物理层和数据链路层(ISOOSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。就企业内部网络而言,可按照所属的部门、职能、安全重要程度分为许多子网,包括财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。而在企业网络安全设计方案中,可以依照安全的重要程度和所需要的保护对象,在交换机上直接划分四个虚拟局域网(VLAN),即中心服务器子网、财务子网、领导子网、其他子网。这样,不同的局域网可以分属不同的广播域,由于这些子网均分属于重要网段,因此在中心交换机上可以将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段,以保障企业内部局域网的安全运行。
4结束语
企业网络乃至局域网的安全是一个动态过程和整体的布局,它并不是一些网络和安全产品的集成就能解决的问题,而且安全也不是一劳永逸的,它是随着用户网络的应用现况变化而变化的。因此企业在搭建局域网时,特别强调安全思路、安全原则和实施措施是必要的,但更重要的是,加强信息安全的宣传和教育,树立牢固的信息安全意识,提高网络使用人员的技术水平,才可能实现网络的畅通和信息的安全。
作者:崔海艳赵新民单位:中国联通赤峰分公司信息化服务中心