摘要:随着信息网络通信技术的不断发展,计算机技术得到广泛的应用,也极大地方便了人们的生产生活,在个人电脑普及的今天,计算机网络技术与人们的生产生活有了更加紧密的联系,而计算机的网络安全成为大家都要着重思考的重要问题,保障各种信息安全,成为计算机网络技术发展所必须面临的问题。通过分析某单位局域网络网络安全所存在的问题,从技术、管理等多方面给出了,网络安全的防范策略。
关键词:小型局域网;网络安全;防范措施
1概述
随着现代网络通信技术的快速发展,计算机技术在此基础上得到了广泛的应用和发展,现在已经融入到了人们的各种生产生活中,上世纪90年代我国的计算机信息产业处于初步阶段,看不出信息价值的重要性,更不存在信息安全这个概念,到现在我国计算机信息产业成为经济支柱之一,网络信息安全越发重要。随着我国互联网与国际互联网接轨,从被境外攻击的数据显示,我国的信息网络安全风险逐年增高,如何在网络信息通信这条高速路上保证信息传递的安全,如何保证企业的信息网络通信设备以及计算机终端不被不法分子破坏或劫持,如何保证企业所存储的数据的安全,都成为现实中所要考虑的难题。矛与盾的斗争永远在路上,只有在计算机网络安全技术这个盾上面下功夫才能为网络信息安全提供保护屏障,才能够有效地抵御外来风险,保证其网络信息安全,将可能的风险降到最低。
2小型局域网络系统
以某大学局域网进行安全评估为例,该局域网内共有计算机终端300余台,主要层次为网络接入层和网络交换层,网络交换层主要是核心交换机与二级交换机之间的数据交换通道,网络接入层主要是用户终端与网络之间的数据交换通道,其三层核心交换机与二层交换机都采用的是默认的策略配置。三级交换机划分了10个Vlan,各Vlan之间相互互通,该大学局域网的核心交换机采用的是企业级模块化华为S7706核心交换机,数量一台,无热备,高可用性较差,容易造成业务中断。二层交换机采用的均是华为s3700系列,具备网络管理及安全管理的功能,无任何安防设备,DMZ区边界防火墙未启用,局域网络与外网物理隔离。数据通过介质与外网交换。
3小型局域网络的安全风险分析
小型局域网网络安全风险大致可以分为两大类,即人为风险和系统风险。人为风险可以分为人为误操作风险和人的心理因素导致人的一些不法行为对内部计算机网络、硬软件设备以及信息数据造成的破坏,系统风险可分为网络体系架构风险和网络通信系统风险,网络体系架构主要是缺乏一些对网络进行监控和扫描的设备系统以及监听终端等,对内网运行情况缺乏有效的监管。网络通信系统风险主要是在通信系统中的通信设备和通信终端、服务器等安全策略配置的缺失和管控。
4局域网所存在安全风险因素
4.1网络体系架构
DMZ(DemilitarizedZone)是整个网络体系中的非军事化区域,是网络中的网络特殊地带,在这个区域里是部署各种公开对外服务的服务器和放置一些公开的数据,DMZ区在网络体系中对内部网络本是起到一个屏障作用,但是在这个区域里的服务器中存储着众多的重要机密数据。也就是说整个网络体系架构中并不存在这样一个区域,同时也没有启用硬件防火墙。缺乏有效的网络监控和漏洞扫描设备系统,所有的交换机等通信设备都没有进行网络安全策略配置和安全管理,所有重要数据和内部系统直接暴露在内网局域网络用户之下。整个网络体系安全级别几乎处于裸奔状态,任何一台终端都可以对核心区域进行访问。任何一台终端配置IP后都可以接入网络,没有有效IP策略和端口管控。从而导致非法接入者对网络进行破坏和数据丢失。
4.2服务器
该大学的机房采用VMwarevSphere将物理机虚拟化多个服务器操作系统,机房服务器操作系统主要以Windows系列为主,而服务器并未进行任何安全策略配置,系统防火墙都处于关闭状态,所有端口都向外开放。在没有任何安防设备下,很容易被嗅探,并进行攻击,获取管理员权限,从而获取主机控制权。而且很容易被病毒入侵导致服务器瘫痪的风险。此前爆发的勒索病毒针对其445端口以及smb协议漏洞进行攻击。而且微软已经在2020年1月14日停止对Win7/Winserver2008系统的服务支持,也就是说不再提供相应的安全补丁,Win7/Winsever2008的安全风险进一步增加。
4.3操作系统
操作系统是计算机的灵魂和大脑,掌控着计算机硬件和软件的各个资源,它所提供的用户视图界面给用户创造了一个工作视窗。它来全权调度、创建和管理系统进程,分配计算机硬件资源,操作系统极大地方便了用户的同时,操作系统里的远程通信控制机制和本身系统所存在的漏洞,也为不法分子提供了可乘之机。不法分子可通过漏洞远程获取计算机控制权限,从而获取自己想要的数据或者破坏计算机网络,危及整个内部网络安全。通过对端口开放、协议漏洞、系统漏洞、口令测试等进行内部网络评估,该单位客户端主机操作系统普遍存在管理员账户密码口令弱,系统补丁漏洞较多,杀毒软件以及病毒库更新不及时,445端口并未封控,漏洞补丁没有及时更新。很容易渗透其操作系统,几乎近百分之七十几的主机客户端、服务器沦陷。
4.4数据交换共享
现计算机技术能够快速发展到今天,也是源自于信息的共享。信息的共享对人们的生产生活提供了极大地便利和避免了劳动的重复性。信息的共享增加了人们的认知水平和扩大了人们的视野。同时也给人们的交际圈进行了延伸。但凡事都有其双面性,提供了便利的同时,也为不法分子提供了犯罪的空间。不法分子总是以各种手段去进行数据获取或破坏数据,随之而来的高科技犯罪由此诞生。网络空间中的矛与盾的斗争就此开始,黑客通过网页挂马、计算机漏洞后门攻击、部署钓鱼网站等进行攻击导致数据泄露和遭到病毒破坏。数据与外网通过介质进行交换时很容易将网上挂马数据包或携带病毒的数据包带入内部网络。导致病毒对内部网络的数据进行破坏和感染。
4.5数据库及信息存储
该大学的重要业务数据主要存储在服务器操作系统的硬盘分区上并未安装相应的软件数据库,其他一些数据文件以及门户网站数据存储在MySQL数据库上,其数据库密码采用的是默认的弱口令密码,并未进行更改。其数据安全风险相当于暴露在阳光之下。数据库因为其存储着海量信息,一直以来是黑客的重要目标,黑客惯用SQL注入、穷举口令法等方法攻破数据库进行数据获取、篡改、破坏。数据的安全性难以保证。
4.6操作系统防火墙的脆弱性
防火墙是网络与网络之间的通信建立的一道安全屏障,也是保障计算机网络安全和操作系统安全的安全守卫,其可以分为软件防火墙,硬件防火墙以及芯片级防火墙,操作系统自带的软件防火墙,其安全机制都有其本身的应用局限性,操作系统防火墙很难发挥预想的作用,黑客可以通过操作系统自身所存在漏洞进行攻击而绕过其防火墙。对主机进行控制,窃取或篡改信息并上传病毒木马,对网络进行破坏感染。操作系统防火墙是软件防火墙的一种,其作用有一定的局限性,并不能提供绝对的安全。系统本身自带的防火墙在安防等级较低的情况下发挥效能,但在稍高一点的安防等级作用并不明显。
4.7其他安全风险
计算机网络的硬件设备和软件设备都受自然环境的影响,如自然灾害可以破坏计算机网络的通信设备,灰尘较多会造成设备元器件加速老化导致设备损坏,从而对计算机网络安全产生影响;或者电源故障导致元器件烧坏造成设备故障,引发数据丢失的风险等。
5网络安全的防范策略
5.1技术方面
为了保障网络体系中的网络安全,应加强计算机网络安全技术的学习研究和网络安全测试。(1)针对其网络拓扑架构升级优化,核心交换机应采取双机热备的方式增强可用性和安全性,构建DMZ区,作为内部私网的一道屏障,保障其重要数据安全。并在其内部私网边界加装硬件防火墙,并进行安全策略配置,防火墙作为行之有效可以推广的安全机制,最大程度减少恶意入侵的数量,最大程度减少端口对外的开放。(2)将入侵检测系统、漏洞扫描系统、补丁分发系统、网络防病毒系统应用于计算机网络安全防护体系中,及时将网络体系中未经授权的入侵行为和网络异常现象发现,并对其入侵行为采取相应的限制措施,保障网络体系中的网络安全;对其网络体系中的通信设备进行安全策略配置实施,对其IP和Mac地址、端口进行管控。(3)进行对人员权限策略进行配置,限制其内部人员和外来人员的权限,减少人员查看并掌握重要的涉密数据;定期对网络体系中所存在的各种漏洞进行扫描和修复,定期对网络防病毒系统和病毒库进行更新,避免不法分子利用系统漏洞对于计算机网络安全和数据造成破坏,不断完善系统,优化网络体系环境。(4)设计局域网专用的监听程序,配置交换机镜像端口,将其通过的数据包发送至监听终端进行分析。方便网络维护人员了解网络体系中的运行情况,长期监测网络情况并记录到日志中,分析了解计算机间的联系情况。(5)将数据库密码以及管理平台密码设置为8位以上的混合密码,并定期对数据库进行相应的备份,避免意外事件导致数据丢失的情况,有效地保障数据的完整性和安全性。(6)对服务器操作系统进行安全策略配置,加强服务器的安全性,将其安全屏障多增加一层。数据与外网交换建议用一次性介质,带入内部网络前进行充分的病毒检测。并在摆渡机上进行测试后方可在内部网络上传输。
5.2管理方面
从社会工程学中可以理解到人才是最大的漏洞,而且很难防范。人是社会生产生活中最主要的元素,想要达到真正意义上的网络安全,构建起网络安全体系。单纯的技术防范是不可能从根本上解决网络安全的,更需要将技术和管理紧密结合起来。(1)掌控网络管理人员的思想底数和心理状况,以及网络管理人员的家庭环境情况,出现心理苗头要及时对人员进行心理疏导等。(2)完善各种管理规章制度,对于网络管理者定期进行安全教育,保证所在岗位人员的专业素质和职业道德素养;加强涉及岗位的责任制度,责任到人,减少网络管理人员的玩忽职守和懈怠行为。
5.3物理设备的安全风险
针对其物理设备的安全应该构建网络体系环境监测系统和预警机制,对网络体系的各种设备环境数据进行监控、管控、报警,能够在网络体系物理设备出现异常时及时通知维护人员。(1)定期对重要机房服务器、磁盘阵列等物理设备进行检查维护,保证数据安全。定期对网络体系中的通信设备进行检查维护,保证通信畅通。定期对UPS进行检查防止电源故障导致设备损坏和数据丢失。(2)更新采购物理设备时必须做好检查检测,防止外部不法入侵设备进入内部网络,以免不法分子有机可乘造成数据丢失和网络体系破坏的风险。
6结语
该大学尽管网络是物理隔离的,可以防范大部分外部网络带来的网络安全风险,但是内部人员和数据与外部网络之间的交换是存在高风险的,人是主要的安全漏洞,从人员管理和人员心理行为分析为主要手段,技术防范为辅助手段。针对其安全进行评估的结果拟定安全升级方案进行网络安全升级改造。基本能够实现网络安全全覆盖,可以抵御各类网络安全风险。以确保局域网内部的重要数据和网络的安全。
参考文献
[1]顾江.中小型局域网的网络安全解决方案及技术探讨[J].计算机光盘软件与应用,2007,(11):60-61.
[2]王启.计算机网络安全技术分析及防范策略研究[J].科技广场,2011,(7):111-114.
[3]孙保福.计算机网络安全现状防范的技术分析[J].电脑编程技巧与维护,2015,(9):82-83.
[4]樊月辉.计算机网络安全防护技术分析[J].信息系统工程,2015,(4):68.
[5]梁直.计算机局域网安全与防范技术分析[J].计算机光盘软件与应用,2014,(21):193-193,195.
作者:陆奇 李锁柱 单位:61243部队
