王艷華 謝 芳

1.呼和浩特職業(yè)學(xué)院 內(nèi)蒙古 呼和浩特市 010000

2.內(nèi)蒙古廣播電視臺(tái) 內(nèi)蒙古 呼和浩特市 010050

簡(jiǎn)單的理解局域網(wǎng)就是幾臺(tái)網(wǎng)絡(luò)設(shè)備互相連接，在較小的地域范圍內(nèi)互相通信，通過樹形、星形、總線形等不同的連接方式構(gòu)成不同的網(wǎng)絡(luò)拓?fù)?，?shí)現(xiàn)了不同的網(wǎng)絡(luò)功能。隨著互聯(lián)網(wǎng)的高速發(fā)展，企事業(yè)單位對(duì)網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)的需求越來越密集，從而對(duì)單位的整個(gè)網(wǎng)絡(luò)系統(tǒng)的健壯性、可擴(kuò)展性等提出了更高的要求。蠕蟲病毒、黑客入侵、ARP 攻擊、內(nèi)部網(wǎng)絡(luò)私接等問題越來越突出，享受互聯(lián)網(wǎng)帶來便捷的同時(shí)也要不斷改進(jìn)網(wǎng)絡(luò)安全措施，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。怎樣有效地保護(hù)局域網(wǎng)安全穩(wěn)定運(yùn)行已成為網(wǎng)絡(luò)管理人員迫切需要解決的問題。

1 安全管理

采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。保證局域網(wǎng)核心機(jī)房的配電、消防、空調(diào)、環(huán)境等的安全，機(jī)房建設(shè)參照國家有關(guān)規(guī)范。機(jī)房配備監(jiān)控系統(tǒng)，確保監(jiān)控?zé)o死角。在人員進(jìn)出方面設(shè)置電子門禁系統(tǒng)或密碼指紋解鎖系統(tǒng)，建立健全機(jī)房入出管理制度。健全設(shè)備維護(hù)檔案，備品備件的更換和施工維護(hù)情況及時(shí)做好記錄。部署獨(dú)立的日志服務(wù)器，保存局域網(wǎng)內(nèi)所有操作及運(yùn)行記錄。

2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要在網(wǎng)絡(luò)冗余，安全域的劃分和邊界防護(hù)，同時(shí)要提高入侵防范，強(qiáng)化訪問控制。

需要對(duì)核心交換機(jī)、匯聚交換機(jī)和一些其他核心網(wǎng)絡(luò)設(shè)備配置冗余，整個(gè)網(wǎng)絡(luò)承載力能保證高峰期業(yè)務(wù)處理。局域網(wǎng)應(yīng)采用層次化網(wǎng)絡(luò)設(shè)計(jì)，形成縱深的網(wǎng)絡(luò)保護(hù)體系。

根據(jù)系統(tǒng)的業(yè)務(wù)功能，業(yè)務(wù)流程劃分不同的安全域，利用VLAN 技術(shù)來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)實(shí)現(xiàn)廣播域的隔離。在網(wǎng)絡(luò)內(nèi)部使用代理網(wǎng)關(guān)，使用代理網(wǎng)關(guān)能讓網(wǎng)絡(luò)數(shù)據(jù)包不能直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行。

在局域網(wǎng)邊界設(shè)置相應(yīng)的網(wǎng)絡(luò)訪問控制設(shè)備，能夠遠(yuǎn)程登錄設(shè)備，查看運(yùn)行記錄，配置參數(shù)，避免直接接入核心設(shè)備，帶來安全隱患。

接口設(shè)備能夠監(jiān)視和報(bào)警網(wǎng)絡(luò)外部的攻擊行為，也能夠?qū)阂獾拇a進(jìn)行及時(shí)的檢測(cè)和清除。

局域網(wǎng)有與外網(wǎng)連接需求的，需在局域網(wǎng)邊界部署具有相應(yīng)防護(hù)能力的防火墻。

3 終端安全

終端管理主要在身份鑒別方面提高對(duì)用戶身份的識(shí)別和代碼軟件的管理，防止惡意代碼的入侵。進(jìn)行用戶名登錄注冊(cè)，設(shè)置登錄密碼，定期更換登錄口令，避免口令被破解。禁止通過USB等外設(shè)進(jìn)行數(shù)據(jù)拷貝，必要時(shí)進(jìn)行光盤刻錄。遵循最小安裝原則，只安裝和業(yè)務(wù)相關(guān)的正規(guī)軟件。及時(shí)安裝殺毒軟件，更新操作系統(tǒng)。

4 系統(tǒng)安全

系統(tǒng)安全主要是確保數(shù)據(jù)交換的完整性、保密性及質(zhì)量。

提供獨(dú)立的登錄控制模塊，不同的用戶分配不同的用戶名，系統(tǒng)管理用戶具備身份鑒別功能，避免用戶身份被冒用，嚴(yán)禁匿名登錄。為不同的賬戶分配不同的權(quán)限，避免權(quán)限過大對(duì)系統(tǒng)造成誤操作，同時(shí)不同用戶之間相互制約避免惡意非法操作。

與外部網(wǎng)絡(luò)通信時(shí)采用校驗(yàn)碼技術(shù)或者互相約定的協(xié)議進(jìn)行通信，利用密碼技術(shù)進(jìn)行會(huì)話初始驗(yàn)證，對(duì)身份鑒別信息和敏感字段等采用加密手段。

對(duì)服務(wù)器等網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)盡量采用SSH、HTTPS 一些安全的管理方法，防止在通信過程中身份等有效的信息被監(jiān)聽。限定特定的網(wǎng)絡(luò)IP 進(jìn)行訪問，同時(shí)可以限定登錄的有效時(shí)間，特定資源的訪問等。

在檢測(cè)到重要數(shù)據(jù)受到損害的同時(shí)，能采取有效的措施進(jìn)行及時(shí)恢復(fù)。對(duì)重要的業(yè)務(wù)和數(shù)據(jù)進(jìn)行異地和本地備份，能進(jìn)行本地恢復(fù)。特別注重?cái)?shù)據(jù)庫的備份與恢復(fù)，數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。

結(jié) 束 語

提高局域網(wǎng)安全性需要多種手段并行使用，當(dāng)今網(wǎng)絡(luò)技術(shù)飛速發(fā)展，新型的網(wǎng)絡(luò)病毒和攻擊手段隨時(shí)可能出現(xiàn)，對(duì)局域網(wǎng)的安全提出了更高的要求，提高局域網(wǎng)的安全任重而道遠(yuǎn)。