【局域网存在的主要隐患及其安全策略6400字】

局域网存在的主要隐患及其安全策略目录16934前言 322394一、相关概述 312019（一）局域网络概述 38381（二）局域网的特点 321039（三）局域网的安全服务 36935二、局域网存在的主要安全隐患 45012（一）局域网内部安全与非法外联威胁 412203（二）局域网网系统控制与破坏问题 43373（三）物理安全风险 422533（四）网络平台的安全风险 590451、互联网连接的安全风险 5317532、骨干网安全风险分析 518294（五）管理的安全风险分析 651891、安全组织建设风险 6208662、安全管理风险 6235513、人员管理风险 711870三、局域网的安全策略 730830（一）制定科学合理的网络内部访问机制 721157（二）建立系统的网络修复系统 826367（三）物理安全防护建设 87263（四）网络平台的安全策略 821153（五）建设安全运营管理平台 925513四、结束语 912377参考文献 11

前言计算机技术的发展革新了各行各业的工作方式，但是同时也带来了未知的安全威胁。局域网作为网络中一个主要分支，由于其能够实现不同地方不同管理，因此在人类生活中得到广泛的应用，并且发挥更大的作用，为了使局域网能够更好的发展，就应该从安全性角度考虑，提高区域网络的安全及防范功能。尤其是在网络安全管理不被重视的背景下，网络运行的管理者更应从思想意识和实践行动上，重视局域网安全威胁问题。这样才能有效保证局域网安全使用，从而促进我国国民经济稳定发展。一、相关概述（一）局域网络概述局域网主要是指在某一特定区域内由多台计算机共同组成的一个计算机组，通常情况下局域网主要由资源子网和通信子网两部分构成，在局域网中不仅能够实现，企业工作组内的日程安排，而且能够实现应用软件的共享、文件的管理、打印机的共享、传真通信服务以及电子邮件服务。其中通信子网就是在局域网中负责数据通信的部分，其主要由路由器、中继器、网卡、交换机、集线器、网桥等设备组成；而资源子网就是指信息中面向使用者的部分，该部分主要承担的局域网内数据分析工作，使相关的工作人员能够在局域网的支持下更好地分析相关数据，从为其他工作提供有力的支持，支持数据分析工作的资源子网设备主要有:共享的打印机、联网的服务器、工作站以及其他设备。（二）局域网的特点局域网技术具有传统网络无法比拟的灵活性，例如通信范围不受环境条件的限制，使人们能更方便、灵活、快捷地访问网络资源，摆脱了传统有线网络的束缚。局域网开始是作为有线网络的延伸而存在的，各团体、企事业单位广泛地采用了技术来构建其办公网络。但随着局域网技术和应用的进一步发展，局域网正逐渐从传统意义上的网络技术发展成为“公共无线局域网”，已成为宽带接入的重要手段，成为人享受网络数字生活的主要途径。（三）局域网的安全服务在无线局域网中，安全服务主要是通过认证技术和数据加密技术来实现的。无线局域网基于无线广播，具有方便灵活的特性，但这种灵活性同时也具有一定的安全性隐患，给安全认证带来了挑战。无线局域网与有线网络相比，面临以下安全挑战:首先，无线信道开放，使其无法像有线网络那样可以实现物理上的隔离来保障整个局域网的信息安全，无法阻止攻击者窃听;其次，无线用户不必与网络进行实际连接，入侵者可以通过使用遵循相同标准的产品，轻易截获网络信息流，使得攻击者伪装合法用户更容易;再次，传输电波在空气中的传播会因多种原因发生信号衰减，导致信息的不稳定。因此，无线局域网较之传统的有线网络，存在更多的安全隐患，如何解决其所存在的安全问题，直接关系到无线网络技术在推广应用。二、局域网存在的主要安全隐患（一）局域网内部安全与非法外联威胁在日常生活中，局域网受到的安全攻击往往来自网络内部用户的攻击。网络安全设施一般放到网络边界，缺乏必要的内部拦截，与此同时，网络为内部人员提供的网络请求认证的级别较低，内部的数据传输往往是以明文的形式进行的，这就为一些人破坏和窃取网络数据提供便利条件。与此同时优盘等移动设备的不正当使用也是造成计算机出现安全隐患的一个重要诱因，部分内部人员将一些敏感文件拷贝到移动存储设备中，一旦这些再次插入到连接到互联网上的电脑中，就会出现间接从内网中秘密窃取文件资料的安全隐患。（二）局域网网系统控制与破坏问题尽管使用者设置密码及口令的相关保护，但入侵者仍然可能跨过防范措施，将漏洞安进系统之中。破坏者利用网络黑客的方法，找到系统内部的漏洞及管理方面的问题，通过漏洞进行侵入，使电脑数据库造成一定程度的破坏，甚至会黑掉使用者的所有网页。网络病毒本身的生命力比较弱，但它的附着力比较强大，并且进行不断扩张，引发网络风险的产生。局域网在同一网段内经常出现地址冲突，由于局域网内部的病毒传播快，安全性能低，导致网络内部电脑相互病毒感染，导致数据丢失。（三）物理安全风险物理层安全是整个网络系统安全的前提。网络的物理安全风险是多种多样的，主要包括网络运行安全和网络安全保护两大类。网络运行安全主要是指地震、水灾、火灾等环境事故、电源故障等;网络安全保护主要是指设各被盗、破毁、电磁干扰、线路截获、对网络设备运行配置的误操作等。为了保证公司网络系统的物理安全，在局域网内，可以通过使用高可用性的硬件，双机多冗余的运行模式，建设机房环境及报警系统，提高安全意识等措施，制定健全的安全管理制度等手段，这些风险是可以避免的。在广域网内，由于网络的物理跨度大，不仅需要做好备份，还需要补充线路加密设备，同时应补充网管系统对网络操作人员提供支持。（四）网络平台的安全风险1、互联网连接的安全风险（1）服务的安全风险目前公司所提供的互联网服务主要是信息发布，信息发布功能由WWW月及务器提供。考虑到来来提供的互联网服务可能包括网上业务交易等内容，所以其风险具体包括:由于访问控制不当，未能检测到攻击者对网上系统的访问，从而造成对信息完整性、保密性、或可用性的潜在危害；互联网黑客伪造网站，欺骗用户；攻击者通过执行命令、发送数据、或执行其他操作使系统资源对用户失效，资源可能是带宽、处理器时间、内部存储器、数据存储器等；攻击者通过窃听通信线路获取用户数据；攻击者为获得消息内容对加密数据使用密码分析，当截获了有效用户的标识和鉴别数据后，假冒授权用户访问系统；消息的接收者(或发送者)为避免对接收(或发送)的信息负责而否认接收(或发送)过数据；合法用户滥用授权不正当地收集、修改或发送敏感的或对系统安全关键的数据；关键系统组件失效导致系统关键功能失败。（2）互联网访问的安全风险由于互联网的完全开放性，往往使组织对互联网的访问遇到极大的安全风险。针对公司的网络系统，对互联网访问的安全风险主要包括:对主页服务器的拒绝服务攻击、黑客渗透、扫描攻击、恶意代码攻击、垃圾邮件攻击、蠕虫病毒传播、不健康信息的传播等。2、骨干网安全风险分析（1）骨干网建立在电信公司的网络上，信息安全上不可信任。中国电信的SDH网络为公司信息系统提供了广域网传输线路。中国电信通过SDH网络能够访问、控制、入侵公司的信息系统，在信息安全上中国电信的SDH网络是不被信任的，骨干网必须大大加强防护。（2）骨干网没有建立备份连接，公司信息系统的骨干网是在单链路上建立的，但是当电信公司提供的广域网接入服务发生中断，公司信息系统就面临着极大的损失，所以应该建立备份连接。（3）仅在公司和分部的网络边界部署了防火墙进行访问控制，网络的管理与监控机制尚不完善，无法对外部访问的合法性作出正确判断，缺乏对所采集的数据进行深入挖掘、详细分析和实时预警等功能，无法迅速阻断非法用户的入侵。（4）对于主干通讯网络没有流量监控措施，无法预见大规模蠕虫爆发等网络异常状况，并采取必要的防护手段。（5）对于主干通讯网络的关键网络设备，没有强身份鉴别机制，容易造成非法的设备参数配置。（6）办公网和业务网在通讯链路上没有分离，导致相互争夺带宽资源。（7）网络协议的弱点:TCP/IP协议在产生之初，还没有全面考虑安全方面的因素，因而在安全方面存在先天的不足，典型的利用TCP/工P协议的弱点发起攻击行为的就是“拒绝服务攻击”。如“SYNFLOOD”攻击，它就是利用了TCP协议中，建立可靠连接所必须经过的三次握手行为，攻击者只向攻击目标发送带“SYN”表示的数据包，导致被攻击目标一味地等待发起连接请求的源地址再次发送确认信息，而导致系统处于长期等待状态，直至系统的资源耗尽，而无法正常处理其他合法的连接请求。（8）网络的访问策略是不是合理，访问是不是有序，访问的目标资源是否受控等问题，都会直接影响到公司信息网络的稳定与安全。如果在网络地址规划、接口配置、访问策略、带宽策略方面等方面没有系统的规划，将导致网络难以管理，网络工作效率下降，无法部署安全设备、对攻击者也无法进行追踪审计。（五）管理的安全风险分析1、安全组织建设风险随着公司集团化发展，信息系统安全体系的建设对组织保障提出了更高的要求，现有的机构设置、岗位设定、人员配备等不能完全满足对信息系统安全管理的需求，这些问题在很大程度上制约了公司信息安全体系建设的发展。2、安全管理风险（1）缺乏统一的用户权限管理和访问控制策略，用户、口令、权限的管理不严密，系统的安全配置一般都是缺省配置，风险根大。（2）对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。（3）没有根据各类信息的不同安全要求确定相应的安全级别，信息安全管理范围不明确。（4）缺乏有效的安全监控措施和评估检查制度，不利于在发生安全事件后及时发现，并采取措施。（5）缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的机制和手段来发现和监控安全事件，没有有效的对安全事件的处理流程和制度。3、人员管理风险（1）出于对系统缺乏必要的技术监控手段，因此导致省公司安全管理人员很难对网络中的活动进行细致全面的掌握，网络活动对安全管理人员存在“管理黑洞”。（2）缺乏操作性很强的行为规范制度，使公司信息网络用户无法正确地操作系统。（3）网络的易用性与安全性存在矛盾，而公司信息网络访问人员更倾向于采用简单的方法处理信息，因此往往对安全性重视程度不足，或者对安全访问手段缺乏常识，而导致误操作行为。三、局域网的安全策略（一）制定科学合理的网络内部访问机制互联网的搭建目的在于，通过网内计算机的互相联通，提高业务的流转处理和工作效率。一旦出现问题，病毒或瘫痪等就随之出现。在实际工作中，网络管理者要制定一套完善的内网访问机制，将内网划分不同的访问列表，分别设置用户登录密码，关闭系统的默认共享，指定访问用户，设置安全策略合理使用防火墙或限制登录用户的访问权限等措施都是内网访问机制建立的有效手段。对有用的内部信息进行安全检测和控制，进行深度数据包处理，TCP或IP终止，或者采用网络进程跟踪等有效措施。（二）建立系统的网络修复系统关注互联网系统漏洞修复，这些漏洞往往被网络病毒和木马利用对计算机系统进行攻击，因此，网络管理人员要提高系统补丁管理的重视程度，保障网络顺畅运行。同时，注意通过管理维修平台及时掌握系统补丁修复情况，通过定期到计算机终端进行检查保障局域网的系统始终处于安全状态。注意建立有效的备份容灾措施，定期备份和恢复操作对象，采用先进的技术管理，适应当前网络运行的安全手段。对访问进行控制以及做好网络系统漏洞的筛选工作，建立访问控制体系，定期进行周期性筛选，对网络入侵行为进行检测和控制，对入侵的整个过程进行实时的检测和控制，进行实时跟踪。（三）物理安全防护建设为了保护网络设备、设施、介质和信息免遭自然灾害、环境事故以及人为物理操作失误、错误及各种以物理手段进行违法犯罪行为导致的破坏、丢失，设计的局域网需要做到环境安全、设备安全和介质安全等。环境和设备安全包括:重要部门的技防监控系统和指纹门禁系统、红外对射报警系统、重要部门“三铁”部署、供电安全(含冗余电源)、机房系统三级防雷接地、中央空调温度控制、机房铺设防静电地板、屏蔽与静电接地系统等设计。新网络设计中明显提高了物理环境安全性，加强了技防力度，直接应用一些新的技术防范手段，保护设备和仪器的使用安全，防止和减少发生概率比较高的自然灾害，如雷电等的直接破坏。介质安全主要为:区分介质的涉密等级确定不同防范级别；建立指定介质使用人台帐；加强介质的安全存放管理；采用带逻辑指纹锁的移动介质；尽量使用只能单向传输物理介质(如光盘)、定期检查介质台帐和存储信息并实行相关奖惩制度等。新设计中增加了对涉密介质的使用过程控制，要求介质流转过程实行严格的“闭环”管理，同时对介质的使用人、使用方法和存放方式做了相关的约束。新网络中的介质安全除了从技术上采用必要的加密手段，同时注重人的管理和保密安全意识的提高。（四）网络平台的安全策略参照纸制文档管理的方法，将电子信息中非密和涉密的信息数据的分离，且涉密信息也分出具体的等级，作为采取不同防范措施的依据和网络物理防范的目标。网络中保密的信息数据集中存放在专门的服务器上，采用可靠性强的冗余和备份等技术，并保证这些重点部门的场地安全。由于网络中信息数据进行了分离，保密的信息数据也进行了分离，外网、专网和内网的信息数据被划分成非密信息、一般秘密信息和机密信息。同时，网络综合布线使局域网的所有信息点物理联接，因此必须根据网络信息数据的划分的等级，进行区域划分，设置不同的网络防护边界，并针对边界采用相关的物理防范技术如VLAN划分、防火墙、入侵检测和防范系统等。网络与信息数据的划分一样，被划分成非秘密区域、秘密区域和机密区域三种形式。（五）建设安全运营管理平台可以通过在监控管理中心上运行一些应用程序来监视和控制被管理的设备，监控管理中心会提供大量关于被管理设备的信息，而这些信息是管理好一个网络所必须的。监控系统为企业和团体专用网、网络运营商的网络管理员和网络软硬件开发商的系统维护人员提供监控、管理和调节网络安全设备的专用平台，它也辅助网络管理员和系统维护人员快速定位和排除网络及工作站故障。信息系统安全体系建设是一个全方位的、动态的、持续的过程。在网络安全建设方面，公司信息网络不仅仅需要采用大量的防火墙对各核心单位和核心业务系统进行保护、部署工DS入侵检测系统对我们的网络流量进行实时监控、还需要部署网络防病毒系统、代理服务器、内网安全管理、代理服务器等措施来保证集团信息网络的安全稳定运行。利用这些安全设备和安全服务可以成功的阻断部分攻击，减少了信息安全事故发生的机率，但是依然缺乏一套有效的网络安全保障体系，来对全网进行统一的安全管理，在采用了安全集中管理平台，能够解决上