局域网的安全管理

论文导读：局域网安全是计算机网络安全的一部分，是指利用网络管理控制和技术措施，保证在一个局域网环境里，数据的保密性、完整性及可使用性受到保护。本文介绍了一些局域网的安全技术和管理制度
关键词：局域网网络安全
 

一、引言

信息科技的迅速发展，Internet已成为全球重要的信息传播工具。科技论文。据不完全统计，Internet现在遍及186个国家，容纳近60万个网络，提供了包括600个大型联网图书馆，400个联网的学术文献库，2000种网上杂志，900种网上新闻报纸，50多万个Web网站在内的多种服务，总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域，在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性，与此同时，又要求信息的传播是可控的，共享是授权的，增殖是确认的。因此在任何情况下，信息的安全和可靠必须是保证的。

二、局域网的安全现状

目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。科技论文。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。

三、局域网安全技术

1、采用防火墙技术。防火墙是建立在被保护网络与不可信网络之间的一道安全屏障，用于保护内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计。防火墙产品主要分为两大类：

包过滤防火墙（也称为网络层防火墙）在网络层提供较低级别的安全防护和控制。

应用级防火墙（也称为应用代理防火墙）在最高的应用层提供高级别的安全防护和控制。

2、网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

3、以交换式集线器代替共享式集线器。对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包UnicastPacket）还是会被同一台集线器上的其他用户所侦听。用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。

4、VLAN的划分。运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。

5、隐患扫描。一个计算机网络安全漏洞有它多方面的属性，主要可以用以下几个方面来概括：漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。漏洞检测和入侵检测系统是网络安全系统的一个重要组成部分，它不但可以实现复杂烦琐的信息系统安全管理，而且还可以从目标信息系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。漏洞检测就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。这种技术通常采用两种策略，即被动式策略和主动式策略。被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；而主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。入侵检测和漏洞检测系统是防火墙的重要补充，并能有效地结合其他网络安全产品的性能，对网络安全进行全方位的保护。科技论文。

四、网络安全制度

1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。

2、负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

3、实时监控网络用户的行为，保障网络设备自身和网上信息的安全。

4、对已经发生的网络破坏行为在最短的时间内做出响应，使损失减少到最低限度。

五、结束语

网络的开放性决定了局域网安全的脆弱性，而网络技术的不断飞速发展，又给局域网的安全管理增加了技术上的不确定性，目前有效的安全技术可能很快就会过时，在黑客和病毒面前不堪一击。因此，局域网的安全管理不仅要有切实有效的技术手段，严格的管理制度，更要有知识面广，具有学习精神的管理人员。

参考文献
[1]石志国,薛为民,尹浩.《计算机网络安全教程》[M].北京:北方交通大学出版社,2007.