1局域网的基本内涵
局域网根据其名称就能推理出其基本内涵,从覆盖范围上,局域网可以覆盖至方圆几千米,并且受众面极广,在经过简单的安装和操作,与相关电子网络产品和办公软件对接,实现资源合理使用以及档案管理的个性化。局域网在现阶段的重要作用多因为经济发展状况有所改变,能够实现经济发展快速化需要以及信息使用的平台化,同时在无线局域网迅速遍布各领域、各主体以及发展对象,在极为便利的网络环境下,实现了更为高速的发展。同时,此类行业发展也建立在局域网的安全下,可见局域网的发展是以安全性为第一要义的。
2局域网信息网络面临的威胁
2.1系统漏洞带来的安全威胁
系统漏洞是指我们平常使用的应用软件以及操作系统如Windows,Unix,VMware,Linux等,它们在开发的时候由于各种原因最终导致程序出现了缺陷或漏洞,电脑高手可以充分利用这些缺陷和漏洞进攻电脑,获取电脑的控制权,往电脑或局域网网络中植入木马和病毒等,破坏计算机系统和网络,严重时还会造成大面积网络瘫痪,造成局域网重大损坏。漏洞的影响非常大,不单是对服务器系统,甚至是交换机系统以及防火墙系统都有可能会存在各种安全漏洞。如我们所熟知的UPNP漏洞,可以直接与网络进行连接进行WEB访问,我们所需要做就是要关闭这项服务;还有3389远程访问、压缩文件漏洞等很多。
2.2物联网带来的安全威胁
现代社会,信息网络已经联通了各个行业,物联网和人工智能也已经来到了我们身边。上至家庭使用的冰箱、彩电、加温器等,下至公司局域网的物流及各种设备都可以连入网络,与之带来的安全问题也尤为突出,人们对物联网的安全认识并没有提高,所以导致物联网的设备很容易被黑客利用作为入侵的肉鸡和跳板,如果不做好相应的防范措施,局域网内部网络就会出现极大风险。
3针对安全威胁实施的有效管理方法
3.1部署漏洞扫描补丁更新服务器
1)漏洞扫描功能:漏洞扫描主要是使用系统定制的攻击方案对网内的所有计算机进行各种端口扫描,如果某台计算机开放了某个端口,就可能会出现针对这个端口的漏洞,扫描完成后会对整个网络生成一个漏洞扫描报告,管理人员就可针对这些情况做出相应的对策,漏洞扫描不仅针对局域网网络中的个人计算机,也可以扫描内部网络的服务器和各种网络设备,如交换机、路由器和防火墙等,对于这些设备发现漏洞也要采取相应的方案进行解决。
2)补丁下载功能:服务器会根据网络扫描情况,将网内系统需要补丁自动下载到服务器中的UPDATE目录中,这个补丁也包括了系统中的常用软件更新补丁,因为许多常用软件也会存在相应的漏洞,同时,服务器会向所有的客户端计算机发送更新通知,让用户进行系统更新,修复系统和软件的漏洞。
3)服务通信功能:负责网络内的计算机和这台服务器之间传输补丁数据并统计补丁更新情况,也可以在服务器中实施自动部署更新方案,比例利用每天晚上11点自动为客户端系统更新所有扫描到漏洞补丁包。
3.2安装网络版杀毒软件
在局域网网络内部服务器上安装内网的网络版杀毒软件管理平台,网络版的杀毒软件运行速度快,可以在全网轻松部署,而且可以在服务端部署相应的查杀策略,管理比较容易。在每台客户端都安装上客户端杀毒软件,服务端可以控制客户端在任意时刻进行杀毒,而不用用户进行干预。只要服务端的杀毒程序更新后,客户端程序就会自动更新,服务端程序会在空闲时自动监测全网情况并生成报告,如果发现某台计算机的某些病毒不能删除,工作人员还可以进行远程操作,解决问题,这样可以提高管理人员的工作效率。
3.3加强网络设备安全管理
所有的网络设备在默认的情况下都会存在风险,我们要做的就是解决这些问题。首先是路由器的问题,局域网网络大部分接入了路由器,很多路由器都使用默认的密码来进行管理,为了防止非常接入,我们要关闭这个功能,或者修改默认密码为安全的数据加字母的密码。大部分的交换机也存在这样的问题,所以对于交换机,我们也应该这么做,防止出现问题。我们还应该定期到网络设备提供商的官网查看是否有该设备的更新包,及时下载更新包修复设备漏洞。对于硬件防火墙来说,除了上面针对路由器和交换机所做的操作外,还应该指定管理主机IP地址,然后增加对内和对外的访问控制列表,做好相应的安全策略,尽量把非法访问控制在萌芽之中。
3.4口令安全管理
网内所有设备都要设置相应的口令,这些口令必须符合相应的复杂度要求,我们就曾发现在单位中许多工作人员在离开工作岗位后,计算机没有关闭处于屏保或黑屏中,只要有人过去动动鼠标或键盘,系统唤醒后恢复正常使用状态,很容易泄密,所以必须设置密码,这些密码还需要用户定期进行修改,否则,如果不改变则锁定此计算机。计算机的密码设置至少8位,其中必须包含大小写字母和数字以及某些特殊字符,来保证密码不能通过穷举法轻易被破解。终端用户应该设置三重密码,这三重密码为开机密码、操作系统密码和屏保密码,这样能防止非常用法使用此终端。密码的使用时间一般为30天左右,定期更换密码是一个口令安全管理的好习惯。
3.5移动存储设备安全管理
对于移动存储设备,局域网内部网络应该统一使用加密方法进行管理。所有设备必须使用专用的管理软件,通过服务器安装加密狗来注册使用这些移动存储设备,所有未加密的设备不能在计算机终端进行识别,只能被格式化,但不能正常存储数据,这样就保证了所有非注册的移动存储设备不能在局域网内部网络使用,也防止了木马和病毒通过移动存储设备在网络中进行传播。服务管理端可以对移动存储设备时进行各种授权操作,如只读、只写、可读可写、规定时间读写等操作。只要存储设备插入电脑终端,服务器端就能检测到使用情况并形成日志文件,在需要时从日志文件中分析实际情况,从而保证了内部信息不会被任意拷贝泄露,病毒也不会通过移动存储设备进入到内部网络,木马和间谍软件也不可能会传播到局域网内部网,极大提高了局域网网络的安全性和保密性。
3.6安装终端审计管理系统
在局域网内部服务器安装终端安全管理系统,系统能够实时地展示全网的设备联网情况,每台终端的软硬件及操作系统信息,并生成相应的报表供管理员审计。可以进行各种网络接入控制,利用各种认证方式,使终端用户安全接入网络。对网络中所有用户的各种操作如收发邮件、刻录光盘、下载软件、打印文件等形成LOG文件存储在服务器中以作审计资料。对终端用户电脑的USB口进行管理,可禁止某些移动设备接入,如移动WIFI设备等,进一步提升内部网络的安全性。
结束语
如果我们不注意局域网网络安全,有可能会导致局域网内部出现重大损失,我们可以通过上面的多种手段,构建出一个真正的、安全的局域网内部网络,此外,对局域网使用人员还应该加强使用培训,使他们认识到网络安全的重要性,国家现在推出的等保2.0的安全标准,如果每个局域网都能够做到,就可以把局域网信息网铸就成一个铜墙铁壁。
参考文献
[1]王克.内网安全防范技术[J].信息网络安全,2009(1):20-21.
[2]张一新.网络信息安全风险及需求分析[J].水利水电技术,2007,38(5)
