十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
随着局域网的规模不断扩大,局域网的建设已经成为企事业单位以及政府机关信息化的重要组成部分,然而,局域网存在的安全隐患给信息化建设的进一步推进带来了巨大的阻碍。因此,必须对于局域网存在的安全隐患提出科学有效的防治策略。
因为努力和真诚,有更多的客户和我们聚集在一起,为了共同目标,创新互联公司在工作上密切配合,从创业型企业到如今不断成长,要感谢客户对我们的高要求,让我们敢于面对挑战,才有今天的进步与发展。从网站到小程序制作,软件开发,app开发定制,十年企业网站建设服务经验,为企业提供网站设计,网站运营一条龙服务.为企业提供营销型网站,按需搭建网站,原创设计,十年品质,值得您的信赖.
1 局域网存在的安全隐患
目前,一些局域网内部的计算机和互联网相连,却并未安装相应的比较高级的杀毒软件及防火墙,一些计算机系统或多或少都存在着各种的漏洞。局域网面临着黑客攻击、目录共享导致信息的外泄、计算机操作人员的安全意识不足等安全隐患。
2 针对于局域网存在的安全隐患的防治策略
2.1 对局域网内部重要数据进行备份,做好网络安全协议的配置
局域网内部存在着非常重要的信息,必须及时对这些信息进行完整的备份,以便在出现问题的时候及时恢复。备份一方面包括对局域网内部的重要数据的备份,另一方面,也包括对于核心设备和线路的备份。对于局域网内部的网页服务器,一定要安装网页防篡改系统,从而避免网页被恶意篡改。对于局域网中的核心设备的系统配置必须进行定期和不定期的检查和备份,从而在设备发生问题的时候,可以进行紧急恢复。对于局域网内部的核心线路,应该保持完备和做出适当的备份,从而在一些线路发生问题的时候,可以及时采用备份线路来维持整个局域网的正常工作。
TCP作为两台计算机设备之间保证数据顺序传输的协议,是面向连接的,它需要在连接双方都同意的情况下才能进行通信。任何两台设备之间欲建立TCP连接都需要一个双方确认的起始过程,即“三次握手”。
2.2 建立局域网统一防病毒系统
传统的单机防病毒形式已经不能满足局域网安全的需要,必须建立局域网统一防病毒系统,利用全方位的防病毒产品,对于局域网内部各个可能的病毒攻击点都进行对应的防病毒软件的安装,来实现全方位、多层次的病毒防治功能。与此同时,实现局域网统一防病毒系统的定期自动升级,更好的避免病毒的攻击。
具体来说,局域网统一防病毒系统应该包括防病毒服务器和客户端这两个模块。防病毒服务器是整个系统的控制中心,负责全面防治病毒。通过客户端安装或者网络分发的方式,可以在所有的工作站上分别安装客户端软件,同时设置所有的工作站都必须接受服务器的统一管理和部署。局域网管理员仅仅通过控制台软件,就可以实现统一清除和防治局域网内部的所有计算机存在的病毒的目标,使整个局域网内部病毒的爆发和蔓延得到有效的控制。一旦出现新病毒库,那么,仅仅更新防病毒服务器上的病毒库就可以了,客户端能够自动在防病毒服务器上下载并更新病毒库。局域网统一防病毒系统的病毒库能够实现及时方便的更新,也可以实现统一彻底的病毒防杀,同时具备操作简单快捷的特点,因此,是非常有利于局域网的病毒防治的。360安全卫士就是一个很好的局域网防病毒软件。
2.3 合理安装配置防火墙
防火墙是一种非常科学有效且应用广泛的保证局域网安全的软件,有利于避免计算机互联网上的不安全因素扩散到局域网内部。通过合理安装配置防火墙,可以在利用局域网进行通讯的时候执行一种访问控制列表,允许合法的人和数据来访问局域网,并且拒绝非法的用户和数据对于局域网的访问,从而使黑客对于局域网的攻击行为得到最大限度的阻止,避免黑客对于局域网上的重要信息的随意更改、移动甚至删除。为了切实做好局域网的安全工作,必须按照局域网的安装需求,严格配置防火墙内部的服务器和客户端的各种规则,PIX是一款实现对于局域网防火墙的科学有效的方案。PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。
2.4 配备入侵检测系统和漏洞扫描系统
入侵检测系统是防火墙的必要补充部分,能够实现更加全面的安全管理功能,有利于局域网更好的应对黑客攻击。入侵检测系统可以将内外网之间传输的数据进行实时的捕获,通过内置的攻击特征库,利用模式匹配和智能分析的方法,对于局域网内部可能出现的入侵行为和异常现象进行实时监测,同时进行记录。另外,入侵检测系统也能够产生实时报警,从而有利于局域网管理员及时进行处理和应对。
另外,也要配备漏洞扫描系统。在计算机网络飞速发展的形势下,局域网中也会不可避免的产生各种各样的安全漏洞或者“后门”程序。为了进行有效的应对,必须配备现代化的漏洞扫描系统来对局域网工作站、服务器等进行定期以及不定期的安全检查,同时提供非常具体的安全性分析数据,对于局域网内部存在的各种安全漏洞都及时进行修复。
Microsoft基准安全分析器(Microsoft Baseline Security Analyzer,MBSA)是微软公司整个安全部署方案中的一种,可以从微软公司的官方网站下载。MBSA将扫描基于Windows的计算机,并检查操作系统和已安装的其他组件(如IIS和SQL Server),以发现安全方面的配置错误,并及时通过推荐的安全更新进行修补。
通过多种形式的安全产品的配备,可以有效防护、预警和监控局域网存在的各种安全隐患,有效阻断黑客的非法访问以及不健康的信息,并且也能够及时发现和处理局域网中存在的故障。
2.5 运用VLAN技术
VLAN 的英文全称是Virtual Local Area Network,也就是虚拟局域网,它是一种实现虚拟工作组的先进技术,能够通过将局域网内的设备对于整个局域网进行逻辑分段,产生多个不同的网段。VLAN 技术的关键就是对局域网进行分段,将整个局域网划分为多个不同的VLAN,它可以按照各种各样的应用业务和对应的安全级别,通过划分VLAN来实现隔离,也能够进行相互间的访问控制,对于限制非法用户对于局域网的访问起到非常巨大的作用。对于利用ATM或者以太交换方式的交换式局域网技术的局域网络,能够通过VLAN 技术的有效利用来切实加强对于内部网络的管理,从而更加有效的保障局域网安全。
2.6 运用访问控制技术
通过访问控制技术的运用,可以保证局域网内部的数据不被非法使用或者非法访问。一般来说,用户的入网访问控制主要包括用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等几个方面。一旦用户连接并且登陆局域网,局域网管理员就能够自动授予该用户适当的访问控制权限,用户仅仅可以在它们自身的权限范围内进行数据的增加、修改、删除等操作。因此,通过这种方式,局域网内部的数据只能够被授权用户进行访问。当一个主体访问一个客体时,必须符合各自的安全级别需求,应遵守如下两个原则:
①Read Down:主体安全级别必须高于被读取对象的原则。
②Write up:主体安全级别必须低于被写入对象的级别。
应该注意的是,对于访问控制权限的设定一定要严格按照最小权限原则,也就是说,用户所拥有的权限不能超过他实现某个操作所必须的权限。只有明确用户的操作,找出实现用户操作的最小权限集,根据这个最小权限集,对用户所拥有的权限进行限制,才能实现最小权限原则。
2.7 建立良好的人才队伍,提高计算机操作人员的安全意识
为了保证局域网的安全,建立良好的人才队伍是非常重要的。通过具备较高的专业水平、较好的业务能力、较强的工作责任心的人才队伍,可以做好局域网的合理规划与建设,切实保证局域网日常的维护及管理工作,利用最为先进的技术来防治局域网的各种安全隐患。
与此同时,也应该提高计算机操作人员的安全意识。可以加强有关局域网安全的教育培训,建立健全科学合理的规章制度,切实提高所有人的安全意识。要求计算机操作人员必须规范操作各种局域网设备,合理设置设备以及软件的密码,特别是服务器密码,必须是系统管理员才能掌握。
3 结束语
针对于局域网存在的安全隐患的防治工作不是一劳永逸的,而是一项复杂艰巨的系统工程。在进行局域网的建设和管理过程中,一定要对于局域网中所存在的各种安全隐患进行及时分析,采取最有效的措施来保证局域网的正常工作,为单位的信息化建设提供强有力的支撑力量。
由于病毒摧毁计算机所造成的威胁有越来越严重的趋势,企业对于功能更强大的防毒软件的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好防毒措施,付出了惨痛而昂贵的代价。前几天我们这里的行政部门的的所有计算机由于感染了尼姆达病毒,搞得整个局域网瘫痪了,我们几个整整忙了两天才完全恢复正常。在工作期间,我发现这个单位网络安全意识低得真让人不敢相信,大多数计算机没有安装防火墙,就算安装了也好久没有升级了。(同志们,这可是我们政府机关啊!)所以建构一个全面的防毒策略,成为了大多数单位的一个重要问题,大面我和大家谈谈企业如何构建一个电脑病毒防护的安全策略。
企业的防毒策略
在早期的计算机环境中,其实病毒并不是一个非常令人头痛的事,只要我不用来路不明的磁盘,基本上可以防止 80% 的病毒入侵,但是进入互联网的新世纪,绝大部分的信息经由互联网交换,那么更容易从互联网上染上病毒,因此企业防毒策略的制定,更是绝对不能没有的计划。一般而言,一个需要作好防毒措施的网络架构可以分成以下三个不同的阶层:
1、网络(SMTP)网关(Internet Gateways)防毒机制
首先针对病毒可能会入侵的通道加以防堵,第一步就是企业的大门,在企业的局域网络中,网关扮演了举足轻重的角色,通常企业的网关就是通往内部网络的门,或者是安全性更高防护措施更完善的企业网络架构中,会有一个非军事区网络 ( DMZ, De-Militarized Zone ) ,在这个地方就是一个非常重要的部署防毒墙或者是防毒过滤软件的地方。
以网关或是DMZ部分的部署,通常可以分为两种模式:
第一种为网关模式,也就是将防毒服务器或是防毒墙(例如McAfee WebShield e50 硬件式防毒墙 ) 当成内部路由器的部署方式,此种配置方式乃是将防毒网关配置在防火墙装置的内部或是所有内部主机系统的最外部,也就是防毒墙或防毒服务器将成为名符其实的一个资料网关(有点像是路由器),如此一来所有进出企业体的封包,将一一被扫描过滤,一个都不会错过。
我以一般企业简单的网络架构来说明,一般来说位在网关的防毒机制,考虑到运作效能的问题,是不需要负责太复杂的防毒,通常是专门针对某些通讯协议加以侦测扫描,例如针对SMTP、FTP、HTTP 等通讯协议。在图1的架构中,共分为两个部分,由外部进来的封包,通过防火墙的控制,只能到达 DMZ 的部分,所有邮件都能够被扫描侦测,并且能够过滤垃圾邮件及防止邮件服务器被来自Internet的使用 ( Anti-Relay ),因此针对邮件我们就有了第一层的保护。
而另一部份则是内部网络,基于安全的理由,一般在防火墙的设定是不允许直接由 Internet 前往内部网络的,因此这部分是针对客户端计算机因浏览网站,或者是FTP站台所受到一些恶意站台的威胁,所做的防护措施因此针对来自Internet的威胁,我们就有了初步的病毒防护机制。
第二种模式则是代理模式,以如此模式建构的话,基本上防毒服务器是以代理服务器的型态存在。如果某家公司不管理自己的 Internet 网关,那防护的工作就得交由 ISP 来提供了。如果 ISP 不提供防毒服务或者它索取很高的费用,那么就应当考虑更换服务提供商。
一般情况下如果一个企业设置了第一层的病毒防护,那么公司只要在一两个网关上替整个公司捕捉和拦截病毒就可以了。一旦病毒通过了网关,公司就必须依靠服务器代理程序(server agents)对众多的服务器进行扫描和修复,而不再只是处理一个网关。倘若由于某种原因病毒穿透了服务器层,那就必须依靠客户端这一层的防毒软件,这可能会影响到成千上万的节点(nodes)。所以,立即在第一层阻止病毒是最行У慕饩龇椒ā?
2、服务器防毒机制
接下来就是服务器这一层。单单依靠桌上型计算机上的防毒软件是不够的,因为不管是在什么时候,都一定会有好几十台的计算机的防毒软件不是取消功能,就是解除安装,或者是其它原因而让防毒软件不能运作。在企业之中,有着不同的服务器提供着不同的服务,其中最容易遭数受病毒的攻击的服务器,首推群组服务器以及档案服务器,档案服务器有着档案集中的特性,提供企业体制中档案储存及交换的便利性,正是这种特性,更容易让病毒有机可乘,更容易散播开来。
而邮件服务器几乎可以称的现代企业的通信管道,很多资料、重要讯息大都是通过电子邮件这种最普遍亦是最方便的一种共通方式,所以也是病毒传染最快的方式,但这不是全部,病毒不只是通过邮件传递达到散播的目的,更利用群组中的信息共享机制,如电子公告栏,共享资料夹等等的讯息共享机制来散播病毒,因此我们更应该针对所有可能的通道价以防护,这就是架构中的第二层防护:你需要在每台存放文件和 e-mail 的服务器上作好病毒的防护工作,在这些服务器上,防毒软件都必须设置成提供实时防护和定期的防毒扫描(scheduled scanning)。注意:如果你只使用定期扫描这一种方法,而病毒在成功入侵一台开放的服务器时,它可能在你准备在夜间通过扫描过程来对付它之前,已经复制并感染了多台工作站。
3、客户端计算机防毒机制
在整个网络的最末端,客户端的计算机是企业网络中为数最多也是容易遭受到病毒感染的一个环节,也是最大、最难防护的一层,而且并非所有使用者都具有病毒防治的观念,因此在客户端的病毒防护策略,除了必须考虑环境及病毒入侵的防护外,还必须考虑到人为因素及管理因素,在如此复杂的环境中,我们先从病毒可能进行感染的通道防堵。
首先针对一般感染路径,档案的存取及网络的存取,已经是一种基本应有的功能,它必须在幕后随时监视及扫描你所存取的所有档案,包含压缩档及较不为一般人所注意的office 宏文件,以防止一般性的病毒威胁。在电子邮件的传染途径中,除了针对 SMTP 的通讯协议作保护外,还必须考虑到一些使用者必须由外部的邮件服务器收取邮件,或者是下载互联网上的档案,因此在下载档案的部分以及 POP3、MAPI 等通讯协议上必须加强防护。同样的来自于浏览网站或者是利用FTP上传或下载档案也是必须防护的重点,如此构成了严密的三层病毒防护策略。
作为网络管理人员的你也可以在登录描述程序(logon scripts)中加入了一些智能型的机制,以确保安装的防毒软件的版本是最新的。如果不是最新的版本,那么一个正确的(且升级后的)版本就会安装进来。未经正确病毒防护的设定,任何一台工作站都不允许放在网络上,这包括通过拨号的方式远程访问网络的计算机。此外,新一代的防毒软件,如 McAfee's ePolicy Orchestrator(相关网址: ),能自动为你进行版本的检测和升级。拥有一个能够针对「工作站上的防毒软件并非最新」这一情况做出报告的系统,对你的企业来说也是相对重要的一环。
4、补充--管理机制
前面我已经讨论了关于防毒的三层架构,其中大家可以发现一点,当企业体制越大,所需要维护及管理的工作也越趋重要,维护及管理病毒防护机制是一件绝对不可缺的事,不然纵使你拥有全球最强的防毒机制,一样形同虚设无法发挥它应有防治病毒的功能,因此在制定你的病毒防护计划的同时,你必须考虑到针对所有防毒软件或硬件,必须要具备易于管理及维护的特性。想想假如你的企业规模是具有50台计算机的单位,也许你认为只要大约三个人就可以担负所有的防毒软件的病毒码更新、病毒扫描引擎更新、以及照顾一些只会使用office的文书人员的防毒机制,但是这并不是一个永久的办法,当你企业不断的成长,终究会面临信息人员的负担越来越重,但是效率却越来越差窘境,因此把这些繁复琐碎的事情交给计算机来管理,而你的信息人员就能够更有效率的完成其它你所交付的工作。如此才能周全你的病毒防护计划,为你的企业带来最完善的防护。
结束语
病毒防护计划在现今的企业体制中已经是不可或缺的事,如何运用最少的人力物力完成最大的防护效能,才是你考虑的重点,对于防毒软件的选择,我综合了以下几个观点供大家参考:
1、全方位的防毒功能,能够考虑到所有可能的入侵通道;
2、具有多层架构的防毒机制;
3、易于集中管理及维护,具有自动更新升级的能力;
4、中央控管的防毒规则,完全不需使用者设定,提高信息人员效率;
5、具有病毒防护统计报告能力,使你易于掌握整个防护计划。
互联网高度发展的现今社会,互联网带给人们更快速的信息取得通道,同样的也给
算机病毒具有快速传播的能力,如今其危害已经不是只有个人,而是扩及到企业损失,如果你依然不重视这个问题,那么所带来的危害将是无法估计的。 采纳我把 (*^__^*) 嘻嘻
应对网络攻击我们应该采取这样的防护 措施 呢?以下我整理的 局域网安全 的防护措施,供大家参考,希望大家能够有所收获!
局域网安全的防护措施:
(1)、物理安全
存放位置:将关键设备集中存放到一个单独的机房中,并提供良好的通风、消防
电气设施条件
人员管理:对进入机房的人员进行严格管理,尽可能减少能够直接接触物理设备
的人员数量
硬件冗余:对关键硬件提供硬件冗余,如RAID磁盘阵列、热备份路由、UPS不
间断电源等
(2)、网络安全
端口管理:关闭非必要开放的端口,若有可能,网络服务尽量使用非默认端口,
如远程桌面连接所使用的3389端口,最好将其更改为其他端口
加密传输:尽量使用加密的通信方式传输数据据,如HTTPS、,IPsec...,
一般只对TCP协议的端口加密,UDP端口不加密
入侵检测:启用入侵检测,对所有的访问请求进行特征识别,及时丢弃或封锁攻
击请求,并发送击击警告
(3)、 系统安全
系统/软件漏洞:选用正版应用软件,并及时安装各种漏洞及修复补丁
账号/权限管理:对系统账号设置高强度的复杂密码,并定期进行更换,对特定
人员开放其所需的最小权限
软件/服务管理:卸载无关软件,关闭非必要的系统服务
病毒/木马防护:统一部署防病毒软件,并启用实时监控
(4)、数据安全
数据加密:对保密性要求较高的数据据进行加密,如可以使用微软的EFS
(Encrypting File System)来对文件系统进行加密
用户管理:严格控制用户对关键数据的访问,并记录用户的访问日志
数据备份:对关键数据进行备份,制定合理的备份方案,可以将其备份到远程
服务器、或保存到光盘、磁带等物理介质中,并保证备份的可用性
局域网防护(ARP)是360一项防护功能,先了解ARP是什么:ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 现象是网关欺骗00-00-00-00-00用户会断网,现象不重的会很卡。360的ARP防护功能,是保护局域网的、如果你是ADSL拨号或者有线用户的话/就不用看起此功能。