摘要:本文主要讨论内网局域网运行可能面临的安全威胁,以及为了消除隐患所采用的安全措施。着重阐述了对内网局域网内计算机采取的安全防护措施,包括如何对服务器设备和客户端设备进行策略配置,来保障内网局域网内储存的数据及传输过程的安全可靠。
关键词:局域网 安全防护 策略
0 引言
随着计算机技术的飞速发展和计算机价格的下降,组建一个内网局域网不再是遥不可及的梦想。越来越多的单位建设了服务器机房来组建局域网,方便员工在内部网络上工作。同时,为了防止黑客或病毒通过互联网入侵,此类局域网均是封闭运行,与互联网物理隔离。因此,为了保障内网局域网运行的安全可靠,需要防范更多的不是来自外部的威胁,而是来自内部的隐患。
1 内网局域网可能存在的安全隐患
内网局域网可能存在的安全隐患主要来自服务器端、客户端及传输线路三个方面,其中服务器端的数据完整及客户端的数据安全是构建内网局域网系统安全最关键的步骤。
1.1 来自服务器端的安全隐患。来自服务器端的安全隐患有多种多样,其中最主要有自然灾害和人为过失造成的两个方面。
1.1.1 自然灾害及意外灾害 自然灾害有以下几种可能:①雷电引发。雷电轻则可能造成计算机终端和通信设备的接口损坏,严重的可能造成网络主机损坏,导致网络瘫痪,设置还有可能引起火灾;②供配电系统起火、短路、机房内用电设备(空调设备、电气设备等)起火、静电引发火灾等;③断电引起服务器设备故障或数据回档、丢失;④鼠害咬断线路造成网络故障、数据传输终端;⑤服务器设备老化、服务器硬盘损坏造成数据丢失等。
1.1.2 人为过失 人为过失有以下几种可能:①未经查杀病毒等操作,就接入内网的外部介质(如U盘、光盘)所携带的病毒、木马程度,感染服务器引发系统当机或造成网络拥堵、病毒传播;②管理员误操作或未定期备份数据引发数据丢失;③未进行有效管理,使得无权限人员肆意进入机房,窃取、篡改、甚至删除服务器数据。
1.2 来自客户端的危害。来自客户端方面的危害主要有以下病毒传播、黑客软件、非法授权等。①病毒传播。用户在客户端非法使用携带病毒介质(U盘、移动硬盘、光盘等)感染内网局域网;②黑客软件。用户使用黑客软件扫描网络端口,非法连接其他计算机,盗取他人资料或篡改内网局域网服务器上存储的共享文件资料;③非授权访问。用户使用自带的台式机、笔记本电脑,随意插上局域网网线,接入网络,未经许可访问并下载内网局域网内的数据资源。
2 针对以上的危害所采用的安全防护措施
应对以上种种危害,我们要努力采用各种行之有效的安全防护措施来保障内网局域网运行的安全、可靠。
2.1 应对自然灾害的防御措施。我们一般需要通过增设专用防灾减灾设备来应对自然灾害。
2.1.1 应对雷电隐患。在电源线路上安装匹配防雷保护器并做好机房的综合布线。
2.1.2 应对火灾隐患。服务器机房内安装烟雾探测器、惰性气体灭火装置。
2.1.3 应对突发性停电。机房使用不间断电源、UPS供电,UPS每隔三个月进行一次充放电处理,机柜均设置独立电源。
2.1.4 应对鼠害。建造防鼠隔离墙,机房通往外界的穿墙洞口必须进行严密封堵,机房内布线应穿金属管或硬塑管,防止老鼠撕咬屏蔽线。
2.1.5 应对静电危害。服务器机房铺设防静电地板,消除静电。
2.1.6 应对其他灾害。服务器机房应购置性能更加稳定、可长时间工作的精密空调,保持机房温度常年处于21-25之间。安装新风系统保持机房定期通风。
2.2 针对服务器设备的安全防护措施
2.2.1 安装机房及机柜门禁、电子监控系统,记录人员出入情况,防止未经授权人员进入机房,接触设备。
2.2.2 服务器操作系统关闭不需要开放的网络服务和端口、关闭不需要的共享文件夹。
2.2.3 定期进行漏洞扫描、网络扫描,及时发现并处理安全隐患。
2.2.4 定期进行网络审计、安全分析检查,生成报告并及时整改。
2.2.5 对服务器硬盘中的重要数据定期做好灾难备份。
2.2.6 安装入侵检测系统,及时对局域网内的可疑数据传输及非法操作进行告警并记录在案,以备查看。
2.2.7 安装加密机,实现存放CA证书和对网络上点对点传输的数据进行加密,保证数据安全。
2.2.8 使用具有三层交换协议的交换机,在其上划分Vlan,并设置访问列表限制,拒绝不同网络之间互访。关闭未连接网络的端口。
2.2.9 安装杀毒软件、防火墙,及时更新操作系统、数据库系统及其他应用系统的补丁,在服务器上安装补丁发布器,定期让客户机进行下载及安装更新。
2.2.10 安装防水墙服务器端程序,实现系统配置、策略配置、实时监控、审计报告、安全告警等多种功能,杜绝非法操作和非授权访问。
2.3 客户端的安全防护措施
2.3.1 设置操作系统账号密码。禁止管理员账号留空密码,禁用guest账户。具体做法为在计算机本地安全策略中修改密码策略(启用密码必须符合复杂性要求,设置密码长度最小值及密码最长留存期,取消密码永不过期选项)。
2.3.2 设置屏幕保护程序。屏幕保护程序等待时间设置为10分钟以内,并勾选在恢复时使用密码保护。使得用户临时离开计算机后,在短时间内计算机能自动锁定到登录界面。
2.3.3 关闭远程桌面及远程协助。防止其他人员通过远程登录连接到用户计算机并浏览资料。
2.3.4 安装网络版杀毒软件和防火墙。通过服务器定期更新杀毒软件,防止病毒传播。打开操作系统自动更新功能,定期从补丁服务器上下载补丁并安装。防范U盘病毒。
2.3.5 安装防水墙客户端程序,导入服务器端事先配备的策略、白名单等,有效管理客户端。
2.3.6 关闭客户端的无关服务,保护系统安全。关闭21、139等端口。
2.3.7 关闭局域网共享和硬盘默认共享,具体代码参见互联网资源。
2.3.8 增加计算机日志存放空间,并修改计算机日志的默认存放位置。将系统日志存放到系统盘以外的盘上,以防系统崩溃系统日志丢失,定期将系统日志备份到专用的日志存放硬盘上。修改组策略中的审核策略,使其对系统每一次的策略更改、登录事件、对象访问、过程追踪、目录服务、特权使用、系统事件、账户登录、账户管理等都进行审核并记录在案。定期备份审核日志或使用专用软件将审核日志发送给专人查看。
2.4 其他安全策略设置。除此之外,内网局域网的日常管理维护中还应杜绝凌驾于一切角色之上的超级管理员的出现。为此应将超级管理员的权力一分为三:例如管理员一负责数据日常维护,局域网新用户账号、IP等的注册认证。管理员二负责发放被一号管理员注册的用户访问数据的权限许可,并处理系统安全告警。管理员三管理包括一号、二号管理员在内的一切操作员的操作痕迹等,同时保证审计日志加密存放,检测违规操作及危害系统运行稳定的非法操作的记录并通知二号管理员。这三个管理员之间是互相监督的关系。
3 结论
制定适合内部局域网的安全策略有利于局域网内设备的安全运行,有效管理局域网内设备的软硬件。同时还需规定相应的授权等级,防止未授权的外部用户随意接入局域网或是低权限用户试图访问高权限数据等,做到数据传输安全,操作记录有迹可循。随着计算机技术的发展,内网局域网的安全防护措施也不能一成不变,也要随之不断更新和完善,因此还要注重管理员的培训。除此之外,在制定安全策略时,既要符合局域网安全,还要兼顾工作便利,因此在制定策略上应该根据实际情况适当调整,以期更好的发挥局域网功能。