圜圜甄 关于局域网安全维护分析 ◆韩江 0引言 信息技术在我国不断发展，许多企业、政府机构、高等院校 先后引入互联网络技术，成立自己的信息网络平台，而局域网作 为信息网络平台的核心，其安全问题备受关注。近年来，病毒、 黑客袭击、网络数据泄密以及网络设备破坏等问题时常发生，局 域网的安全受到严重影响。网络安全隐患的增加给企事业单位的 正常运转带来了难以估量的影响。 在这一背景下，针对企事业单位局域网安全维护的研究势必 成为备受瞩目的焦点。企事业单位局域网安全体系的构建，涉及 到诸多层面，主要包括四个方面：局域网物理安全问题、局域网 系统安全问题、局域网数据安全问题以及管理安全问题。本文将 针对局域网维护中的诸多问题逐一分析，并寻求解决之道。 1 局域两维护管理中的安全问晨 1．1物理安全问题 局域网物理安全问题主要是指构成局域网的整个系统的设 施设备及配套部件的安全。物理安全是保障局域网运行的首要条 件，网络信息的有效传递，必须以完整通畅的信息采集、传递、 处理系统为支撑。对局域网物理安全造成威胁的主要来自于蛇虫 鼠蚁的损害；火灾、地震等不可抗自然因素造成的损毁以及不适 宜的外部环境及操作方式带来的影响。 1．2系统安全问题 目前，市面上可选择的操作系统很多，但是在局域网领域还 没有完全安全的系统。苹果的Mac系统、微软的Windows系统、 Unix、Linux开源系统等都有可取之处，却都无法做到足够安全。 面对这一现状，企事业单位在使用局域网时，一定要加强对系统 安全性的维护。从操作人员入手，对局域网使用人员加大培训及 管理力度，保证企事业单位内部操作人员严格按照操作规范执 行。此外，还应设置专门的网络管理维护岗位，时刻关注网络安 全。从操作系统入手，可以安装杀毒软件，定期对系统进行杀毒 更新，保证系统的安全性。 1．3数据安全问题 一直以来，数据安全问题都是企业在使用局域网时面临的一 大难题。防火墙和杀毒软件虽然可以抵御一定的病毒及黑客攻 击，但是局域网数据安全仍然遭受着巨大威胁。这种威胁主要表 现为以下几个方面：第一，互联网木马病毒的攻击，造成其他网 络客户端同企业网络客户端进行数据交换，大量数据的拥堵会导 致防火墙瘫痪崩溃。而此时，企业内部大量数据将会被传输至互 联网，造成数据泄露；第二，近年来，移动网络方兴未艾，企事 业单位特权用户也不断地增加，局域网数据受到的威胁进一步增 加。如果没有行之有效的管理软件对企事业单位的网络进行监 控，企业一些重要数据将更加难以受到?；す芾恚旱谌?，众所周 知，一直以来，互联网病毒都在飞速发展，为保证杀毒软件良好 的杀毒效果，需要不断地更新杀毒软件的病毒库，以适应新的病 毒。然而，企事业单位杀毒软件的更新速度往往滞后于病毒的产 生。许多病毒可能在杀毒软件还未来得及更新前已经侵入了操作 系统，面对这种情况，杀毒软件将毫无用处，数据安全也就势必 无法保证。 1．4管理安全问题 与企事业单位其他工作相似，局域网的运作虽然是技术性问 题，但也离不开有效的管理?？蒲в行У墓芾砜梢愿玫胤⒒映?局域网的效用，保障局域网的安全。例如，当局域网络面临外部 攻击或者内部人员的不规范操作时，实时的监控管理可以及时发 现问题，寻求解决对策，避免发生安全问题，对企业造成不可挽 回的损失。 2局域网安全维护措施 2．1硬件维护 企事业单位的局域网在使用过程中出现问题时可先从以下 几方面入手，进行排查：第一，局域网出现网络故障时应首先检 查网卡。对网卡进行配置后，如果操作系统还不能检测到网卡， 则表明网卡配置出现问题。在Windows系统下，网卡配置一般 可以自行完成，而在纯DOS系统下，则需要配置终端(IRQ)、 I／O接口地址范围等参数。网卡配置完成后，应当重新启动电脑， 再次查看网卡是否能够被检测到。检测时如果发现网卡指示灯不 亮，则网卡很有可能已经损坏，需要更换新网卡；第二，检查网 络连接是否正常。要保证网络的连通，必须保证电源插座、网线、 调制解调器等各项网络设备均能正常运转。对这些设备的检测可 以使用专门的硬件检测工具；第三，在保证网卡正常的基础上， 还是无法联网的，可以通过查看网络邻居进行检测。主要是检测 能否在网络邻居中看到其他局域网计算机。当硬件设备正常时应 该能够看到其他局域网计算机，如果看不到，则可对网线进行检 查，排查双绞线、水晶接头是否出现接触不良的问题；第四，网 卡过旧，无法被其他计算机识别，也是造成局域网无法连接成功 的一个原因。针对这种情况，应该及时更新网卡，以保证网络的 正常连接。 2．2系统安全防护 目前，市面上的几款操作系统都不够安全，存在系统漏洞， 而这些系统漏洞很容易成为黑客袭击的目标，给局域网安全带来 严重威胁。为提高操作系统的安全性能，不同类型的企事业单位 可以根据自身特点，选择最适合自己的操作系统，而在进行选择 时，最好尽量考虑选择高安全系数的Unix或者Linux等系统。 除了操作系统的选择之外，企事业单位的局域网管理人员还应加 强对局域网的监控及维护工作，确保及时发现问题，解决问题， 将威胁扼杀在萌芽时。为此，可以采取用户账号登录的方式，保 证操作人员的合法性，并且要对每位操作人员进行严格的权限控 制。 2_3数据访问控制 ?！壤邛蝳 厂一才1 so S；erv杆 I塑!!竺竺L ⑤嚆料 图l数据访问控制 对数据访问的控制可以通过终端集成管理系统实现，通过这 种软件，可以实现数据终端的监视管理。具体可以做到以下几点： 第一，局域网使用人员需要通过用户名与密码登录方可接入网 (下转第41页) 万方数据 圜墨旺 浅谈高校校园网IPv4向IPv6过渡问题及对策 ◆陶晶 0引言 IPv4是目前我们最常用的网络传输协议，它的出现迅速普及 了互联网络的发展。但是，随着接入网络设备的数量成几何级的 增长，PC、手机、平板乃至穿戴设备的兴起，IPv4的缺陷也越 来越明显，IP地址的枯竭、路由表急剧膨胀、网络服务质量的缺 乏等都无法满足更高的网络需求。以IPv6为代表的下一代互联 网(NGI)技术演进逐渐成为人们的选择。 IPv6的发明引入了多项新的技术，特别是对寻址进行了扩 展，128位的地址支持更多的设备接入，彻底解决了IPv4的地址 不足问题。此外，IPv6采用的分级地址模式、标示服务质量与流 量、IPSec服务等很多技术，极大提高了网络的效率和安全性， 通过IPv6新增加的内置IPSec安全协议和网络层数据进行的加 密，?；ち耸莸耐暾院桶踩?，使得目前的端对端数据传输 更为可靠?；谝陨隙嘀钟攀?，IPv4被IPv6所取代是网络未来 发展的潮流和趋势。 1 lP、，4向IP、，6过渡面临的问囊 1．1 IPv4设备存量大且改造不易 全面实现基于IPv6协议的网络需要满足两点，一是网络全 面启用IPv6：二是关闭IPv4协议。当下情况是很多高校的网络 建设都非常的早，网络硬件型号多样且参差不齐，特别是老校区， 都是以IPv4协议为当初的建网基础，IPv6的升级过程比新建一 套IPv6网络更为困难，且如果需要全部同时改造成IPv6的网络， 所花费的改造资金巨大，还容易影响用户在IPv4网络上的正常 运行，造成对教学工作的重大影响。 1．2 IPv6应用规模较小 虽然我国在2004年就宣布了下一代教育网CERNET2(采用 纯IPv6技术的下一代互联网主干网)正式开通，已经被应用的 1Pv6校园网络资源数量也有上千个，但是相对于整个教育网的规 模占比来说仍然较小，特别对于一些地方普通高校来说，仍然无 法有效地参与并发挥IPv6所带来的红利效应。而且目前高校在 IPv4上承载着教学科研、办公自动化、邮件、图书馆等多种业务 和平台，如何顺利地从IPv4转向IPv6，这其中也包含着大量的 软件修改工作和维护时间。 2 IPv4向IP、，6的过渡技术 从IPv4向IPv6的过渡中，有大量的设备和应用需要进行转 移，特别是IPv4如何与IPv6进行沟通是发展IPv6首先要解决的 问题。为此，INTERNET工程组IETF(互联网工程任务组)提 出了三种主要的过渡方案：双协议栈技术、隧道技术和网关地址 转换／协议转换技术。 2．1双协议栈技术 双协议栈技术是指网络中路由器和主机端同时运行IPv4和 IPv6两套协议栈，使之既能和IPv4通讯，也能和IPv6通讯。它 在网络的每个节点上(含主机与服务器)都分配一个IPv4和一 个IPv6地址，是最兼容的通讯方式。虽然双协议栈解决了IPv4 和IPv6的兼容性问题，但是对IPv4的地址不足的问题并没有解 决，实际上是一台设备既分配了IPv4地址又分配了IPv6地址， 当IPv6发展到后期时，IPv4仍然会陷入到地址不足的困境中， 所以这种技术适合比较早期的迁移过程。 2．2隧道技术 隧道技术是指通过现在的网络(主要指目前支持IPv4)来传 输IPv6分组。现有的IPv4网络作为隧道，把两个独立的IPv6 网络连接起来。它包括隧道入口和隧道出口，这些隧道节点都是 双栈节点。在隧道入口对数据进行封装，通过网络传输后，再在 隧道出口对数据进行拆封。隧道只起了一条物理通道的功能，并 不需要专门的IPv6路由和链路，但是无法实现IPv4节点和IPv6 节点问的直接通讯。隧道技术不仅适用于初期迁移，也适用于迁 移后期阶段，建立IPv40verIPv6隧道，可以将IPv6海洋中的IPv4 孤岛连接起来。 2．3 网关地址转换／协议转换技术 网关地址转换／协议转换技术可以直接转换两种不同协议数 据中的字段，是一种纯IPv4和IPv6通讯方式，相当于是在IPv4 和1Pv6中的一名翻译。翻译策略中NAT-PTT和TRT主要应用于 网络汇聚层，相比之下NAT-PT更为常用。NAT-PT作为中间设 备，可以根据双方协议不同的要求进行对应的语义翻译，两方的 节点不用做任何改造，所有包括地址、协议等工作都由网络设备 来完成，IPv4地址不足的问题得到了解决，同时NAT-PT提供了 和IPv4中NAT相同的防护功能，通过扩展ACL可以实现 IPv4ACL上所有的防护功能。但是双方节点访问方式比较复杂， 协议转换开销比较大，造成延时加大，当出现大量转换需求时， 网络容易出现瓶颈，制约了网络的性能，不适合在大规模的网络 中使用。通常采用在其他互通方式无法使用的情况时。 (下转第43页) ■■●_●■●-一■■■●■●●■■■■●■●■■●●●●■■■一■■■■■一●●●●●■■●■■●■一●●●●■■●■■■■●●■■●■■■●●■■●■■■■■●■■■■■■● (上接第4()页) 域网管理人员也应进行相应的管理规范，保证管理工作真正落到 络，杜绝非法用户的接入；第二，可以通过安全控制，根据用户实处；二是，为防止来自网络的病毒攻击及非法入侵，可以采取 可能存在的安全风险选择合适的安全防护方法；第三，通过边界封闭BT下载、限制带宽等方式，以保证局域网的安全；三是， 防御技术，借助防火墙、杀毒软件等对进入电脑的外界程序进行引入集成化管理软件，对局域网下的各个计算机进行实时监控、 监控，在病毒尚未运行时即做出判定，阻止可疑程序的进入，最检测。监控掌握局域网用户上线情况，限制非法用户的接入。 大限度地?；ぞ钟蛲绨踩旱谒?，对终端运行进行实时监控， 并且生成日志记录?？?，分析可能存在的安全隐患。 从图1中，我们可以看出数据访问控制的相关方面。一是安 全存储数据库连接字符串；二是使用正确的数据访问标识：三是 通过SSL、IPSec?；ね绱菔莅踩核氖嵌允褂檬菘獾?人员进行身份认证；五是对使用数据库的人员进行授权。 2．4安全管理升级 除上述方法外，还可以在网络管理上下功夫，严格管控：一 是，可以制定合理严格的局域网管理条例，约束及规范操作人员 的网络行为，避免不规范使用造成的网络安全威胁。此外，对局 引用： 【11陆珏吉局域网络安全管理现状及其优化改革Ⅱ]．硅谷， 2()12． f2】赵明明．探讨企业局域网的安全管理策略U】．计算机光盘 软件与应用．2()14． [3J田驰计算机局域网网络的安全现状及对策分析U】佳木 斯教育学院学报，2013 (常熟市公路管理处江苏215500)