摘 要:随着单位局域网作用和地位的日益提高,其信息安全风险也越来越大。本文深入分析了单位局域网的信息安全风险,尤其指出ipv4向ipv6过渡时期可能会引入新的安全隐患,最后给出了有效应对单位局域网信息安全的对策,以期能够更好的保护单位局域网的信息安全。
关键词:局域网;信息安全;ipv4/ipv6
1. 引言
单位局域网通常是指处于单位内部范围,由各种网络设备和通信线路连接构成的网络,以实现单位内部的信息传递、资源共享、内部网站、单位办公自动化以及电子邮件等功能。这里单位内部指的是权限归属,而不是地域范围,随着我国信息化技术的快速发展,许多单位采用虚拟专用网等安全技术实现了全国乃至全球范围内的单位局域网,但是二者在企业内部担负的功能是一样的。
但是局域网给单位工作带来巨大便利性的同时,也带来了不可忽略的安全风险。尤其是近些年来,来自网络的黑客攻击、网络病毒、木马、垃圾邮件等网络安全事件层出不穷,单位局域网的安全问题也越来越受到人们的关注。尽管大部分单位都会采取防火墙、杀毒软件等安全技术后手段,尽量隔离内网和互联网,但是仅仅通过这样的方式却往往收效甚微。许多局域网内部也支持移动办公,工作人员经常使用u盘、移动硬盘等移动媒介,都有可能会对单位局域网造成威胁,尤其是当前正处于ipv4向ipv6过渡的阶段,虽然ipv6是一个具有安全功能的协议,可是ipv4向ipv6过渡过程中也会引入新的安全隐患,更是给局域网的安全带来了巨大的威胁。
2.单位局域网的信息安全风险分析
单位局域网有效提高了单位的办公效率,也使得单位对局域网的依赖越来越深,一旦局域网出现安全问题,将会导致单位许多业务的受到影响甚至是中断。实际工作当中,单位局域网面临多种多样的安全挑战,大致包含如下几个类型:
2.1 来自恶意实体的主动网络攻击。
这里恶意实体包括有竞争关系的单位、单位内部一些心怀不满的员工等,当然也有可能一些本来与单位没有任何利益冲突的人,为了获得某些非法利益或者获取某些单位的内部信息而对单位局域网展开攻击,甚至某些人会仅仅为了验证或使用一些黑客攻击技术,证明自己的能力等就主动入侵单位局域网。
2.2 病毒木马等安全威胁
当今世界每天都会成百上千的各式各样的病毒、木马产生,逐渐呈泛滥成灾之势。许多单位局域网由于安全意识单薄、安全管理不严,安全技术不足等原因,在单位局域网与外部网络联系越来越紧密的情况下,反而成为病毒木马传播的乐园,甚至严重到整个单位局域网被迫中断,导致单位业务无法开展。
2.3 非技术安全风险
单位工作人员的各种误操作、偶然事故等也同样会给单位局域网带来巨大的安全风险。而许多单位内部员工对单位局域网的安全风险认识不够、操作过程不够严密,经常出现各种误操作,都有可能造成重大的安全风险,比如操作防火墙方式不当,导致防火墙没能起到应有的作用,或者操作硬件设备不当导致电源中断或设备损坏等。
2.4 ipv4向ipv6过渡带来的额外安全风险
Ipv6在设计过程中就参考完善了ipv4在安全性上的许多不足之处,增强了包括移动性、自动配置、Qos等在内的许多安全配置,IPsec协议也成为ipv6的一部分,但是不仅ipv6本身仍然存在一定的安全隐患,在ipv4向ipv6过程中存在着特殊的安全威胁,比如一些安全设备无法兼容ipv6,ipv4/ipv6地址转换存在安全隐患等。此外,Ipv6不会改变运行在传输层之上的任何应用,也就是说在ipv4应用上存在的安全威胁在ipv6应用上也同样存在。同事在ipv6中攻击者过滤未分配地址等比ipv4中更加方便,ICMPv6的大量使用也使得使用IPv6协议出现新的安全隐患。
3 . 解决单位局域网安全问题的对策
应对单位局域网安全风险,必须综合考虑边界安全防护,防火墙、入侵检测、安全审计、容灾容错、网络监控、数据加密、认证、访问控制等一系列安全技术,同时要重点考虑如下几个方面。
3.1 降低系统安全风险
首先要对单位局域网内的所有电脑操作系统进行统一的安全配置,涉及存储、使用单位秘密文件资料的电脑要做到与外网的物理隔离。其次内外网之间必须安装防火墙、IDS等安全设备,以实现内外网的隔离,同时单位要设置病毒服务器,每台电脑都要安装防火墙和杀毒软件。此外,要定期对系统进行安全评估,及时查找可能存在的漏洞,降低被攻击的可能性。再次,要建立定期备份的严格制度,不仅可以对各种入侵后的数据完整性保护起作用,也可以防止内部人员各种误操作,如错误的删除、更改等。
3.2 降低人为安全风险
要进一步加强单位内部人员的信息安全教育与培训,增强安全防范意识。首先严格管理单位内部的各种移动载体,尤其是涉密移动载体,如有外来的移动载体需接入单位内部网络,必须经过严格的检测、杀毒。其次,所有单位内部电脑必须经过安全设备才能与外部电脑连接,严格禁止直接与外部电脑连接。
3.3 建立ipv4到ipv6的安全过渡机制
目前有效应对ipv4向ipv6过渡的安全技术主要可以分为三种:双协议栈、协议转换技术以及隧道技术,其中双协议栈技术是所有ipv4向ipv6过度的基础,也是过渡时期网络安全的关键,但是双协议栈技术仅仅能够解决ipv4与ipv6网络的互联互通,并不能解决其中的安全隐患。目前使用最广泛的是隧道技术,尤其是当前ipv6网络、主机的数量都比较小,十分适合使用隧道技术在ipv4网络上建立ipv6网络内部或者ipv6主机与ipv4主机的安全通信。在单位局域网中应该优先使用与ipv4兼容的ipv6地址这种类型地址有两大类,一是ipv4映射地址,二是ipv4兼容地址。所谓兼容是指高96位地址为全0,而最后32位就是ipv4地址。此时安装了ipv4/ipv6协议栈的网络节点可以在数据链路层检查数据,如果ip报头的第一个字段号是4,就说明是一个ipv4数据,如果是6则说明是ipv6数据包。
为了保证ipv4向ipv6这种过渡阶段的安全性,就必须使用支持隧道技术以及协议转换技术的各种路由器,同事防火墙也要配置适合ipv6的地址、安全策略等,漏洞扫描系统也要升级为同时支持ipv4/ipv6两种协议,同样的入侵检测、访问控制等安全技术都必须根据放置的位置不同(在ipv4网络中还是ipv6网络中,或者两者的结合部),保护的目标不同,所需要解密的数据格式也将不同,需要做相应的调整。尤其是针对
纯ipv6网络部分,要配置ipv6防火墙、ipv6漏洞扫描、ipv6入侵检测等适合ipv6的网络安全设备。
参考文献:
[1] 钟平峰,刘晓东. 企业局域网信息安全研究[J],科技与生活,2010(8):26
[2] 黄凯涛,企事业单位局域网信息安全管理策略[J],信息通信,2011(2):70-71
[3] 贺瑞凰,浅谈单位局域网的信息安全[J],科技情报开发与经济,2011,21(6):131-132
作者资料:骆剑尔(1981-),女,浙江义乌人,硕士研究生,计算机网络工程师, 研究方向:计算机系统与网络
