摘 要:
关键词:
随着信息化技术的发展,特别是计算机网络技术的飞速发展,越来越多的政府机关、工厂、银行、大专院校都建立起了自己的计算机网络系统。江都水利工程管理处从1998年开始组建计算机网络,目前已建成了覆盖各工程单位、边远闸坝及宝应站的大型计算机网络,形成主干速100M(局部1000M)的多点、多功能、多用途计算机网络系统。网络通过一台三层核心网络交换机(PASSPORT3510),采用VLAN方式(主干速率提升为1000M/100M)划分单位计算机网络体系。
计算机网络令我们受益匪浅,对计算机网络的依赖性也越来越强,但是,网络安全威胁,诸如数据窃贼、黑客侵袭、病毒骚扰也越来越多,严重威胁工程安全运行,其网络的安全性显得尤为重要。江都水利工程管理处在积极建设计算机网络的同时,特别注重网络安全的建设。下面笔者就江都水利工程管理处计算机网络的安全问题进行一些探讨。
1、内部网络VLAN技术的应用
虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组,而这些网段具有某些共同的需求。江都管理处通过运用虚拟局域网VLAN(Virtual LAN)技术,很好地解决了以太网所固有安全隐患:
⑴有效阻隔网络广播,控制广播风暴
对于网络风暴的控制主要有物理网络分段和VLAN的逻辑分段两种方式,后者更灵活,效率更高。同一VLAN处于相同的广播域,通过VLAN的划分可以有效地阻隔网络广播,缩小广播域,从而控制广播风暴;处于不同VLAN之间的计算机将有不同的子网掩码和网关,因此不同VLAN之间的通信要经过路由的控制,所以规划设计好各个VLAN成员,将网络内频繁通信的用户尽可能地集中于同一VLAN内,就可以减少网间流量,既有效节约了网络宽带,又提高了网络效率。
⑵控制网络内部IP地址的盗用
江都管理处内部局域网由于终端用户节点数量多,而且用户数量还在不断地增加,使得网络IP地址的盗用也相应增加,严重影响了网络的正常使用。通过建立VLAN后,该VLAN内任何一台计算机的IP地址都必须在分配给该VLAN的IP地址范围内,否则将无法通过路由器的审核,也就不能进行通信,因此有效地将IP地址的盗用控制在本VLAN之内。
⑶提高网络的整体安全性
VLAN建立后,同一VLAN内的计算机之间便可以直接通信,不同VLAN间的通信则要通过路由器的网关进行路由选择、转发,可以隔离基于广播的信息(如机器名、DHCP信息等),这样就可以有效阻止非法访问、大大提高网络系统的整体安全性。此外,通过路由访问控制列表、MAC地址分配、屏蔽VLAN路由信息等技术,可以有效控制用户的访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高网络的整体性能和安全性。
2、内部网络和外部网络的隔离
江都水利工程管理处内部局域网包括内网和外网,被认为是安全的和可信赖的,而外部网络是与外网连接的互联网被认为是不安全的和不可信赖的。我们希望的是内部网络能够访问外部网络,而非授权的外部网络用户不能进入内部网络。因此,内部网络和外部网络应该严格的隔离。
在技术上,实现隔离的方式有很多,江都水利工程管理处内部网络和外部网络应用了防火墙进行隔离。通过调研和分析确定网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据确定的安全策略,对外部网络和内部网络之间交流的数据进行检查,符合的给以放行,不符合的拒之门外。然后,在防火墙上进行相应的安全设置,包括用户的账号和密码等,做到用户级的访问控制,以保证内部网络的信息安全。
3、计算机网络病毒防治
随着信息技术的日益发展,病毒技术也在不断发展提高,现在的病毒大多是通过计算机网络传播的,它的传播速度越来越快,造成的危害也越来越大。在局域网内一旦其中某台机器感染了病毒,那么病毒的感染和破坏将由此遍及整个网络。因此,对病毒的防治成为了计算机网络安全的一个重要内容。
江都管理处计算机网络一方面通过设置防病毒网关,尽可能将病毒拦截在内部网络之外,而不是感染每一台计算机后再杀病毒;另一方面是通过网络版杀毒软件查杀局域网内的病毒,即在每台单机上安装客户端软件,通过从服务器端得到软件和病毒码的更新,每台单机都得到了同样的最好的保护,并且管理起来更方便。
4、其他安全技术的应用
身份认证。身份认证是一致性验证的一种,验证是建立一致性证明的一种手段。江都管理处计算机网络使用了身份验证技术,通过授权用户才能从外部网络访问江都管理处内部网络,从而使计算机安全得到最基本的保证。
存取控制。存期控制规定何种主体对何种客体具有何种操作权力,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。和身份验证技术一样,江都管理处对计算机内部网络的各种应用软件和操作系统几乎都应用了存取控制技术。
5、结束语
以上都是江都管理处计算机网络已经应用或规划要应用的计算机安全技术,通过应用这些安全技术,使江都管理处计算机网络得到确实有效的安全防护。但是网络安全是一个系统工程,不是应用了先进的技术就可以完全解决的,制定详尽的网络管理规章,对工作人员进行网络安全宣传教育,也是网络安全的一个非常重要的内容。总之,应用了先进的计算机安全技术和有了完善的管理规章制度,江都管理处计算机网络安全一定能得到保证。