首页 文学文摘 时政新闻 科技科普 经济法律 健康生活 管理财经 教育教学 文化艺术 社科历史
电子技术与软件工程

首页>科技科普>电子技术与软件工程> 2014年第9期

民航局域网安全问题的讨论

作者:佟林 刘鹤 来源:电子技术与软件工程

摘 要 随着民航事业的蓬勃发展,计算机网络已深入到民航的各个部门,基于局域网开发的各种应用层出不穷,局域网网络的安全性也就变得越来越重要。网络的技术发展相当迅速,攻击手段层出不穷。而局域网网络攻击一旦成功,不仅会使网络上的计算机瘫痪状态,甚至可能造成民航内部重要数据的丢失或泄密。因此,认真研究当今局域网网络存在的安全问题,提高局域网网络安全防范、意识是非常紧迫和必要的。

【关键词】民航局域网 信息安全

1 局域网存在的安全问题

局域网(LAN)是将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。由于通过路由器和交换机连接网内每一台主机,因此局域网内的信息传输 速率比较高,同时局 域网内所采用 的技术相对简单,安 全措施较少,同样也 给病毒传播提供了 有效的途径和数据信 息的安全埋下了不少隐患。通常局域网的网络安全威胁有以下几类:

1.1 数据的安全性比较低

经常发生数据信息被删除和篡改,正是因为局域网内有很多的数据是资源共享的,也就是由于这种共享数据的开放性,很大程度的使数据的安全性降低。同时由于用户缺乏数据备份等数据安全性意识,也会造成用户数据的丢失等等现象时常发生。

1.2 服务器区域缺乏独立的防护

局域网内的计算机数据传递比较便捷快速的特性,正是导致快速并直接传播感染病毒的主要因素。在局域网中,如若服务器区域缺乏独立的保护,当该区域中的一台计算机遭遇病毒感染,并且数据信息通过服务器区域来进行传递,那么病毒感染服务器的几率就会非常大,这样一来,该局域网中通过服务器来传递信息的任何一台计算机,都有可能被计算机病毒所感染。虽然设有防火墙在网络上隔断外来的攻击,可是来自局域网内部的这种攻击,却是无法阻挡的。

1.3 局域网内的用户缺乏安全意识

现如今有很多的用户经常使用便携的移动存储工具来传递数据,将未经过安全检查的外部数据通过移动的存储设备送入局域网,同时也从局域网中拷贝出了内部的数据。这个过程就导致了蠕虫、木马等病毒更加方便的入侵,也大大提升了数据泄密的几率。

1.4 计算机恶意代码和病毒的威胁

个别的网络用户经常不安装杀毒软件或不及时更新病毒库,不下载操作系统补丁,这样很有可能导致计算机被病毒入侵。经调查,用户的这种弱点经常被网络寄生犯罪软件所利用来进行攻击。寄生软件能够通过修改磁盘上的安装软件,用来在自己所寄生的文件中写入新代码。

以上是总结的局域网安全问题的特点,正是由于这些特点,使局域网内的病毒传递更快速,还造成了网内的计算机之间相互感染、病毒除之不尽、数据的安全性很低并且时常丢失等等问题。因此有必要对局域网的安全问题进行深层次的讨论。

2 局域网网络的安全策略

2.1 入网访问控制

入网访问控制是网络访问过程中的首层安全机制。它不仅控制着哪些用户可以登录到服务器,并且获得准许使用网络资源,而且还控制着这些准许用户的入网位置和时间。用户的入网访问控制通常分为三步执行:用户名的识别与验证;用户口令的识别与验证;用户账户的默认权限检查。三道控制关卡中只要任何一关未过,该用户便不能进入网络。

2.2 强制安装杀毒软件策略

对运行在局域网上的所有计算机进行监测,使没安装防毒软件或者病毒库没有及时更新的计算机无法正常访问局域网的内部数据资源。

2.3 采用防火墙技术

防火墙是一种隔离控制技术,在局域网和不安全的网络之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为互联网网的安全性保护软件,防火墙已经得到广泛的应用,通常安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。

2.4 安全设置交换机和路由器

现今路由器、第三层交换机都内置有防火墙的功能,通过采取与MAC地址绑定、设置IP访问列表等措施,来过滤网络中的数据包,限制网络数据的外出或进入,使网络的安全性大大提高。

2.4.1 地址和端口映射

路由器有一种功能叫作网络地址转换(NAT)。NAT能够解决IP地址的不足问题,还能隐藏并保护网络内部计算机,使其避免遭到网络外部的攻击。因此,NAT对企业内部计算机起着重要的保护作用。

2.4.2 访问控制列表的设置策略

所谓访问控制列表,就是根据端口号、协议和地址在路由器和交换机中定义数据流的一种重要的方法。路由器中访问控制列表的应用十分广泛,例如定义触发数据流、定义各种优先级的数据流、数据流过滤等等。访问列表的建立过程是相同的,不同的是如何具体的应用。

2.4.3 端口安全

端口安全是交换机的一种特性。计算机要访问某个端口时,如果计算机的MAC地址和该端口预先设置的MAC地址不相同时,端口安全特性将会使交换机禁止从该端口输入,称为MAC地址锁定。端口每接收一个数据帧,它都会将这个帧的源地址与该端口原本的“安全”源地址做出比较,若结果是MAC地址不匹配,那将会关闭该端口,与此同时端口指示灯变成橙色。

2.5 对VPN的访问进行限制

虚拟专用网(VPN)用户的访问使内网安全面临相当大的挑战。因为它将桌面操作系统置于企业防火墙的防护之外。VPN用户是能够访问企业内网的,所以每一个VPN用户访问内网的权限都要谨慎分配。这样可以利用登录控制权限列表的方法来限制VPN用户的登录权限级别,即只需要赋予他们所需要的访问权限级别就可以了。

当然,局域网网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。

作者单位

民航吉林空管分局 吉林省长春市 130000

热门推荐
电子杂志 更多 +