企业计算机网络的安全管理探讨
人员安全问题主要是由于工作人员的保密观念不强导致。其中操作失误导致的信息泄漏或损毁也是导致安全问题的一个重要因素。工作人员利用自己对系统的熟悉了解,为达非法目的对系统数据进行篡改、破坏也会对网络系统造成严重后果。环境安全问题主要是由于地震、火灾、雷电等自然灾害或掉电、温度湿度、空气洁净度等环境因素所导致的安全问题。
一、企业内网通信模型
当前绝大多数企业内网的接入层网络访问是基于以太网协议规范的,常见的有10/100BaseT、100BaseFx、1000BaseT等规范。在带宽方面支持从10Mbps到1000Mbps速率集,从线缆材质上又分为双绞线和光缆。企业内网接入层的通信模式主要有三种:VLAN内部通信、VLAN间通信、外网通信。
VLAN内部通信方式主要是存在于某个VLAN中的主机与本VLAN中的其他主机进行通信的过程。这个通信过程只需要通过第二层交换即可完成。该通信过程经过如下几个步骤完成:
(一)通信发起方在已知接收方IP地址的情况下,对接收方IP地址及自己的子网掩码进行逻辑与运算,以检查接收方IP地址是否与自己处于同一网段。
(二)因为需要对数据报文在第二层数据链路层进行封装,发送方接下来会发送ARP广播来查询接收方的MAC地址。当发送方发出ARP查询报文后,由于是广播报文,于是交换机会将该报文向除了接受该报文的接口之外的其他所有接口发出。
(三)报文到达数据接受方之后,接收方会以自己的MAC地址作为回应发送给发送方。这样以来,发送方在本地ARP缓存表中就有了接收方的IP与MAC地址的对应关系。
缓存表中包含了接收方的IP地址和MAC地址,发送方主机可以利用这些地址对应关系进行二层和三层封装。PDU封装完成后,随即被发送给交换设备。本地交换设备通过查询自身的MAC地址表,然后将数据帧从正确的端口上转发出去。最终接收方收到了数据,并依据现有信息对数据作出回应。
二、企业内网安全防护体系的设计
企业内网接入层安全防护系统需要满足如下功能需求:
(一)能够及时得知接入交换机的运行状态,并根据运行状态分析网络运行是否存在ARP欺骗攻击、DHCP欺骗攻击、广播风暴攻击行为。对攻击信息的分析要做到全面准确。对于交换机的运行状态获取,需要覆盖多个接入层楼宇,并且对交换机的日志能够持久存储以备查阅。
(二)能够确定攻击源在接入交换机中的位置,并进行隔离使其无法影响其他上网主机,对于已处理的主机可以进行解除隔离。隔离操作的执行需要做到直接简便高效。攻击主机的位置确定对用户需要做到透明。
(三)设备的控制需要对网络管理员透明化,提供对多厂商交换设备的支持,控制功能需要使用公共标准协议,能够监控接入设备的服务状态和IP可达状态。并将这些状态呈献给网络管理员。对于网络管理员作出的针对攻击主机的操作,能够将其转化为交换设备可以识别的指令。
(四)提供安全的用户登录验证功能,能够让用户使用除静态用户名密码之外的第三种认证方式,保障用户登录信息达到不可猜测、无法破解、登录参数无法重复使用,有效防范帐户密码盗取。
三、安全管理
在用户登录验证方面,本系统使用了基于双因素用户验证的登录功能。用户验证使用双因素验证,用户除了使用用户名与密码之外,还需要使用一个同步码。同步码是由令牌生成,与服务器上产生的同步码一致。用户登录验证时,需要在特定时间段内输入同步码,所以即便是用户的密码被盗了,也不会导致系统被攻击,大大增强了系统的安全性。
网络设备日志分析方面,主要研究通过SYSLOG服务,将接入层交换机的日志信息捕获,以便于对接入交换机的运行状况进行动态分析。通过分析对接入层的三大攻击行为进行定位,为下一步操作做铺垫。日志信息同步数据量极大,但对细节数据的准确性要求不高,主要以大量数据宏观分析得出结果。所以,日志信息同步功能的可靠性要比数据准确性更加重要。它要能够持续的接收分析大量数据。
四、结论
接入网络设备控制功能是系统同接入层网络设备进行交互的窗口,对攻击主机进行隔离等操作需要通过它来完成,所以它需要具备对接入层设备进行控制操作的能力。这种能力是通过TELNET和SNMP协议完成的。本文着重研究了TELNET与SNMP的开发接口以及对设备控制功能的实现。总而言之,系统对日志分析功能得出的结果,最后进行隔离操作是通过本功能直接完成的。
