中图分类号TP39文献标识码A文章编号1674-6708(2014)111-0214-02
以Internet。云计算。物联网为代表的信息化浪潮一次次席卷全球,信息技术的应用不断深入,逐渐覆盖到日常生产。生活的方方面面。Internet所具论文网有的开放性。国际性和自由性在增加应用自由度的同时,对安全提出了越来越高的要求。如何保障信息网络系统安全已成为政府机构。企事业单位信息化健康发展所必需考虑和解决的重要问题。企业园区网络作为企业的神经中枢,它的安全稳定运行对于整个企业的日常生产与信息安全都具有重要的意义。
作为企业园区网络的网络管理员,我们必须了解园区网络面临的多方面的安全威胁,从而制定相应的管理措施,以保障网络的安全与稳定。
1园区安全风险分析
1。1内部局域网的安全威胁
在已知的网络维护安全事件中,约70百分号的攻击是来自局域网。首先,局域网中用户之间经常通过网络共享资源,给病毒的传播提供了便捷;其次,内部管理人员有意或者无意泄漏系统管理员的用户名。口令。内部网的网络结构以及其他一些重要信息等,这有可能加大网络安全事件造成的损失。另外,由于局域网内的用户主机。服务器等直接或者间接连接到同一台网络设备上,局域网的高带宽也在加快病毒的传播速度的同时,加剧病毒对网络的影响程度。
1。2广域网。用户迁移的安全威胁
其他区域网络感染的病毒有可能通过广域网传播到本地区域网,也可能随着用户出差。变换工作地点。同一台机器在不同的网络环境中使用等原因将病毒带入本地区域网。
1。3电子邮件应用安全威胁
电子邮件是最为广泛的网络应用之一。局域网用户除了使用企业内部邮箱收发系统内办公邮件以外,也会接受一些来自Internet的不明邮件,这给入侵者提供机会,给系统带来了不安全因素。
1。4来自Internet的安全威胁
来自Internet的安全威胁非常多,园区网络一般只会开启互联网的网页浏览功能,但网页浏览也是网络系统被入侵的一个不安全因素,这也是园区网络最主要的病毒来源之一。浏览网页。下载资料都可能带来病毒程序或者木马,还有利用假冒手段骗取你的关键信息等手段。
2网络管理措施
2。1网络拓扑设计
园区网络的管理应从设计阶段就加以考虑。关键节点双机热备。关键传输链路采用多条不同路由。设备互联采用动态路由环状连接等,这些冗余架构都能从很大程度上增强基础网络的稳定性。但我们也需要在网络的复杂性和简洁性上做好权衡,过于复杂的网络结构反倒会给后期的运维管理埋下隐患。笔者在长期的网络运维管理实践中就遇到过不少这样的问题。个别局域网系统设计考虑非常多,采用双机热备。多链路上联等多种方式,VRRP。STP也都用上了,以期增强网络的稳定性。结果在后期运维中,由于选用设备版本不够稳定,经常出现莫名其妙的问题,反倒降低了整个系统的可用性。
2。2网络管理文档的建立
网络维护的绝大部分工作在于平时细致的管理和准备,需要对网络的每一个细节做到了然于胸,当故障发生时,我们能够迅速定位到故障点,以最快速度排除故障。为了做好网络的管理,我们需要持续做好网络管理文档的完善工作。如:交换机端口信息表。ip和mac地址的对应表。网络拓扑图。故障处理报告等等,这些信息都会为我们应对突发网络故障提供帮助。例如:经常在园区内泛滥的ARP病毒,由于其影响范围广。难以查杀而让网管人员颇为头疼。如果我们有ip和mac地址对应表,就能够非常快的定位病毒源,以最快速度处理掉故障。
2。3网络的日常检查及性能分析
我们需要经常对核心网络。应用服务器进行细致的检查,分析性能,察看日志,发现可疑情况及时处理。这种工作虽然枯燥但却很重要。每天的重复劳动不一定总能发现异常,但这是我们发现问题,对故障进行预判的依据。例如:一次日常检查我们发现某主干交换机CPU。内存使用率偏高,通过进一步分析日志发现某接口错误。经过细致排查,我们发现接口光纤质量不好导致接口报错,更换光纤后故障排除,避免了问题的进一步升级。
2。4系统及时升级。补丁。病毒定义及时更新
网络设备。服务器的软件系统需要及时升级,服务器。客户端也要及时打补丁。更新病毒定义,这是我们防患于未然的必要措施。目前国内客户端使用微软的用户比较多,那WSUS就非常重要。防病毒服务器也必须统一部署,能够使病毒定义统一更新,避免网内有安全短板。
2。5网络管理系统。日志系统。网管工具的使用
通过使用网络管理系统,可以实现设备的轮询。故障的报警等功能。通过一些阀值的设定,系统可以第一时间将故障预警信息通过邮件或者短信发送给系统管理员或者网管中心,能够帮助我们实现对故障的预判。并且,网络管理系统图形化。自动化的管理方式,也将大大提高我们网络管理的效率。
日志系统也非常重要,通过对日志系统记录的设备运行状态进行分析,能够帮助我们发现系统存在的问题,为排错。优化系统提供依据。
各种网管工具更是我们做网络管理的必要的帮手,比如抓包软件。可视光源。测线工具。标签机。螺丝刀等等,所以网管人员往往都是背着背包的,应手的家伙一个也不能少。
2。6做好设备。线缆标识工作
好记性不如烂笔头,一个人做过的事也很容易就忘掉,更何况网络管理团队中有好多人,很多时候一件事往往追溯不到源头。所以标识。记录工作非常重要。如果标识工作不到位,很容易会发生设备。线缆用途无人知晓,谁都不敢动的情况。
2。7对用户的培训
很多网络故障是由人为因素造成的,比如碰掉设备的电源。办公室HUB出现环接等等,通过适当的时机对用户进行网络知识的教育,能够有效地避免类似网络故障的发生,给网络管理工作降低工作量和难度。
2。8其他
机房环境设施的运维管理,也是对网络的安全与运维管理产生重要影响的一个方面。除此之外,如果有互联网出口的,还需要部署防火墙。上网行为管理设备等,既要做好安全防护,又要做到有迹可查。
3结论
本文提到的风险分析及网络管理措施并不完全,网络安全保障及维护管理工作也是一项技术要求很高的持续性工作,需要网络管理人员有较高的技术水平和持续的学习能力,善于利用各种网络管理工具和各方面的技术支持,才能在网络管理方面跟上技术的进步,提高网络管理的效率,应对各方面的安全威胁,把网络管理工作做好。
企业园区网络的安全与运维管理