淺談企業(yè)IT設備管理中的網(wǎng)絡(luò )安全研究論文

　　1概述

　　隨著(zhù)互聯(lián)網(wǎng)的高速發(fā)展和IT網(wǎng)絡(luò )設備的更新，IT網(wǎng)絡(luò )設備技術(shù)的成熟應用使計算機網(wǎng)絡(luò )深入到人們生活的各個(gè)方面。網(wǎng)絡(luò )帶給人們諸多好處的同時(shí)，也帶來(lái)了很多隱患。企業(yè)面臨著(zhù)信息外泄，服務(wù)器遭受攻擊，大量數據遭受篡改，特別是從事電子商務(wù)的企業(yè)，信息的安全問(wèn)題成了瓶頸問(wèn)題。隨著(zhù)企業(yè)網(wǎng)絡(luò )中安全設備使用的增多，相應的使用設備的管理變得更加復雜。而企業(yè)的信息管理者和信息用戶(hù)對網(wǎng)絡(luò )安全認識不足，他們把大量的時(shí)間和精力用于提升網(wǎng)絡(luò )的性能和效率，結果導致了攻擊、惡意代碼、郵件炸彈等越來(lái)越多的安全威脅。為了防范各種各樣的安全問(wèn)題，本文將從企業(yè)內部的IT設備產(chǎn)品入手，對企業(yè)的網(wǎng)絡(luò )安全進(jìn)行研究。

　　2企業(yè)IT設備的定義和分類(lèi)概述

　　企業(yè)IT設備其實(shí)就是網(wǎng)絡(luò )互聯(lián)設備，就是在網(wǎng)間的連接路徑中進(jìn)行協(xié)議和功能的轉換，它具有很強的層次性。遵循OSI模型，在OSI的每一層對應不同的IT設備產(chǎn)品，每層IT設備產(chǎn)品用于執行某種主要功能，并具有自己的一套通信指令(協(xié)議)，相同層的IT設備之間共享這些協(xié)議。

　　企業(yè)IT設備主要分為交換機、路由器、防火墻。交換機就是一種在通信系統中完成信息交換的功能，交換機擁有一條很高帶寬的背部總線(xiàn)和內部交換矩陣，交換機的所有端口都掛接在這條背部總線(xiàn)上，制動(dòng)電路收到數據包后，處理端口會(huì )查找內存中的地址對照表以確定目的的網(wǎng)卡掛接在哪個(gè)端口上，通過(guò)內部交換矩陣迅速將數據包傳送到目的端口。路由器就是一種連接多個(gè)網(wǎng)絡(luò )或網(wǎng)段的網(wǎng)絡(luò )設備，它能將不同網(wǎng)絡(luò )或網(wǎng)段之間的數據信息進(jìn)行翻譯，使它們相互讀懂對方的數據，從而構成一個(gè)更大的網(wǎng)絡(luò )。其功能是對用戶(hù)提供最佳的通信路徑，利用路由表查找數據包從當前位置到目的地址的正確路徑。防火墻就是隔離在本地網(wǎng)絡(luò )和外界網(wǎng)絡(luò )之間的一道防御系統，防火墻可使用內部網(wǎng)絡(luò )與因特網(wǎng)之間或者與其他外部網(wǎng)絡(luò )相互隔離、限制網(wǎng)絡(luò )互訪(fǎng)，以保護企業(yè)內部網(wǎng)絡(luò )，其主要功能是隔離不同的網(wǎng)絡(luò )，防止企業(yè)內部信息的泄露;強化網(wǎng)絡(luò )安全策略;包過(guò)濾和流量控制及網(wǎng)絡(luò )地址轉換等。

　　3企業(yè)IT設備網(wǎng)絡(luò )安全管理模式研究

　　在企業(yè)IT設備網(wǎng)絡(luò )安全管理中，網(wǎng)絡(luò )管理安全模式包括以下三種：

　　第一，安全管理PC直接與安全設備進(jìn)行連接是最常見(jiàn)的，也就是傳統的對網(wǎng)絡(luò )安全設備要進(jìn)行配置管理就必須把管理的計算機直接連接到安全設備上，常見(jiàn)的是將安全管理PC的串口與安全設備的CONSOLE口連接，然后在PC機上運行終端仿真程序，如Windows系統中的超級終端或者使用SecureCRT應用程序。然后在終端仿真程序上建立新連接，選擇實(shí)際連接安全設備時(shí)，使用的安全管理PC上的串口，配置終端通信參數，安全設備進(jìn)行上電自檢，系統自動(dòng)進(jìn)行配置，自檢結束后提示用戶(hù)鍵入回車(chē)，直到出現命令行提示符。然后就可鍵入命令，配置安全設備或者查看其運行狀態(tài)。但對于不同設備可能會(huì )有不同的設置，例如對于防火墻，聯(lián)想KingGuard 8000的連接參數就和上面不一致，對于這種情況我們可以采用WEB方式管理。就是用網(wǎng)線(xiàn)連接安全管理設備和計算機上的網(wǎng)卡接口，同時(shí)對管理計算機和安全設備的管理接口的IP地址進(jìn)行配置，以便讓它們位于同一個(gè)網(wǎng)段。開(kāi)啟安全設備的本地SSH服務(wù)，并且允許管理賬號使用SSH。這是因為對大多數安全設備的WEB管理都是通過(guò)SSH連接設備的，這樣安全管理PC和安全設備之間傳輸的數據都是通過(guò)加密的，安全性比較高。在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車(chē)，輸入用戶(hù)名和密碼后就可登陸到網(wǎng)絡(luò )安全設備的WEB管理界面，對其參數和性能進(jìn)行配置。

　　第二，安全管理PC通過(guò)交換機管理安全設備，只需把安全管理PC直接連接到交換機上，PC和安全設備就都位于同一網(wǎng)段中。除了采用WEB方式對安全設備進(jìn)行管理配置外，還可以使用Telnet方式管理。用這種方式對安全設備進(jìn)行管理時(shí)，必須首先保證安全管理PC和安全設備之間有路由可達，并且可以用Telnet方式登錄到安全設備上，也可以采用SSH方式管理。當用戶(hù)在一個(gè)不能保證安全的網(wǎng)絡(luò )環(huán)境中時(shí)，卻要遠程登錄到安全設備上。這時(shí)，SSH特性就可以提供安全的信息保障以及認證功能，起到保護安全設備不受諸如IP地址欺詐、明文密碼截取等攻擊。

　　第三，通過(guò)安全中心服務(wù)器管理安全設備，就是把“安全管理計算機”升級成了“安全中心服務(wù)器”。在服務(wù)器上就可以對網(wǎng)絡(luò )中所有的安全設備進(jìn)行管理配置，而不用再把安全管理計算機逐個(gè)的連接到安全設備或安全設備所在VLAN的交換機上。在這種管理模式中，除了不能直接連接到安全設備的CONSOLE口上對其進(jìn)行管理配置外，WEB、Telnet和SSH在安全中心服務(wù)器上都可以使用。

　　總之，以上三種網(wǎng)絡(luò )安全設備的管理模式主要是根據網(wǎng)絡(luò )的規模和安全設備的多少來(lái)決定使用哪一種管理模式。三種模式之間沒(méi)有完全的優(yōu)劣之分。若是網(wǎng)絡(luò )中只有一兩臺安全設備，顯然采用第一種模式比較好，只需要一臺安全管理PC就可以，若是采用架設安全中心服務(wù)器的話(huà)就有些得不償失。如果安全設備較多，并且都分布在不同的網(wǎng)段，那選擇第二種模式即可，用兩三臺安全管理PC管理安全設備，比架設兩臺服務(wù)器還是要經(jīng)濟很多。若是安全設備很多就采用第三種模式，它至少能給網(wǎng)絡(luò )管理員節省很多的時(shí)間，因為在一臺服務(wù)器上就可以對所有的安全設備進(jìn)行管理。

　　4企業(yè)IT設備網(wǎng)絡(luò )安全應用研究

　　企業(yè)的網(wǎng)絡(luò )拓撲結構比較復雜、網(wǎng)絡(luò )節點(diǎn)繁多，這就要求企業(yè)需要有一套行之有效的IT運維管理模式。IT運維管理是企業(yè)IT部門(mén)采用相關(guān)的方法、技術(shù)、制度、流程和文檔等，對IT使用人員、IT業(yè)務(wù)系統和IT運行環(huán)境(軟硬件環(huán)境和網(wǎng)絡(luò )環(huán)境)進(jìn)行綜合的管理以達到提升信息化項目使用，可起到提高IT運維人員對企業(yè)網(wǎng)絡(luò )故障的排查效率。接下來(lái)通過(guò)下面兩個(gè)實(shí)例來(lái)驗證：

　　4.1企業(yè)內部ARP斷網(wǎng)攻擊

　　ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現ARP欺騙，能夠在網(wǎng)絡(luò )中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò )阻塞，攻擊者只要持續不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中IP-MAC列表造成網(wǎng)絡(luò )中斷或中間人攻擊�；�本原理就是在局域網(wǎng)中，假如有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會(huì )試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò )內其他計算機的通信信息，并因此造成網(wǎng)內其他計算機的通信故障

　　ARP攻擊源向電腦用戶(hù)1發(fā)送一個(gè)偽造的ARP響應，告訴電腦用戶(hù)1，電腦用戶(hù)2的IP地址192.168.0.2和對應的MAC地址是00-aa-00-62-c6-03，電腦用戶(hù)1信以為真，將這個(gè)對應關(guān)系寫(xiě)入自己的ARP緩存表中，以后發(fā)送數據時(shí)，將本應該發(fā)往電腦用戶(hù)2的數據發(fā)送給了攻擊者。同樣的，攻擊者向電腦用戶(hù)2也發(fā)送一個(gè)偽造的ARP響應，告訴電腦用戶(hù)2。電腦用戶(hù)1的IP地址192.168.0.1對應的MAC地址是00-aa-00-62-c6-03，電腦用戶(hù)2也會(huì )將數據發(fā)送給攻擊者。至此攻擊者就控制了電腦用戶(hù)1和電腦用戶(hù)2之間的流量，它可以選擇被動(dòng)地監測流量，獲取密碼和其他涉密信息，也可以偽造數據，改變電腦用戶(hù)1和電腦用戶(hù)2之間的通信內容。

　　4.2非法DHCP服務(wù)器的快速定位

　　在DHCP的選擇Request過(guò)程中，網(wǎng)絡(luò )上可能有DHCP服務(wù)器都會(huì )對Discover的廣播回應，但新加計算機只選擇最先回應的所取得的IP地址。并與DHCP服務(wù)器再次確認要用此IP。如果網(wǎng)絡(luò )上有多個(gè)可提供IP地址的DHCP服務(wù)器，新加計算機會(huì )選擇最先回應廣播的DHCP服務(wù)器所提供的IP地址，但現實(shí)中往往非法DHCP服務(wù)器回應廣播速度比合法DHCP服務(wù)器快。

　　非法DHCP服務(wù)器的快速定位所示，用戶(hù)電腦發(fā)出請求IP廣播的時(shí)候，非法DHCP服務(wù)器和DHCP服務(wù)器都會(huì )向用戶(hù)電腦提供一個(gè)IP地址給用戶(hù)電腦使用。當非法DHCP服務(wù)器Request速度比DHCP服務(wù)器快時(shí)，那么這些用戶(hù)電腦得到的IP也一定是非正常IP，這就導致這些用戶(hù)電腦無(wú)法正常使用Internet。企業(yè)網(wǎng)絡(luò )管理人員可以通過(guò)檢測提供IP的DHCP服務(wù)器MAC地址，結合網(wǎng)絡(luò )和電腦資產(chǎn)登記來(lái)快速找到非法DHCP是什么設備、歸屬什么部門(mén)。通過(guò)上面兩個(gè)實(shí)例，有效地預防網(wǎng)絡(luò )攻擊對于企業(yè)說(shuō)是非常重要的，可以提高IT人員排除故障的效率，確保企業(yè)內部網(wǎng)絡(luò )更加安全。

　　5結語(yǔ)

　　企業(yè)IT設備網(wǎng)絡(luò )安全問(wèn)題主要是利用網(wǎng)絡(luò )管理措施保證網(wǎng)絡(luò )環(huán)境中數據的機密性、完整性和可用性。確保經(jīng)過(guò)網(wǎng)絡(luò )傳送的信息，在到達目的地時(shí)沒(méi)有任何增加、改變、丟失或被非法讀取。而且要從以前單純的以防、堵、隔為主，發(fā)展到現在的攻、防結合，注重動(dòng)態(tài)安全。在網(wǎng)絡(luò )安全技術(shù)的應用上，要注意從正面防御的角度出發(fā)，控制好信息通信中數據的加密、數字簽名和認證、授權、訪(fǎng)問(wèn)等。而從反面要做好漏洞掃描評估、入侵檢測、病毒防御、安全報警響應等。要對網(wǎng)絡(luò )安全有一個(gè)全面的了解，不僅需要掌握防護，也需要掌握檢測和響應等各個(gè)環(huán)節。

【淺談企業(yè)IT設備管理中的網(wǎng)絡(luò )安全研究論文】相關(guān)文章：

淺談設備管理與維護論文10-28

淺談煤礦設備管理的論文06-21

淺談冶金企業(yè)設備管理06-02

淺談企業(yè)文化在企業(yè)發(fā)展中的作用論文08-05

淺談ITS中汽車(chē)電子監測技術(shù)的研究與設計論文08-24

企業(yè)研究論文07-24

淺談企業(yè)并購整合過(guò)程中的知識轉移研究09-27

淺談企業(yè)文秘在企業(yè)中的作用08-15

淺談全面質(zhì)量管理在企業(yè)中的應用論文07-10

淺談版畫(huà)教育及本土版畫(huà)創(chuàng )作中的反向思維研究論文09-02