国家能源集团乌海能源有限责任公司职工培训中心 内蒙古乌海 016000
摘要:随着现代科学技术的不断成熟与发展,在各行业生产经营中现代科技得到了广泛地应用,尤其是在“万物互联”时代背景之下,企业各项业务工作效率和业务渠道也随之得到了提升。现代企业在加大网络运行设备配置的同时也应重视网络安全,通过合理有效的安全措施才能使网络业务更好开展。交换机作为网络核心对网络信息安全起到了重要的防护作用,做好网络交换机安全管理工作才能提高信息网络运行的可靠性。因此,本文通过探究当前网络交换机运行管理中存在的风险问题,并现有的技术手段提出相应的安全改善措施,为网络交换机安全可靠运行的实现提供一定参考和借鉴。
关键词:网络交换机;安全风险;改善措施
前言
网络信息安全建设是现代企业建设发展的重要目标,找准网络设备运行管理过程中存在的风险隐患问题,并采取相应的改善处理措施才能有效提升信息安全水平。交换机设备处于网络核心其运行效率将直接影响到信息网络的安全,但在交换机设备实际的运维中管理人员往往会淡化管理及设备硬件更新工作,这为病毒黑客入侵提供了有利机会。正视网络交换机的安全风险隐患,做好风险问题的防控才能实现企业长远可持续地发展。
一、当前网络交换机运行管理中存在的安全风险问题
1.1 ARP攻击
ARP攻击是网络交换机运行过程中最容易受到的一种攻击方式,在获取了以太网地址解析协议后网络黑客即可在线上网络中对企业网络数据信息进行篡改或数据封包从而导致计算机设备不能正常使用。ARP攻击的方式主要分为泛攻击和ARP欺骗,这两种不同的攻击方式会对网络交换机设备产生不同的影响,在泛洪攻击作用下网络黑客不仅能够控制主机对数据信息进行篡改,同时在黑客入侵过程中会导致网络流量集中其他的网络用户将会出现网络中断、掉线的情况。而在ARP欺骗攻击方式下网络交换机设备不能有效区分用户和黑客产生的数据包信息,在黑客不断发送数据封包后将会导致网络节点无法正常联通,企业和用户数据信息将会出现丢失的情况。
1.2 DOS攻击
DOS攻击也是普遍存在于网络交换机设备中的一种黑客攻击方式。在DOS攻击时会充分调用网络带宽然后向单个目标发起攻击,这种分布式的攻击方式不仅会严重破坏网络设备运行稳定,造成网络设备宕机停运的情况出现更为重要的是还会因为对网络带宽的占用导致网络用户无法向外界收发信息,交换机故障问题处理时间较长。DOS攻击会导致交换机无法正常为主机提供服务,资源访问受到限制。
1.3 MAC地址泛洪攻击
不同于ARP泛洪攻击MAC地址攻击的作用效果及危害性更强。由于网络数据信息在传输过程中主要是逐帧传递,当数据帧进入到交换机时就会对MAC源地址进行记录,网络黑客则是利用这一特性将MAC地址中的信息流转发存储到CAM中,并将伪造的多源MAC数据包输入存储器之中,从而导致交换机CAM存储器设备被填满,这时交换机设备数据将不能采取逐帧传递,只能在广播形式下传输数据这将占用较大的网络带宽,网络信息传输效率将会受到重大影响。
二、加强网络交换机安全管理的重要意义
2.1提高信息网络可靠性
信息时代下,信息安全问题成为了人们重点关注的问题,在网络操作过程中个人隐私、操作记录等信息数据如果被窃取或发生泄漏则会对社会稳定性、公众安全带来影响。通过切实可行的网络交换机安全管理,对网络交换机设备运行过程中存在的风险问题进行排查将能从物理层面上保障信息网络的安全,并且在先进的管理模块、后被电源、防火墙等设备资源的配置下网络黑客将难以再利用交换机运行漏洞造成信息泄露、更改、丢失等问题。在安全管理工作的积极开展下信息网络可靠性将显著提升。
2.2促进交换机设备固件升级
网络交换机设备安全风险问题的存在与设备自身性能、固件型号有着密切关联,大部分企业在交换机设备的维护工作只是停留在设备系统升级和补丁修复上,这样的管理工作并不能做到完全规避交换机的风险漏洞问题。加强网络交换机设备的安全管理将能从设备固件性能出发,在对固件进行整体升级和调试后交换机设备的安全性将会大大提升。在安全管理工作的实施开展下能够有效查找出存在于交换机设备自身的风险隐患,并配合着设备运维检修工作才能确保网络交换机设备能够安全可靠运行。
三、网络交换机安全措施的实现
3.1设置安全口令,增强用户信息防护
面对ARP和DOS攻击过程中出现的用户信息被窃取情况应通过口令设置的方式,对用户个人资料信息进行加密保护,从而使用户网络操作所产生的数据包能够安全存储。安全口令的设置应从Console口登陆安全、SSH登陆安全及Super权限口令加密三个方向出发,从而增强对用户信息的防护作用。在Console口登陆安全上应采取灵活的安全策略,并在登陆口就采取加密存储最大化防止黑客窃取到用户登陆信息。SSH登陆安全的核心在于对传输数据进行加密处理,避免黑客从信息通道中截取数据来达到获取用户信息的目的,另一方面也可以通过Telnet远程安全管理的方式,通过在交换机设备中设置登陆口令来防止黑客发送数据封包占用网络带宽的情况。而Super权限口令加密则是通过设置权限等级的方式,根据不同用户的级别给予用户可供的数据资源,保障重要信息不会因为黑客窃取到网络用户一级密码后就能轻易获取。
3.2加强设备日志审计,提高交换机管理
网络交换机设备安全稳定运行需要管理人员加强对设备运行过程中产生的日志信息的审计,通过对设备运行日志信息的收集整理不仅能够掌握到用户数据信息存储状况,交换机设备是否存在故障问题,更为重要的是,还能通过对日志数据信息的分析来合理预测网络运行状况,从而为网络调整提供一定支持,网络黑客在入侵网络交换机设备、窃取用户信息后将会直观地反映到设备运行日志之中,通过对相关数据信息的溯源追查还能有助于交换机设备漏洞问题的修复处理。设备日志审计工作完成后应将日志信息统一记录到企业存储器中以便后续的查找调用,对于交换机设备运行过程中存在的故障问题也将被记录到日志之中,当遇到类似事故问题后还能通过调取对应日志记录来快速解决网络故障问题。
3.3网络准入控制
随着信息网络的不断扩增,网络交换机安全只是停留在设备管理、登陆安全等方面将无法有效应对恶意用户入侵、地址冲突等风险问题。这要求网络交换机安全管理工作应落实到网络准入控制上通过加强协议认证和用户地址绑定的方式交换机设备受到的恶意入侵问题将会大大减少。802.1x协议认证系统是当前应用广泛的一种网络准入控制技术,通过服务器、认证系统及客户端三方认证管理将能过保障登陆网络系统的用户身份安全。而IP _MAC绑定网络准入技术同样是当前主流的网络准入控制技术,但由于对用户网络设备的设置要求较高并且在解析过程中需要逐条分析控制命令,这将导致控制操作容易出现错误。但由于其可视化操作及图形界面较为丰富,用户可以更为直观地进行操作这一技术也将具有一定的应用发展空间。
总结
综上所述,网络交换机安全问题影响着企业信息安全和用户隐私,加大交换机安全防护做好相应的防护处理措施,并从交换机现有的风险问题出发找到适合的解决方式才更有利于企业在信息时代下的进步与发展。
参考文献
[1] 王朝斌. 基于交换技术的局域网安全研究[J]. 西华师范大学学报:自然科学版, 2006(2).
[2] 赵爽. 医院HIS网络和医保网络数据安全交换的实现路径[J]. 电子技术与软件工程, 2016(7).
[3] 袁静. 医院内网连接省市医保与新农合网络安全措施分析[J]. 医疗卫生装备, 2015(1).