宋志清

河北省張家口市科技館

在信息時代,信息可以幫助團體或個人,使他們受益,同樣,信息也可以用來對他們構(gòu)成威脅,造成破壞.在一個局域網(wǎng)中信息的傳遞很方便快捷,同時也存在一定的危險.因此局域網(wǎng)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在局域網(wǎng)上傳遞信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可.

1 局域網(wǎng)安全概念

局域網(wǎng)(Local Area Network,LAN)是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組.一般是方圓幾千米以內(nèi).局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能.局域網(wǎng)是封閉型的,可以由辦公室內(nèi)的兩臺計算機組成,也可以由一個公司內(nèi)的上千臺計算機組成.由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時局域網(wǎng)采用的技術(shù)比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患.

2 局域網(wǎng)安全現(xiàn)狀

隨著辦公自動化在政府和企業(yè)中的應(yīng)用,內(nèi)部網(wǎng)絡(luò)通信的重要性日益凸顯.在一個單位里,內(nèi)部網(wǎng)絡(luò)的建立可節(jié)約包括時間、人員、低值易耗品等資源,大大控制了成本.但凡事皆有利弊,由于網(wǎng)絡(luò)的共享性而造成的泄密事件往往能給一個企業(yè)帶來致命的打擊.如果這種網(wǎng)絡(luò)安全事故出現(xiàn)在政府部門,那么泄露的有可能是國家機密,這種損失將不可估量.有調(diào)查顯示:超過85%的安全威脅來自組織內(nèi)部,有15%來自內(nèi)部未授權(quán)的存取,各種安全漏洞造成的損失中,30%-40%是由電子文件的泄露造成的,而在Fortune排名前1000家的公司中,每次電子文件泄露所造成的損失平均是50萬美元.外網(wǎng)被攻擊好似外傷,如同被打了一個耳光,只是皮肉之苦;而對內(nèi)網(wǎng)進行的攻擊,才是最致命的,攻擊者可以直接深入脊髓,對企業(yè)可以造成致命一擊.

因此,對于企業(yè)內(nèi)網(wǎng)來說,行之有效的安全管理是各種規(guī)模企業(yè)所企盼的,固若金湯的城池,往往在內(nèi)部安全威脅面前形同虛設(shè).“內(nèi)憂”勝于“外患”,企業(yè)不僅需要鑄造如同長城一般的邊關(guān)防御體系,同樣需要著重管理,打造安全和諧的內(nèi)部環(huán)境.

應(yīng)局域網(wǎng)普及而衍生出來的局域網(wǎng)安全控制產(chǎn)品恰好迎合了企業(yè)在局域網(wǎng)應(yīng)用方面的需要.既延續(xù)了局域網(wǎng)信息共享的優(yōu)勢,又保證了局域網(wǎng)內(nèi)部機密資料的安全.就國內(nèi)而言,局域網(wǎng)安全這一論題仍然落后于世界發(fā)達國家.原本局域網(wǎng)安全的產(chǎn)品就少之又少,質(zhì)量也參差不齊.多數(shù)內(nèi)控軟件仍存在漏洞,并不能完全杜絕企業(yè)機密的外泄.不全是目前多數(shù)內(nèi)控軟件的技術(shù)“硬傷”.

3 局域網(wǎng)安全的防范措施

3.1 加強內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識

很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問,這是防病毒進程中,最容易和最緊急的方法之一.網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己職責(zé)權(quán)限,選擇不同的口令,對應(yīng)用程序數(shù)據(jù)進行合法操作,防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源.

3.2 工具和原理

(1)掃描工具.攻擊者采用的掃描手段是很多的,可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC、S掃描器等工具對目標(biāo)計算機進行掃描.其中SuperScan的掃描速度非常快,而NMAP的掃描非常的專業(yè),不但誤報很少,而且還可以掃描到很多的信息,包括系統(tǒng)漏洞、共享密碼、開啟服務(wù)等等.

(2)防范原理.要針對這些掃描進行防范,首先要禁止ICMP的回應(yīng),當(dāng)對方進行掃描的時候,由于無法得到ICMP的回應(yīng),掃描器會誤認(rèn)為主機不存在,從而達到保護自己的目的.另外,利用蜜罐技術(shù)進行掃描欺騙也是不錯的方法.

3.3 防范措施

(1)關(guān)閉端口.關(guān)閉閑置和有潛在危險的端口.這個方法比較被動,它的本質(zhì)是將除了用戶需要用到的正常計算機端口之外的其他端口都關(guān)閉掉.因為就黑客而言,所有的端口都可能成為攻擊的目標(biāo).可以說,計算機的所有對外通訊的端口都存在潛在的危險,而一些系統(tǒng)必要的通訊端口,如訪問網(wǎng)頁需要的H TTP(80端口);QQ(4000端口)等不能被關(guān)閉.

在Windows版本的服務(wù)器系統(tǒng)中要關(guān)閉掉一些閑置端口是比較方便的,可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開放允許端口的方式”(白名單)進行設(shè)置.計算機的一些網(wǎng)絡(luò)服務(wù)會有系統(tǒng)分配默認(rèn)的端口,將一些閑置的服務(wù)關(guān)閉掉,其對應(yīng)的端口也會被關(guān)閉了.進入“控制面板”→“管理工具”→“服務(wù)”項內(nèi),關(guān)閉掉計算機的一些沒有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等),它們對應(yīng)的端口也被停用了.至于“只開放允許端口的方式”,可以利用系統(tǒng)的“TCP/IP篩選”功能實現(xiàn),設(shè)置的時候,“只允許”系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可.

(2)屏蔽端口.檢查各端口,有端口掃描的癥狀時,立即屏蔽該端口.這種預(yù)防端口掃描的方式通過用戶自己手工是不可能完成的,或者說完成起來相當(dāng)困難,需要借助軟件.這些軟件就是我們常用的網(wǎng)絡(luò)防火墻.

防火墻的工作原理是:首先檢查每個到達你的電腦的數(shù)據(jù)包,在這個包被你機上運行的任何軟件看到之前,防火墻有完全的否決權(quán),可以禁止你的電腦接收Internet上的任何東西.當(dāng)?shù)谝粋€請求建立連接的包被你的電腦回應(yīng)后,一個“TCP/IP端口”被打開;端口掃描時,對方計算機不斷和本地計算機建立連接,并逐漸打開各個服務(wù)所對應(yīng)的“TCP/IP端口”及閑置端口.防火墻經(jīng)過自帶的攔截規(guī)則判斷,就能夠知道對方是否正進行端口掃描,并攔截掉對方發(fā)送過來的所有掃描需要的數(shù)據(jù)包.

現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描,在默認(rèn)安裝后,應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中,否則它會放行端口掃描,而只是在日志中留下信息而已.

3.4 防范工具

系統(tǒng)防火墻.現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置,而Window s XP SP2自帶的防火墻也包括該功能.啟用這項功能的設(shè)置非常簡單:執(zhí)行“控制面板”→“Window s防火墻”,點擊“高級”選項卡,選擇系統(tǒng)中已經(jīng)建立的Internet連接方式(寬帶連接),點擊旁邊的“設(shè)置”按鈕打開“高級設(shè)置”窗口,點擊“ICMP”選項卡,確認(rèn)沒有勾選“允許傳入的回顯請求”,最后點擊“確定”即可.

總之,局域網(wǎng)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的.安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè).

[1]黃怡強,等.淺談軟件開發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報論叢,2002(01)

[2]胡道元.計算機局域網(wǎng).北京:清華大學(xué)出版社,2001

[3]朱理森,張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù).北京:專利文獻出版社,2001

[4]謝希仁.計算機網(wǎng)絡(luò),第4版.北京:電子工業(yè)出版社,2003