路明

【摘 要】本文通過分析當(dāng)前局域網(wǎng)中存在的問題， 闡明安全防范的重要性， 同時提出了安全防范的措施， 并從管理和技術(shù)上對構(gòu)建局域網(wǎng)安全防范體系作了深入探討。

【關(guān)鍵詞】局域網(wǎng)；安全；防范

【中圖分類號】TP393.08【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）02-0136-02

全球化時代的到來，信息技術(shù)的日新月異，這已是人類社會不可回避的現(xiàn)實，計算機(jī)網(wǎng)絡(luò)正是在這個背景下應(yīng)運而生。伴隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，其具有開放性、自由性、互聯(lián)性特點的同時，也容易遭受病毒、黑客等形式的攻擊。因此，計算機(jī)網(wǎng)絡(luò)的安全與否已成為了一個亟待解決的重要問題。

不論是企事業(yè)的內(nèi)部局域網(wǎng)或者廣域網(wǎng)，都會存在人為的和網(wǎng)絡(luò)本身的安全隱患。隨著越來越多的內(nèi)部局域網(wǎng)投入運行和接入Internet， 內(nèi)部局域網(wǎng)的安全管理問題越來越突出。作為開放網(wǎng)絡(luò)的組成部分，它也面臨著病毒泛濫、非法攻擊、未授權(quán)訪問、盜用網(wǎng)絡(luò)資源、內(nèi)部信息非法竊取等一系列安全問題。本文結(jié)合筆者幾年來在網(wǎng)絡(luò)管理上的實踐和經(jīng)驗， 針對內(nèi)部局域網(wǎng)網(wǎng)面臨的安全威脅以及應(yīng)對的手段進(jìn)行了探討。

一、對內(nèi)部局域網(wǎng)網(wǎng)絡(luò)安全的威脅因素

目前， 對內(nèi)部局域網(wǎng)絡(luò)安全構(gòu)成威脅的因素很多， 歸結(jié)起來，主要有以下幾點。

1、病毒危害

一旦計算機(jī)感染上病毒之后，一般都會造成系統(tǒng)速度變慢，如蠕蟲病毒和木馬程序等，會使計算機(jī)的運行速度大幅降低。而有些嚴(yán)重的病毒甚至?xí)斐上到y(tǒng)的崩潰，導(dǎo)致存儲在計算機(jī)內(nèi)的部分重要文件丟失，更嚴(yán)重的是可能還會導(dǎo)致計算機(jī)的硬件損壞。病毒已經(jīng)成為了計算機(jī)網(wǎng)絡(luò)安全的最大隱患。病毒是程序編制人員在計算機(jī)網(wǎng)絡(luò)程序中所插入的一些具有破壞功能的程序，它可以使計算機(jī)網(wǎng)絡(luò)喪失部分功能和數(shù)據(jù)，并影響計算機(jī)網(wǎng)絡(luò)的運行。病毒具有自我繁殖性，它可以復(fù)制程序的代碼和指令，通過更改這些代碼和指令達(dá)到破壞計算機(jī)網(wǎng)絡(luò)的目的。病毒如果不依靠反病毒軟件或防火墻是很難發(fā)現(xiàn)的，它具有隱秘性、傳染性、破壞性等特點。所以，采取有力措施防止其危害，對于計算機(jī)網(wǎng)絡(luò)的安全有著極其重要的作用。

2、竊取和干擾網(wǎng)絡(luò)傳輸媒介上承載的信號

這種威脅主要是以竊聽和干擾正常通信為目的， 主要表現(xiàn)方式有：局域網(wǎng)內(nèi)一些惡意用戶在網(wǎng)內(nèi)接入非法終端或在傳輸線路上非法安裝接收/轉(zhuǎn)發(fā)設(shè)備， 對網(wǎng)絡(luò)傳輸媒介上的電磁信號進(jìn)行截收、竊聽和分析， 對其傳播進(jìn)行人為干擾。

3、網(wǎng)絡(luò)協(xié)議安全漏洞

網(wǎng)絡(luò)協(xié)議的漏洞分為兩種：一是自身協(xié)議的漏洞；二是協(xié)議服務(wù)上的漏洞。網(wǎng)絡(luò)協(xié)議分為數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層四個層次結(jié)構(gòu)。攻擊者會尋找這四個層次的漏洞進(jìn)行攻擊。在數(shù)據(jù)鏈路層中，網(wǎng)絡(luò)中的計算機(jī)，每一臺機(jī)器都處于一個網(wǎng)絡(luò)節(jié)點上，它們所發(fā)送的數(shù)據(jù)包都占用同一個通信通道，攻擊者可以通過對信道的修改，把錯誤的數(shù)據(jù)包發(fā)往信道中的每個節(jié)點。數(shù)據(jù)包在發(fā)送的過程中，攻擊者可以替換原來的數(shù)據(jù)包，先偽裝起來看似和平常的數(shù)據(jù)包沒有區(qū)別，沒有立刻進(jìn)行破壞活動，而是隱藏了起來。攻擊者通過匿名的方式，耗用系統(tǒng)中的資源，通過電子郵件服務(wù)的方式，傳播病毒，在TFTP 服務(wù)中，盜用用戶名和口令，對計算機(jī)進(jìn)行各種破壞活動；攻擊者還可以通過防火墻的漏洞或者在它關(guān)閉時，對系統(tǒng)進(jìn)行破壞。

4、網(wǎng)絡(luò)管理員的技術(shù)水平和防范意識不高

現(xiàn)在許多網(wǎng)絡(luò)管理員并沒有進(jìn)過正規(guī)的教育，他們的職責(zé)感和技術(shù)水平都沒有達(dá)到一個合格網(wǎng)絡(luò)管理員所應(yīng)具備的素質(zhì)，這往往表現(xiàn)在實際的工作中，會出現(xiàn)許多不合理的人為管理失誤。如有的管理員不能及時對潛在的安全隱患加以預(yù)防和限制，對于網(wǎng)絡(luò)用戶給予了過大的權(quán)限，這些做法都極易給計算機(jī)網(wǎng)絡(luò)帶來巨大的危害。還有一些網(wǎng)絡(luò)管理員他們不對網(wǎng)絡(luò)系統(tǒng)進(jìn)行調(diào)試和檢測，缺乏實時的監(jiān)控機(jī)制，即使在已運行多年的網(wǎng)絡(luò)系統(tǒng)中，也經(jīng)常會出現(xiàn)各種低級的錯誤，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)漏洞百出，極易受到攻擊。

二、針對內(nèi)部局域網(wǎng)安全威脅的防范技術(shù)措施

內(nèi)部局域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險來源于內(nèi)部脆弱性和外部威脅。針對內(nèi)部脆弱性風(fēng)險的防范屬于主動控制范疇， 針對外部威脅的防范屬于被動控制范疇， 因此， 必須全方位解析網(wǎng)絡(luò)的脆弱性和威脅， 才能構(gòu)建網(wǎng)絡(luò)的安全防范措施， 保證內(nèi)網(wǎng)的安全。

1、防火墻系統(tǒng)

防范來自外部網(wǎng)絡(luò)攻擊最常用的方法是在網(wǎng)絡(luò)的入口部署防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò) （ 如可信任的移動客戶自動服務(wù)系統(tǒng)內(nèi)部網(wǎng)和不可信的公共網(wǎng)） 或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口， 能根據(jù)移動客戶自動服務(wù)系統(tǒng)網(wǎng)絡(luò)的安全政策控制（ 允許、拒絕、監(jiān)測） 出入網(wǎng)絡(luò)的信息流， 防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問， 哪些外人被許可訪問所允許的內(nèi)部服務(wù)， 哪些外部服務(wù)可由內(nèi)部人員訪問。并且防火墻本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)， 實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

2、入侵檢測系統(tǒng)部署

據(jù)統(tǒng)計大部分的攻擊事件來自網(wǎng)絡(luò)內(nèi)部， 也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng)（ IDS） 可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段， 如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。

3、建立集中式網(wǎng)絡(luò)防病毒系統(tǒng)

早期的內(nèi)部網(wǎng)用戶習(xí)慣于使用單機(jī)版防病毒系統(tǒng)， 但是隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展， 病毒的危害和傳播已經(jīng)脫離了單機(jī)的模式， 原有的單機(jī)版防病毒系統(tǒng)已經(jīng)不能適應(yīng)新的要求， 最突出的表現(xiàn)就是， 即便被證明是有效的單機(jī)版防病毒系統(tǒng)也僅能對本機(jī)進(jìn)行防殺， 而無法阻止病毒在網(wǎng)絡(luò)上的傳播， 一旦本機(jī)防病毒系統(tǒng)出現(xiàn)問題， 將不能避免病毒的侵害。

目前， 集中式防病毒系統(tǒng)是有效防殺內(nèi)部網(wǎng)病毒的最有效措施之一， 其具有防護(hù)范圍廣、病毒庫更新及時、系統(tǒng)穩(wěn)定、投資效益高等特點。在內(nèi)部網(wǎng)中建立病毒防殺中心， 既可以對網(wǎng)內(nèi)的聯(lián)網(wǎng)計算機(jī)進(jìn)行管理，進(jìn)行統(tǒng)一的病毒掃描和清除，而且可以對終端進(jìn)行自動更新和病毒庫升級， 及時對病毒防殺信息進(jìn)行公告， 還可以對位于網(wǎng)外的特定聯(lián)網(wǎng)用戶提供在線殺毒功能， 更重要的是， 集中式防病毒系統(tǒng)可以提供電子郵件病毒網(wǎng)關(guān)， 與電子郵件系統(tǒng)相結(jié)合， 對郵件實施病毒過濾。

4、加強(qiáng)內(nèi)部網(wǎng)的監(jiān)控和對用戶的管理

在內(nèi)部網(wǎng)出口處采用高性能硬件防火墻， 可以有效地阻止大部分來自外網(wǎng)的網(wǎng)絡(luò)攻擊，然而，在網(wǎng)內(nèi)部，雖然在各節(jié)點仍有各種防火墻產(chǎn)品安裝，并采用VPN技術(shù)，但來自內(nèi)網(wǎng)的攻擊仍有可能對內(nèi)網(wǎng)的正常工作造成極大的威脅。來自內(nèi)網(wǎng)的攻擊主要表現(xiàn)為網(wǎng)絡(luò)病毒和一些惡意用戶使用非法手段竊取用戶信息， 實施危害活動， 前者可以通過建立內(nèi)部網(wǎng)集中式網(wǎng)絡(luò)防病毒系統(tǒng)加以解決，后者除使用防火墻技術(shù)以外， 還需管理員加強(qiáng)對網(wǎng)絡(luò)的監(jiān)控以及對用戶的管理。

內(nèi)部網(wǎng)管理員可以通過使用網(wǎng)絡(luò)管理系統(tǒng)對網(wǎng)內(nèi)部進(jìn)行安全管理、安全檢測、安全控制，需要建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)， 建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動日志等， 并定時對其進(jìn)行審查分析， 一方面可以及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故， 另一方面可以便于查找網(wǎng)絡(luò)安全事故的原因及事故的責(zé)任人。

三、加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的建議

如何建設(shè)一個高速高效、資源豐富、應(yīng)用廣泛的內(nèi)部網(wǎng)是一個非常復(fù)雜的問題， 需要綜合考慮各方面的因素。

首先， 在規(guī)劃過程中， 需要從實際需求出發(fā)， 制定功能實現(xiàn)目標(biāo)，根據(jù)所制定目標(biāo)在拓?fù)浣Y(jié)構(gòu)、主干技術(shù)、網(wǎng)絡(luò)施工、軟硬件平臺選型等方面進(jìn)行周密的前期設(shè)計；

第二， 在建設(shè)過程中，一方面，要根據(jù)前期設(shè)計嚴(yán)格施工， 另一方面， 針對新出現(xiàn)的新情況靈活進(jìn)行調(diào)整， 但必須根據(jù)規(guī)劃過程中擬定的安全原則， 確保網(wǎng)絡(luò)的整體安全性；

第三， 在管理過程中， 需要建立強(qiáng)力有效的多層次網(wǎng)絡(luò)管理機(jī)構(gòu)， 制定詳細(xì)科學(xué)的網(wǎng)絡(luò)管理規(guī)范， 實施嚴(yán)格的網(wǎng)絡(luò)管理。

[1] 胡世昌.計算機(jī)安全隱患分析與防范措施探討[J].信息與電腦，2010，（10）

[2] 雷崢嶸，吳為春.校園網(wǎng)的安全問題及策略[J].廣州大學(xué)學(xué)報（社會科學(xué)版），2001，11

[3] 葛秀慧.計算機(jī)網(wǎng)絡(luò)安全管理（第2版）[M]. 北京：清華大學(xué)出版社，2008

[4] 夏丹丹，李剛，程夢夢，于亮.入侵檢測系統(tǒng)綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007，（1）