局域網(wǎng)通信安全的評(píng)估與技術(shù)依托

李清霞

（廣東工業(yè)大學(xué)，廣州 510095）

1 局域網(wǎng)通信安全的評(píng)估指標(biāo)

局域網(wǎng)通信安全是指企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受惡意的或者偶然的原因而遭到破壞、更改、外泄，使網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，以及網(wǎng)絡(luò)服務(wù)不被中斷[1]。

在網(wǎng)絡(luò)信息安全的標(biāo)準(zhǔn)化中，眾多國際標(biāo)準(zhǔn)化組織如ISO、BSI（英國標(biāo)準(zhǔn)化機(jī)構(gòu)）等，在安全需求服務(wù)分析指導(dǎo)、安全技術(shù)機(jī)制開發(fā)、安全評(píng)估標(biāo)準(zhǔn)等方面制定了許多標(biāo)準(zhǔn)及草案（如BS7799、ISO27001等），在針對(duì)局域網(wǎng)通信安全方面，提出了不少具體的、可量化的評(píng)估指標(biāo)，現(xiàn)將其總結(jié)并歸納如下[2,3]：

1.1 物理安全指標(biāo)

局域網(wǎng)的操作者及其各種網(wǎng)絡(luò)設(shè)備能夠最大限度地避免水災(zāi)、火災(zāi)、地震和雷擊等自然災(zāi)害的襲擊；局域網(wǎng)及其網(wǎng)絡(luò)設(shè)備所處的工作環(huán)境和綜合布線符合有關(guān)標(biāo)準(zhǔn)及規(guī)范；杜絕失竊、破壞、非法斷電、操作錯(cuò)誤等人為的不良傾向[2,4]。

1.2 拓?fù)浣Y(jié)構(gòu)安全指標(biāo)

局域網(wǎng)中各子網(wǎng)必須隔離，相互之間的通信應(yīng)由局域網(wǎng)第三層的互聯(lián)設(shè)備完成；局域網(wǎng)用戶與外網(wǎng)之間的通信必經(jīng)硬件防火墻過濾；對(duì)外服務(wù)器（例如WEB服務(wù)器）應(yīng)與局域網(wǎng)內(nèi)部的服務(wù)平臺(tái)完全隔離；遠(yuǎn)程訪問的接入盡量采用加密設(shè)備[2,3]。

1.3 操作系統(tǒng)安全指標(biāo)

采用安全性高、漏洞小的操作系統(tǒng)；擁有安全配置服務(wù)，如身份驗(yàn)證、客戶權(quán)限、審計(jì)日志、數(shù)據(jù)加密和完整性服務(wù)；可以執(zhí)行數(shù)字簽名、訪問控制、注冊(cè)保護(hù)、性能監(jiān)視等安全機(jī)制；關(guān)閉有安全隱患的業(yè)務(wù)功能，及時(shí)給操作系統(tǒng)打補(bǔ)丁[3,5]。

1.4 應(yīng)用軟件安全指標(biāo)

應(yīng)用軟件的選型著重考慮其穩(wěn)定性及安全性；在使用中應(yīng)能貫徹安全措施，如通訊授權(quán)、傳輸加密、訪問控制、權(quán)限控制、數(shù)據(jù)加密等[5]。

1.5 信息系統(tǒng)安全指標(biāo)

局域網(wǎng)的各種信息只為授權(quán)用戶使用，不被泄露給非授權(quán)的用戶和實(shí)體；信息在利用、傳輸、貯存等過程中不被篡改、丟失和缺損；信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得[2,3]。

1.6 管理機(jī)制安全指標(biāo)

網(wǎng)絡(luò)管理科目（配置管理、性能管理、故障管理、安全管理）健全，能夠?qū)崟r(shí)檢測(cè)、監(jiān)控、報(bào)告（記錄）和預(yù)警網(wǎng)絡(luò)安全的事故；能夠及時(shí)發(fā)現(xiàn)非法入侵行為并追蹤線索，為破案提供原始依據(jù)；建有嚴(yán)格的網(wǎng)絡(luò)管理規(guī)章制度，杜絕人為因素(例如違規(guī)操作、內(nèi)部泄密）引起的安全事故[2,3,5]。

2 局域網(wǎng)通信安全的技術(shù)依托

局域網(wǎng)的通信安全系統(tǒng)屬于主動(dòng)防御式系統(tǒng)，因此必須具有相應(yīng)的技術(shù)支撐才能成功構(gòu)建，從技術(shù)層面考慮，局域網(wǎng)通信安全依托主要是由連接設(shè)備安全技術(shù)、域控制技術(shù)、防火墻技術(shù)、防病毒技術(shù)和監(jiān)控技術(shù)共同承擔(dān)[7～9]。

2.1 連接設(shè)備安全技術(shù)

由于局域網(wǎng)各連接設(shè)備分別作為網(wǎng)絡(luò)中各大小不同節(jié)點(diǎn)的核心設(shè)備，因此它們的安全性首先受到關(guān)注。連接設(shè)備的安全技術(shù)是指安全性能、安全設(shè)置和安全管理。現(xiàn)舉局域網(wǎng)交換機(jī)為例：[9,10]。

2.1.1 安全性能

1）采用MAC模式或IP模式的數(shù)據(jù)過濾數(shù)據(jù)包，根據(jù)過濾規(guī)則決定轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。

2）配置基于端口的安全訪問控制協(xié)議802.1X，阻止非法用戶進(jìn)入局域網(wǎng)內(nèi)部，保障網(wǎng)絡(luò)的通信安全。

3）安裝SNMP v3 或SSH 的安全網(wǎng)管功能，有效防止非授權(quán)用戶對(duì)管理信息的修改、偽裝和竊聽，保護(hù)重要數(shù)據(jù)的安全性。

2.1.2 安全設(shè)置

1）VLAN設(shè)置——將整個(gè)局域網(wǎng)劃分為若干個(gè)大小不同的虛擬子網(wǎng)，并限制它們之間的通信。

2）端口安全設(shè)置——限制訪問交換機(jī)上某個(gè)端口的MAC地址以及IP的個(gè)數(shù)，實(shí)現(xiàn)嚴(yán)格控制對(duì)該端口的輸入量。

3）流量控制設(shè)置——當(dāng)交換機(jī)本地端口擁塞數(shù)據(jù)流時(shí)，暫停其他端口的數(shù)據(jù)發(fā)送，直至恢復(fù)常態(tài)。

4）安全認(rèn)證設(shè)置——利用交換機(jī)內(nèi)置的802.1x協(xié)議是基于端口的訪問控制協(xié)議，通過對(duì)連接到局域網(wǎng)的合法用戶進(jìn)行認(rèn)證和授權(quán)。

2.1.3 安全管理

1）注重工作環(huán)境——嚴(yán)格依照交換機(jī)在溫度、濕度、衛(wèi)生、供電、靜電、磁場(chǎng)和接地等方面的工作環(huán)境規(guī)范和標(biāo)準(zhǔn)放置交換機(jī)。

2）配置不同密碼——配置內(nèi)容相對(duì)復(fù)雜的遠(yuǎn)程登錄密碼、console口配置密碼、特權(quán)密碼等，并定時(shí)更換新密碼。

3）堵塞安全漏洞——關(guān)閉交換機(jī)內(nèi)置如HTTP后臺(tái)服務(wù)、自動(dòng)協(xié)商鏈路聚集、CDP協(xié)議服務(wù)、定向廣播轉(zhuǎn)發(fā)等功能，截?cái)喾欠ㄈ肭终叩墓羟馈?/p>

4）備份配置文件——定期查看交換機(jī)的操作系統(tǒng)和相關(guān)配置文件是否被擅改，撰寫運(yùn)行記錄和安全日志，并且進(jìn)行備份。

2.2 域控制技術(shù)

域控制技術(shù)是一種在安全邊界內(nèi)完全接受控制的網(wǎng)絡(luò)管理技術(shù)，它內(nèi)置了賬戶、密碼等信息構(gòu)成的數(shù)據(jù)庫。任何用戶接入網(wǎng)絡(luò)時(shí)，域控制器會(huì)自動(dòng)鑒別該用戶的賬號(hào)密碼是否屬于本域，若身份信息有錯(cuò)則拒絕登錄局域網(wǎng)。此外，域控制技術(shù)可以將網(wǎng)絡(luò)資源的分配細(xì)化到任一用戶，各工作站的軟硬件配置完全由管理員統(tǒng)一控制，避免了網(wǎng)絡(luò)資源及客戶端的軟硬件受到有意或無意的擅改或破壞[8,9]。

域控制技術(shù)在局域網(wǎng)通信安全方面的實(shí)施主要在于用戶的授權(quán)管理和目錄進(jìn)入控制，整合在活動(dòng)目錄中（包括用戶的訪問和登錄權(quán)限等），集中控制用戶授權(quán)不僅能在每一個(gè)目錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義，這一點(diǎn)是以前任何管理技術(shù)所不能達(dá)到的，活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略（包含帳戶信息，密碼限制、特定域資源訪問權(quán)等），以及安全策略的存儲(chǔ)及應(yīng)用范圍。

2.3 防火墻技術(shù)

防火墻技術(shù)在局域網(wǎng)通信安全方面的實(shí)施，主要通過三個(gè)方面進(jìn)行：

1）根據(jù)狀態(tài)數(shù)據(jù)包篩選決定允許通過安全網(wǎng)絡(luò)線路和應(yīng)用程序?qū)哟矸?wù)的數(shù)據(jù)包。

2）進(jìn)行線路篩選，為多平臺(tái)訪問以及眾多的 Internet 協(xié)議和服務(wù)提供了應(yīng)用程序透明線路網(wǎng)關(guān)。

3）采用應(yīng)用程序篩選檢查與處理客戶端計(jì)算機(jī)中應(yīng)用程序協(xié)議（例如 HTTP、FTP 和 Gopher）內(nèi)的命令，分析應(yīng)用程序的數(shù)據(jù)流，以及提供指定應(yīng)用程序的處理，包括檢查、篩選或阻塞、重定向等。

2.4 防病毒技術(shù)

現(xiàn)代防病毒技術(shù)是構(gòu)建以防病毒服務(wù)器為核心配置的系統(tǒng)，其最大的優(yōu)勢(shì)是能夠自動(dòng)更新病毒庫，同步控制各客戶端的查殺病毒工作，并且能夠?qū)崟r(shí)監(jiān)測(cè)各工作站因病毒感染而出現(xiàn)的異常狀態(tài)，主要的技術(shù)特征功如下[6,7,11]：

1）可作為防病毒軟件的控制中心，及時(shí)通過Internet更新病毒庫，并強(qiáng)制局域網(wǎng)中已開機(jī)的客戶端及時(shí)更新病毒庫軟件。

2）記錄各個(gè)客戶端的病毒庫升級(jí)情況、局域網(wǎng)中計(jì)算機(jī)病毒出現(xiàn)的時(shí)間、類型以及后續(xù)處理措施。

3）對(duì)工作站本機(jī)的內(nèi)存、文件的讀寫進(jìn)行監(jiān)控；根據(jù)預(yù)定的處理方法處理帶毒文件；監(jiān)控郵件收發(fā)軟件、根據(jù)預(yù)定處理方法處理帶毒郵件。

4）對(duì)局域網(wǎng)內(nèi)的應(yīng)用服務(wù)器進(jìn)行全面防護(hù)，包括Unix/Linux服務(wù)器，從而切斷病毒在服務(wù)器內(nèi)的寄生和傳播。

5）檢測(cè)微軟Windows平臺(tái)的安全漏洞和補(bǔ)丁安裝狀態(tài)，并且給出詳細(xì)報(bào)表和警示。

2.5 監(jiān)控技術(shù)

監(jiān)控技術(shù)應(yīng)用于局域網(wǎng)通信安全的監(jiān)測(cè)和控制，能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)的各項(xiàng)安全性能指標(biāo)，為局域網(wǎng)通信安全狀況提供可靠的依據(jù)，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)上的各種安全隱患，使管理員能夠有針對(duì)性地排查和解決局域網(wǎng)通信安全故障。監(jiān)控技術(shù)主要是指入侵檢測(cè)（IDS）、內(nèi)網(wǎng)監(jiān)視和服務(wù)器監(jiān)控[6,7,13]。

2.5.1 入侵檢測(cè)（IDS）

IDS是一種集檢測(cè)、記錄、報(bào)警、響應(yīng)的動(dòng)態(tài)安全技術(shù)，不僅能檢測(cè)來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。其主要技術(shù)功能有：

1）識(shí)別黑客入侵手段---通過分析各種攻擊的特征，可以全面快速地識(shí)別探測(cè)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應(yīng)的防范。

2）監(jiān)控網(wǎng)絡(luò)異常通信---對(duì)網(wǎng)絡(luò)中不正常的通信連接做出快速反應(yīng)，保證網(wǎng)絡(luò)通信的合法性；任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會(huì)被IDS系統(tǒng)發(fā)現(xiàn)到并作出警告。

3）防系統(tǒng)漏洞攻擊---通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)包連接的方式、連接端口以及連接中特定的內(nèi)容等特征分析，可以有效地發(fā)現(xiàn)網(wǎng)絡(luò)通信中針對(duì)系統(tǒng)漏洞進(jìn)行的非法行為。

4）完善安全管理---通過對(duì)入侵的檢測(cè)及反應(yīng)，有效地阻止網(wǎng)絡(luò)犯罪行為，通過監(jiān)測(cè)、統(tǒng)計(jì)分析、報(bào)表等功能，可以進(jìn)一步完善網(wǎng)絡(luò)安全管理。

2.5.2 內(nèi)網(wǎng)監(jiān)視

內(nèi)網(wǎng)監(jiān)視的范圍覆蓋路由器以內(nèi)的所有主機(jī)，也能夠?qū)ν饩W(wǎng)接入進(jìn)行全方位監(jiān)控。監(jiān)視的內(nèi)容包括網(wǎng)絡(luò)的利用率和網(wǎng)絡(luò)的數(shù)據(jù)流量（每秒幀數(shù)、每秒字節(jié)數(shù)和每秒廣播數(shù)），還有郵件監(jiān)控、Webmail發(fā)送監(jiān)視、聊天及P2P監(jiān)控、流量監(jiān)控、并發(fā)連接數(shù)限制和應(yīng)用軟件限制監(jiān)控、FTP和TELNET命令監(jiān)視、網(wǎng)頁發(fā)送文件監(jiān)視等。

2.5.3 服務(wù)器監(jiān)控

局域網(wǎng)內(nèi)各應(yīng)用服務(wù)器通常是攻擊者的主要目標(biāo)，因此對(duì)服務(wù)器的監(jiān)控應(yīng)從以下幾個(gè)方面進(jìn)行[6,12,13]：

1）監(jiān)測(cè)服務(wù)器硬件性能及網(wǎng)絡(luò)響應(yīng)狀況。例如CPU的利用率、可用物理內(nèi)存值、可用連接數(shù)、隊(duì)列長(zhǎng)度等信息，了解服務(wù)器及其網(wǎng)絡(luò)資源的使用瓶頸、帶寬和流量等物理狀態(tài)，實(shí)時(shí)地發(fā)現(xiàn)及預(yù)報(bào)服務(wù)器潛在的硬件或軟件平臺(tái)的安全故障。

2）監(jiān)測(cè)安全系統(tǒng)日志。例如有效和無效的登錄嘗試以及與資源使用相關(guān)的事件。檢查運(yùn)行系統(tǒng)日志程序及所有用戶使用系統(tǒng)的狀況。檢查日志程序所定期生成的報(bào)表，通過報(bào)表分析是否存在安全異象。

3）監(jiān)測(cè)是否受到網(wǎng)絡(luò)攻擊。在欠缺入侵檢測(cè)系統(tǒng)的情況下，一般可以通過目錄和文件系統(tǒng)信息、網(wǎng)絡(luò)日志文件信息、程序執(zhí)行異象信息、未授權(quán)的網(wǎng)絡(luò)硬件連接和網(wǎng)絡(luò)資源訪問這幾種渠道去查找服務(wù)器是否被入侵。

3 結(jié)論

局域網(wǎng)通信安全架構(gòu)由安全技術(shù)、安全服務(wù)和安全支持這三者構(gòu)成，影響安全性的最大因素是安全技術(shù)解決方案的設(shè)計(jì)與實(shí)施。在當(dāng)前及未來的局域網(wǎng)通信環(huán)境中，迫切需要一種集多技術(shù)為一體的、立體化的安全系統(tǒng)保證局域網(wǎng)的通信安全。未來的局域網(wǎng)通信安全技術(shù)在安全監(jiān)控管理、多級(jí)化分層管理、管理協(xié)議的標(biāo)準(zhǔn)化、性能綜合評(píng)價(jià)與反應(yīng)機(jī)制等幾個(gè)方面將會(huì)得到更進(jìn)一步的發(fā)展。

[1] 王淑江.網(wǎng)絡(luò)安全[M].機(jī)械工業(yè)出版社,2007,11-276.

[2] 謝宗曉,郭立生.信息安全管理體系應(yīng)用手冊(cè)——ISO/IEC 27001標(biāo)準(zhǔn)解讀及應(yīng)用模板[M].中國標(biāo)準(zhǔn)出版社,2008,78-200.

[3] 王英梅,屈微.BS7799信息安全管理體系認(rèn)證指南[M].中國計(jì)量出版社,2004,36-198.

[4] 中國標(biāo)準(zhǔn)出版社第四編輯室,信息安全標(biāo)準(zhǔn)匯編·技術(shù)與機(jī)制卷·物理安全技術(shù)分冊(cè)[M].中國標(biāo)準(zhǔn)出版社,2009,78-122.

[5] 最新網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)匯編[M].中國科技出版社,2009,112-178.

[6] 劉寶旭,蔣文保.黑客入侵的主動(dòng)防御[M].電子工業(yè)出版社,2007,2-226.

[7] 袁德明,喬月圓.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2007,12-226.

[8] 蔣建軍.網(wǎng)絡(luò)實(shí)用技術(shù)[M].上海交通大學(xué)出版社,2005,18-39.

[9] 劉曉輝,楊興明.中小企業(yè)網(wǎng)絡(luò)管理員實(shí)用教程[M].科學(xué)出版社,2006,55-203.

[10]劉曉輝.網(wǎng)管從業(yè)寶典:交換機(jī)·路由器·防火墻[M].重慶大學(xué)出版社,2008,5-269.

[11]劉曉輝.網(wǎng)管從業(yè)寶典:安全維護(hù)·防黑防毒·備份恢復(fù)[M].重慶大學(xué)出版社,2008,28-269.

[12]吳建業(yè),吳進(jìn).服務(wù)器實(shí)戰(zhàn)專家[M].電子科技大學(xué)出版社,2004,46-227.

[13]王國慶.網(wǎng)絡(luò)攻擊的模式及防范[M].西安交通大學(xué)出版社,2005,60-94.