局域網(wǎng)網(wǎng)絡(luò)安全管理技術(shù)分析

傅杰華

（廣西工聯(lián)工業(yè)工程咨詢(xún)?cè)O(shè)計(jì)有限公司，廣西 南寧 530003）

隨著信息技術(shù)的發(fā)展，Internet已成為全球重要的信息傳播工具。網(wǎng)絡(luò)已經(jīng)滲透到當(dāng)今社會(huì)的各個(gè)領(lǐng)域，在社會(huì)生產(chǎn)、日常生活中的作用日益顯著。在網(wǎng)絡(luò)給人們帶來(lái)方便的同時(shí)，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)重。各種計(jì)算機(jī)病毒和網(wǎng)上黑客對(duì)網(wǎng)絡(luò)的攻擊越來(lái)越激烈，如何保障網(wǎng)絡(luò)安全也顯得愈加重要。文章分析現(xiàn)今局域網(wǎng)網(wǎng)絡(luò)安全威脅的因素，以及相關(guān)的安全管理技術(shù)。

1 局域網(wǎng)安全威脅分析

局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。局域網(wǎng)內(nèi)信息的傳輸速率較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，這給病毒傳播提供了有效的通道，也給數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類(lèi)：

1.1 欺騙性的軟件使數(shù)據(jù)安全性降低

局域網(wǎng)大部分的用處是資源共享，正是由于共享資源的“數(shù)據(jù)開(kāi)放性”，導(dǎo)致數(shù)據(jù)信息易被篡改和刪除，數(shù)據(jù)安全性較低。例如：“網(wǎng)絡(luò)釣魚(yú)攻擊”，釣魚(yú)工具是通過(guò)大量發(fā)送聲稱(chēng)來(lái)自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息，如用戶(hù)名、口令、賬號(hào)ID、ATM、信用卡詳細(xì)信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來(lái)騙取用戶(hù)的敏感數(shù)據(jù)，由于用戶(hù)缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識(shí)和手段，因此經(jīng)常有信息丟失等現(xiàn)象發(fā)生。

1.2 服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)

局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷外來(lái)攻擊，但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的攻擊。

1.3 計(jì)算機(jī)病毒及惡意代碼的威脅

由于網(wǎng)絡(luò)用戶(hù)不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶(hù)的這個(gè)弱點(diǎn)。寄生軟件可以修改計(jì)算機(jī)上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。近幾年，隨著犯罪軟件洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。在脫離網(wǎng)絡(luò)環(huán)境的情況下，病毒和惡意代碼即失去感染計(jì)算機(jī)的主要機(jī)會(huì)，同時(shí)也失去竊取用戶(hù)數(shù)據(jù)、財(cái)產(chǎn)、隱私等信息的機(jī)會(huì)。

1.4 局域網(wǎng)用戶(hù)安全意識(shí)不強(qiáng)

許多用戶(hù)使用移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查就通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲(chóng)等病毒的進(jìn)入提供了方便，同時(shí)增加了數(shù)據(jù)泄密的可能性。另外一機(jī)兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間頻繁切換使用，許多用戶(hù)將在 Internet網(wǎng)上使用過(guò)的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。

1.5 IP地址沖突

局域網(wǎng)用戶(hù)在同一個(gè)網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，導(dǎo)致部分計(jì)算機(jī)無(wú)法連接上網(wǎng)絡(luò)。對(duì)于局域網(wǎng)來(lái)講，此類(lèi)IP地址沖突的問(wèn)題會(huì)經(jīng)常出現(xiàn)，用戶(hù)規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。

2 局域網(wǎng)安全管理技術(shù)

2.1 物理安全管理措施

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。保證物理安全主要包括以下3個(gè)方面：

2.1.1 環(huán)境安全

對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)，應(yīng)認(rèn)真執(zhí)行國(guó)家標(biāo)準(zhǔn)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》（GB50174－2008）、《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》（GB2887－2000）、《計(jì)算機(jī)場(chǎng)地安全要求》（GB9361－200X）。

2.1.2 設(shè)備安全

主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。

2.1.3 媒體安全

包括媒體數(shù)據(jù)的安全及媒體本身的安全。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)安全管理措施

安全系統(tǒng)是建立在網(wǎng)絡(luò)系統(tǒng)之上的，網(wǎng)絡(luò)結(jié)構(gòu)的安全是安全系統(tǒng)成功建立的基礎(chǔ)。在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的安全方面，要主要考慮網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)和路由的優(yōu)化。

網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開(kāi)放性、標(biāo)準(zhǔn)化、可靠性、先進(jìn)性和實(shí)用性，并且應(yīng)該有結(jié)構(gòu)化的設(shè)計(jì)，充分利用現(xiàn)有資源，具有運(yùn)營(yíng)管理的簡(jiǎn)便性，完善的安全保障體系。網(wǎng)絡(luò)結(jié)構(gòu)采用分層的體系結(jié)構(gòu)，利于維護(hù)管理，利于更高的安全控制和業(yè)務(wù)發(fā)展。網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，在網(wǎng)絡(luò)拓?fù)渖弦紤]到冗余鏈路，防火墻的設(shè)置和入侵檢測(cè)的實(shí)時(shí)監(jiān)控等。

2.3 網(wǎng)絡(luò)系統(tǒng)安全措施

2.3.1 防火墻技術(shù)

防火墻技術(shù)是使用最廣泛的網(wǎng)絡(luò)安全技術(shù)。防火墻技術(shù)的實(shí)現(xiàn)通常是基于“包過(guò)濾”技術(shù)，而進(jìn)行包過(guò)濾的標(biāo)準(zhǔn)通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中，包過(guò)濾的標(biāo)準(zhǔn)一般由網(wǎng)絡(luò)管理人員在防火墻設(shè)備的訪問(wèn)控制清單中設(shè)定。除了基于硬件的包過(guò)濾技術(shù)，防火墻還可以利用代理服務(wù)器軟件實(shí)現(xiàn)。早期的防火墻主要起屏蔽主機(jī)和加強(qiáng)訪問(wèn)控制的作用。到后來(lái)演變?yōu)榕c路由器相結(jié)合，執(zhí)行 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換 Network Address Translation）、IPSEC VPN以及URL過(guò)濾、SSL VPN、防病毒以及防垃圾郵件等。而最近，防火墻已經(jīng)開(kāi)始與IPS（互聯(lián)網(wǎng)協(xié)議群Internet Protocol Suite）結(jié)合來(lái)提供真正應(yīng)用程序級(jí)別的過(guò)濾以及用戶(hù)訪問(wèn)。未來(lái)防火墻的發(fā)展趨勢(shì)是朝高速、多功能化、更安全的方向發(fā)展。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為網(wǎng)絡(luò)提供更安全的保障。

對(duì)局域網(wǎng)用戶(hù)來(lái)說(shuō)，防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有根據(jù)本單位的安全策略選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門(mén)外，所以?xún)?nèi)部網(wǎng)絡(luò)環(huán)境變得更安全。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)計(jì)算機(jī)上相比，防火墻的集中管理更安全。同時(shí)也可以通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)局域網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有不足之處：無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊，不能防止來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊和不經(jīng)心的用戶(hù)們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

2.3.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)（Intrusion Detection）是指通過(guò)旁路監(jiān)聽(tīng)的方式不間斷對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說(shuō)入侵檢測(cè)是網(wǎng)絡(luò)安全的第二道閘門(mén)，是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，作為一種積極主動(dòng)地安全、防護(hù)技術(shù)，它提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，擴(kuò)展了網(wǎng)絡(luò)管理人員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection System）。與其他安全產(chǎn)品不同，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理人員的工作，不但可使管理人員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南；而且入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等，保證網(wǎng)絡(luò)安全的運(yùn)行。

2.3.3 安全管理措施

面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)安全管理規(guī)范的建立。因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)管理人員的重視。

（1）加強(qiáng)安全意識(shí)培訓(xùn)，讓每個(gè)計(jì)算機(jī)使用者明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任。

（2）加強(qiáng)安全知識(shí)培訓(xùn)，使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí)，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地?cái)?shù)據(jù)信息的安全可靠。

（3）加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn)，通過(guò)培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí)，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí)，樹(shù)立良好的計(jì)算機(jī)使用習(xí)慣。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等諸方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，不是萬(wàn)能的。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)在社會(huì)各個(gè)領(lǐng)域中的滲透，社會(huì)各種活動(dòng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴(lài)程度也越來(lái)越深。增強(qiáng)社會(huì)安全意識(shí)教育，普及計(jì)算機(jī)網(wǎng)絡(luò)安全教育，提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)水平，改善其安全現(xiàn)狀，成為當(dāng)務(wù)之急。

1 王繼龍、安淑梅等編著.局域網(wǎng)安全管理實(shí)踐教程［M］.北京：清華大學(xué)出版社，2009.07

2 王石等編著.局域網(wǎng)安全與攻防［M］.北京：電子工業(yè)出版社，2006.09