傅杰華

（廣西工聯(lián)工業(yè)工程咨詢設(shè)計有限公司，廣西 南寧 530003）

隨著信息技術(shù)的發(fā)展，Internet已成為全球重要的信息傳播工具。網(wǎng)絡(luò)已經(jīng)滲透到當(dāng)今社會的各個領(lǐng)域，在社會生產(chǎn)、日常生活中的作用日益顯著。在網(wǎng)絡(luò)給人們帶來方便的同時，隨之而來的網(wǎng)絡(luò)安全問題也日益嚴(yán)重。各種計算機病毒和網(wǎng)上黑客對網(wǎng)絡(luò)的攻擊越來越激烈，如何保障網(wǎng)絡(luò)安全也顯得愈加重要。文章分析現(xiàn)今局域網(wǎng)網(wǎng)絡(luò)安全威脅的因素，以及相關(guān)的安全管理技術(shù)。

1 局域網(wǎng)安全威脅分析

局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。局域網(wǎng)內(nèi)信息的傳輸速率較高，同時局域網(wǎng)采用的技術(shù)比較簡單，安全措施較少，這給病毒傳播提供了有效的通道，也給數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類：

1.1 欺騙性的軟件使數(shù)據(jù)安全性降低

局域網(wǎng)大部分的用處是資源共享，正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息易被篡改和刪除，數(shù)據(jù)安全性較低。例如：“網(wǎng)絡(luò)釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息，如用戶名、口令、賬號ID、ATM、信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感數(shù)據(jù)，由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此經(jīng)常有信息丟失等現(xiàn)象發(fā)生。

1.2 服務(wù)器區(qū)域沒有進行獨立防護

局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務(wù)器進行信息傳遞，就會感染服務(wù)器，這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

1.3 計算機病毒及惡意代碼的威脅

由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改計算機上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。近幾年，隨著犯罪軟件洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。在脫離網(wǎng)絡(luò)環(huán)境的情況下，病毒和惡意代碼即失去感染計算機的主要機會，同時也失去竊取用戶數(shù)據(jù)、財產(chǎn)、隱私等信息的機會。

1.4 局域網(wǎng)用戶安全意識不強

許多用戶使用移動存儲設(shè)備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查就通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便，同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間頻繁切換使用，許多用戶將在 Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。

1.5 IP地址沖突

局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，導(dǎo)致部分計算機無法連接上網(wǎng)絡(luò)。對于局域網(wǎng)來講，此類IP地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。

2 局域網(wǎng)安全管理技術(shù)

2.1 物理安全管理措施

保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提，物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。保證物理安全主要包括以下3個方面：

2.1.1 環(huán)境安全

對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護，應(yīng)認(rèn)真執(zhí)行國家標(biāo)準(zhǔn)《電子信息系統(tǒng)機房設(shè)計規(guī)范》（GB50174－2008）、《電子計算機場地通用規(guī)范》（GB2887－2000）、《計算機場地安全要求》（GB9361－200X）。

2.1.2 設(shè)備安全

主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

2.1.3 媒體安全

包括媒體數(shù)據(jù)的安全及媒體本身的安全。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)安全管理措施

安全系統(tǒng)是建立在網(wǎng)絡(luò)系統(tǒng)之上的，網(wǎng)絡(luò)結(jié)構(gòu)的安全是安全系統(tǒng)成功建立的基礎(chǔ)。在整個網(wǎng)絡(luò)結(jié)構(gòu)的安全方面，要主要考慮網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)和路由的優(yōu)化。

網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開放性、標(biāo)準(zhǔn)化、可靠性、先進性和實用性，并且應(yīng)該有結(jié)構(gòu)化的設(shè)計，充分利用現(xiàn)有資源，具有運營管理的簡便性，完善的安全保障體系。網(wǎng)絡(luò)結(jié)構(gòu)采用分層的體系結(jié)構(gòu)，利于維護管理，利于更高的安全控制和業(yè)務(wù)發(fā)展。網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，在網(wǎng)絡(luò)拓撲上要考慮到冗余鏈路，防火墻的設(shè)置和入侵檢測的實時監(jiān)控等。

2.3 網(wǎng)絡(luò)系統(tǒng)安全措施

2.3.1 防火墻技術(shù)

防火墻技術(shù)是使用最廣泛的網(wǎng)絡(luò)安全技術(shù)。防火墻技術(shù)的實現(xiàn)通常是基于“包過濾”技術(shù)，而進行包過濾的標(biāo)準(zhǔn)通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中，包過濾的標(biāo)準(zhǔn)一般由網(wǎng)絡(luò)管理人員在防火墻設(shè)備的訪問控制清單中設(shè)定。除了基于硬件的包過濾技術(shù)，防火墻還可以利用代理服務(wù)器軟件實現(xiàn)。早期的防火墻主要起屏蔽主機和加強訪問控制的作用。到后來演變?yōu)榕c路由器相結(jié)合，執(zhí)行 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換 Network Address Translation）、IPSEC VPN以及URL過濾、SSL VPN、防病毒以及防垃圾郵件等。而最近，防火墻已經(jīng)開始與IPS（互聯(lián)網(wǎng)協(xié)議群Internet Protocol Suite）結(jié)合來提供真正應(yīng)用程序級別的過濾以及用戶訪問。未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為網(wǎng)絡(luò)提供更安全的保障。

對局域網(wǎng)用戶來說，防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有根據(jù)本單位的安全策略選擇的應(yīng)用協(xié)議才能通過防火墻，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進行檢查，符合的予以放行，不符合的拒之門外，所以內(nèi)部網(wǎng)絡(luò)環(huán)境變得更安全。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個計算機上相比，防火墻的集中管理更安全。同時也可以通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)局域網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有不足之處：無法防范通過防火墻以外的其他途徑的攻擊，不能防止來自內(nèi)部網(wǎng)絡(luò)的攻擊和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

2.3.2 入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是指通過旁路監(jiān)聽的方式不間斷對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說入侵檢測是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，作為一種積極主動地安全、防護技術(shù)，它提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，擴展了網(wǎng)絡(luò)管理人員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（Intrusion Detection System）。與其他安全產(chǎn)品不同，入侵檢測系統(tǒng)需要更多的智能，它必須將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理人員的工作，不但可使管理人員時刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南；而且入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等，保證網(wǎng)絡(luò)安全的運行。

2.3.3 安全管理措施

面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡(luò)安全管理規(guī)范的建立。因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計算機網(wǎng)絡(luò)管理人員的重視。

（1）加強安全意識培訓(xùn)，讓每個計算機使用者明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責(zé)任。

（2）加強安全知識培訓(xùn)，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。

（3）加強網(wǎng)絡(luò)知識培訓(xùn)，通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機使用習(xí)慣。

3 結(jié)束語

網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等諸方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，不是萬能的。隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)在社會各個領(lǐng)域中的滲透，社會各種活動對計算機網(wǎng)絡(luò)的依賴程度也越來越深。增強社會安全意識教育，普及計算機網(wǎng)絡(luò)安全教育，提高計算機網(wǎng)絡(luò)安全技術(shù)水平，改善其安全現(xiàn)狀，成為當(dāng)務(wù)之急。

1 王繼龍、安淑梅等編著.局域網(wǎng)安全管理實踐教程［M］.北京：清華大學(xué)出版社，2009.07

2 王石等編著.局域網(wǎng)安全與攻防［M］.北京：電子工業(yè)出版社，2006.09