陳曉東 馬 冉

網(wǎng)絡(luò)信息安全的威脅及對(duì)策
——黨校局域網(wǎng)建設(shè)的體會(huì)與應(yīng)對(duì)

陳曉東 馬 冉

信息是社會(huì)發(fā)展的重要戰(zhàn)略資源。近10多年來(lái)Internet網(wǎng)絡(luò)飛速發(fā)展,電子政務(wù)、電子商務(wù)等各種信息化系統(tǒng)日益深入應(yīng)用,信息技術(shù)正在改變著傳統(tǒng)的生產(chǎn)、經(jīng)營(yíng)和生活方式,整個(gè)社會(huì)和個(gè)人的事務(wù)越來(lái)越依賴信息網(wǎng)絡(luò)系統(tǒng)。黨校也建立起了自己的局域網(wǎng)絡(luò)并投入使用,這無(wú)疑對(duì)加快信息處理,提高工作效率,減輕勞動(dòng)強(qiáng)度,實(shí)現(xiàn)資源共享都起到了積極的作用。但在發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí),人們對(duì)局域網(wǎng)絡(luò)的安全也越來(lái)越重視。

信息安全;局域網(wǎng);建設(shè)

ISO國(guó)際標(biāo)準(zhǔn)化組織對(duì)于信息安全給出了精確的定義,描述是:信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。然而,由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽,致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。所以網(wǎng)絡(luò)信息安全應(yīng)該由以上兩個(gè)方面組成,即信息安全和網(wǎng)絡(luò)安全。其中信息安全主要是指數(shù)據(jù)安全,包括數(shù)據(jù)備份、加密、程序等;網(wǎng)絡(luò)安全包括系統(tǒng)安全,即應(yīng)用軟件、硬件平臺(tái)、操作系統(tǒng)、運(yùn)行服務(wù)安全。

作為學(xué)校信息化重要基礎(chǔ)設(shè)施的校園局域網(wǎng),擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等重要角色,它增強(qiáng)了學(xué)校從外部獲取信息的能力,而另一方面局域網(wǎng)安全狀況也直接影響著學(xué)校的教學(xué)活動(dòng),使得局域網(wǎng)的管理要直面有Internet的開(kāi)放性所帶來(lái)的新挑戰(zhàn)和新危險(xiǎn)。許多局域網(wǎng)由于意識(shí)與資金方面的原因,它們?cè)诎踩矫嫱鶝](méi)有太多的設(shè)置,在網(wǎng)絡(luò)建成的初期,安全問(wèn)題可能還不突出,隨著應(yīng)用的深入,局域網(wǎng)上各種數(shù)據(jù)的急劇增加,各種各樣的安全問(wèn)題開(kāi)始困擾網(wǎng)絡(luò)管理人員。由于網(wǎng)絡(luò)不安全狀態(tài)的存在,局域網(wǎng)數(shù)據(jù)丟失,系統(tǒng)被修改或癱瘓的事情時(shí)有發(fā)生。因此對(duì)建立一個(gè)安全、穩(wěn)定、高效的校園局域網(wǎng)系統(tǒng),網(wǎng)絡(luò)安全成為一個(gè)非常重要的問(wèn)題。

一、當(dāng)前信息安全問(wèn)題的根源

信息安全問(wèn)題的根源主要可以從四個(gè)方面概括,即物理安全問(wèn)題、系統(tǒng)安全漏洞、人為因素和方案設(shè)計(jì)缺陷。

1.物理安全問(wèn)題。物理安全是其他安全的基礎(chǔ)。不能保障物理安全,其他的安全就無(wú)從談起。首先,物理設(shè)備的存放位置極為重要,要考慮防盜和訪問(wèn)控制措施。如果條件允許,要把關(guān)鍵的物理設(shè)備存放在一個(gè)物理上安全的地方(比如專門(mén)的中心機(jī)房),以降低被盜和非授權(quán)訪問(wèn)的可能性。其次,物理設(shè)備的環(huán)境安全威脅包括溫度、濕度、灰塵、供電系統(tǒng)對(duì)系統(tǒng)運(yùn)行可靠性的影響和自然災(zāi)害對(duì)系統(tǒng)的破壞等。最后是防電磁泄漏,信息系統(tǒng)的電子設(shè)備在工作時(shí)要產(chǎn)生電磁發(fā)射,電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原,造成信息泄露。屏蔽是防電磁泄露的有效措施。

2.系統(tǒng)安全漏洞。隨著軟件系統(tǒng)規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門(mén)”也不可避免存在,比如我們常用的操作系統(tǒng),無(wú)論是Windows還是UNIX幾乎都存在或多或少的安全漏洞,眾多的各類服務(wù)器、瀏覽器、數(shù)據(jù)庫(kù)、一些桌面軟件等都被發(fā)現(xiàn)存在安全隱患?？梢哉f(shuō)任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞,這也是信息系統(tǒng)安全問(wèn)題的主要根源之一。

3.人為因素。信息系統(tǒng)的運(yùn)行是依靠人員來(lái)具體實(shí)施的,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對(duì)象。人的因素是信息安全問(wèn)題的最主要的因素,具體有以下幾個(gè)方面的表現(xiàn)。第一,人為的無(wú)意失誤。如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng),用戶口令選擇不慎,用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享都會(huì)給信息安全帶來(lái)威脅。第二,人為的惡意攻擊。也就是黑客攻擊,這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。黑客攻擊比病毒破壞更具目的性,因而也更具危害性。更為嚴(yán)峻的是,黑客技術(shù)逐漸被越來(lái)越多的人掌握和發(fā)展,另外現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好、殺傷力強(qiáng),成為網(wǎng)絡(luò)安全的主要威脅之一。第三,管理上的因素。網(wǎng)絡(luò)信息系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。管理的缺陷可能在系統(tǒng)內(nèi)部人員泄露機(jī)密或外部人員通過(guò)非法手段截獲而導(dǎo)致機(jī)密信息的泄露,從而為一些不法分子造成了可乘之機(jī)。

4.方案設(shè)計(jì)缺陷。網(wǎng)絡(luò)信息系統(tǒng)的結(jié)構(gòu)往往比較復(fù)雜,這就給網(wǎng)絡(luò)信息系統(tǒng)管理和方案設(shè)計(jì)帶來(lái)很多問(wèn)題。為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)信息系統(tǒng)間信息的通信,往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn),從而提出更高的網(wǎng)絡(luò)開(kāi)放性的要求。開(kāi)放性與安全性正是一對(duì)相生相克的矛盾。如果設(shè)計(jì)者的安全理論和實(shí)踐水平不夠的話,設(shè)計(jì)出來(lái)的方案通常是存在不少漏洞的,這也是安全威脅的根源之一。

二、黨校局域網(wǎng)面臨的安全問(wèn)題

校園局域網(wǎng)是一個(gè)直接連接互聯(lián)網(wǎng)的開(kāi)放式網(wǎng)絡(luò),局域網(wǎng)內(nèi)用戶的層次差異較大,局域網(wǎng)的信息安全與用戶的安全意識(shí)和技能緊密相關(guān),局域網(wǎng)的信息安全從總體結(jié)構(gòu)上可分為,局域網(wǎng)主干網(wǎng)設(shè)備的應(yīng)用安全和局域網(wǎng)用戶的應(yīng)用安全兩個(gè)部分。對(duì)具體的信息安全問(wèn)題的研究,能有效的解決局域網(wǎng)中的信息安全隱患,從而確保校園局域網(wǎng)安全、穩(wěn)定、高效地運(yùn)行。局域網(wǎng)的網(wǎng)絡(luò)運(yùn)行環(huán)境較為復(fù)雜,是一個(gè)由多用戶、多系統(tǒng)、多協(xié)議、多應(yīng)用組成的網(wǎng)絡(luò);局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件都存在難以避免的安全漏洞,不及時(shí)修補(bǔ)這些安全漏洞,就會(huì)給病毒、木馬和黑客的入侵提供方便。對(duì)于局域網(wǎng)絡(luò)來(lái)說(shuō),面臨的主要安全威脅有病毒攻擊、內(nèi)部攻擊和黑客攻擊三種形式。

1.病毒攻擊。計(jì)算機(jī)病毒是一種通過(guò)復(fù)制自身來(lái)感染其他軟件的程序。當(dāng)程序運(yùn)行時(shí),嵌入的病毒也隨之運(yùn)行并感染其他程序。下面我就本校局域網(wǎng)內(nèi)常出現(xiàn)的一種名為“Auto”的病毒舉例分析。Auto病毒又稱U盤(pán)病毒,隨著U盤(pán)的普及,越來(lái)越多的人都把各種文檔資料備份在U盤(pán)里。病毒制作者將目光漸漸投向了這些經(jīng)常使用U盤(pán)的人,這是一種利用Windows自動(dòng)播放功能優(yōu)先執(zhí)行加載項(xiàng)的病毒程序,使用戶的計(jì)算機(jī)感染該病毒。此病毒的最大特征是無(wú)論雙擊哪個(gè)磁盤(pán),都無(wú)法打開(kāi)。除此之外,它在系統(tǒng)中占用大量CPU資源;在每個(gè)分區(qū)下建立autorun.exe、autorun,inf等隱藏文件;大部分通過(guò)U盤(pán)、移動(dòng)硬盤(pán)等存儲(chǔ)設(shè)備傳播;可能會(huì)引起部分操作系統(tǒng)崩潰;右鍵單擊磁盤(pán)顯示的菜單第一選項(xiàng)不是“打開(kāi)”而是“播放”或“Autorun”。對(duì)于這種病毒的查殺目前最有效最簡(jiǎn)單的辦法是可以下載Auto病毒專殺或用卡巴斯基,瑞星, NOD32等殺毒軟件掃描查殺。當(dāng)然,良好的使用計(jì)算機(jī)的習(xí)慣也是很重要的,這可以有效地起到對(duì)Auto病毒的防范。第一,改變雙擊習(xí)慣,請(qǐng)用戶養(yǎng)成使用鼠標(biāo)右鍵打開(kāi)的習(xí)慣;第二,在使用U盤(pán)時(shí),按住“Shift”鍵的同時(shí)插入U(xiǎn)SB接口(等于禁用U盤(pán)自動(dòng)播放功能),這可阻止U盤(pán)上的病毒傳播到系統(tǒng)中。

2.內(nèi)部攻擊。學(xué)校局域網(wǎng)內(nèi)有眾多主機(jī)及用戶,相比來(lái)自外部的攻擊,來(lái)自網(wǎng)內(nèi)的攻擊更為可怕,威脅更大,防不勝防。而學(xué)校現(xiàn)有安全技術(shù)如防火墻等往往只強(qiáng)調(diào)對(duì)來(lái)自外部的攻擊進(jìn)行防范。同時(shí)從我校目前出現(xiàn)的安全威脅來(lái)看,造成損失的網(wǎng)絡(luò)威脅有近四分之三來(lái)自內(nèi)部。至今我仍清晰地記得08年席卷我校局域網(wǎng)的ARP欺騙病毒。當(dāng)時(shí)ARP病毒造成了我校局域網(wǎng)內(nèi)嚴(yán)重的網(wǎng)絡(luò)堵塞,使得多臺(tái)校內(nèi)計(jì)算機(jī)無(wú)法正常上內(nèi)外網(wǎng),影響了正常的辦公與教學(xué)。該病毒通常都屬于木馬類型病毒,它不具備主動(dòng)傳播的特性,更不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,干擾整個(gè)網(wǎng)絡(luò)的運(yùn)行,因此它的危害比一般的蠕蟲(chóng)病毒還要嚴(yán)重。ARP攻擊只要一開(kāi)始就造成局域網(wǎng)內(nèi)計(jì)算機(jī)無(wú)法和其他計(jì)算機(jī)進(jìn)行通訊,而且網(wǎng)絡(luò)對(duì)此種病毒沒(méi)有任何耐受度,只要局域網(wǎng)中存在一臺(tái)感染“ARP欺騙”病毒的計(jì)算機(jī)將會(huì)造成整個(gè)局域網(wǎng)通訊中斷。目前ARP系列的攻擊方式和手段多種多樣,因此還沒(méi)有一個(gè)絕對(duì)全面有效的防范方法。從實(shí)踐經(jīng)驗(yàn)看最為有效的防范方法即打全Windows的補(bǔ)丁、正確配置和使用網(wǎng)絡(luò)防火墻、安裝防病毒軟件并及時(shí)更新病毒庫(kù)。此外,還有幾種常用的防范ARP攻擊的方法。一種是靜態(tài)綁定,即將IP和MAC靜態(tài)綁定,在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。這樣的雙向綁定比較保險(xiǎn),缺點(diǎn)是每臺(tái)電腦需綁定,且重啟后仍需綁定,工作量較大,雖說(shuō)綁定可以通過(guò)批處理文件來(lái)實(shí)現(xiàn)但也比較麻煩。再一種是使用防護(hù)軟件,如ARP防護(hù)大師等。ARP攻擊是目前網(wǎng)絡(luò)管理特別是局域網(wǎng)管理中最讓人頭疼的攻擊,其攻擊技術(shù)含量低,隨便一個(gè)人都可以通過(guò)攻擊軟件來(lái)完成,同時(shí)防范ARP形式的攻擊也沒(méi)有什么特別有效的方法。目前只能通過(guò)被動(dòng)的亡羊補(bǔ)牢形式的措施來(lái)防范了。

3.黑客攻擊。是利用網(wǎng)絡(luò)眾多的黑客工具如拒絕服務(wù)類、緩沖區(qū)溢出類、口令猜解等黑客工具對(duì)主機(jī)或網(wǎng)絡(luò)進(jìn)行掃描和攻擊。軟件漏洞給黑客攻擊提供了可乘之機(jī)。如我校局域網(wǎng)內(nèi)被廣泛采用的Windows操作系統(tǒng),網(wǎng)絡(luò)服務(wù)軟件如IIS等,一旦被公布發(fā)現(xiàn)有漏洞,中文版的漏洞補(bǔ)丁一般會(huì)比英文版的補(bǔ)丁滯后,這就給局域網(wǎng)的安全埋下隱患。

三、網(wǎng)絡(luò)信息安全問(wèn)題的解決方案

面對(duì)日益嚴(yán)重的網(wǎng)絡(luò)信息安全問(wèn)題,我們一方面要加強(qiáng)制度管理,提高網(wǎng)絡(luò)管理人員的安全意識(shí),另一方面也要使用各種技術(shù)手段以提高校園網(wǎng)的安全性。校園局域網(wǎng)的安全,并不只是安裝一個(gè)防火墻或幾個(gè)補(bǔ)丁程序就可以保障的,我們必須要考慮從整體上建立安全可靠的防御體系結(jié)構(gòu),為學(xué)校局域網(wǎng)的安全提供堅(jiān)實(shí)后盾。

1.VLAN的劃分。目前的VLAN技術(shù)主要有三種:基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN雖然稍欠靈活,但卻比較成熟,在實(shí)際應(yīng)用中效果顯著,廣受歡迎。基于MAC地址的VLAN為移動(dòng)計(jì)算提供了可能性,但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN,理論上非常理想,但實(shí)際應(yīng)用卻尚不成熟。使用VLAN技術(shù)優(yōu)化內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),增強(qiáng)了網(wǎng)絡(luò)靈活性,有效地控制了網(wǎng)絡(luò)風(fēng)暴,并將不同區(qū)域和應(yīng)用劃分為不同的網(wǎng)段進(jìn)行隔離來(lái)控制相互間的訪問(wèn),達(dá)到限制用戶非法訪問(wèn)的目的。

2.防火墻的部署。使用硬件防火墻,防火墻可在校園網(wǎng)與外界網(wǎng)絡(luò)之間建立一道安全屏障,是目前非常有效的網(wǎng)絡(luò)安全模型,它提供了一整套的安全控制策略,包括訪問(wèn)控制、數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)等功能。使用防火墻可以將外界網(wǎng)絡(luò)(風(fēng)險(xiǎn)區(qū))與校園網(wǎng)(安全區(qū))的連接進(jìn)行邏輯隔離,在安全策略的控制下進(jìn)行內(nèi)外網(wǎng)的信息交換,有效地限制外網(wǎng)對(duì)內(nèi)網(wǎng)的非法訪問(wèn)、惡意攻擊和入侵。

3.VPN技術(shù)。VPN(虛擬專網(wǎng))技術(shù)的核心是采用隧道技術(shù),將專網(wǎng)的數(shù)據(jù)加密封裝后,通過(guò)虛擬的公網(wǎng)隧道進(jìn)行傳輸,從而防止敏感文件的被竊。VPN可以在Internet、服務(wù)提供商的IP、幀中繼或ATM網(wǎng)上建立,通過(guò)公網(wǎng)建立VPN,就如通過(guò)自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣,享有較高的安全性、優(yōu)先性、可靠性和可管理性,而其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低,同時(shí)還為移動(dòng)計(jì)算提供了可能。我校教師利用VPN在家瀏覽校內(nèi)網(wǎng)圖書(shū),查閱資料,極大方便了教學(xué)備課,提高工作效率,受到教師們的一致好評(píng)。

4.安裝網(wǎng)絡(luò)版殺毒產(chǎn)品。為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,我們?cè)谡麄€(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。在我校網(wǎng)絡(luò)中心機(jī)房服務(wù)器上安裝有卡巴斯基殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心,負(fù)責(zé)管理學(xué)校200多個(gè)主機(jī)網(wǎng)點(diǎn)。在教師們的辦公室及筆記本上分別安裝卡巴斯基殺毒軟件網(wǎng)絡(luò)版的客戶端。網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便,由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到卡巴斯基網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他200多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端,并自動(dòng)對(duì)瑞星殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。

5.安全管理。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ),安全技術(shù)是配合安全管理的輔助措施。我們建立了一套校園網(wǎng)絡(luò)安全管理模式,制定了詳細(xì)的安全管理制度,如機(jī)房管理制度、信息網(wǎng)絡(luò)安全應(yīng)急預(yù)案等,并采取切實(shí)有效的措施,保證了制度的執(zhí)行。

隨著校園局域網(wǎng)應(yīng)用的越來(lái)越豐富、越來(lái)越開(kāi)放,網(wǎng)絡(luò)安全已經(jīng)成為不可忽視的問(wèn)題。網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括網(wǎng)絡(luò)系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施。網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)防范措施都有一定的限度,任何一種技術(shù)都不能一成不變地防備新的網(wǎng)絡(luò)安全問(wèn)題。因此,建立一套完整安全的防御體系,利用各種技術(shù),并配套上相應(yīng)的安全管理制度,才能為校園局域網(wǎng)的安全提供有力的保障。

陳曉東,中共濟(jì)南市委黨校助教;馬冉,濟(jì)南師范學(xué)校助教(郵政編碼 250014)

TP393.08

A

1672-6359(2011)02-0102-03

(責(zé)任編輯 馬曉黎)