曾金繁

江西省興國縣信息中心 江西 342400

0 前言

辦公局域網(wǎng)一般是基于TCP/IP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和Web信息流通模式的Intra-net，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄露、設(shè)備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果，給正常的工作造成極大的負(fù)面影響。

網(wǎng)絡(luò)本身的脆弱性和通信設(shè)施脆弱性共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅。網(wǎng)絡(luò)設(shè)計(jì)之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規(guī)劃則非常有限。這樣，伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)循環(huán)遞升，原來網(wǎng)絡(luò)固有優(yōu)越性的開放性和互聯(lián)性變成信息的安全性隱患之便利橋梁。網(wǎng)絡(luò)安全已變成越來越棘手的問題，只要是接入到因特網(wǎng)中的主機(jī)都有可能被攻擊或入侵了，而遭受安全問題的困擾。

網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有：

第一、TCP/IP的脆弱性：因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多，并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。

第二、網(wǎng)絡(luò)結(jié)構(gòu)的不安全性：因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。

1 辦公局域網(wǎng)常見的安全問題

1.1 欺騙性的軟件使數(shù)據(jù)安全性降低

由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號 ID等信息的一種攻擊方式，最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的信任。

1.2 服務(wù)器區(qū)域沒有進(jìn)行獨(dú)立防護(hù)

計(jì)算機(jī)病毒及惡意代碼的威脅、局域網(wǎng)用戶安全意識不強(qiáng)、IP地址沖突，造成網(wǎng)絡(luò)不穩(wěn)定，出現(xiàn)經(jīng)常掉網(wǎng)現(xiàn)象。

1.3 黑客入侵與病毒感染

黑客入侵：目前的辦公局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)。在同一以太網(wǎng)中，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅可以為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)能夠?yàn)樘幵谕灰蕴W(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。另外，為了工作方便，辦公局域網(wǎng)都備有與外網(wǎng)和國際互聯(lián)網(wǎng)相互連接的出入口，因此，外網(wǎng)及國際互聯(lián)網(wǎng)中的黑客只要侵入網(wǎng)絡(luò)內(nèi)部中的任意節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息；而本網(wǎng)絡(luò)中的黑客則有可能非常方便的截取任何數(shù)據(jù)包，從而造成信息的失竊。

病毒感染：隨著計(jì)算機(jī)和網(wǎng)絡(luò)的進(jìn)步和普及，計(jì)算機(jī)病毒也不斷出現(xiàn)，總數(shù)已經(jīng)超過20000種，并以每月300種的速度增加，其破環(huán)性也不斷增加，而網(wǎng)絡(luò)病毒破壞性就更強(qiáng)。一旦文件服務(wù)器的硬盤被病毒感染，就可能造成系統(tǒng)損壞、數(shù)據(jù)丟失，使網(wǎng)絡(luò)服務(wù)器無法起動(dòng)，應(yīng)用程序和數(shù)據(jù)無法正確使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，造成不可估量的損失。

網(wǎng)絡(luò)病毒普遍具有較強(qiáng)的再生機(jī)制，可以通過網(wǎng)絡(luò)擴(kuò)散與傳染。一旦某個(gè)公用程序染了毒，那么病毒將很快在整個(gè)網(wǎng)絡(luò)上傳播，感染其它的程序。由網(wǎng)絡(luò)病毒造成網(wǎng)絡(luò)癱瘓的損失是難以估計(jì)的。一旦網(wǎng)絡(luò)服務(wù)器被感染，其解毒所需的時(shí)間將是單機(jī)的幾十倍以上。

1.4 數(shù)據(jù)破壞

在辦公局域網(wǎng)系統(tǒng)中，有多種因素可能導(dǎo)致數(shù)據(jù)的破壞。

首先是黑客侵入，黑客基于各種原因侵入網(wǎng)絡(luò)，其中惡意侵入對網(wǎng)絡(luò)的危害可能是多方面的。其中一種危害就是破壞數(shù)據(jù)，可能破壞服務(wù)器硬盤引導(dǎo)區(qū)數(shù)據(jù)、刪除或覆蓋原始數(shù)據(jù)庫、破壞應(yīng)用程序數(shù)據(jù)等。

其次是病毒破壞，病毒可能攻擊系統(tǒng)數(shù)據(jù)區(qū)，包括硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等;病毒還可能攻擊文件數(shù)據(jù)區(qū)，使文件數(shù)據(jù)被刪除、改名、替換、丟失部分程序代碼、丟失數(shù)據(jù)文件；病毒還可能攻擊CMOS，破壞系統(tǒng)CMOS中的數(shù)據(jù)。

第三是災(zāi)難破壞，由于自然災(zāi)害、突然停電、強(qiáng)烈震動(dòng)、誤操作等造成數(shù)據(jù)破壞。重要數(shù)據(jù)遭到破壞和丟失，會(huì)造成企業(yè)經(jīng)營困難、人力、物力、財(cái)力的巨大浪費(fèi)。

2 網(wǎng)絡(luò)安全防護(hù)措施

網(wǎng)絡(luò)安全防護(hù)的主要技術(shù)：認(rèn)證、加密、防火墻及入侵檢測、虛擬專用網(wǎng)(VPN)技術(shù)和數(shù)據(jù)異地備份。

2.1 加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識

很多計(jì)算機(jī)系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進(jìn)程中，最輕易和最經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。

2.2 網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的非凡網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被答應(yīng)，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)(如圖1)。

圖1 網(wǎng)絡(luò)防火墻技術(shù)

2.3 安全加密技術(shù)

加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于 Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是 21世紀(jì)的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。

2.4 病毒防治

相對于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有更大的難度，網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理緊密結(jié)合。網(wǎng)絡(luò)防病毒最大的特點(diǎn)在于網(wǎng)絡(luò)的管理功能，如果沒有管理功能，很難完成網(wǎng)絡(luò)防毒的任務(wù)。只有管理與防范相結(jié)合，才能保證系統(tǒng)正常運(yùn)行。

計(jì)算機(jī)病毒的預(yù)防在于完善操作系統(tǒng)和應(yīng)用軟件的安全機(jī)制。在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，僅用單機(jī)防殺病毒產(chǎn)品已經(jīng)難以清除網(wǎng)絡(luò)病毒，必須有適用于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒產(chǎn)品。為實(shí)現(xiàn)計(jì)算機(jī)病毒的防治，可在局域網(wǎng)上安裝網(wǎng)絡(luò)病毒防治服務(wù)器，并在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)病毒防治軟件，在單機(jī)上安裝單機(jī)環(huán)境的反病毒軟件。安裝網(wǎng)絡(luò)病毒防治服務(wù)器的目標(biāo)是以實(shí)時(shí)作業(yè)方式掃描所有進(jìn)出網(wǎng)絡(luò)的文件。本地網(wǎng)絡(luò)與其它網(wǎng)絡(luò)間的數(shù)據(jù)交換、本地網(wǎng)絡(luò)工作站與服務(wù)器間的數(shù)據(jù)交換、本地網(wǎng)絡(luò)各工作站之間的數(shù)據(jù)交換都要經(jīng)過網(wǎng)絡(luò)病毒防治服務(wù)器的檢測與過濾，這樣就保證了網(wǎng)絡(luò)病毒的實(shí)時(shí)查殺與防治。

2.5 虛擬專用網(wǎng)(VPN)技術(shù)

虛擬專用網(wǎng)絡(luò)(VPN)能實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接(圖2)。

虛擬專用網(wǎng)絡(luò)能夠利用 Internet或其他公共互連網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供和專用網(wǎng)絡(luò)相同的安全和功能保障。同時(shí)，要加強(qiáng) VPN的安全管理，分配的用戶名和密碼進(jìn)行復(fù)雜性設(shè)置，采用MAC網(wǎng)卡綁定等方法，對于臨時(shí)的 VPN通道接入，則可采用手機(jī)發(fā)短信的認(rèn)證方式，確保VPN安全運(yùn)行。

圖2 虛擬專用網(wǎng)(VPN)技術(shù)

2.6 數(shù)據(jù)備份

網(wǎng)絡(luò)遭到破壞之后，最重要的是要確保內(nèi)部數(shù)據(jù)的完整，而其數(shù)據(jù)恢復(fù)程度依賴于數(shù)據(jù)備份方案。

數(shù)據(jù)備份的目的在于盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有：實(shí)時(shí)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；定期的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；通過“云”技術(shù)或異地服務(wù)器實(shí)現(xiàn)異地備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。因此，要確實(shí)保證數(shù)據(jù)的完整與安全，應(yīng)定期做好數(shù)據(jù)備份工作，條件允許的要做好數(shù)據(jù)異地備份。

3 總結(jié)

隨著 Internet技術(shù)的發(fā)展，網(wǎng)絡(luò)安全將會(huì)面臨更加嚴(yán)峻的挑戰(zhàn)。本文從網(wǎng)絡(luò)安全角度出發(fā)，從網(wǎng)絡(luò)自身現(xiàn)狀到安全防護(hù)等進(jìn)行了詳細(xì)的介紹，希望能對不同的用戶提供參考。

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社.2008.

[2] 胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京：清華大學(xué)出版社.2010.

[3] 蘇劍飛,王景偉.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探析[J].通信技術(shù).2010.

[4] 杜向文.中小企.業(yè)的網(wǎng)絡(luò)安全[J].計(jì)算機(jī)安全.2006.

[5] 葉安新.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].大眾標(biāo)準(zhǔn)化.2005.