王文兵

【摘要】為了應(yīng)付當(dāng)前出現(xiàn)的各種網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全技術(shù)及軟硬件設(shè)備層出不窮。安全技術(shù)覆蓋了計(jì)算機(jī)網(wǎng)絡(luò)的方方面面。安全技術(shù)變得紛繁復(fù)雜起來，這對網(wǎng)絡(luò)安全技術(shù)的應(yīng)用來說帶來了挑戰(zhàn)。對于網(wǎng)絡(luò)安全我們所看重的往往是單個(gè)應(yīng)用點(diǎn)，這就容易忽略某些層次的安全問題。本文主要探討企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與安全管理。

【關(guān)鍵詞】網(wǎng)絡(luò)設(shè)計(jì)安全管理計(jì)算機(jī)

計(jì)算機(jī)網(wǎng)絡(luò)物理介質(zhì)的不安全因素主要有電磁泄漏及干擾，網(wǎng)絡(luò)介質(zhì)在接口、某些特定線纜都有可能出現(xiàn)因屏蔽不嚴(yán)而導(dǎo)致的信號(hào)泄漏。目前大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的屏蔽措施都不是很健全，這對網(wǎng)絡(luò)安全構(gòu)成了一定威脅。系統(tǒng)軟件及應(yīng)用程序的安全問題主要是因?yàn)榫W(wǎng)絡(luò)軟件的安全功能不完善，或系統(tǒng)中存在各種惡意代碼，如后門程序、病毒程序等。這樣會(huì)導(dǎo)致信息泄漏、資源非法使用或數(shù)據(jù)損毀等后果。操作系統(tǒng)和應(yīng)用程序在功能上變得越來越豐富，在用戶使用網(wǎng)絡(luò)更加方便的同時(shí)，也存在很多容易受到攻擊的地方。人員安全問題主要是由于工作人員的保密觀念不強(qiáng)導(dǎo)致。其中操作失誤導(dǎo)致的信息泄漏或損毀也是導(dǎo)致安全問題的一個(gè)重要因素。工作人員利用自己對系統(tǒng)的熟悉了解，為達(dá)非法目的對系統(tǒng)數(shù)據(jù)進(jìn)行篡改、破壞也會(huì)對網(wǎng)絡(luò)系統(tǒng)造成嚴(yán)重后果。環(huán)境安全問題主要是由于地震、火災(zāi)、雷電等自然災(zāi)害或掉電、溫度濕度、空氣潔凈度等環(huán)境因素所導(dǎo)致的安全問題。

一、企業(yè)內(nèi)網(wǎng)通信模型

當(dāng)前絕大多數(shù)企業(yè)內(nèi)網(wǎng)的接入層網(wǎng)絡(luò)訪問是基于以太網(wǎng)協(xié)議規(guī)范的，常見的有10/100BaseT、100BaseFx、1000BaseT等規(guī)范。在帶寬方面支持從10Mbps到1000Mbps速率集，從線纜材質(zhì)上又分為雙絞線和光纜。企業(yè)內(nèi)網(wǎng)接入層的通信模式主要有三種：VLAN內(nèi)部通信、VLAN間通信、外網(wǎng)通信。

VLAN內(nèi)部通信方式主要是存在于某個(gè)VLAN中的主機(jī)與本VLAN中的其他主機(jī)進(jìn)行通信的過程。這個(gè)通信過程只需要通過第二層交換即可完成。該通信過程經(jīng)過如下幾個(gè)步驟完成：（1）通信發(fā)起方在已知接收方IP地址的情況下，對接收方IP地址及自己的子網(wǎng)掩碼進(jìn)行邏輯與運(yùn)算，以檢查接收方IP地址是否與自己處于同一網(wǎng)段。（2）因?yàn)樾枰獙?shù)據(jù)報(bào)文在第二層數(shù)據(jù)鏈路層進(jìn)行封裝，發(fā)送方接下來會(huì)發(fā)送ARP廣播來查詢接收方的MAC地址。當(dāng)發(fā)送方發(fā)出ARP查詢報(bào)文后，由于是廣播報(bào)文，于是交換機(jī)會(huì)將該報(bào)文向除了接受該報(bào)文的接口之外的其他所有接口發(fā)出。（3）報(bào)文到達(dá)數(shù)據(jù)接受方之后，接收方會(huì)以自己的MAC地址作為回應(yīng)發(fā)送給發(fā)送方。這樣以來，發(fā)送方在本地ARP緩存表中就有了接收方的IP與MAC地址的對應(yīng)關(guān)系。

緩存表中包含了接收方的IP地址和MAC地址，發(fā)送方主機(jī)可以利用這些地址對應(yīng)關(guān)系進(jìn)行二層和三層封裝。PDU封裝完成后，隨即被發(fā)送給交換設(shè)備。本地交換設(shè)備通過查詢自身的MAC地址表，然后將數(shù)據(jù)幀從正確的端口上轉(zhuǎn)發(fā)出去。最終接收方收到了數(shù)據(jù)，并依據(jù)現(xiàn)有信息對數(shù)據(jù)作出回應(yīng)。

二、企業(yè)內(nèi)網(wǎng)安全防護(hù)體系的設(shè)計(jì)

企業(yè)內(nèi)網(wǎng)接入層安全防護(hù)系統(tǒng)需要滿足如下功能需求：（1）能夠及時(shí)得知接入交換機(jī)的運(yùn)行狀態(tài)，并根據(jù)運(yùn)行狀態(tài)分析網(wǎng)絡(luò)運(yùn)行是否存在ARP欺騙攻擊、DHCP欺騙攻擊、廣播風(fēng)暴攻擊行為。對攻擊信息的分析要做到全面準(zhǔn)確。對于交換機(jī)的運(yùn)行狀態(tài)獲取，需要覆蓋多個(gè)接入層樓宇，并且對交換機(jī)的日志能夠持久存儲(chǔ)以備查閱。（2）能夠確定攻擊源在接入交換機(jī)中的位置，并進(jìn)行隔離使其無法影響其他上網(wǎng)主機(jī)，對于已處理的主機(jī)可以進(jìn)行解除隔離。隔離操作的執(zhí)行需要做到直接簡便高效。攻擊主機(jī)的位置確定對用戶需要做到透明。（3）設(shè)備的控制需要對網(wǎng)絡(luò)管理員透明化，提供對多廠商交換設(shè)備的支持，控制功能需要使用公共標(biāo)準(zhǔn)協(xié)議，能夠監(jiān)控接入設(shè)備的服務(wù)狀態(tài)和IP可達(dá)狀態(tài)。并將這些狀態(tài)呈獻(xiàn)給網(wǎng)絡(luò)管理員。對于網(wǎng)絡(luò)管理員作出的針對攻擊主機(jī)的操作，能夠?qū)⑵滢D(zhuǎn)化為交換設(shè)備可以識(shí)別的指令。（4）提供安全的用戶登錄驗(yàn)證功能，能夠讓用戶使用除靜態(tài)用戶名密碼之外的第三種認(rèn)證方式，保障用戶登錄信息達(dá)到不可猜測、無法破解、登錄參數(shù)無法重復(fù)使用，有效防范帳戶密碼盜取。（5）能夠提供基本的用戶權(quán)限功能，管理員、維護(hù)員和普通用戶三層管理權(quán)限，分別對應(yīng)全部操作權(quán)限、后期維護(hù)權(quán)限、日志查看權(quán)限。對網(wǎng)絡(luò)管理員需要提供對接入網(wǎng)絡(luò)設(shè)備日志信息和攻擊主機(jī)信息的查詢，對管理員權(quán)限的用戶除提供查詢功能之外，還要提供對攻擊主機(jī)進(jìn)行隔離和解除隔離的操作功能。對于維護(hù)員來說，除了提供查詢功能外，只允許其具備對已隔離攻擊主機(jī)的解除隔離操作。上網(wǎng)用戶不具備系統(tǒng)的操作權(quán)限，只具備攻擊主機(jī)信息的查詢功能。

三、安全管理

在用戶登錄驗(yàn)證方面，本系統(tǒng)使用了基于雙因素用戶驗(yàn)證的登錄功能。用戶驗(yàn)證使用雙因素驗(yàn)證，用戶除了使用用戶名與密碼之外，還需要使用一個(gè)同步碼。同步碼是由令牌生成，與服務(wù)器上產(chǎn)生的同步碼一致。用戶登錄驗(yàn)證時(shí)，需要在特定時(shí)間段內(nèi)輸入同步碼，所以即便是用戶的密碼被盜了，也不會(huì)導(dǎo)致系統(tǒng)被攻擊，大大增強(qiáng)了系統(tǒng)的安全性。

網(wǎng)絡(luò)設(shè)備日志分析方面，主要研究通過SYSLOG服務(wù)，將接入層交換機(jī)的日志信息捕獲，以便于對接入交換機(jī)的運(yùn)行狀況進(jìn)行動(dòng)態(tài)分析。通過分析對接入層的三大攻擊行為進(jìn)行定位，為下一步操作做鋪墊。日志信息同步數(shù)據(jù)量極大，但對細(xì)節(jié)數(shù)據(jù)的準(zhǔn)確性要求不高，主要以大量數(shù)據(jù)宏觀分析得出結(jié)果。所以，日志信息同步功能的可靠性要比數(shù)據(jù)準(zhǔn)確性更加重要。它要能夠持續(xù)的接收分析大量數(shù)據(jù)。

接入網(wǎng)絡(luò)設(shè)備控制功能是系統(tǒng)同接入層網(wǎng)絡(luò)設(shè)備進(jìn)行交互的窗口，對攻擊主機(jī)進(jìn)行隔離等操作需要通過它來完成，所以它需要具備對接入層設(shè)備進(jìn)行控制操作的能力。這種能力是通過TELNET和SNMP協(xié)議完成的。本文著重研究了TELNET與SNMP的開發(fā)接口以及對設(shè)備控制功能的實(shí)現(xiàn)?？偠灾到y(tǒng)對日志分析功能得出的結(jié)果，最后進(jìn)行隔離操作是通過本功能直接完成的。

日志記錄與存儲(chǔ)方面，用戶對攻擊目標(biāo)的操作和系統(tǒng)對攻擊目標(biāo)的隔離的記錄都通過本功能完成。這個(gè)功能在實(shí)際使用過程中，主要用于攻擊目標(biāo)的事后處理。數(shù)據(jù)存儲(chǔ)功能則是將日志分析結(jié)果數(shù)據(jù)、隔離操作記錄等數(shù)據(jù)存入數(shù)據(jù)庫，由于系統(tǒng)的數(shù)據(jù)量較大，沒有使用復(fù)雜的數(shù)據(jù)持久化組件，而是單獨(dú)實(shí)現(xiàn)數(shù)據(jù)庫連接池的功能，輕量簡便。日志分析功能包含了SYSLOG套接字的創(chuàng)建，數(shù)據(jù)讀取分析兩大主要功能。其中SYSLOG套接字的創(chuàng)建主要目的是為了接收交換機(jī)發(fā)至UDP514端口的日志信息。數(shù)據(jù)分析的主要目的有兩個(gè)，一是判斷當(dāng)前網(wǎng)絡(luò)運(yùn)行是否正常，二是如果不正常，需要確定攻擊源的信息。SYSLOG套接字用于將接入交換機(jī)發(fā)來的日志信息進(jìn)行讀取，然后交與日志處理邏輯對日志進(jìn)行分割。日志處理邏輯使用正則表達(dá)式對日志分割完成后，數(shù)據(jù)分兩部分流向，日志信息本身交由數(shù)據(jù)庫存儲(chǔ)邏輯處理，另一向交由攻擊主機(jī)判定邏輯分析攻擊主機(jī)信息。對于設(shè)備控制模塊交互邏輯，當(dāng)自動(dòng)隔離攻擊主機(jī)開關(guān)打開時(shí)，向設(shè)備控制模塊發(fā)送控制指令。

參考文獻(xiàn)

[1]盧開瑞.隨機(jī)故障下計(jì)算機(jī)網(wǎng)絡(luò)中的病毒傳播研究.科技信息，2012（03）

[2]蔣敘，倪崢.計(jì)算機(jī)病毒的網(wǎng)絡(luò)傳播及自動(dòng)化防御.重慶文理學(xué)院學(xué)報(bào)（自然科學(xué)版），2012（02）

[3]吳凌云.民航一體化網(wǎng)絡(luò)的計(jì)算機(jī)病毒查殺方法.信息與電腦（理論版），2012（01）

[4]丁媛媛.計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù)及如何防范黑客攻擊探討.赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2012（08）