康曉霞
武警甘肅省總隊(duì)
淺談局域網(wǎng)管理中的安全防護(hù)技術(shù)
康曉霞
武警甘肅省總隊(duì)
隨著信息化建設(shè)不斷推進(jìn),相對(duì)獨(dú)立的計(jì)算機(jī)局域網(wǎng)建設(shè)快速發(fā)展,依托地方電信網(wǎng)絡(luò)建成的集圖像、聲音、數(shù)據(jù)的遠(yuǎn)程傳輸和信息共享網(wǎng)絡(luò)得到企業(yè)單位青睞,自動(dòng)化辦公水平得到大幅提高。然而,由于互聯(lián)網(wǎng)技術(shù)固有缺陷和非法操作的客觀存在,局域網(wǎng)建設(shè)還存在薄弱環(huán)節(jié)。因此,如何加強(qiáng)安全技術(shù)防范,提高網(wǎng)絡(luò)安全防護(hù)建設(shè)水平,有效防止失泄密事件的發(fā)生成為不容忽視的問(wèn)題。
網(wǎng)絡(luò)安全;系統(tǒng)漏洞;對(duì)策
信息化建設(shè)中,網(wǎng)絡(luò)應(yīng)用不斷拓展,網(wǎng)絡(luò)環(huán)境日趨復(fù)雜,網(wǎng)絡(luò)安全事件時(shí)有發(fā)生。
造成網(wǎng)絡(luò)安全問(wèn)題的原因主要有以下幾個(gè)方面。一是系統(tǒng)固有的脆弱性。計(jì)算機(jī)網(wǎng)絡(luò)本身具有開放性、互聯(lián)性等特點(diǎn),容易受到外來(lái)用戶攻擊。計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)是TCP/IP協(xié)議、網(wǎng)絡(luò)設(shè)備和具有聯(lián)網(wǎng)能力的操作系統(tǒng)。然而,TCP/IP協(xié)議族有先天的設(shè)計(jì)漏洞,到目前仍然無(wú)法克服。例如,利用協(xié)議漏洞而出現(xiàn)的Smart攻擊、SYN攻擊、拒絕服務(wù)攻擊及源路由篡改攻擊等。同樣,網(wǎng)絡(luò)設(shè)備功能強(qiáng)大而且復(fù)雜,但以目前的技術(shù)而論,也沒(méi)有完全避免漏洞的可能。各種操作系統(tǒng)存在先天缺陷的同時(shí),隨著一些新功能的不斷開發(fā)而帶來(lái)一些新的漏洞。例如常見的FTP Daemon缺省帳戶攻擊等。在網(wǎng)絡(luò)系統(tǒng)上所存在的這些安全隱患,極易被別有用心的人員利用來(lái)實(shí)施攻擊、入侵和盜取信息。二是防護(hù)能力弱。局域網(wǎng)內(nèi)部,個(gè)別用戶利用自己掌握的一些黑客小程序、惡意腳本和系統(tǒng)漏洞,進(jìn)行試探性攻擊入侵活動(dòng)。常見的有登錄數(shù)據(jù)庫(kù)、泄漏涉密信息、刪除重要數(shù)據(jù)等。還有個(gè)別人員違反規(guī)定,私自將局域網(wǎng)終端接入因特網(wǎng),如果網(wǎng)絡(luò)邊界防護(hù)不到位,黑客就會(huì)通過(guò)嗅探程序來(lái)探測(cè)、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,并使用相應(yīng)黑客程序進(jìn)行攻擊。還可能通過(guò)網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進(jìn)而假冒合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還可能通過(guò)發(fā)送大量數(shù)據(jù)包對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊,導(dǎo)致拒絕服務(wù),甚至使系統(tǒng)癱瘓,給網(wǎng)絡(luò)安全造成極大的威脅。三是違規(guī)操作。在使用網(wǎng)絡(luò)過(guò)程中,部分用戶還存在僥幸心理和違規(guī)操作現(xiàn)象,他們對(duì)網(wǎng)絡(luò)安全考慮較少,個(gè)別用戶關(guān)閉殺毒軟件,強(qiáng)行卸載管理軟件,違規(guī)將存儲(chǔ)介質(zhì)“兩網(wǎng)通用”,從而將那些針對(duì)性強(qiáng),偽裝程度高的蠕蟲、木馬程序帶入局域網(wǎng)中,導(dǎo)致數(shù)據(jù)阻塞,網(wǎng)絡(luò)癱瘓。四是法規(guī)意識(shí)淡薄。由于職責(zé)定位不清晰、定期安全測(cè)試及安全監(jiān)控不到位,從而造成網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題。涉密信息一般都存儲(chǔ)在服務(wù)器和計(jì)算機(jī)終端的磁盤上,如果操作系統(tǒng)的安全存取策略設(shè)置不合理,存儲(chǔ)的數(shù)據(jù)就可能被非法訪問(wèn)。
網(wǎng)絡(luò)安全涉及安全技術(shù)和安全管理兩個(gè)方面。只有安全技術(shù)手段和安全管理制度有效結(jié)合,才能達(dá)到網(wǎng)絡(luò)信息保密、真實(shí)、可靠、完整和可控五個(gè)目標(biāo)。
(一)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)
1、虛擬網(wǎng)絡(luò)劃分。虛擬網(wǎng)技術(shù)將網(wǎng)絡(luò)中物理基礎(chǔ)設(shè)施與網(wǎng)絡(luò)邏輯基礎(chǔ)設(shè)施相分離,使網(wǎng)管人員能方便而動(dòng)態(tài)地建立和重構(gòu)虛擬網(wǎng)絡(luò),以適應(yīng)各部門的協(xié)作與變動(dòng),方便網(wǎng)絡(luò)管理,降低管理成本。
2、防護(hù)系統(tǒng)建設(shè)。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)、病毒防護(hù)系統(tǒng)、非法外聯(lián)系統(tǒng)、漏洞掃描系統(tǒng)等安全設(shè)備。
防火墻是用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制、防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)、訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備,被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)。
入侵檢測(cè)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略行為和被攻擊的跡象。入侵檢測(cè)提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,被認(rèn)為是防火墻之后的第二道安全閘門。
安全審計(jì)系統(tǒng)是以維護(hù)網(wǎng)絡(luò)安全為目的的審計(jì),保障了網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞。它運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件,以便集中報(bào)警、分析、處理,它可以為事后攻擊事件的分析提供有力的原始依據(jù)。
網(wǎng)絡(luò)版殺毒軟件采用分級(jí)部署,多層次立體病毒防護(hù)體系,保護(hù)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)安全。
非法外聯(lián)系統(tǒng)能有效保證內(nèi)網(wǎng)中接入節(jié)點(diǎn)的合法性,同時(shí)對(duì)通過(guò)非正常鏈路接入非安全域的節(jié)點(diǎn)做實(shí)時(shí)預(yù)警和阻斷。
(二)嚴(yán)格遵守規(guī)章制度,加強(qiáng)日常管理
網(wǎng)絡(luò)信息安全需要先進(jìn)技術(shù)和科學(xué)管理的有效結(jié)合。建立完善的網(wǎng)絡(luò)安全組織體系,做到明確分工,責(zé)任到人,要建立健全科學(xué)實(shí)用的管理制度并嚴(yán)格執(zhí)行。建立網(wǎng)絡(luò)安全應(yīng)急預(yù)案和定期網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估制度,提高對(duì)網(wǎng)絡(luò)安全事件的預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力。要綜合應(yīng)用各種手段拓展網(wǎng)絡(luò)路由,加裝網(wǎng)絡(luò)備份冗余設(shè)備,提高網(wǎng)絡(luò)抗毀性能。安裝電磁屏蔽設(shè)備,防止電磁泄漏。加裝火災(zāi)、外來(lái)入侵報(bào)警等設(shè)備,確保網(wǎng)絡(luò)設(shè)備運(yùn)行環(huán)境的絕對(duì)安全。設(shè)置合理訪問(wèn)控制策略,做好用戶名識(shí)別驗(yàn)證、用戶口令識(shí)別、用戶帳號(hào)缺省限制等工作。同時(shí),做好網(wǎng)絡(luò)權(quán)限控制,目錄級(jí)別安全控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)控制等工作。加強(qiáng)對(duì)網(wǎng)絡(luò)用戶操作監(jiān)控,避免使終端用戶的行為管理工作流于形式。
(三)加強(qiáng)技能培訓(xùn),提高安全防范意識(shí)
網(wǎng)絡(luò)技術(shù)的特性決定了網(wǎng)絡(luò)安全是一個(gè)不斷變化、快速發(fā)展的領(lǐng)域,網(wǎng)絡(luò)又是人機(jī)結(jié)合的有機(jī)載體,網(wǎng)絡(luò)能否高效運(yùn)行,關(guān)鍵取決于網(wǎng)管人員的技術(shù)水平和終端用戶的科技素養(yǎng)。必須改變網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高,專業(yè)技術(shù)人才短缺的現(xiàn)狀。分層次進(jìn)行專業(yè)知識(shí)和操作技能培訓(xùn),改善知識(shí)結(jié)構(gòu),增強(qiáng)保密意識(shí),提高保密技能。
網(wǎng)絡(luò)安全管理是一個(gè)系統(tǒng)工程,不僅依靠先進(jìn)的技術(shù),同時(shí)要依靠嚴(yán)格的管理、制度約束和安全教育。網(wǎng)管機(jī)構(gòu)應(yīng)建立適合自己的網(wǎng)絡(luò)管理系統(tǒng),加強(qiáng)用戶和授權(quán)管理,并建立審計(jì)和跟蹤制度。同時(shí),專業(yè)人員要加強(qiáng)網(wǎng)絡(luò)新技術(shù)研究,從而為網(wǎng)絡(luò)安全管理提供有力的保障。
[1]嚴(yán)思達(dá).計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的影響因素及其防范措施[J].信息與電腦,2011,12.
[2]薛新慈,任艷斐.計(jì)算機(jī)網(wǎng)絡(luò)管理與安全技術(shù)探析[J].通信技術(shù),2010(06).
[3]王濤.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其防范措施田.科技創(chuàng)新與應(yīng)用,2013.