局域網(wǎng)的網(wǎng)絡安全淺析

引言

隨著局域網(wǎng)網(wǎng)絡技術的發(fā)展和社會信息化進程的加快，現(xiàn)在，人們的生活、工作、學習、娛樂和交往都已離不開計算機網(wǎng)絡。盡管計算機網(wǎng)絡為人們提供了巨大的方便，但是受技術和社會因素的各種影響，計算機網(wǎng)絡一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實施攻擊和入侵，給計算機網(wǎng)絡造成很大的損害，因此，網(wǎng)絡系統(tǒng)的安全性和可靠性正在成為世界各國共同關注的焦點。

局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡間沒有采取一定的安全防護措施，很容易遭到來自Internet黑客的各種攻擊。本文在網(wǎng)絡安全理論指導下，以影響網(wǎng)絡安全的因素為基礎，討論了局域網(wǎng)網(wǎng)絡安全體系的設計問題，以便達到構(gòu)建高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡之目的。

1  網(wǎng)絡安全分析

影響計算機網(wǎng)絡安全的因素很多,如系統(tǒng)存在的漏洞、系統(tǒng)安全體系的缺陷、使用人員薄弱的安全意識及管理制度等,諸多的原因使網(wǎng)絡安全面臨的威脅日益嚴重，下面就對網(wǎng)絡安全威脅的幾個主要方式加以分析。

1.1  網(wǎng)絡監(jiān)聽

網(wǎng)絡監(jiān)聽也叫嗅探器，其英文名是Sniffer,即將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)捕獲并進行分析的行為。網(wǎng)絡監(jiān)聽在網(wǎng)絡安全上一直是一個比較敏感的話題,作為一種發(fā)展比較成熟的技術,監(jiān)聽在協(xié)助網(wǎng)絡管理員監(jiān)測網(wǎng)絡傳輸數(shù)據(jù)，排除網(wǎng)絡故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡管理員的青睞。然而，在另一方面，網(wǎng)絡監(jiān)聽也給網(wǎng)絡安全帶來了極大的隱患，許多的網(wǎng)絡入侵往往都伴隨著網(wǎng)絡監(jiān)聽行為,從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。

1.2  信息欺騙

通過篡改、刪除或重放數(shù)據(jù)包進行信息欺騙是IP欺騙的一種常用的攻擊手法，攻擊者主要利用TCP/IP和操作系統(tǒng)中的某些缺陷來實施IP欺騙攻擊，進而獲得一個主機系統(tǒng)的控制權(quán)（root權(quán)限），為實施進一步的攻擊打下基礎。因此，IP欺騙攻擊屬于一種滲透式攻擊。

1.3  系統(tǒng)和服務器安全漏洞

只要有程序，就可能存在BUG甚至連安全工具本身也可能存在安全漏洞，幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設計者在修改已知的BUG的同時，又可能使它產(chǎn)生了新的BUG,系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可査。

1.4  計算機病毒

計算機病毒是一種人為制造的程序，它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、閃存）或程序里。當某種條件或時機成熟時,它就會自動復制和傳播,破壞計算機系統(tǒng)及其資源。目前,全世界流行的病毒已經(jīng)超過2萬余種，并以每月300至500種的速度不斷增長。所以，必須針對網(wǎng)絡時代計算機病毒的特點,采取有效的病毒防御措施。

1.5  人為失誤

人為失誤造成損失的例子也不少,人為失誤主要指來自內(nèi)部的威脅，包括內(nèi)部人員有意無意的泄密、更改記錄信息，內(nèi)部非授權(quán)人員有意或無意的偷竊機密信息，更改網(wǎng)絡配置和記錄信息，內(nèi)部人員破壞網(wǎng)絡系統(tǒng)等。

2  構(gòu)建安全網(wǎng)絡體系結(jié)構(gòu)的原則

鑒于網(wǎng)絡安全威脅的多樣性、復雜性及網(wǎng)絡信息、數(shù)據(jù)的重要性,局域網(wǎng)網(wǎng)絡系統(tǒng)安全方案在設計、規(guī)劃時，應當遵循一定的原則。

2.1  綜合性和整體性原則

應當用系統(tǒng)工程的觀點和方法，分析網(wǎng)絡的安全及防范措施。安全措施主要包括:行政法律手段、各種管理制度（人員審査、工作流程、維護保障制度等）以及專業(yè)措施（識別技術、存取控制、密碼、容錯、防病毒、釆用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等，這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。

2.2  需求和風險以及代價平衡的原則

對于任意網(wǎng)絡，絕對安全也難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際研究（包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后才能制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

2.3  一致性原則

一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期（或生命周期）同時存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致,包括安全的網(wǎng)絡系統(tǒng)設計（包括初步或詳細設計）及實施計劃、網(wǎng)絡驗證、驗收、運行等,都要有安全的內(nèi)容及措施。實際上，在網(wǎng)絡建設的開始，就應考慮網(wǎng)絡安全對策，這比在網(wǎng)絡建設好后再考慮安全措施，不但容易，而且花費也要小得多。

2.4  易操作性原則

安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。

2.5  分步實施原則

由于網(wǎng)絡系統(tǒng)及其應用擴展范圍十分廣闊，隨著網(wǎng)絡規(guī)模的擴大及應用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的，同時，由于實施信息安全措施需要相當?shù)馁M用支出，因此,分步實施即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。

2.6  多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是，建立一個多重保護系統(tǒng)，各層保護相互補充，這樣，當一層保護被攻破時,其它層保護仍可保護信息的安全。

2.7  可評價性原則

如何預先評價一個安全設計并驗證其網(wǎng)絡的安全性，這需要通過國家有關網(wǎng)絡信息安全測評認證機構(gòu)的評估來實現(xiàn)。

3  網(wǎng)絡安全設計步驟

3.1  明確安全需求，進行風險分析

滿足網(wǎng)絡的安全需求，是一個網(wǎng)絡成功運行的必要條件，在此基礎上提供強有力的安全保障,是網(wǎng)絡系統(tǒng)安全的重要原則。網(wǎng)絡內(nèi)部部署了眾多的網(wǎng)絡設備、服務器，保護這些設備的正常運行，維護主要業(yè)務系統(tǒng)的安全，是網(wǎng)絡的基本安全需求。

3.2  選擇并確定網(wǎng)絡安全措施

明確了網(wǎng)絡系統(tǒng)的目標，就可以依據(jù)各種安全規(guī)范和策略，詳細描述網(wǎng)絡構(gòu)建的安全需求，通過多種手段和方案的比較以及反復的試驗，從而產(chǎn)生一個可行的最佳方案。

3.3  方案實施

設計并完成各種安全措施的選配,包括論證實施方案是否與網(wǎng)絡安全結(jié)構(gòu)相符。

3.4  試運行以及優(yōu)化和改進

對已確定的方案，可進入試運行階段，以便在運行期間對安全措施進行評估，并在此基礎上提出進一步的改進和完善網(wǎng)絡安全措施的方案。

以上設計步驟在以往實際的網(wǎng)絡構(gòu)建過程中并沒有得到很好的執(zhí)行，大多數(shù)網(wǎng)絡建設在一開始的時候，對網(wǎng)絡安全性考慮就不全面。因此，必須采取補救的方案來逐步完善其安全措施。

4  網(wǎng)絡的安全管理

面對網(wǎng)絡安全的脆弱性，除了在網(wǎng)絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡的安全管理，因為，諸多的不安全因素恰恰反映在組織管理和人員使用等方面,而這又是計算機網(wǎng)絡安全所必須考慮的基本問題。所以，理應引起重視。信息系統(tǒng)的安全管理部門應根據(jù)管理原則和處理數(shù)據(jù)的保密性原則,制定出相應的管理制度或采用相應的規(guī)范。

5 結(jié)語

局域網(wǎng)網(wǎng)絡安全技術是一個涉及多方面的系統(tǒng)工程。在實際工作中，既需要綜合運用文中的以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來,構(gòu)成一個統(tǒng)一的防御系統(tǒng)，同時還需要規(guī)范和創(chuàng)建必要的安全管理模式和規(guī)章制度來約束人們的行為。因此，局域網(wǎng)安全不是一個單純的技術問題，它涉及整個網(wǎng)絡安全系統(tǒng),包括防范技術、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡的脆弱性和潛在威脅，不斷健全網(wǎng)絡的相關法規(guī)，提高網(wǎng)絡安全防范技術，就能有效阻止非法用戶使用網(wǎng)絡系統(tǒng)對信息資源進行的所有非法活動，有力地保障網(wǎng)絡安全。

20210828_612a31d09836d__局域網(wǎng)的網(wǎng)絡安全淺析