網(wǎng)絡信息安全的威脅及對策——黨校局域網(wǎng)建設的體會與應對

陳曉東 馬 冉

網(wǎng)絡信息安全的威脅及對策
——黨校局域網(wǎng)建設的體會與應對

陳曉東 馬 冉

信息是社會發(fā)展的重要戰(zhàn)略資源。近10多年來Internet網(wǎng)絡飛速發(fā)展,電子政務、電子商務等各種信息化系統(tǒng)日益深入應用,信息技術正在改變著傳統(tǒng)的生產(chǎn)、經(jīng)營和生活方式,整個社會和個人的事務越來越依賴信息網(wǎng)絡系統(tǒng)。黨校也建立起了自己的局域網(wǎng)絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現(xiàn)資源共享都起到了積極的作用。但在發(fā)展辦公自動化、實現(xiàn)資源共享的同時,人們對局域網(wǎng)絡的安全也越來越重視。

信息安全;局域網(wǎng);建設

ISO國際標準化組織對于信息安全給出了精確的定義,描述是:信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。然而,由于計算機網(wǎng)絡具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網(wǎng)絡易受計算機病毒、黑客或惡意軟件的侵害。所以網(wǎng)絡信息安全應該由以上兩個方面組成,即信息安全和網(wǎng)絡安全。其中信息安全主要是指數(shù)據(jù)安全,包括數(shù)據(jù)備份、加密、程序等;網(wǎng)絡安全包括系統(tǒng)安全,即應用軟件、硬件平臺、操作系統(tǒng)、運行服務安全。

作為學校信息化重要基礎設施的校園局域網(wǎng),擔當著學校教學、科研、管理和對外交流等重要角色,它增強了學校從外部獲取信息的能力,而另一方面局域網(wǎng)安全狀況也直接影響著學校的教學活動,使得局域網(wǎng)的管理要直面有Internet的開放性所帶來的新挑戰(zhàn)和新危險。許多局域網(wǎng)由于意識與資金方面的原因,它們在安全方面往往沒有太多的設置,在網(wǎng)絡建成的初期,安全問題可能還不突出,隨著應用的深入,局域網(wǎng)上各種數(shù)據(jù)的急劇增加,各種各樣的安全問題開始困擾網(wǎng)絡管理人員。由于網(wǎng)絡不安全狀態(tài)的存在,局域網(wǎng)數(shù)據(jù)丟失,系統(tǒng)被修改或癱瘓的事情時有發(fā)生。因此對建立一個安全、穩(wěn)定、高效的校園局域網(wǎng)系統(tǒng),網(wǎng)絡安全成為一個非常重要的問題。

一、當前信息安全問題的根源

信息安全問題的根源主要可以從四個方面概括,即物理安全問題、系統(tǒng)安全漏洞、人為因素和方案設計缺陷。

1.物理安全問題。物理安全是其他安全的基礎。不能保障物理安全,其他的安全就無從談起。首先,物理設備的存放位置極為重要,要考慮防盜和訪問控制措施。如果條件允許,要把關鍵的物理設備存放在一個物理上安全的地方(比如專門的中心機房),以降低被盜和非授權訪問的可能性。其次,物理設備的環(huán)境安全威脅包括溫度、濕度、灰塵、供電系統(tǒng)對系統(tǒng)運行可靠性的影響和自然災害對系統(tǒng)的破壞等。最后是防電磁泄漏,信息系統(tǒng)的電子設備在工作時要產(chǎn)生電磁發(fā)射,電磁發(fā)射可被高靈敏度的接收設備接收并進行分析、還原,造成信息泄露。屏蔽是防電磁泄露的有效措施。

2.系統(tǒng)安全漏洞。隨著軟件系統(tǒng)規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門”也不可避免存在,比如我們常用的操作系統(tǒng),無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞,眾多的各類服務器、瀏覽器、數(shù)據(jù)庫、一些桌面軟件等都被發(fā)現(xiàn)存在安全隱患?？梢哉f任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設計中的一個缺陷等原因而存在漏洞,這也是信息系統(tǒng)安全問題的主要根源之一。

3.人為因素。信息系統(tǒng)的運行是依靠人員來具體實施的,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對象。人的因素是信息安全問題的最主要的因素,具體有以下幾個方面的表現(xiàn)。第一,人為的無意失誤。如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享都會給信息安全帶來威脅。第二,人為的惡意攻擊。也就是黑客攻擊,這是計算機網(wǎng)絡所面臨的最大威脅。黑客攻擊比病毒破壞更具目的性,因而也更具危害性。更為嚴峻的是,黑客技術逐漸被越來越多的人掌握和發(fā)展,另外現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好、殺傷力強,成為網(wǎng)絡安全的主要威脅之一。第三,管理上的因素。網(wǎng)絡信息系統(tǒng)的嚴格管理是企業(yè)、機構及用戶免受攻擊的重要措施。管理的缺陷可能在系統(tǒng)內(nèi)部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄露,從而為一些不法分子造成了可乘之機。

4.方案設計缺陷。網(wǎng)絡信息系統(tǒng)的結構往往比較復雜,這就給網(wǎng)絡信息系統(tǒng)管理和方案設計帶來很多問題。為了實現(xiàn)異構網(wǎng)絡信息系統(tǒng)間信息的通信,往往要犧牲一些安全機制的設置和實現(xiàn),從而提出更高的網(wǎng)絡開放性的要求。開放性與安全性正是一對相生相克的矛盾。如果設計者的安全理論和實踐水平不夠的話,設計出來的方案通常是存在不少漏洞的,這也是安全威脅的根源之一。

二、黨校局域網(wǎng)面臨的安全問題

校園局域網(wǎng)是一個直接連接互聯(lián)網(wǎng)的開放式網(wǎng)絡,局域網(wǎng)內(nèi)用戶的層次差異較大,局域網(wǎng)的信息安全與用戶的安全意識和技能緊密相關,局域網(wǎng)的信息安全從總體結構上可分為,局域網(wǎng)主干網(wǎng)設備的應用安全和局域網(wǎng)用戶的應用安全兩個部分。對具體的信息安全問題的研究,能有效的解決局域網(wǎng)中的信息安全隱患,從而確保校園局域網(wǎng)安全、穩(wěn)定、高效地運行。局域網(wǎng)的網(wǎng)絡運行環(huán)境較為復雜,是一個由多用戶、多系統(tǒng)、多協(xié)議、多應用組成的網(wǎng)絡;局域網(wǎng)中的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、應用軟件都存在難以避免的安全漏洞,不及時修補這些安全漏洞,就會給病毒、木馬和黑客的入侵提供方便。對于局域網(wǎng)絡來說,面臨的主要安全威脅有病毒攻擊、內(nèi)部攻擊和黑客攻擊三種形式。

1.病毒攻擊。計算機病毒是一種通過復制自身來感染其他軟件的程序。當程序運行時,嵌入的病毒也隨之運行并感染其他程序。下面我就本校局域網(wǎng)內(nèi)常出現(xiàn)的一種名為“Auto”的病毒舉例分析。Auto病毒又稱U盤病毒,隨著U盤的普及,越來越多的人都把各種文檔資料備份在U盤里。病毒制作者將目光漸漸投向了這些經(jīng)常使用U盤的人,這是一種利用Windows自動播放功能優(yōu)先執(zhí)行加載項的病毒程序,使用戶的計算機感染該病毒。此病毒的最大特征是無論雙擊哪個磁盤,都無法打開。除此之外,它在系統(tǒng)中占用大量CPU資源;在每個分區(qū)下建立autorun.exe、autorun,inf等隱藏文件;大部分通過U盤、移動硬盤等存儲設備傳播;可能會引起部分操作系統(tǒng)崩潰;右鍵單擊磁盤顯示的菜單第一選項不是“打開”而是“播放”或“Autorun”。對于這種病毒的查殺目前最有效最簡單的辦法是可以下載Auto病毒專殺或用卡巴斯基,瑞星, NOD32等殺毒軟件掃描查殺。當然,良好的使用計算機的習慣也是很重要的,這可以有效地起到對Auto病毒的防范。第一,改變雙擊習慣,請用戶養(yǎng)成使用鼠標右鍵打開的習慣;第二,在使用U盤時,按住“Shift”鍵的同時插入USB接口(等于禁用U盤自動播放功能),這可阻止U盤上的病毒傳播到系統(tǒng)中。

2.內(nèi)部攻擊。學校局域網(wǎng)內(nèi)有眾多主機及用戶,相比來自外部的攻擊,來自網(wǎng)內(nèi)的攻擊更為可怕,威脅更大,防不勝防。而學校現(xiàn)有安全技術如防火墻等往往只強調(diào)對來自外部的攻擊進行防范。同時從我校目前出現(xiàn)的安全威脅來看,造成損失的網(wǎng)絡威脅有近四分之三來自內(nèi)部。至今我仍清晰地記得08年席卷我校局域網(wǎng)的ARP欺騙病毒。當時ARP病毒造成了我校局域網(wǎng)內(nèi)嚴重的網(wǎng)絡堵塞,使得多臺校內(nèi)計算機無法正常上內(nèi)外網(wǎng),影響了正常的辦公與教學。該病毒通常都屬于木馬類型病毒,它不具備主動傳播的特性,更不會自我復制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,干擾整個網(wǎng)絡的運行,因此它的危害比一般的蠕蟲病毒還要嚴重。ARP攻擊只要一開始就造成局域網(wǎng)內(nèi)計算機無法和其他計算機進行通訊,而且網(wǎng)絡對此種病毒沒有任何耐受度,只要局域網(wǎng)中存在一臺感染“ARP欺騙”病毒的計算機將會造成整個局域網(wǎng)通訊中斷。目前ARP系列的攻擊方式和手段多種多樣,因此還沒有一個絕對全面有效的防范方法。從實踐經(jīng)驗看最為有效的防范方法即打全Windows的補丁、正確配置和使用網(wǎng)絡防火墻、安裝防病毒軟件并及時更新病毒庫。此外,還有幾種常用的防范ARP攻擊的方法。一種是靜態(tài)綁定,即將IP和MAC靜態(tài)綁定,在網(wǎng)內(nèi)把主機和網(wǎng)關都做IP和MAC綁定。這樣的雙向綁定比較保險,缺點是每臺電腦需綁定,且重啟后仍需綁定,工作量較大,雖說綁定可以通過批處理文件來實現(xiàn)但也比較麻煩。再一種是使用防護軟件,如ARP防護大師等。ARP攻擊是目前網(wǎng)絡管理特別是局域網(wǎng)管理中最讓人頭疼的攻擊,其攻擊技術含量低,隨便一個人都可以通過攻擊軟件來完成,同時防范ARP形式的攻擊也沒有什么特別有效的方法。目前只能通過被動的亡羊補牢形式的措施來防范了。

3.黑客攻擊。是利用網(wǎng)絡眾多的黑客工具如拒絕服務類、緩沖區(qū)溢出類、口令猜解等黑客工具對主機或網(wǎng)絡進行掃描和攻擊。軟件漏洞給黑客攻擊提供了可乘之機。如我校局域網(wǎng)內(nèi)被廣泛采用的Windows操作系統(tǒng),網(wǎng)絡服務軟件如IIS等,一旦被公布發(fā)現(xiàn)有漏洞,中文版的漏洞補丁一般會比英文版的補丁滯后,這就給局域網(wǎng)的安全埋下隱患。

三、網(wǎng)絡信息安全問題的解決方案

面對日益嚴重的網(wǎng)絡信息安全問題,我們一方面要加強制度管理,提高網(wǎng)絡管理人員的安全意識,另一方面也要使用各種技術手段以提高校園網(wǎng)的安全性。校園局域網(wǎng)的安全,并不只是安裝一個防火墻或幾個補丁程序就可以保障的,我們必須要考慮從整體上建立安全可靠的防御體系結構,為學校局域網(wǎng)的安全提供堅實后盾。

1.VLAN的劃分。目前的VLAN技術主要有三種:基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN,理論上非常理想,但實際應用卻尚不成熟。使用VLAN技術優(yōu)化內(nèi)部網(wǎng)絡結構,增強了網(wǎng)絡靈活性,有效地控制了網(wǎng)絡風暴,并將不同區(qū)域和應用劃分為不同的網(wǎng)段進行隔離來控制相互間的訪問,達到限制用戶非法訪問的目的。

2.防火墻的部署。使用硬件防火墻,防火墻可在校園網(wǎng)與外界網(wǎng)絡之間建立一道安全屏障,是目前非常有效的網(wǎng)絡安全模型,它提供了一整套的安全控制策略,包括訪問控制、數(shù)據(jù)包過濾和應用網(wǎng)關等功能。使用防火墻可以將外界網(wǎng)絡(風險區(qū))與校園網(wǎng)(安全區(qū))的連接進行邏輯隔離,在安全策略的控制下進行內(nèi)外網(wǎng)的信息交換,有效地限制外網(wǎng)對內(nèi)網(wǎng)的非法訪問、惡意攻擊和入侵。

3.VPN技術。VPN(虛擬專網(wǎng))技術的核心是采用隧道技術,將專網(wǎng)的數(shù)據(jù)加密封裝后,通過虛擬的公網(wǎng)隧道進行傳輸,從而防止敏感文件的被竊。VPN可以在Internet、服務提供商的IP、幀中繼或ATM網(wǎng)上建立,通過公網(wǎng)建立VPN,就如通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣,享有較高的安全性、優(yōu)先性、可靠性和可管理性,而其建立周期、投入資金和維護費用卻大大降低,同時還為移動計算提供了可能。我校教師利用VPN在家瀏覽校內(nèi)網(wǎng)圖書,查閱資料,極大方便了教學備課,提高工作效率,受到教師們的一致好評。

4.安裝網(wǎng)絡版殺毒產(chǎn)品。為了實現(xiàn)在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,我們在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。在我校網(wǎng)絡中心機房服務器上安裝有卡巴斯基殺毒軟件網(wǎng)絡版的系統(tǒng)中心,負責管理學校200多個主機網(wǎng)點。在教師們的辦公室及筆記本上分別安裝卡巴斯基殺毒軟件網(wǎng)絡版的客戶端。網(wǎng)絡中心負責整個校園網(wǎng)的升級工作。為了安全和管理的方便,由網(wǎng)絡中心的系統(tǒng)中心定期地、自動地到卡巴斯基網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發(fā)到其他200多個主機網(wǎng)點的客戶端與服務器端,并自動對瑞星殺毒軟件網(wǎng)絡版進行更新。

5.安全管理。安全管理是保證網(wǎng)絡安全的基礎,安全技術是配合安全管理的輔助措施。我們建立了一套校園網(wǎng)絡安全管理模式,制定了詳細的安全管理制度,如機房管理制度、信息網(wǎng)絡安全應急預案等,并采取切實有效的措施,保證了制度的執(zhí)行。

隨著校園局域網(wǎng)應用的越來越豐富、越來越開放,網(wǎng)絡安全已經(jīng)成為不可忽視的問題。網(wǎng)絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括網(wǎng)絡系統(tǒng)本身的安全問題,也有物理的和邏輯的技術措施。網(wǎng)絡安全和數(shù)據(jù)保護防范措施都有一定的限度,任何一種技術都不能一成不變地防備新的網(wǎng)絡安全問題。因此,建立一套完整安全的防御體系,利用各種技術,并配套上相應的安全管理制度,才能為校園局域網(wǎng)的安全提供有力的保障。

陳曉東,中共濟南市委黨校助教;馬冉,濟南師范學校助教(郵政編碼 250014)

TP393.08

A

1672-6359(2011)02-0102-03

(責任編輯 馬曉黎)