淺析局域網(wǎng)安全及其動態(tài)聯(lián)動

顧 迪

(1.河北大學(xué) 數(shù)學(xué)與計算機(jī)學(xué)院， 河北 保定 071002； 2.北京衛(wèi)戌區(qū)某部， 北京 100000)

淺析局域網(wǎng)安全及其動態(tài)聯(lián)動

顧 迪1,2

(1.河北大學(xué) 數(shù)學(xué)與計算機(jī)學(xué)院， 河北 保定 071002； 2.北京衛(wèi)戌區(qū)某部， 北京 100000)

網(wǎng)絡(luò)安全的滯后性，使得網(wǎng)絡(luò)安全的技術(shù)、理論和產(chǎn)品必須隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步而不斷發(fā)展和進(jìn)步。必須動態(tài)應(yīng)用所有安全理論和安全產(chǎn)品，根據(jù)不同時期的不同需求動態(tài)進(jìn)行安全產(chǎn)品和安全技術(shù)的部署和策略調(diào)整，才能有效解決網(wǎng)絡(luò)安全問題。當(dāng)前內(nèi)部網(wǎng)絡(luò)的安全，主要是以防火墻、IDS/IPS、VPN、網(wǎng)絡(luò)版殺毒、漏洞掃描、網(wǎng)絡(luò)管理等主流設(shè)備構(gòu)成安全體系。

網(wǎng)絡(luò)安全；防火墻；IDS/IPS；安全聯(lián)動；動態(tài)安全

1 局域網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀

隨著計算機(jī)及網(wǎng)絡(luò)的普及和發(fā)展，我們的生活和工作越來越依賴于網(wǎng)絡(luò)；與此相關(guān)的網(wǎng)絡(luò)安全問題也隨之凸顯出來，那么究竟網(wǎng)絡(luò)安全面臨哪些問題？我們將如何解決？

網(wǎng)絡(luò)安全問題應(yīng)該主要從以下幾個方面加以考慮：

1.1 局域網(wǎng)內(nèi)網(wǎng)安全

局域網(wǎng)內(nèi)網(wǎng)安全是局域網(wǎng)安全的核心內(nèi)容，因為內(nèi)網(wǎng)的構(gòu)成千差萬別，并且處在不斷的發(fā)展變化當(dāng)中，并且內(nèi)網(wǎng)主要完成網(wǎng)絡(luò)選路、性能優(yōu)化和部署應(yīng)用策略等功能。同時，內(nèi)網(wǎng)是數(shù)據(jù)和信息產(chǎn)生的源頭，最后，網(wǎng)絡(luò)的所有應(yīng)用和計算都是在內(nèi)網(wǎng)完成的。所以，為了保證網(wǎng)絡(luò)正常的應(yīng)用，必須主要針對內(nèi)網(wǎng)的安全問題建立動態(tài)的、可用的、準(zhǔn)確的和高效的安全策略，同時要部署相關(guān)設(shè)備。局域網(wǎng)內(nèi)網(wǎng)安全主要有以下四個問題：

1.1.1 局域網(wǎng)網(wǎng)絡(luò)設(shè)備安全

局域網(wǎng)的設(shè)備主要由完成OSI模型中的物理層、鏈路層、網(wǎng)絡(luò)層和部分傳輸層功能的設(shè)備構(gòu)成的。包括路由器、交換機(jī)(含三層)、集線器和連接介質(zhì)(網(wǎng)線、光纖等)。其中物理層的安全主要表現(xiàn)為電力和綜合布線相關(guān)內(nèi)容，我們不做討論。重點分析一下這些設(shè)備的網(wǎng)絡(luò)層和鏈路層的安全問題。

對于網(wǎng)絡(luò)層設(shè)備路由器而言，它的安全問題主要是設(shè)備自身的安全和路由協(xié)議的安全。設(shè)備自身的安全表現(xiàn)為：操作系統(tǒng)安全和訪問控制安全，類似于PC終端，既要嚴(yán)格執(zhí)行管理制度，又要制定正確的設(shè)備訪問策略，包括認(rèn)證和線路配置。路由器的協(xié)議安全是路由器安全的核心，它既包括路由協(xié)議的性能優(yōu)化，又包括路由協(xié)議安全特性的正確應(yīng)用。

對于鏈路層的交換機(jī)設(shè)備而言，首先要保證設(shè)備的自身安全，同時要保證鏈路層協(xié)議的性能優(yōu)化和安全特性的正確應(yīng)用。不同于路由器的是，鏈路層設(shè)備還要考慮接入終端設(shè)備的問題。比如：訪問控制、非法外連和流量控制(實現(xiàn)QoS)、廣播風(fēng)暴、DHCP欺騙、ARP欺騙等特有的安全問題

1.1.2 局域網(wǎng)終端安全

自身內(nèi)部的安全問題。包括：病毒、木馬、操作系統(tǒng)漏洞、系統(tǒng)入侵、非法進(jìn)程、系統(tǒng)掃描、密碼竊取、賬號安全等等。

在系統(tǒng)安全性問題中，主要考慮兩個方面：病毒對于網(wǎng)絡(luò)的威脅，黑客對于網(wǎng)絡(luò)的破壞和入侵。

病毒的主要傳播途徑已由過去的軟盤、光盤等存儲介質(zhì)變成了網(wǎng)絡(luò)。這些病毒在網(wǎng)絡(luò)上傳播和破壞的途徑和手段，使得網(wǎng)絡(luò)環(huán)境中防病毒的工作變得更加復(fù)雜。網(wǎng)絡(luò)防病毒工具必須能夠針對網(wǎng)絡(luò)中各個可能的病毒入口來進(jìn)行防護(hù)。

對于網(wǎng)絡(luò)黑客而言，他們的主要目的在于竊取數(shù)據(jù)和非法修改系統(tǒng)，其手段之一是竊取合法用戶的口令，在合法身份的掩護(hù)下進(jìn)行非法操作；之二是利用網(wǎng)絡(luò)操作系統(tǒng)的某些合法但不為系統(tǒng)管理員和合法用戶所熟知的操作指令進(jìn)行非法操作。

對于用戶的安全性問題所要考慮的是：是否只有那些真正獲得授權(quán)的用戶能夠使用系統(tǒng)中的資源和數(shù)據(jù)？

要解決這一問題，首先要做的是應(yīng)該對用戶進(jìn)行分組管理，并且這種分組管理應(yīng)該是針對安全性問題而考慮的分組。也就是說，應(yīng)該根據(jù)不同的安全級別將用戶分為若干等級，每一等級的用戶只能訪問與其等級相對應(yīng)的系統(tǒng)資源和數(shù)據(jù)。

其次應(yīng)該考慮的是強(qiáng)有力的身份認(rèn)證，其目的是確保用戶的密碼不會被他人所猜測到。

其他的安全問題主要依賴于專業(yè)內(nèi)網(wǎng)安全管理設(shè)備來解決了。

1.1.3 局域網(wǎng)服務(wù)器安全

局域網(wǎng)終端負(fù)責(zé)產(chǎn)生數(shù)據(jù)，而服務(wù)器負(fù)責(zé)處理和存儲?，F(xiàn)在的服務(wù)器技術(shù)已經(jīng)有傳統(tǒng)的C/S模式向B/S模式轉(zhuǎn)化。在很長一段時間之內(nèi)將是B/S應(yīng)用為主，C/S和B/S并存的環(huán)境。B/S模式是以瀏覽器作為終端輸入輸出的接口，數(shù)據(jù)計算和處理以及存儲主要有服務(wù)器來完成。所以一方面要保證瀏覽器的安全和高效，重點要保護(hù)好服務(wù)器的安全。服務(wù)器的安全組要表現(xiàn)為服務(wù)器操作系統(tǒng)的安全、服務(wù)器軟件的安全(包括WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、文件服務(wù)器和專用服務(wù)器等和應(yīng)用軟件代碼的安全。

1.1.4 局域網(wǎng)其他設(shè)備安全

局域網(wǎng)其他設(shè)備主要表現(xiàn)為終端的各種外設(shè)，為了實現(xiàn)網(wǎng)絡(luò)功能和建設(shè)機(jī)房所購買的特定的設(shè)備，比如UPS、機(jī)柜、磁帶機(jī)等等。這些設(shè)備的安全問題主要是物理安全問題。

1.2 內(nèi)容安全

局域網(wǎng)內(nèi)容安全實際上是TCP/IP模型的應(yīng)用層部分，在前文中有所涉及。由于對于大多數(shù)網(wǎng)絡(luò)工作人員來說，他們所使用和關(guān)心的主要還是應(yīng)用的內(nèi)容部分，包括程序、數(shù)據(jù)、信息等等。所以，其他的安全問題的終極目標(biāo)就是為了保證辦公人員的網(wǎng)絡(luò)應(yīng)用的有用性、可靠性、安全性和高效性。

在前文的局域網(wǎng)終端安全問題中，我們簡單討論了計算機(jī)病毒問題，現(xiàn)在我們重點分析一下目前計算機(jī)病毒的主要特點和現(xiàn)狀。

新增計算機(jī)病毒、木馬數(shù)量呈爆炸式增長，總數(shù)量已突破千萬。病毒制造的模塊化、專業(yè)化以及病毒“運營”模式的互聯(lián)網(wǎng)化成為計算機(jī)病毒發(fā)展的三大顯著特征。同時，病毒制造者的“逐利性”依舊沒有改變，網(wǎng)頁掛馬、漏洞攻擊成為黑客獲利的主要渠道。

大量的病毒通過網(wǎng)頁掛馬方式進(jìn)行傳播，采用的方式是下載器對抗安全軟件，關(guān)閉安全軟件然后下載大量盜號木馬到用戶電腦。從病毒的危害來看絕大多數(shù)流行的病毒都為網(wǎng)游盜號類木馬，其次是遠(yuǎn)程控制類木馬。

病毒制造進(jìn)入“機(jī)械化”時代。由于各種病毒制作工具的泛濫和病毒制作的分工更加明細(xì)和程式化，病毒作者開始按照既定的病毒制作流程制作病毒。病毒的機(jī)械化生產(chǎn)導(dǎo)致病毒數(shù)量的爆炸式增長。反病毒廠商傳統(tǒng)的人工收集以及鑒定方法已經(jīng)無法應(yīng)對迅猛增長的病毒。

病毒制造的模塊化、專業(yè)化特征明顯。病毒團(tuán)伙按功能模塊發(fā)外包生產(chǎn)或采購技術(shù)先進(jìn)的病毒功能模塊，使得病毒的各方面功能越來越“專業(yè)”，病毒技術(shù)得以持續(xù)提高和發(fā)展，對網(wǎng)民的危害越來越大，而解決問題也越來越難。

病毒“運營”模式互聯(lián)網(wǎng)化。病毒團(tuán)伙已經(jīng)完全轉(zhuǎn)向互聯(lián)網(wǎng)，網(wǎng)民訪問帶有掛馬代碼的“正常網(wǎng)站”時，會受到漏洞攻擊而“不知不覺”中毒。這種傳播方式的特點是快速、隱蔽性強(qiáng)、適合商業(yè)化運營(可像互聯(lián)網(wǎng)廠商一樣精確統(tǒng)計收益，進(jìn)行銷售分成)。

病毒團(tuán)伙對于“新”漏洞的利用更加迅速。病毒與安全軟件的對抗日益激烈。而且一些病毒制作者也曾揚言“餓死殺毒軟件”。主要是由于大部分殺毒軟件加大了查殺病毒的力度，使得病毒為了生存而必須對抗殺毒軟件。

2 局域網(wǎng)網(wǎng)絡(luò)安全分析

局域網(wǎng)安全是在一個局部的地理范圍內(nèi)，將各種計算機(jī)、外部設(shè)備和數(shù)據(jù)庫等互相連接起來組成的計算機(jī)通信網(wǎng)絡(luò)系統(tǒng)沒有被危險虛擬事物侵害的狀態(tài)。

2.1 從網(wǎng)絡(luò)的自身特點看安全風(fēng)險

目前的網(wǎng)絡(luò)技術(shù)，不論是局域網(wǎng)還是廣域網(wǎng)，甚至Internet,在原理上應(yīng)用的都是TCP/IP。局域網(wǎng)中的路由器、交換機(jī)、PC、網(wǎng)絡(luò)安全和管理設(shè)備等等絕大多數(shù)都要遵循這個協(xié)議來構(gòu)建網(wǎng)絡(luò)。這是現(xiàn)代網(wǎng)絡(luò)的國際規(guī)范。由TCP/IP構(gòu)成的網(wǎng)絡(luò)大致可分為三個級別：應(yīng)用級、系統(tǒng)級和網(wǎng)絡(luò)級。在形式上分為：核心層、分布層和接入層。在原理上分為：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。但是TCP/IP協(xié)議本身就存在諸多缺陷，這是現(xiàn)在網(wǎng)絡(luò)安全問題無法解決的根本原因。也就是說網(wǎng)絡(luò)模型自身就存在著很嚴(yán)重的安全問題。

TCP/IP的安全問題非常復(fù)雜，我們簡單討論以下兩個方面：

2.1.1 TCP協(xié)議的安全問題

TCP使用三次握手機(jī)制來建立一條連接，握手的第一個報文為SYN包；第二個報文為SYN/ACK包，表明它應(yīng)答第一個SYN包同時繼續(xù)握手的過程；第三個報文僅僅是一個應(yīng)答，表示為ACK包。若A方為連接方，B為響應(yīng)方，其間可能的威脅有：

1) 攻擊者監(jiān)聽B方發(fā)出的SYN/ACK報文；

2) 攻擊者向B方發(fā)送RST包，接著發(fā)送SYN包，假冒A方發(fā)起新的連接；

3) B方響應(yīng)新連接，并發(fā)送連接響應(yīng)報文SYN/ACK；

4) 攻擊者再假冒A方對B方發(fā)送ACK包。

這樣攻擊者便達(dá)到了破壞連接的作用，若攻擊者再趁機(jī)插入有害數(shù)據(jù)包，則后果更嚴(yán)重。

2.1.2 IP協(xié)議的安全問題

IP協(xié)議在互連網(wǎng)絡(luò)之間提供無連接的數(shù)據(jù)包傳輸。IP協(xié)議根據(jù)IP頭中的目的地址項來發(fā)送IP數(shù)據(jù)包。也就是說，IP路由IP包時，對IP頭中提供的源地址不作任何檢查，并且認(rèn)為IP頭中的源地址即為發(fā)送該包的機(jī)器的IP地址。這樣，許多依靠IP源地址做確認(rèn)的服務(wù)將產(chǎn)生問題并且會被非法入侵。其中最重要的就是利用IP欺騙引起的各種攻擊。

2.2 從黑客技術(shù)的發(fā)展看安全風(fēng)險

黑客技術(shù)的發(fā)展也直接影響了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。網(wǎng)絡(luò)技術(shù)發(fā)展之初，精通編程的技術(shù)達(dá)人被稱之為Hacker(閑逛者)，是真正意義上的技術(shù)愛好者。當(dāng)利益驅(qū)動成為網(wǎng)絡(luò)應(yīng)用的主流時，有很多黑客轉(zhuǎn)變?yōu)镃raker(破壞者)，他們同樣擁有高超的編程技術(shù)，但他們的目標(biāo)也轉(zhuǎn)變?yōu)殚_發(fā)各種簡單易用的黑客工具，并分發(fā)給普通的黑客甚至只擁有基本網(wǎng)絡(luò)應(yīng)用技術(shù)的非法人員。黑客工具的不斷成熟，使得黑客(Cracker)的隊伍與日俱增，網(wǎng)絡(luò)安全工作主要就是以防范各種黑客工具的攻擊為目的。

2.3 從網(wǎng)絡(luò)攻擊的來源看安全風(fēng)險

從下圖可以看出，局域網(wǎng)網(wǎng)絡(luò)安全問題中的網(wǎng)絡(luò)攻擊的產(chǎn)生來源主要是不滿的雇員和黑客，不滿的雇員存在于內(nèi)網(wǎng)；而黑客主要是外網(wǎng)通過邊界進(jìn)入的內(nèi)網(wǎng)。所以解決局域網(wǎng)網(wǎng)絡(luò)安全問題的核心就是邊界和內(nèi)網(wǎng)安全。

2.4 從安全管理的現(xiàn)狀看安全風(fēng)險

網(wǎng)絡(luò)管理的實踐表明，網(wǎng)絡(luò)安全的風(fēng)險30%在于技術(shù)，70%在于管理。因為最終設(shè)備是由辦公人員來操作使用的，技術(shù)不能解決所有的問題，尤其是物理安全問題、權(quán)限問題和賬號分配問題。很大程度上還是需要制定并嚴(yán)格執(zhí)行符合企業(yè)自身需要的相關(guān)管理規(guī)章制度。但實際考察后不難發(fā)現(xiàn)，大多數(shù)應(yīng)用局域網(wǎng)絡(luò)的企業(yè)都普遍缺乏明確的安全政策與安全管理制度。所以，有效地落實安全管理制度是實現(xiàn)安全的關(guān)鍵。

2.5 深入總結(jié)并分析局域網(wǎng)網(wǎng)絡(luò)安全

從網(wǎng)絡(luò)安全現(xiàn)狀和分析，不難看出產(chǎn)生網(wǎng)絡(luò)安全的原因主要有：

1) 管理問題。主要是人的因素。

2) 技術(shù)問題。根本原因是TCP/IP模型自身的安全問題很嚴(yán)重。同時，所有的問題都發(fā)生在TCP/IP的五個層次上面，這也是實現(xiàn)動態(tài)安全聯(lián)動的理論基礎(chǔ)。

表1

我們可以得出這樣一個結(jié)論，TCP/IP模型既是網(wǎng)絡(luò)安全問題的源頭，又是解決網(wǎng)絡(luò)安全問題的終點。并且，TCP/IP的各個層次并不是孤立的，每一層之間都有相關(guān)接口完成特定功能。必須共同解決所有層次的設(shè)備加固，同時重點突出攻擊的源頭所偏愛的攻擊方式。即：黑客和內(nèi)部非法操作人員主要面向應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的攻擊。而且主要應(yīng)用復(fù)雜的多種技術(shù)混合模式的攻擊，而不是傳統(tǒng)意義上的單一攻擊模式。所謂安全聯(lián)動，就是應(yīng)用安全設(shè)備和安全技術(shù)對主要的攻擊手段實現(xiàn)綜合監(jiān)控和管理。由于不同時期、同一時期不同階段網(wǎng)絡(luò)安全問題的表現(xiàn)也不盡相同，所以，還要實現(xiàn)動態(tài)聯(lián)動。

針對于應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的安全防護(hù)設(shè)備主要有：防火墻、IDS/IPS、VPN、網(wǎng)絡(luò)管理設(shè)備、數(shù)據(jù)備份和恢復(fù)設(shè)備、漏洞掃描設(shè)備等等。其中，網(wǎng)絡(luò)管理設(shè)備又有網(wǎng)絡(luò)設(shè)備管理和PC終端管理等。實際上，最終應(yīng)用動態(tài)安全聯(lián)動來解決局域網(wǎng)網(wǎng)絡(luò)安全問題的核心思想就是兩個字：隔離。我們可以應(yīng)用物理隔離和邏輯隔離兩種技術(shù)。

所謂隔離，就是識別并分離有害信息和數(shù)據(jù)，保護(hù)有用的數(shù)據(jù)和信息。其中，識別有害信息至關(guān)重要，正確識別有害信息既是保證網(wǎng)絡(luò)可用性的前提條件，也是正確制定網(wǎng)絡(luò)安全策略的主要依據(jù)。分離有害信息和數(shù)據(jù)結(jié)果主要是丟棄并記錄日志。

而物理隔離的最終結(jié)果是在保證安全的前提下實現(xiàn)有限的應(yīng)用，只適用于金融、軍用、銀行等行業(yè)部門。大多數(shù)企業(yè)只能采用邏輯隔離，它的最終結(jié)果是保證應(yīng)用的前提下，實現(xiàn)的是有限的安全。再一次證明了實現(xiàn)網(wǎng)絡(luò)安全的效果必須是動態(tài)的和綜合性的技術(shù)。并且再一次說明目前不存在任何一種能夠解決所有網(wǎng)絡(luò)安全問題的方法和技術(shù)。

3 實現(xiàn)局域網(wǎng)網(wǎng)絡(luò)安全聯(lián)動

3.1 網(wǎng)絡(luò)安全理論

實現(xiàn)網(wǎng)絡(luò)系統(tǒng)整體安全的理論有很多，我們重點來看一下得到廣泛應(yīng)用的APPDRR模型。

根據(jù)APPDRR模型，網(wǎng)絡(luò)安全的第一個重要環(huán)節(jié)是風(fēng)險評估，通過風(fēng)險評估，掌握網(wǎng)絡(luò)安全面臨的風(fēng)險信息，進(jìn)而采取必要的處置措施，使信息組織的網(wǎng)絡(luò)安全水平呈現(xiàn)動態(tài)螺旋上升的趨勢。網(wǎng)絡(luò)安全策略是APPDRR模型的第二個重要環(huán)節(jié)，起著承上啟下的作用。一方面，安全策略應(yīng)當(dāng)隨著風(fēng)險評估的結(jié)果和安全需求的變化做相應(yīng)的更新；另一方面，安全策略在整個網(wǎng)絡(luò)安全工作中處于原則性的指導(dǎo)地位，其后的檢測、響應(yīng)諸環(huán)節(jié)都應(yīng)在安全策略的基礎(chǔ)上展開。系統(tǒng)防護(hù)是安全模型中的第三個環(huán)節(jié)，體現(xiàn)了網(wǎng)絡(luò)安全的靜態(tài)防護(hù)措施。接下來是動態(tài)檢測、實時響應(yīng)、災(zāi)難恢復(fù)三環(huán)節(jié)，體現(xiàn)了安全動態(tài)防護(hù)和安全入侵、安全威脅“短兵相接”的對抗性特征。

APPDRR模型還隱含了網(wǎng)絡(luò)安全的相對性和動態(tài)螺旋上升的過程，即：不存在百分之百的靜態(tài)的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全表現(xiàn)為一個不斷改進(jìn)的過程。通過風(fēng)險評估、安全策略、系統(tǒng)防護(hù)、動態(tài)檢測、實時響應(yīng)和災(zāi)難恢復(fù)六環(huán)節(jié)的循環(huán)流動，網(wǎng)絡(luò)安全逐漸地得以完善和提高，從而實現(xiàn)保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全目標(biāo)。

3.2 網(wǎng)絡(luò)安全技術(shù)特點

最終實現(xiàn)動態(tài)安全聯(lián)動當(dāng)然是網(wǎng)絡(luò)設(shè)備，目前主流應(yīng)用的網(wǎng)絡(luò)安全設(shè)備主要有防火墻、IDS/IPS、網(wǎng)絡(luò)版殺毒軟件、網(wǎng)絡(luò)管理設(shè)備等。

3.2.1 防火墻

本文所提到的防火墻指的是網(wǎng)絡(luò)防火墻，而非一般意義上的個人軟件防火墻。防火墻的核心功能是實現(xiàn)內(nèi)外網(wǎng)的訪問控制，主要采用狀態(tài)深度檢測技術(shù)。擁有路由功能的防火墻可以作為網(wǎng)關(guān)置于邊界實現(xiàn)NAT、IPSecVPN等功能?，F(xiàn)在大部分防火墻都集成IDS/IPS和VPN功能。

作為邊界安全網(wǎng)絡(luò)設(shè)備，防火墻可以有效阻止外網(wǎng)黑客針對于網(wǎng)絡(luò)層、傳輸層和部分應(yīng)用層遠(yuǎn)程攻擊。它屬于被動防御設(shè)備，不能防范內(nèi)網(wǎng)的攻擊行為，集成了IDS/IPS的防火墻也可以同時實現(xiàn)一定程度的主動防御功能。因為處于邊界，對于內(nèi)網(wǎng)的安全問題，防火墻的作用不大。最后，防火墻對于應(yīng)用層的攻擊作用也不大。

3.2.2 IDS/IPS

IDS/IPS(入侵檢測和入侵防護(hù))是主動防御設(shè)備，一般單獨部署于內(nèi)網(wǎng)。它能夠識別已知的網(wǎng)絡(luò)攻擊行為的特征并根據(jù)相應(yīng)策略作出反應(yīng)。要么提示告警并記錄日志(IDS)，要么根據(jù)策略阻斷非法攻擊(IPS)，同時，如果和防火墻實現(xiàn)安全聯(lián)動，可以將攻擊行為的特征通告防火墻，防火墻在邊界上自動建立策略，實現(xiàn)邊界的訪問控制。

3.2.3 網(wǎng)絡(luò)殺毒

網(wǎng)絡(luò)殺毒有兩種方式：一種是傳統(tǒng)的網(wǎng)絡(luò)版的殺毒軟件，由服務(wù)器負(fù)責(zé)病毒庫的升級，并向客戶端下發(fā)執(zhí)行查殺病毒和升級病毒庫的計劃任務(wù)策略。第二種方式是新興的硬件防毒墻實現(xiàn)網(wǎng)關(guān)殺毒，即在網(wǎng)絡(luò)邊界實現(xiàn)病毒查殺。網(wǎng)絡(luò)版殺毒軟件的服務(wù)器端完全可以和防毒墻實現(xiàn)安全聯(lián)動，服務(wù)器把內(nèi)網(wǎng)邊界出現(xiàn)的病毒和網(wǎng)關(guān)未發(fā)現(xiàn)的病毒的特征碼通告防毒墻，防毒墻自動建立新的網(wǎng)關(guān)查殺病毒的安全策略。

3.2.4 網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理主要包括網(wǎng)絡(luò)設(shè)備管理和終端PC的管理，可以實現(xiàn)所有支持SNMP協(xié)議設(shè)備的統(tǒng)一集成管理平臺。其中網(wǎng)絡(luò)設(shè)備管理可以實現(xiàn)拓?fù)涔芾?、性能管理、配置管理、故障管理、流量管理和行為管理等功能，終端PC管理可以實現(xiàn)每臺計算機(jī)的資產(chǎn)管理、進(jìn)程管理、網(wǎng)絡(luò)行為管理、文件審計管理等主要針對于應(yīng)用層功能的管理。

3.2.5 關(guān)于UTM

2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management，簡稱UTM)新類別。該概念引起了業(yè)界的廣泛重視，并推動了以整合式安全設(shè)備為代表的市場細(xì)分的誕生。由IDC提出的UTM是指由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全功能，將多種安全特性集成于一個硬設(shè)備里，構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺。從這個定義上來看，IDC既提出了UTM產(chǎn)品的具體形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。

3.3 實現(xiàn)局域網(wǎng)網(wǎng)絡(luò)安全聯(lián)動

3.3.1 局域網(wǎng)安全聯(lián)動的流程

1) 實現(xiàn)邊界的訪問認(rèn)證。除了做好所有設(shè)備的基本加固以外，采用認(rèn)證強(qiáng)度更高的Ca認(rèn)證服務(wù)器實現(xiàn)客戶端對網(wǎng)絡(luò)訪問認(rèn)證的統(tǒng)一管理。

2) 防毒墻、網(wǎng)絡(luò)版殺毒軟件和客戶端殺毒軟件實現(xiàn)安全聯(lián)動。防毒墻做好基本網(wǎng)關(guān)殺毒的策略，網(wǎng)絡(luò)版殺毒軟件服務(wù)器負(fù)責(zé)升級病毒庫，并下發(fā)查殺病毒和升級病毒庫策略?？蛻舳藦姆?wù)器下載策略并執(zhí)行任務(wù)計劃，同時向服務(wù)器通告查殺日志，服務(wù)器端根據(jù)客戶端的信息分析病毒活動特征并通告防毒墻，防毒墻自動或人工手動制定新的策略并下發(fā)給服務(wù)器，由服務(wù)器下發(fā)給各個客戶端。三者共同對新的病毒活動特征作出響應(yīng)。

3) 漏洞掃描服務(wù)器、IDS/IPS和防火墻一起構(gòu)成安全聯(lián)動。漏洞掃描除了完成所有設(shè)備操作系統(tǒng)的漏洞掃描外，還會針對特定漏洞的危害的程度提出告警，IDS主動跟蹤監(jiān)控網(wǎng)絡(luò)外部和內(nèi)部流量發(fā)現(xiàn)攻擊行為，也提出告警或根據(jù)預(yù)定義策略進(jìn)行響應(yīng)。根據(jù)所有的告警，人工或自動的在防火墻中制定響應(yīng)策略并執(zhí)行。

4) 網(wǎng)絡(luò)管理軟件同時管理和監(jiān)控所有支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備和終端PC，對攻擊和病毒以外的對網(wǎng)絡(luò)可用性、可靠性的網(wǎng)絡(luò)訪問行為進(jìn)行管理，重點對邊界和核心層部分的性能進(jìn)行監(jiān)控，并制定相應(yīng)優(yōu)化策略。主要對于其他安全設(shè)備無法識別的有害行為進(jìn)行補充管理和集成管理。

3.3.2 局域網(wǎng)安全聯(lián)動的策略和部署

除了分別制定各自的預(yù)定義安全策略外，根據(jù)上文安全聯(lián)動的流程手動地或自動地建立安全策略，并統(tǒng)一執(zhí)行。

3.3.3 局域網(wǎng)安全聯(lián)動的監(jiān)控和管理

為了高效完成所有動態(tài)安全聯(lián)動的工作，應(yīng)充分發(fā)揮人的主觀能動性，建立完善的管理制度和詳細(xì)的操作流程，并建立監(jiān)督機(jī)制，同時建立詳盡的規(guī)范的網(wǎng)絡(luò)安全維護(hù)的技術(shù)文檔并統(tǒng)一備案、管理。

[1] 孟學(xué)軍，石崗.基于P2DR的網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J].計算機(jī)工程，2004，30(4)：99-101.

[2] 梁琳、拾以娟，鐵玲.基于策略的安全智能聯(lián)動模型[J].信息安全與通信保密，2004(2)：35-37.

[3] Yao-Min Chen,Yanyan yang.Policy Management for Network-based Intrusion Detection and Prevention[J].Network Operation and Management Symposium,2004(2)：219-232.

[4] 陳運明.動態(tài)網(wǎng)絡(luò)安全模型的系統(tǒng)研究[J].網(wǎng)絡(luò)安全，2005(5)：47-49.

[責(zé)任編輯：張超]

G203

A

1671-6876(2011)04-0361-05

2011-05-14

顧迪(1989-)，男，江蘇淮安人，主要從事網(wǎng)絡(luò)技術(shù)研究。