淺談企事業(yè)單位局域網(wǎng)安全風(fēng)險(xiǎn)防控

劉澍

摘要：本文主要分析了企事業(yè)單位局域網(wǎng)面臨的各類風(fēng)險(xiǎn)點(diǎn)，從而引起各企事業(yè)單位領(lǐng)導(dǎo)和IT管理部門的高度重視，建立一套較為完善的安全保障體系。

關(guān)鍵字：局域網(wǎng)；風(fēng)險(xiǎn)防控；攻擊

【分類號】TP393.1

0 前言

企事業(yè)單位局域網(wǎng)是連接單位內(nèi)部所有計(jì)算機(jī)系統(tǒng)的綜合型網(wǎng)絡(luò)，承載著各單位辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)、物資系統(tǒng)等多類系統(tǒng)。要想有效地降低局域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)防護(hù)能力，必須了解內(nèi)部局域網(wǎng)所面臨的各類安全風(fēng)險(xiǎn)。

1 安全風(fēng)險(xiǎn)類型

局域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要有物理層安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)，系統(tǒng)層安全風(fēng)險(xiǎn)，應(yīng)用層安全風(fēng)險(xiǎn)，管理層安全風(fēng)險(xiǎn)。

1.1 物理層安全風(fēng)險(xiǎn)分析

物理層面的安全風(fēng)險(xiǎn)指針對物理環(huán)境、設(shè)備及介質(zhì)的安全風(fēng)險(xiǎn)。主要表現(xiàn)在以下方面。

1.1.1 物理設(shè)備的脆弱性

網(wǎng)絡(luò)信息系統(tǒng)存在的載體為計(jì)算機(jī)、服務(wù)器、交換機(jī)、線路等物理設(shè)備，這些物理設(shè)備本身也存在一定的安全風(fēng)險(xiǎn)。比如：設(shè)備的損壞、介質(zhì)老化造成的數(shù)據(jù)丟失和數(shù)據(jù)交換可靠性的降低等。

1.1.2 環(huán)境因素的脆弱性分析

環(huán)境因素的脆弱性對系統(tǒng)造成的安全威脅也比較大，比如機(jī)房的防火和防盜措施還不夠完善、介質(zhì)和介質(zhì)數(shù)據(jù)因機(jī)房出入控制不嚴(yán)或管理不善丟失或被盜竊、毀壞。介質(zhì)管理不嚴(yán)或廢棄介質(zhì)處理不當(dāng)，導(dǎo)致信息的隨意復(fù)制或泄漏等。

1.2 網(wǎng)絡(luò)層安防風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路，許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。由于無線局網(wǎng)絡(luò)系統(tǒng)所采用的基礎(chǔ)協(xié)議TCP/IP自身存在一些安全隱患。網(wǎng)絡(luò)入侵者一般利用協(xié)議上的隱患，采用預(yù)攻擊探測、竊聽等搜集信息，然后利用 IP欺騙、重放或重演、拒絕服務(wù)攻擊（SYN FLOOD，PING FLOOD等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進(jìn)行攻擊。

1.2.1 網(wǎng)絡(luò)訪問控制

大部分局域網(wǎng)僅僅依賴現(xiàn)有的交換設(shè)備的配置策略已經(jīng)不能夠滿足需求，交換設(shè)備很難做到細(xì)粒度的訪問策略，這就勢必給網(wǎng)絡(luò)的訪問造成混亂，無法對相應(yīng)的服務(wù)和訪問進(jìn)行有效的控制，這就給網(wǎng)絡(luò)內(nèi)部重要服務(wù)器和重要部門的安全管理帶來了不可忽視的安全隱患。

1.2.2 內(nèi)部用戶的違規(guī)行為

雖然局域網(wǎng)對不同級別的網(wǎng)絡(luò)之間配置了防火墻，但防火墻只能防外不防內(nèi)，初步抵御網(wǎng)絡(luò)外部安全威脅；同時(shí)通常的防火墻只能對用戶連接情況進(jìn)行控制，并不能監(jiān)控用戶的其它動作行為；其控制規(guī)則的設(shè)定是靜態(tài)的，不具智能化特點(diǎn)；可疑人員可能繞過防火墻、或騙過防火墻進(jìn)入網(wǎng)絡(luò)內(nèi)部，或內(nèi)部人員直接對服務(wù)器系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種應(yīng)用系統(tǒng)）通過網(wǎng)絡(luò)實(shí)施各種攻擊，防火墻都無能為力。更重要的是，防火墻實(shí)現(xiàn)的是邊界控制，對內(nèi)部的用戶沒有任何約束力，因此，應(yīng)該采取有效的技術(shù)措施，彌補(bǔ)防火墻的不足。

1.2.3互連設(shè)備的安全隱患

在局域網(wǎng)網(wǎng)絡(luò)中一般都部署了大量的各廠商的交換設(shè)備。他們都支持SNMP協(xié)議，這些設(shè)備都維護(hù)著一個有著設(shè)備運(yùn)行狀態(tài)，接口等信息的MIBS庫，運(yùn)行著SNMP的主機(jī)或設(shè)備可以稱為SNMP AGENT。令人擔(dān)憂的是大多支持snmp的互連設(shè)備都是處于運(yùn)行模式，至少有一個RO的默認(rèn)值為PUBLIC，會泄漏很多信息。擁有RW默認(rèn)值的設(shè)備在互聯(lián)網(wǎng)上也很多，加之SNMP V2版本本身的安全驗(yàn)證能力很低，所以極易受到攻擊，從而導(dǎo)致互連設(shè)備的癱瘓和流量不正常，如果沒有冗余設(shè)備，那樣整個內(nèi)部網(wǎng)絡(luò)就會癱瘓。

1.3 系統(tǒng)層安全風(fēng)險(xiǎn)分析

所有的操作系統(tǒng)在不同程度上都存在一些安全漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如Unix，Windows 2003等系統(tǒng)，其安全漏洞更是廣為流傳。同時(shí)不能正確配置或使用缺省配置，還會人為增加新的漏洞。

1.3.1 主機(jī)訪問安全脆弱性

WINDOWS所采用的傳統(tǒng)的用戶名和密碼的驗(yàn)證方式已經(jīng)經(jīng)不起密碼字典檔的推敲，攻擊者可以從網(wǎng)絡(luò)或本機(jī)針對目標(biāo)機(jī)器發(fā)起驗(yàn)證試探，并且網(wǎng)絡(luò)驗(yàn)證時(shí)（工作組或域驗(yàn)證）用戶名和密碼是以明文的形式傳輸，非常容易被竊取，所以必須使用更先進(jìn)安全的認(rèn)證方式。

1.3.2 泄密信息安全控制

主要是一些重要的文件信息在終端被非法外傳，從而導(dǎo)致泄密。為此，必須從控制文件信息的流轉(zhuǎn)來保證這些信息的安全。主要面臨的威脅是主機(jī)擁有者的主動泄密行為。

1.4 應(yīng)用層安全風(fēng)險(xiǎn)分析

從網(wǎng)絡(luò)的應(yīng)用來看，網(wǎng)絡(luò)承載的業(yè)務(wù)多種，或少包含一些安全管理和控制程序，如身份認(rèn)證、訪問控制、用戶與資源的管理等，但這些安全措施無論是強(qiáng)度上還是在標(biāo)準(zhǔn)上都不能滿足安全需求，主要表現(xiàn)在：

（1）惡意代碼

由于單位內(nèi)部局域網(wǎng)局網(wǎng)絡(luò)是一個專網(wǎng)，外部不可能有直接的惡意代碼進(jìn)入，但是內(nèi)部通過外部存儲介質(zhì)（如：U盤、移動硬盤等方式）帶入惡意代碼也是不容忽視的。除了需針對桌面機(jī)客戶端進(jìn)行病毒防護(hù)，還需要從整體防護(hù)進(jìn)行病毒防護(hù)，忽略了任何的一面都會成為攻擊的切入點(diǎn)。

（2）服務(wù)能力監(jiān)控

對業(yè)務(wù)量突發(fā)的承受能力與無級化升級能力都體現(xiàn)了系統(tǒng)持續(xù)服務(wù)水平。對服務(wù)提供能力的時(shí)時(shí)監(jiān)控是及時(shí)了解業(yè)務(wù)運(yùn)行、安全狀態(tài)的必要措施。

（3）入侵取證問題

不同級別網(wǎng)絡(luò)之間只是通過簡單的網(wǎng)絡(luò)互聯(lián)設(shè)備相互連接。一方面非法用戶極其容易的通過黑客技術(shù)手段將關(guān)鍵信息通過內(nèi)部網(wǎng)絡(luò)獲得，另一方面合法用戶的違規(guī)操作極其容易造成重要服務(wù)器的癱瘓和關(guān)鍵信息的破壞，所以針對內(nèi)部網(wǎng)絡(luò)的安全防范體系的建立是非常重要的。

（4）終端審計(jì)

業(yè)務(wù)的訪問終端分布廣，使用人員多，安全情況復(fù)雜，所以通常是安全入侵的起點(diǎn)，安全審計(jì)是監(jiān)控、管理終端的安全問題，包括信息保密、補(bǔ)丁管理、外聯(lián)行為審計(jì)、防病毒、防入侵等。

1.5 管理層安全風(fēng)險(xiǎn)分析

安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)。管理層的安全風(fēng)險(xiǎn)可能存在于以下幾個方面：

（1）誤操作

系統(tǒng)管理員和普通用戶都可能有操作失誤，前者的影響往往是致命的，直接危害到系統(tǒng)和數(shù)據(jù)安全；后者主要影響用戶數(shù)據(jù)的完整性。

（2）人為故意

內(nèi)部工作人員本身在重要應(yīng)用系統(tǒng)上都有一定的使用權(quán)限，并且對系統(tǒng)應(yīng)用非常清楚，一次試探性的攻擊演練都可能會對應(yīng)用造成癱瘓的影響，這種行為單單依靠工具的檢測是很難徹底避免的，除了建立完善的管理制度還應(yīng)對于工作人員的誤操作應(yīng)該可以回溯與修復(fù)，建立回退機(jī)制。

（3）安全意識

人是各個安全環(huán)節(jié)中最為重要的因素。全面提高人員的道德品質(zhì)和技術(shù)水平是網(wǎng)絡(luò)信息安全與保密的最重要保證。

（4）管理手段

單一的安全產(chǎn)品部署是不能夠解決問題的，必須要配合以管理的手段，在整個安全體系中最為重要的實(shí)際上是管理。

（5）應(yīng)急處理

對于故障、攻擊、病毒等以外事件，對業(yè)務(wù)產(chǎn)生了影響，應(yīng)該有應(yīng)急響應(yīng)的處理流程與應(yīng)急團(tuán)隊(duì)，迅速定位故障點(diǎn)，評估業(yè)務(wù)的影響程度，給出應(yīng)急解決辦法。

2 建立安全保障體系

安全保障體系建設(shè)是隨著業(yè)務(wù)發(fā)展的需求而逐漸推進(jìn)的，安全要保障的是業(yè)務(wù)的持續(xù)性服務(wù)能力，所以對網(wǎng)絡(luò)整體的監(jiān)控是安全管理的基礎(chǔ)，安全管理平臺的建設(shè)是保證監(jiān)控系統(tǒng)的平臺。因此我們采取建設(shè)，首先建立比較急需的安全體系，安全管理平臺作為安全基礎(chǔ)體系先期試點(diǎn)，同時(shí)建設(shè)比較緊急的邊界防護(hù)體系、監(jiān)控體系、審計(jì)體系、病毒防護(hù)體系，保障業(yè)務(wù)的安全。然后在完善各體系與基礎(chǔ)平臺的同時(shí)，建設(shè)應(yīng)急恢復(fù)體系、管理體系。作到人、技術(shù)、資源的統(tǒng)一協(xié)調(diào)安全保障。最后，分析各業(yè)務(wù)的將來發(fā)展，為業(yè)務(wù)提供安全指導(dǎo)性的保障，安全走在業(yè)務(wù)前面，為業(yè)務(wù)發(fā)展鋪平道路。

參考文獻(xiàn)：

[1]劉晶、公方亮著 《局域網(wǎng)組建、維護(hù)與安全監(jiān)控實(shí)戰(zhàn)詳解》 北京：人民郵電出版社 2010.1