淺談局域網(wǎng)管理中的安全防護技術

康曉霞

武警甘肅省總隊

淺談局域網(wǎng)管理中的安全防護技術

康曉霞

武警甘肅省總隊

隨著信息化建設不斷推進,相對獨立的計算機局域網(wǎng)建設快速發(fā)展，依托地方電信網(wǎng)絡建成的集圖像、聲音、數(shù)據(jù)的遠程傳輸和信息共享網(wǎng)絡得到企業(yè)單位青睞，自動化辦公水平得到大幅提高。然而，由于互聯(lián)網(wǎng)技術固有缺陷和非法操作的客觀存在，局域網(wǎng)建設還存在薄弱環(huán)節(jié)。因此，如何加強安全技術防范，提高網(wǎng)絡安全防護建設水平,有效防止失泄密事件的發(fā)生成為不容忽視的問題。

網(wǎng)絡安全；系統(tǒng)漏洞；對策

一、局域網(wǎng)建設現(xiàn)狀及存在的安全問題

信息化建設中，網(wǎng)絡應用不斷拓展，網(wǎng)絡環(huán)境日趨復雜，網(wǎng)絡安全事件時有發(fā)生。

造成網(wǎng)絡安全問題的原因主要有以下幾個方面。一是系統(tǒng)固有的脆弱性。計算機網(wǎng)絡本身具有開放性、互聯(lián)性等特點，容易受到外來用戶攻擊。計算機網(wǎng)絡的基礎是TCP/IP協(xié)議、網(wǎng)絡設備和具有聯(lián)網(wǎng)能力的操作系統(tǒng)。然而，TCP/IP協(xié)議族有先天的設計漏洞，到目前仍然無法克服。例如，利用協(xié)議漏洞而出現(xiàn)的Smart攻擊、SYN攻擊、拒絕服務攻擊及源路由篡改攻擊等。同樣，網(wǎng)絡設備功能強大而且復雜，但以目前的技術而論，也沒有完全避免漏洞的可能。各種操作系統(tǒng)存在先天缺陷的同時，隨著一些新功能的不斷開發(fā)而帶來一些新的漏洞。例如常見的FTP Daemon缺省帳戶攻擊等。在網(wǎng)絡系統(tǒng)上所存在的這些安全隱患，極易被別有用心的人員利用來實施攻擊、入侵和盜取信息。二是防護能力弱。局域網(wǎng)內(nèi)部,個別用戶利用自己掌握的一些黑客小程序、惡意腳本和系統(tǒng)漏洞，進行試探性攻擊入侵活動。常見的有登錄數(shù)據(jù)庫、泄漏涉密信息、刪除重要數(shù)據(jù)等。還有個別人員違反規(guī)定，私自將局域網(wǎng)終端接入因特網(wǎng)，如果網(wǎng)絡邊界防護不到位，黑客就會通過嗅探程序來探測、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，并使用相應黑客程序進行攻擊。還可能通過網(wǎng)絡監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒合法身份進行非法登錄，竊取內(nèi)部網(wǎng)絡中重要信息。還可能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡服務器進行攻擊，導致拒絕服務，甚至使系統(tǒng)癱瘓，給網(wǎng)絡安全造成極大的威脅。三是違規(guī)操作。在使用網(wǎng)絡過程中，部分用戶還存在僥幸心理和違規(guī)操作現(xiàn)象，他們對網(wǎng)絡安全考慮較少，個別用戶關閉殺毒軟件，強行卸載管理軟件，違規(guī)將存儲介質(zhì)“兩網(wǎng)通用”，從而將那些針對性強，偽裝程度高的蠕蟲、木馬程序帶入局域網(wǎng)中，導致數(shù)據(jù)阻塞,網(wǎng)絡癱瘓。四是法規(guī)意識淡薄。由于職責定位不清晰、定期安全測試及安全監(jiān)控不到位，從而造成網(wǎng)絡安全出現(xiàn)問題。涉密信息一般都存儲在服務器和計算機終端的磁盤上，如果操作系統(tǒng)的安全存取策略設置不合理，存儲的數(shù)據(jù)就可能被非法訪問。

二、網(wǎng)絡安全管理防護辦法

網(wǎng)絡安全涉及安全技術和安全管理兩個方面。只有安全技術手段和安全管理制度有效結合，才能達到網(wǎng)絡信息保密、真實、可靠、完整和可控五個目標。

（一）網(wǎng)絡安全防護系統(tǒng)建設

1、虛擬網(wǎng)絡劃分。虛擬網(wǎng)技術將網(wǎng)絡中物理基礎設施與網(wǎng)絡邏輯基礎設施相分離，使網(wǎng)管人員能方便而動態(tài)地建立和重構虛擬網(wǎng)絡，以適應各部門的協(xié)作與變動，方便網(wǎng)絡管理，降低管理成本。

2、防護系統(tǒng)建設。網(wǎng)絡安全防護系統(tǒng)包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)、病毒防護系統(tǒng)、非法外聯(lián)系統(tǒng)、漏洞掃描系統(tǒng)等安全設備。

防火墻是用來加強網(wǎng)絡之間訪問控制、防止外部網(wǎng)絡用戶以非法手段進入內(nèi)部網(wǎng)絡、訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互連設備，被用來進行網(wǎng)絡安全邊界的防護。

入侵檢測收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略行為和被攻擊的跡象。入侵檢測提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，被認為是防火墻之后的第二道安全閘門。

安全審計系統(tǒng)是以維護網(wǎng)絡安全為目的的審計，保障了網(wǎng)絡和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞。它運用各種技術手段實時收集和監(jiān)控網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件，以便集中報警、分析、處理，它可以為事后攻擊事件的分析提供有力的原始依據(jù)。

網(wǎng)絡版殺毒軟件采用分級部署，多層次立體病毒防護體系，保護網(wǎng)絡內(nèi)數(shù)據(jù)安全。

非法外聯(lián)系統(tǒng)能有效保證內(nèi)網(wǎng)中接入節(jié)點的合法性，同時對通過非正常鏈路接入非安全域的節(jié)點做實時預警和阻斷。

（二）嚴格遵守規(guī)章制度，加強日常管理

網(wǎng)絡信息安全需要先進技術和科學管理的有效結合。建立完善的網(wǎng)絡安全組織體系，做到明確分工，責任到人，要建立健全科學實用的管理制度并嚴格執(zhí)行。建立網(wǎng)絡安全應急預案和定期網(wǎng)絡風險評估制度，提高對網(wǎng)絡安全事件的預測、反應、防范和恢復能力。要綜合應用各種手段拓展網(wǎng)絡路由，加裝網(wǎng)絡備份冗余設備，提高網(wǎng)絡抗毀性能。安裝電磁屏蔽設備，防止電磁泄漏。加裝火災、外來入侵報警等設備，確保網(wǎng)絡設備運行環(huán)境的絕對安全。設置合理訪問控制策略，做好用戶名識別驗證、用戶口令識別、用戶帳號缺省限制等工作。同時，做好網(wǎng)絡權限控制，目錄級別安全控制、網(wǎng)絡端口和節(jié)點控制等工作。加強對網(wǎng)絡用戶操作監(jiān)控，避免使終端用戶的行為管理工作流于形式。

（三）加強技能培訓，提高安全防范意識

網(wǎng)絡技術的特性決定了網(wǎng)絡安全是一個不斷變化、快速發(fā)展的領域，網(wǎng)絡又是人機結合的有機載體，網(wǎng)絡能否高效運行，關鍵取決于網(wǎng)管人員的技術水平和終端用戶的科技素養(yǎng)。必須改變網(wǎng)絡信息安全服務機構專業(yè)化程度不高，專業(yè)技術人才短缺的現(xiàn)狀。分層次進行專業(yè)知識和操作技能培訓，改善知識結構，增強保密意識，提高保密技能。

網(wǎng)絡安全管理是一個系統(tǒng)工程，不僅依靠先進的技術，同時要依靠嚴格的管理、制度約束和安全教育。網(wǎng)管機構應建立適合自己的網(wǎng)絡管理系統(tǒng)，加強用戶和授權管理，并建立審計和跟蹤制度。同時，專業(yè)人員要加強網(wǎng)絡新技術研究，從而為網(wǎng)絡安全管理提供有力的保障。

[1]嚴思達.計算機網(wǎng)絡安全技術的影響因素及其防范措施[J].信息與電腦,2011,12.

[2]薛新慈,任艷斐.計算機網(wǎng)絡管理與安全技術探析[J].通信技術,2010（06）.

[3]王濤.淺析計算機網(wǎng)絡安全問題及其防范措施田.科技創(chuàng)新與應用,2013.