局域網絡安全的應對決策

摘要：各種非法用戶入侵、計算機病毒、黑客的不斷侵襲等隨時威脅局域網的安全，再加上局域網絡本身可能存在的安全問題，實施網絡安全保護方案以確保計算機網絡自身的安全性是每一個計算機網絡都要認真對待的一個重要問題。

關鍵詞：網絡安全；防火墻；入侵檢測，技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)22-672-02

LocalDecision-making Network Security Response

ZHOU Qiu-xia1，2 ，LIANG Qi-wen1，2

(1.Zhanjiang Normal College School，Zhanjiang 524048，China;2.Chongqing University Master of the Computer College in Reading Sichuan，Chongqing 400030，China)

Abstract:Each kind of illegal user invasion，the computer virus，the hacker make a sneak attack and so on momentarily to threaten local area network's security unceasingly， in addition the confined network itself possibly exists the security problem，the implementation network security protection plan guaranteed that computer network own security is an important question which each computer network needs to treat earnestly.

Key words:Network Security;Firewall;Intrusion Detection;Technology

1 引言

網絡安全是一門涉及計算機科學、網絡技術、密碼技術、信息安全技術、應用數學、數論、信論等多種學科的綜合性學科，它涉及的因素主要包括物理安全、系統安全、信息安全和文化安全等范圍。

2 威脅局域網絡安全的因素

目前主要威脅局域網絡安全的因素有：1)計算機病毒。伴隨著計算機技術的推廣普及，計算機病毒也在不斷地發展演變，其危害越來越大。目前的特點是：流行廣泛、種類繁多、潛伏期長、破壞力大，對計算機信息系統的安全構成了長期與現實的威脅；2)黑客入侵。通過技術手段，非法侵入計算機信息系統，獲取秘密信息或有選擇地破壞信息的有效性與完整性。這是當前計算機信息系統所面臨的最大威脅，敵方攻擊和計算機犯罪主要采取這一類手法；3)信號截取。通過截收的手段，監聽計算機、網絡設備的電磁信號和聲像外露信號來獲取秘密信息；4)介質失密。通過竊取信息存儲介質(如涉密的軟盤、硬盤、光盤、筆記本電腦等)來獲取秘密信息；5)系統漏洞。利用計算機操作系統、信息管理系統、網絡系統等的安全漏洞，進行竊密與破壞活動。各類軟件系統總是存在一些缺陷或漏洞，有些是疏忽造成的，有些則是軟件公司為了自便而設置的，這些漏洞或“后門”一般不為人知，但一旦打開，后果將不堪設想；6)非法訪問。外部人員利用非法手段進入安全保密措施不強的計算機信息系統，對系統內的信息進行修改、破壞和竊取；7)人為因素。內部人員利用便利手段獲得權限，并進行非法操作；8)遙控設備。敵方可以利用對方信息系統中某些設備里暗藏的遙控器材或芯片，刺探其計算機信息系統中的秘密信息，或擾亂系統的正常工作。

所以通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性是網絡安全與其所保護的信息對象有關的本質。也就是在信息的安全期內保證其在網絡上流動或者靜態存放時不被非授權用戶非法訪問，但授權戶可以訪問的一種手段。網絡本身可能存在的安全問題，實施網絡安全保護方案以確保計算機網絡自身的安全性是每一個計算機網絡都要認真對待的一個重要問題。

3 局域網絡安全應對決策

一個安全的計算機網絡應該具有可靠性、可用性、完整性、保密性和真實性等特點。全球平均每20秒鐘就發生一次入侵互聯網涉及信息安全的事件，三分之一的防火墻曾被攻破。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性。為了確保信息的安全與暢通，研究計算機網絡的安全以及防范措施已迫在眉睫。

針對局域網絡中各種非法用戶入侵（會使網絡系統中敏感數據的丟失）、計算機病毒（輕者會使計算機系統運行速度變慢，重者會使網絡硬件損壞，部分或者整個網絡系統崩潰）、黑客的不斷侵襲等隨時威脅局域網的安全的這些現象首先也是必須要做到的一點是網絡安全不但要靠技術，更要靠管理，要把技術和管理相結合，要以人為本，不斷提高安全意識，才能增強信息安全的保障，其次，除了在硬件方面要安裝病毒防護卡、保護卡外，軟件方面也是很重要的一部分。

1)采用殺毒軟件進行查毒、防毒、殺毒，基本的技術包括：行為監視、變化檢測和掃描等。

2)采用防火墻技術：網絡安全中系統安全產品使用最廣泛的技術是防火墻技術，目前在全球連入 Internet的計算機中約有三分之一是處于防火墻保護之下。

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡訪問內部網絡資源保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。目前的防火墻有以下類型：包過濾防火墻、應用層網關級防火墻、雙宿主防火墻。

包過濾技術是防火墻最基本的實現技術，具有包過濾技術的裝置是用來控制內、外網絡數據的流入和流出，包過濾技術的數據包大部分是基于TCP/IP協議平臺的，對數據流的每個包進行檢查，根據數據包的源地址、目的地址、TCP和IP的端口號，以及TCP的其他狀態來確定是否允許數據包通過。如果允許通過，數據包就按照路由表中的信息被轉發，否則就會被丟棄。但是存在缺點：不能徹底防止地址欺騙。一些應用協議不適合于數據包過濾，正常的數據包過濾路由器無法執行某些安全策略。

應用層網關級防火墻即是代理防火墻。應用代理網關防火墻徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火墻對外網的訪問，然后再由防火墻轉發給內網用戶。所有通信都必須經應用層代理軟件轉發，訪問者任何時候都不能與服務器建立直接的TCP連接，應用層的協議會話過程必須符合代理的安全策略要求，對數據包的檢測能力比較強。傳輸過程如下：

■

雙宿主機防火墻雙宿網關防火墻（Dual-homed Gateway Firewall）的結構。它是一個具有兩個網絡適配器的主機系統，并且主機系統中的尋徑功能被禁止，而對外部網絡的服務和訪問則由網關上的代理服務器提供。它是一種結構非常簡單，但安全性很高的防火墻系統，是對雙宿主機防火墻的一個改進。另外可以把包過濾路由器和雙宿網關集成在一起。把包過濾路由器放在外部網絡和一個屏蔽子網之間。屏蔽子網用來為外部網絡用戶提供一些特定的服務， 比如WWW，Gopher， FTP等。這樣一來可以利用包過濾路由器的過濾保護雙宿網關免受外部的攻擊，例如如果禁止外部訪問遠程登陸到雙宿網關，就可以減少外部攻擊的危險。這種防火墻拒絕所有的網絡服務，包括DNS等，除非應用網關有代理模塊的網絡服務可以允許。不靈活性是這種防火墻技術的最大缺點。網關主機系統的安全是雙宿網關安全的關鍵。

3)入侵檢測技術：入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（Intrusion Detection System，簡稱IDS）。從技術上劃分，入侵檢測技術有兩種檢測模型： 異常檢測模型與誤用檢測模型。入侵檢測系統的過程分為三部分：信息收集、信息分析和結果處理。①入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。 ②信息分析：收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發送給控制臺。③結果處理：控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。（如下圖）

■

4)數據加密技術：數據加密是實現網絡安全的關鍵技術之一，加密技術是最常用的安全保密手段，利用該技術手段把重要的數據變為亂碼(加密)傳送，到達目的地后再用相同或不同的手段還原(解密)。數據加密技術主要分為數據的傳輸、存儲、完整性的鑒別和密匙管理四種技術。數據加密技術主要有信息保密、信息認證、密匙管理等技術。

“加密”，是一種限制對網絡上傳輸數據的訪問權的技術，加密的基本功能包括: 防止不速之客查看機密的數據文件；防止機密數據被泄露或篡改；防止特權用戶(如系統管理員)查看私人數據文件；使入侵者不能輕易地查找一個系統的文件。

數據加密是確保計算機網絡安全的一種重要機制，雖然由于成本、技術和管理上的復雜性等原因，目前尚未在網絡中普及，但數據加密的確是實現分布式系統和網絡環境下數據安全的重要手段之一。

5)漏洞掃描技術：漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口，并紀錄目標的響應，收集關于某些特定項目的有用信息，如正在進行的服務，擁有這些服務的用戶，是否支持匿名登錄，是否有某些網絡服務需要鑒別等。這項技術的具體實現就是安全掃描程序。漏洞掃描技術是一項重要的主動防范安全技術。不論攻擊者是從外部還是從內部攻擊某一網絡系統，攻擊的機會都是系統本身所存在的安全隱患。對于系統管理員來說，漏洞掃描技術是最好的助手，能主動發現主機系統和網絡系統的安全隱患，在系統安全保衛戰中做到\"有的放矢\"，及時修補漏洞，構筑堅固的系統安全。

漏洞掃描按功能大致可分為：操作系統漏洞掃描、網絡漏洞掃描和數據庫漏洞掃描。若針對檢測對象的不同，漏洞掃描還可分為網絡掃描、操作系統掃描、WWW服務掃描、數據庫掃描以及最近出現的無線網絡掃描。目前，漏洞掃描，從底層技術來劃分，也可以分為基于網絡的掃描和基于主機的掃描這兩種類型。

漏洞掃描主要通過以下兩種方法來檢測目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在，通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。一旦模擬攻擊成功，則表明目標主機系統存在安全漏洞。

6)數據恢復措施是防止機器中毒或者數據受到損壞時采用的，具體措施如下：①備份策略，這是網絡系統中最常用的策略，對于服務器上的數據，管理人員應該經常備份。既可采用本機備份也可采用網絡備份、磁盤或磁帶備份。當數據文件受到破壞或刪除是，可以用備份的數據恢復這些文件。②鏡像磁盤，磁盤鏡像是指將兩個硬盤接在同一個硬盤控制卡上，用一個硬盤控制卡來管理兩個硬盤的技術。當用戶向服務器寫數據時，磁盤鏡像技術就同時將數據寫入兩個硬盤中，這樣一旦一個硬盤損壞，便可從另一個硬盤上獲得數據，以維持網絡的正常運行。在服務器的運行中，當主盤發生物理故障或主盤中的數據損壞后無法恢復時，可以將鏡像盤（從盤）改為主盤，以獨立的一個盤來使用，具體辦法為：拆掉原來的主盤，將從盤跳線后設置為單一的硬盤C：，并進行CMOS相關參數的設置后啟動服務器，運行Install程序，取消原來從盤“Mirrored”，將其變為“Not Mirrored”狀態，以后這臺服務器就可以以單硬盤方式工作了。同時，為了防止故障再次發生，建議盡快修復已損壞的硬盤。

4 結束語

局域網絡系統安全問題是一個復雜的工程，并沒有絕對的安全的網絡系統，綜合利用以上技術等多項措施，加強管理，從而保證局域網絡的安全運行是一個重要問題。網絡安全問題已經成為全球共同關注的一個主題，網絡安全技術在21世紀也將成為信息網絡發展的關鍵技術。

參考文獻：

[1] 董玉格，金海，趙振.攻擊與防護--網絡安全與實用防護技術[M].北京:人民郵電出版社，2002.8.

[2] 王睿，林海波.網絡安全與防火墻技術[M].北京:清華大學，2000.10.

[3] Internet防火墻與網絡安全[M].北京:機械工業出版社，2002.

[4] 陳克非，黃征.信息安全技術導論[M].北京:電子工業出版社，2007.