局域網網絡安全防護工作剖析

曾金繁

江西省興國縣信息中心 江西 342400

0 前言

辦公局域網一般是基于TCP/IP協議并采用了Internet的通信標準和Web信息流通模式的Intra-net，它具有開放性，因而使用極其方便。但開放性卻帶來了系統入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現商業秘密泄露、設備損壞、數據丟失、系統癱瘓等嚴重后果，給正常的工作造成極大的負面影響。

網絡本身的脆弱性和通信設施脆弱性共同構成了計算機網絡的潛在威脅。網絡設計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規劃則非常有限。這樣，伴隨計算機與通信技術的迅猛發展，網絡攻擊與防御技術循環遞升，原來網絡固有優越性的開放性和互聯性變成信息的安全性隱患之便利橋梁。網絡安全已變成越來越棘手的問題，只要是接入到因特網中的主機都有可能被攻擊或入侵了，而遭受安全問題的困擾。

網絡安全缺陷產生的原因主要有：

第一、TCP/IP的脆弱性：因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多，并且，由于TCP/IP協議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網絡攻擊。

第二、網絡結構的不安全性：因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包。

1 辦公局域網常見的安全問題

1.1 欺騙性的軟件使數據安全性降低

由于局域網很大的一部分用處是資源共享，而正是由于共享資源的“數據開放性”，導致數據信息容易被篡改和刪除，數據安全性較低。例如“網絡釣魚攻擊”，釣魚工具是通過大量發送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號 ID等信息的一種攻擊方式，最常用的手法是冒充一些真正的網站來騙取用戶的信任。

1.2 服務器區域沒有進行獨立防護

計算機病毒及惡意代碼的威脅、局域網用戶安全意識不強、IP地址沖突，造成網絡不穩定，出現經常掉網現象。

1.3 黑客入侵與病毒感染

黑客入侵：目前的辦公局域網基本上都采用以廣播為技術基礎的以太網。在同一以太網中，任何兩個節點之間的通信數據包，不僅可以為這兩個節點的網卡所接收，也同時能夠為處在同一以太網上的任何一個節點的網卡所截取。另外，為了工作方便，辦公局域網都備有與外網和國際互聯網相互連接的出入口，因此，外網及國際互聯網中的黑客只要侵入網絡內部中的任意節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息；而本網絡中的黑客則有可能非常方便的截取任何數據包，從而造成信息的失竊。

病毒感染：隨著計算機和網絡的進步和普及，計算機病毒也不斷出現，總數已經超過20000種，并以每月300種的速度增加，其破環性也不斷增加，而網絡病毒破壞性就更強。一旦文件服務器的硬盤被病毒感染，就可能造成系統損壞、數據丟失，使網絡服務器無法起動，應用程序和數據無法正確使用，甚至導致整個網絡癱瘓，造成不可估量的損失。

網絡病毒普遍具有較強的再生機制，可以通過網絡擴散與傳染。一旦某個公用程序染了毒，那么病毒將很快在整個網絡上傳播，感染其它的程序。由網絡病毒造成網絡癱瘓的損失是難以估計的。一旦網絡服務器被感染，其解毒所需的時間將是單機的幾十倍以上。

1.4 數據破壞

在辦公局域網系統中，有多種因素可能導致數據的破壞。

首先是黑客侵入，黑客基于各種原因侵入網絡，其中惡意侵入對網絡的危害可能是多方面的。其中一種危害就是破壞數據，可能破壞服務器硬盤引導區數據、刪除或覆蓋原始數據庫、破壞應用程序數據等。

其次是病毒破壞，病毒可能攻擊系統數據區，包括硬盤主引導扇區、Boot扇區、FAT表、文件目錄等;病毒還可能攻擊文件數據區，使文件數據被刪除、改名、替換、丟失部分程序代碼、丟失數據文件；病毒還可能攻擊CMOS，破壞系統CMOS中的數據。

第三是災難破壞，由于自然災害、突然停電、強烈震動、誤操作等造成數據破壞。重要數據遭到破壞和丟失，會造成企業經營困難、人力、物力、財力的巨大浪費。

2 網絡安全防護措施

網絡安全防護的主要技術：認證、加密、防火墻及入侵檢測、虛擬專用網(VPN)技術和數據異地備份。

2.1 加強內部網絡管理人員以及使用人員的安全意識

很多計算機系統常用口令來控制對系統資源的訪問，這是防病毒進程中，最輕易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源。

2.2 網絡防火墻技術

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的非凡網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被答應，并監視網絡運行狀態(如圖1)。

圖1 網絡防火墻技術

2.3 安全加密技術

加密技術的出現為全球電子商務提供了保證，從而使基于 Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是 21世紀的主流。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。

2.4 病毒防治

相對于單機病毒的防護來說，網絡病毒的防治具有更大的難度，網絡病毒防治應與網絡管理緊密結合。網絡防病毒最大的特點在于網絡的管理功能，如果沒有管理功能，很難完成網絡防毒的任務。只有管理與防范相結合，才能保證系統正常運行。

計算機病毒的預防在于完善操作系統和應用軟件的安全機制。在網絡環境下，病毒傳播擴散快，僅用單機防殺病毒產品已經難以清除網絡病毒，必須有適用于局域網、廣域網的全方位防殺病毒產品。為實現計算機病毒的防治，可在局域網上安裝網絡病毒防治服務器，并在內部網絡服務器上安裝網絡病毒防治軟件，在單機上安裝單機環境的反病毒軟件。安裝網絡病毒防治服務器的目標是以實時作業方式掃描所有進出網絡的文件。本地網絡與其它網絡間的數據交換、本地網絡工作站與服務器間的數據交換、本地網絡各工作站之間的數據交換都要經過網絡病毒防治服務器的檢測與過濾，這樣就保證了網絡病毒的實時查殺與防治。

2.5 虛擬專用網(VPN)技術

虛擬專用網絡(VPN)能實現不同網絡的組件和資源之間的相互連接(圖2)。

虛擬專用網絡能夠利用 Internet或其他公共互連網絡的基礎設施為用戶創建隧道，并提供和專用網絡相同的安全和功能保障。同時，要加強 VPN的安全管理，分配的用戶名和密碼進行復雜性設置，采用MAC網卡綁定等方法，對于臨時的 VPN通道接入，則可采用手機發短信的認證方式，確保VPN安全運行。

圖2 虛擬專用網(VPN)技術

2.6 數據備份

網絡遭到破壞之后，最重要的是要確保內部數據的完整，而其數據恢復程度依賴于數據備份方案。

數據備份的目的在于盡可能快地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有：實時高速度、大容量自動的數據存儲、備份與恢復；定期的數據存儲、備份與恢復；通過“云”技術或異地服務器實現異地備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用，同時亦是系統災難恢復的前提之一。因此，要確實保證數據的完整與安全，應定期做好數據備份工作，條件允許的要做好數據異地備份。

3 總結

隨著 Internet技術的發展，網絡安全將會面臨更加嚴峻的挑戰。本文從網絡安全角度出發，從網絡自身現狀到安全防護等進行了詳細的介紹，希望能對不同的用戶提供參考。

[1] 謝希仁.計算機網絡[M].北京：電子工業出版社.2008.

[2] 胡道元.計算機局域網[M].北京：清華大學出版社.2010.

[3] 蘇劍飛,王景偉.網絡攻擊技術與網絡安全探析[J].通信技術.2010.

[4] 杜向文.中小企.業的網絡安全[J].計算機安全.2006.

[5] 葉安新.網絡安全與防火墻技術[J].大眾標準化.2005.