浅谈局域网的安全隐患及应对措施

《浅谈局域网的安全隐患及应对措施》由会员分享，可在线阅读，更多相关《浅谈局域网的安全隐患及应对措施（4页珍藏版）》请在金锄头文库上搜索。

1、2007 年全国电力企业信息化大会论文集 70 浅谈局域网的安全隐患及应对措施 刘昭文 （大唐长山热电厂） 随着人类社会生活对 Internet 需求的日益增长，网络安全逐渐成为 Internet 及各项网络服务和应 用进一步发展的关键问题，特别是 1993 年以后 Internet 开始商用化，通过 Internet 进行的各种电子 商务业务日益增多，加之 Internet/Intranet 技术日趋成熟，很多政府部门 、 组织和企业都建立了自己的 内部网络并将之与 Internet 联通。网络给我们的生活带来的不仅有兴奋还有担心。兴奋的是我们能够最 大程度最快速度地获取信息，担心的是非公开

2、性信息的被盗用和破坏。据统计，目前网络攻击手段有 数千种之多，使网络安全问题变得极其严峻，据美国商业杂志信息周刊公布的一项调查报告称，黑 客攻击和病毒等安全问题在 2000 年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一 起网络攻击事件。这似乎就是 Internet 迅猛发展带来的信息的共享与安全这对矛盾共同体。如果因为安 全问题而降低了信息的共享程度无疑会阻碍时代前进的步伐，唯一能够解决问题的方法就是加强网 络安全建设。保障网络的安全运行才是网络存在的根本之道。 1 网络中存在的安全隐患 局域网中一般存在以下安全隐患： 1) 没有采取相应的安全防范措施 大多数企业正在使用除防病毒

3、软件以外的网络安全产品，而其余已建成了内部网的企业，除了 安装单机或网络的防病毒软件外，却没有任何安全防范措施，有的甚至没有连网络版的防病毒软件 也没有 。 一旦遭遇黑客的袭击，后果将多么可怕！现在企业受到信息化建设大潮的驱使，在硬件建设 及技术方面都下了很大的功夫，但网络维护层面的建设往往被忽视。俗语说“ 打江山容易，坐江山难” ， 这个观点同样适用于网络建设方面 。 网络建设是一个系统工程，但工程完工后并不是万事大吉，网络 的安全运行才是最终结果。 2) 对重要设备的安全防护不够 随着计算机病毒及黑客网络攻击的逐渐增多，对于局域网入口的安全防护一般做的都比较充分， 加装了防火墙等网络安全产

4、品。但是对网络中的重要设备如，服务器、中心交换机、涉密计算机以及用于 生产、经营、管理等重要计算机或网络设备的安全防护不够。尤其是政府、企业中的有些重要岗位的计算 机或网络设备，往往涉及到核心的非公开的秘密，但是这些设备又不是网络中的核心设备，所以经 常被忽视，存在较大的安全隐患，容易造成损失。 3) 多数人员网络安全意识淡薄 网络设备的使用人员的网络安全意识大多比较淡薄，在使用计算机上网后，尤其是登陆到互联 网后，对一些不明信息、软件及程序不加以辨别任意浏览、下载、安装、使用，往往给病毒及黑客攻击造成 2007 年全国电力企业信息化大会论文集 71 可乘之机，是网络病毒泛滥，黑客攻击，局域网

5、泄密的主要根源之一。另一方面，对于网络安全的投 入不够。决策者往往对网络安全投入重视不够，认为网络安全的资金投入是一次性的问题，一次性购 置网络安全产品便可以“天下太平”。其实没有哪件事情可以一蹴而就，计算机网络技术发展迅速，今 天的先进产品和技术明天就可能被淘汰了，如果想一次投入来解决网络安全，势必造成网络安全防 护落后的局面。 4) 局域网的网络技术人员的水平有待提高 政府和企业的局域网的技术人员的技术水平大多相对落后，这是一个普遍存在的现象。政府和企 业的局域网建设一般借助于计算机及网络供应商来完成，然后由企业内部人员进行运行 、 维 护 。 如 果 ， 没有一个良好的培训机制提高内部人

6、员的技术水平，便不能及时对局域网进行安全检测，发现安全 隐患，进行安全防护，一旦网络遭到攻击，势必损失惨重。 5) 现有的计算机软硬件产品本身存在安全隐患 现有的计算机操作系统存在大量的安全漏洞，及易受到网络病毒和黑客的攻击，造成网络系统 泄密甚至瘫痪。例如，利用微软系统漏洞进行传播的“冲击波”、“震荡波”蠕虫病毒，于去年和今年在 互联网和局域网上大面积爆发，造成了巨大的损失。 2 采取应对措施 2.1 采取相应的网络安全技术及产品 ? 防火墙 尽管近年来各种网络安全技术在不断涌现，但到目前为止防火墙仍是网络系统安全保护中最常 用的技术。防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件

7、，也可能是硬件和软件的 结合，这种安全部件处于被保护网络和其它网络的边界，接收进出被保护网络的数据流，并根据防 火墙所配置的访问控制策略进行过滤或作出其它操作，防火墙系统不仅能够保护网络资源不受外部 的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与 Internet 之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为 Intranet 防火墙。 ? 网络安全扫描技术 网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措 施，从而降低系统的安全风险而发展起来的一种安全技术。利用安全扫描技术，可以对局域网络 、 Web 站点、

8、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网 络系统中存在的不安全的网络服务，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服 务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞 和配置错误。 ? 网络入侵检测技术 网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查， 并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做 出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。 利用网络入侵检测技术可以实现网络安全检

9、测和实时攻击识别，但它只能作为网络安全的一个 重要的安全组件，网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全 解决方案，其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应，但其侧重点还 是在于发现，而不能代替防火墙系统执行整个网络的访问控制策略。 2007 年全国电力企业信息化大会论文集 72 ? 黑客诱骗技术 黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊 系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐（Honeypot）系统， 其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，通过精心的

10、伪装使得黑客在进入 到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中 。 该项技术实施起来比较困难，需要 有经验的网络安全专家的支持。 在实际网络系统的安全实施中，可以根据系统的安全需求，配合使用各种安全技术来实现一个 完整的网络安全解决方案。例如目前常用的自适应网络安全管理模型，就是通过防火墙、网络安全扫描 、 网络入侵检测等技术的结合来实现网络系统动态的可适应的网络安全目标。这种网络安全管理模型认 为任何网络系统都不可能防范所有的安全风险，因此在利用防火墙系统实现静态安全目标的基础上， 必须通过网络安全扫描和实时的网络入侵检测，实现动态的、自适应的网络安全目标。该模型利用网络 安全

11、扫描主动找出系统的安全隐患，对风险作半定量的分析，提出修补安全漏洞的方案，并自动随 着网络环境的变化，通过入侵特征的识别，对系统的安全作出校正，从而将网络安全的风险降低到 最低点。 对现阶段信息安全服务商的选择，应该着重考察理论高度、实践深度、工作态度、服务能力和资质评 估等。 2.2 加强对网络系统安全的管理 采用网络安全技术及产品的同时，还要加强网络安全管理。 ? 按照涉密计算机按等级进行安全防护。除网络中的重要设备如对，服务器、路由器、中心交换机 等加强安全防护外，还要对涉及企业核心秘密或内容的部门、岗位的计算机按照涉密等级进行安全防 护。例如，对财务等部门建立局域网内的子网，为其安装子

12、网的防火墙，对涉及的子网或计算机不接 入互联网或广域网。同时对上述设备的接触人员应严格限制，并对相应的设备指定专责人负责设备的 安全。 ? 统一接入互联网的出口，并在广域网和互联网的出口分别加装防火墙。局域网同广域网或互 连网连接时必须在路由器端加装防火墙，尤其接入互联网时，要统一出口，要做好安全防护措施， 并经有关部门和专家评估论证后，方可实施。只允许局域网中的计算机通过统一出口接入互联网，并 对接入互联网的计算机要严格控制和管理。因为随着网络技术的发展，接入互联网的方式越来越多， 不采用统一出口的方式，不利于管理，不能保证网络安全，不加控制的话，将会给网络造成重大安 全隐患。 ? 加强对上

13、网人员的要求，控制出入局域网的计算机，对能连接到互联网的单位和个人要加 强管理，要求其不得到互联网上随意浏览、下载、安装、使用不明信息、软件和程序，防止以上内容中隐藏 病毒和黑客后门程序，给病毒和黑客的攻击提供方便。同时对这些部门的微机要重点进行病毒 、 黑 客程 序的安全检测。 ? 及时更新网络安全设备操作系统。对网络安全设备、服务器、路由器、交换机、桌面计算机、操作系 统以、防病毒软件、入侵检测软件等的补丁要及时下载，并更新使用，保证系统的健康性。 2.3 强化内部人员的安全培训 对内部人员进行安全培训，强化从高层到基层人员的安全意识。安全培训计划可阶段性地进行， 可以分成三个不同的层次，

14、即初级、中级和高级。 初级培训的对象包括所有人员，培训的内容主要是角色与责任、政策与程序，旨在强化所有人员 的安全意识与责任；中级培训对象包括中层及以上领导、技术管理人员、系统所有者等。教育培训的内容 2007 年全国电力企业信息化大会论文集 73 包括安全核心知识、风险管理、资源需求与合同需求等，旨在强化人员的安全能力与安全意识，加大对 网络安全的投入。第三层为高级培训，对象包括信息安全人员、系统管理人员，内容主要包括操作/应用 系统、协议、安全工具、技术控制、风险评估、安全计划和认证评估，旨在提高整体的安全管理水平。 结束语： 局域网的安全是一个比较复杂的问题，涉及的内容较多，并不是各个安全组件的简单叠加，而 安全硬件产品、厂商服务支持与企业内部管理三者之间相互协同的动态防御体系。不论是政府还是企 业，只有充分了解自己的实际情况，综合考虑安全需求、技术、管理、相观法律法规等各方面因素，才能 建立起适合自己的安全防御体系。