引言

隨著局域網(wǎng)網(wǎng)絡(luò)技術(shù)的發(fā)展和社會信息化進(jìn)程的加快，現(xiàn)在，人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計算機網(wǎng)絡(luò)。盡管計算機網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會因素的各種影響，計算機網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實施攻擊和入侵，給計算機網(wǎng)絡(luò)造成很大的損害，因此，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國共同關(guān)注的焦點。

局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護措施，很容易遭到來自Internet黑客的各種攻擊。本文在網(wǎng)絡(luò)安全理論指導(dǎo)下，以影響網(wǎng)絡(luò)安全的因素為基礎(chǔ)，討論了局域網(wǎng)網(wǎng)絡(luò)安全體系的設(shè)計問題，以便達(dá)到構(gòu)建高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)之目的。

1  網(wǎng)絡(luò)安全分析

影響計算機網(wǎng)絡(luò)安全的因素很多,如系統(tǒng)存在的漏洞、系統(tǒng)安全體系的缺陷、使用人員薄弱的安全意識及管理制度等,諸多的原因使網(wǎng)絡(luò)安全面臨的威脅日益嚴(yán)重，下面就對網(wǎng)絡(luò)安全威脅的幾個主要方式加以分析。

1.1  網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽也叫嗅探器，其英文名是Sniffer,即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)捕獲并進(jìn)行分析的行為。網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)安全上一直是一個比較敏感的話題,作為一種發(fā)展比較成熟的技術(shù),監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡(luò)管理員的青睞。然而，在另一方面，網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)絡(luò)監(jiān)聽行為,從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。

1.2  信息欺騙

通過篡改、刪除或重放數(shù)據(jù)包進(jìn)行信息欺騙是IP欺騙的一種常用的攻擊手法，攻擊者主要利用TCP/IP和操作系統(tǒng)中的某些缺陷來實施IP欺騙攻擊，進(jìn)而獲得一個主機系統(tǒng)的控制權(quán)（root權(quán)限），為實施進(jìn)一步的攻擊打下基礎(chǔ)。因此，IP欺騙攻擊屬于一種滲透式攻擊。

1.3  系統(tǒng)和服務(wù)器安全漏洞

只要有程序，就可能存在BUG甚至連安全工具本身也可能存在安全漏洞，幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計者在修改已知的BUG的同時，又可能使它產(chǎn)生了新的BUG,系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可査。

1.4  計算機病毒

計算機病毒是一種人為制造的程序，它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、閃存）或程序里。當(dāng)某種條件或時機成熟時,它就會自動復(fù)制和傳播,破壞計算機系統(tǒng)及其資源。目前,全世界流行的病毒已經(jīng)超過2萬余種，并以每月300至500種的速度不斷增長。所以，必須針對網(wǎng)絡(luò)時代計算機病毒的特點,采取有效的病毒防御措施。

1.5  人為失誤

人為失誤造成損失的例子也不少,人為失誤主要指來自內(nèi)部的威脅，包括內(nèi)部人員有意無意的泄密、更改記錄信息，內(nèi)部非授權(quán)人員有意或無意的偷竊機密信息，更改網(wǎng)絡(luò)配置和記錄信息，內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)等。

2  構(gòu)建安全網(wǎng)絡(luò)體系結(jié)構(gòu)的原則

鑒于網(wǎng)絡(luò)安全威脅的多樣性、復(fù)雜性及網(wǎng)絡(luò)信息、數(shù)據(jù)的重要性,局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案在設(shè)計、規(guī)劃時，應(yīng)當(dāng)遵循一定的原則。

2.1  綜合性和整體性原則

應(yīng)當(dāng)用系統(tǒng)工程的觀點和方法，分析網(wǎng)絡(luò)的安全及防范措施。安全措施主要包括:行政法律手段、各種管理制度（人員審査、工作流程、維護保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、容錯、防病毒、釆用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等，這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2.2  需求和風(fēng)險以及代價平衡的原則

對于任意網(wǎng)絡(luò)，絕對安全也難以達(dá)到，也不一定是必要的。對一個網(wǎng)絡(luò)進(jìn)行實際研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后才能制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

2.3  一致性原則

一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致,包括安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計（包括初步或詳細(xì)設(shè)計）及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等,都要有安全的內(nèi)容及措施。實際上，在網(wǎng)絡(luò)建設(shè)的開始，就應(yīng)考慮網(wǎng)絡(luò)安全對策，這比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，而且花費也要小得多。

2.4  易操作性原則

安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。

2.5  分步實施原則

由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴展范圍十分廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的，同時，由于實施信息安全措施需要相當(dāng)?shù)馁M用支出，因此,分步實施即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。

2.6  多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是，建立一個多重保護系統(tǒng)，各層保護相互補充，這樣，當(dāng)一層保護被攻破時,其它層保護仍可保護信息的安全。

2.7  可評價性原則

如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機構(gòu)的評估來實現(xiàn)。

3  網(wǎng)絡(luò)安全設(shè)計步驟

3.1  明確安全需求，進(jìn)行風(fēng)險分析

滿足網(wǎng)絡(luò)的安全需求，是一個網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強有力的安全保障,是網(wǎng)絡(luò)系統(tǒng)安全的重要原則。網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護這些設(shè)備的正常運行，維護主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。

3.2  選擇并確定網(wǎng)絡(luò)安全措施

明確了網(wǎng)絡(luò)系統(tǒng)的目標(biāo)，就可以依據(jù)各種安全規(guī)范和策略，詳細(xì)描述網(wǎng)絡(luò)構(gòu)建的安全需求，通過多種手段和方案的比較以及反復(fù)的試驗，從而產(chǎn)生一個可行的最佳方案。

3.3  方案實施

設(shè)計并完成各種安全措施的選配,包括論證實施方案是否與網(wǎng)絡(luò)安全結(jié)構(gòu)相符。

3.4  試運行以及優(yōu)化和改進(jìn)

對已確定的方案，可進(jìn)入試運行階段，以便在運行期間對安全措施進(jìn)行評估，并在此基礎(chǔ)上提出進(jìn)一步的改進(jìn)和完善網(wǎng)絡(luò)安全措施的方案。

以上設(shè)計步驟在以往實際的網(wǎng)絡(luò)構(gòu)建過程中并沒有得到很好的執(zhí)行，大多數(shù)網(wǎng)絡(luò)建設(shè)在一開始的時候，對網(wǎng)絡(luò)安全性考慮就不全面。因此，必須采取補救的方案來逐步完善其安全措施。

4  網(wǎng)絡(luò)的安全管理

面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡(luò)的安全管理，因為，諸多的不安全因素恰恰反映在組織管理和人員使用等方面,而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問題。所以，理應(yīng)引起重視。信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和處理數(shù)據(jù)的保密性原則,制定出相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。

5 結(jié)語

局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)是一個涉及多方面的系統(tǒng)工程。在實際工作中，既需要綜合運用文中的以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來,構(gòu)成一個統(tǒng)一的防御系統(tǒng)，同時還需要規(guī)范和創(chuàng)建必要的安全管理模式和規(guī)章制度來約束人們的行為。因此，局域網(wǎng)安全不是一個單純的技術(shù)問題，它涉及整個網(wǎng)絡(luò)安全系統(tǒng),包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅，不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī)，提高網(wǎng)絡(luò)安全防范技術(shù)，就能有效阻止非法用戶使用網(wǎng)絡(luò)系統(tǒng)對信息資源進(jìn)行的所有非法活動，有力地保障網(wǎng)絡(luò)安全。

20210828_612a31d09836d__局域網(wǎng)的網(wǎng)絡(luò)安全淺析