引言

隨著局域網(wǎng)網(wǎng)絡(luò)技術(shù)的發(fā)展和社會(huì)信息化進(jìn)程的加快，現(xiàn)在，人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計(jì)算機(jī)網(wǎng)絡(luò)。盡管計(jì)算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會(huì)因素的各種影響，計(jì)算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實(shí)施攻擊和入侵，給計(jì)算機(jī)網(wǎng)絡(luò)造成很大的損害，因此，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國(guó)共同關(guān)注的焦點(diǎn)。

局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國(guó)際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，很容易遭到來自Internet黑客的各種攻擊。本文在網(wǎng)絡(luò)安全理論指導(dǎo)下，以影響網(wǎng)絡(luò)安全的因素為基礎(chǔ)，討論了局域網(wǎng)網(wǎng)絡(luò)安全體系的設(shè)計(jì)問題，以便達(dá)到構(gòu)建高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)之目的。

1  網(wǎng)絡(luò)安全分析

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多,如系統(tǒng)存在的漏洞、系統(tǒng)安全體系的缺陷、使用人員薄弱的安全意識(shí)及管理制度等,諸多的原因使網(wǎng)絡(luò)安全面臨的威脅日益嚴(yán)重，下面就對(duì)網(wǎng)絡(luò)安全威脅的幾個(gè)主要方式加以分析。

1.1  網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽也叫嗅探器，其英文名是Sniffer,即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)捕獲并進(jìn)行分析的行為。網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)安全上一直是一個(gè)比較敏感的話題,作為一種發(fā)展比較成熟的技術(shù),監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡(luò)管理員的青睞。然而，在另一方面，網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)絡(luò)監(jiān)聽行為,從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。

1.2  信息欺騙

通過篡改、刪除或重放數(shù)據(jù)包進(jìn)行信息欺騙是IP欺騙的一種常用的攻擊手法，攻擊者主要利用TCP/IP和操作系統(tǒng)中的某些缺陷來實(shí)施IP欺騙攻擊，進(jìn)而獲得一個(gè)主機(jī)系統(tǒng)的控制權(quán)（root權(quán)限），為實(shí)施進(jìn)一步的攻擊打下基礎(chǔ)。因此，IP欺騙攻擊屬于一種滲透式攻擊。

1.3  系統(tǒng)和服務(wù)器安全漏洞

只要有程序，就可能存在BUG甚至連安全工具本身也可能存在安全漏洞，幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計(jì)者在修改已知的BUG的同時(shí)，又可能使它產(chǎn)生了新的BUG,系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無據(jù)可査。

1.4  計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一種人為制造的程序，它通過不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤、閃存）或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它就會(huì)自動(dòng)復(fù)制和傳播,破壞計(jì)算機(jī)系統(tǒng)及其資源。目前,全世界流行的病毒已經(jīng)超過2萬余種，并以每月300至500種的速度不斷增長(zhǎng)。所以，必須針對(duì)網(wǎng)絡(luò)時(shí)代計(jì)算機(jī)病毒的特點(diǎn),采取有效的病毒防御措施。

1.5  人為失誤

人為失誤造成損失的例子也不少,人為失誤主要指來自內(nèi)部的威脅，包括內(nèi)部人員有意無意的泄密、更改記錄信息，內(nèi)部非授權(quán)人員有意或無意的偷竊機(jī)密信息，更改網(wǎng)絡(luò)配置和記錄信息，內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)等。

2  構(gòu)建安全網(wǎng)絡(luò)體系結(jié)構(gòu)的原則

鑒于網(wǎng)絡(luò)安全威脅的多樣性、復(fù)雜性及網(wǎng)絡(luò)信息、數(shù)據(jù)的重要性,局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案在設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)當(dāng)遵循一定的原則。

2.1  綜合性和整體性原則

應(yīng)當(dāng)用系統(tǒng)工程的觀點(diǎn)和方法，分析網(wǎng)絡(luò)的安全及防范措施。安全措施主要包括:行政法律手段、各種管理制度（人員審査、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、容錯(cuò)、防病毒、釆用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等，這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2.2  需求和風(fēng)險(xiǎn)以及代價(jià)平衡的原則

對(duì)于任意網(wǎng)絡(luò)，絕對(duì)安全也難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后才能制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

2.3  一致性原則

一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致,包括安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等,都要有安全的內(nèi)容及措施。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始，就應(yīng)考慮網(wǎng)絡(luò)安全對(duì)策，這比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，而且花費(fèi)也要小得多。

2.4  易操作性原則

安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

2.5  分步實(shí)施原則

由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍十分廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的，同時(shí)，由于實(shí)施信息安全措施需要相當(dāng)?shù)馁M(fèi)用支出，因此,分步實(shí)施即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費(fèi)用開支。

2.6  多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是，建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，這樣，當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。

2.7  可評(píng)價(jià)性原則

如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國(guó)家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。

3  網(wǎng)絡(luò)安全設(shè)計(jì)步驟

3.1  明確安全需求，進(jìn)行風(fēng)險(xiǎn)分析

滿足網(wǎng)絡(luò)的安全需求，是一個(gè)網(wǎng)絡(luò)成功運(yùn)行的必要條件，在此基礎(chǔ)上提供強(qiáng)有力的安全保障,是網(wǎng)絡(luò)系統(tǒng)安全的重要原則。網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。

3.2  選擇并確定網(wǎng)絡(luò)安全措施

明確了網(wǎng)絡(luò)系統(tǒng)的目標(biāo)，就可以依據(jù)各種安全規(guī)范和策略，詳細(xì)描述網(wǎng)絡(luò)構(gòu)建的安全需求，通過多種手段和方案的比較以及反復(fù)的試驗(yàn)，從而產(chǎn)生一個(gè)可行的最佳方案。

3.3  方案實(shí)施

設(shè)計(jì)并完成各種安全措施的選配,包括論證實(shí)施方案是否與網(wǎng)絡(luò)安全結(jié)構(gòu)相符。

3.4  試運(yùn)行以及優(yōu)化和改進(jìn)

對(duì)已確定的方案，可進(jìn)入試運(yùn)行階段，以便在運(yùn)行期間對(duì)安全措施進(jìn)行評(píng)估，并在此基礎(chǔ)上提出進(jìn)一步的改進(jìn)和完善網(wǎng)絡(luò)安全措施的方案。

以上設(shè)計(jì)步驟在以往實(shí)際的網(wǎng)絡(luò)構(gòu)建過程中并沒有得到很好的執(zhí)行，大多數(shù)網(wǎng)絡(luò)建設(shè)在一開始的時(shí)候，對(duì)網(wǎng)絡(luò)安全性考慮就不全面。因此，必須采取補(bǔ)救的方案來逐步完善其安全措施。

4  網(wǎng)絡(luò)的安全管理

面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)?，諸多的不安全因素恰恰反映在組織管理和人員使用等方面,而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。所以，理應(yīng)引起重視。信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和處理數(shù)據(jù)的保密性原則,制定出相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。

5 結(jié)語

局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)是一個(gè)涉及多方面的系統(tǒng)工程。在實(shí)際工作中，既需要綜合運(yùn)用文中的以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來,構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，同時(shí)還需要規(guī)范和創(chuàng)建必要的安全管理模式和規(guī)章制度來約束人們的行為。因此，局域網(wǎng)安全不是一個(gè)單純的技術(shù)問題，它涉及整個(gè)網(wǎng)絡(luò)安全系統(tǒng),包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅，不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī)，提高網(wǎng)絡(luò)安全防范技術(shù)，就能有效阻止非法用戶使用網(wǎng)絡(luò)系統(tǒng)對(duì)信息資源進(jìn)行的所有非法活動(dòng)，有力地保障網(wǎng)絡(luò)安全。

20210828_612a31d09836d__局域網(wǎng)的網(wǎng)絡(luò)安全淺析