局域網(wǎng)的安全性分析

局域網(wǎng)的平安性分析摘要在internet/intranet技術迅速開展并得到廣泛應用的今天，網(wǎng)絡平安越來越受到人們的重視。本文分析了內(nèi)部網(wǎng)絡在與互聯(lián)網(wǎng)物理隔離的情況下存在的平安威脅，初步提出了一套平安體系來保護內(nèi)部網(wǎng)絡。關鍵詞內(nèi)部網(wǎng)絡；網(wǎng)絡平安1引言目前，在我國的各個行業(yè)系統(tǒng)中，無論是涉及科學研究的大型研究所，還是擁有自主知識產(chǎn)權的開展中企業(yè)，都有大量的技術和業(yè)務機密存儲在計算機和網(wǎng)絡中，如何有效地保護這些機密數(shù)據(jù)信息，已引起各單位的宏大關注！防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護手段，我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡；另一套用于連接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡，同時使內(nèi)外網(wǎng)物理斷開；另外采用防火墻、入侵檢測設備等。但是，各種計算機網(wǎng)絡、存儲數(shù)據(jù)遭受的攻擊和破壞，80%是內(nèi)部人員所為！(puterrld，jan-uary2002)。來自內(nèi)部的數(shù)據(jù)失竊和破壞，遠遠高于外部黑客的攻擊！事實上，來自內(nèi)部的攻擊更易奏效！2內(nèi)部網(wǎng)絡更易受到攻擊為什么內(nèi)部網(wǎng)絡更容易受到攻擊呢?主要原因如下：(1)信息網(wǎng)絡技術的應用正日益普及，應用層次正在深化，應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展。網(wǎng)絡已經(jīng)是許多企業(yè)不可缺少的重要的組成局部，基于eb的應用在內(nèi)部網(wǎng)正日益普及，典型的應用如財務系統(tǒng)、pd系統(tǒng)、erp系統(tǒng)、s系統(tǒng)等，這些大規(guī)模系統(tǒng)應用親密依賴于內(nèi)部網(wǎng)絡的暢通。(2)在對internet嚴防死守和物理隔離的措施下，對網(wǎng)絡的破壞，大多數(shù)來自網(wǎng)絡內(nèi)部的平安空隙。另外也因為目前針對內(nèi)部網(wǎng)絡平安的重視程度不夠，系統(tǒng)的安裝有大量的破綻沒有去打上補叮也由于內(nèi)部擁有更多的應用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)破綻。(3)黑客工具在internet上很容易獲得，這些工具對internet及內(nèi)部網(wǎng)絡往往具有很大的危害性。這是內(nèi)部人員(包括對計算機技術不熟悉的人)可以對內(nèi)部網(wǎng)絡造成宏大損害的原因之一。(4)內(nèi)部網(wǎng)絡更脆弱。由于網(wǎng)絡速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。(5)為了簡單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機密數(shù)據(jù)的可能性。(6)內(nèi)部網(wǎng)絡的用戶往往直接面對數(shù)據(jù)庫、直接對效勞器進展操作，利用內(nèi)網(wǎng)速度快的特性，對關鍵數(shù)據(jù)進展竊取或者破壞。(7)眾多的使用者所有不同的權限，管理更困難，系統(tǒng)更容易遭到口令和越權操作的攻擊。效勞器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比擬容易得逞。(8)涉密信息不僅僅限于效勞器，同時也分布于各個工作計算機中，目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)視管理方法。(9)由于人們對口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。3內(nèi)部網(wǎng)絡的平安現(xiàn)狀目前很多企事業(yè)單位都加快了企業(yè)信息化的進程，在網(wǎng)絡平臺上建立了內(nèi)部網(wǎng)絡和外部網(wǎng)絡，并按照國家有關規(guī)定實行內(nèi)部網(wǎng)絡和外部網(wǎng)絡的物理隔離；在應用上從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，典型的應用如財務系統(tǒng)、pd系統(tǒng)甚至到計算機集成制造(is)或企業(yè)資源方案(erp)，逐步實現(xiàn)企業(yè)信息的高度集成，構成完善的企事業(yè)問題解決鏈。在網(wǎng)絡平安方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對平安的認識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關規(guī)定，購置局部網(wǎng)絡平安產(chǎn)品，如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡可能遭受到平安威脅而采取的措施，在內(nèi)部網(wǎng)絡上的使用雖然針對性強，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡的高性能、多應用、涉密信息分散的特點，各種分立的平安產(chǎn)品通常只能解決平安威脅的局部問題，而沒有形成多層次的、嚴密的、互相協(xié)同工作的平安體系。同時在平安性和費用問題上形成一個互相對立的場面，如何在其中尋找到一個平衡點，也是眾多企業(yè)中普遍存在的焦點問題。4保護內(nèi)部網(wǎng)絡的平安內(nèi)部網(wǎng)絡的平安威脅所造成的損失是顯而易見的，如何保護內(nèi)部網(wǎng)絡，使遭受的損失減少到最低限度是目前網(wǎng)絡平安研究人員不斷探究的目的。筆者根據(jù)多年的網(wǎng)絡系統(tǒng)集成經(jīng)歷，形成自己對網(wǎng)絡平安的理解，闡述如下。4.1內(nèi)部網(wǎng)絡的平安體系筆者認為比擬完好的內(nèi)部網(wǎng)絡的平安體系包括平安產(chǎn)品、平安技術和策略、平安管理以及平安制度等多個方面，整個體系為分層構造，分為程度層面上的平安產(chǎn)品、平安技術和策略、平安管理，其在使用形式上是支配與被支配的關系。在垂直層面上為平安制度，從上至下地規(guī)定各個程度層面上的平安行為。4.2平安產(chǎn)品平安產(chǎn)品是各種平安策略和平安制度的執(zhí)行載體。雖然有了平安制度，但在心理上既不能把制度理想化，也不能把人理想化，因此還必須有好的平安工具把平安管理的措施詳細化。目前市場上的網(wǎng)絡平安產(chǎn)品林林總總，功能也千差萬別，通常一個廠家的產(chǎn)品只在某個方面占據(jù)領先的地位，各個廠家的平安產(chǎn)品在遵守平安標準的同時，會利用廠家聯(lián)盟內(nèi)部的協(xié)議提供附加的功能。這些附加功能的實現(xiàn)是建立在全面使用同一廠家聯(lián)盟的產(chǎn)品根底之上的。那么在選擇產(chǎn)品的時候會面臨這樣一個問題，即是選擇所需要的每個方面的頂尖產(chǎn)品呢，還是同一廠家聯(lián)盟的產(chǎn)品?筆者認為選擇每個方面的頂尖產(chǎn)品在價格上會居高不下，而且在性能上并不能到達l+1等于2甚至大于2的效果。這是因為這些產(chǎn)品不存在內(nèi)部之間的協(xié)同工作，不能形成聯(lián)動的、動態(tài)的平安保護層，一方面使得這些網(wǎng)絡平安產(chǎn)品本身所具有的強大成效遠沒有得到充分的發(fā)揮，另一方面，這些平安產(chǎn)品在技術實現(xiàn)上，有許多重復工作，這也影響了應用的效率。因此網(wǎng)絡平安產(chǎn)品的選擇應該是建立在相關平安產(chǎn)品可以互相通信并協(xié)同工作的根底上，即實現(xiàn)防火墻、ids、病毒防護系統(tǒng)、信息審計系統(tǒng)等的互通與聯(lián)動，以實現(xiàn)最大程度和最快效果的平安保證。目前在國內(nèi)外都存在這樣的網(wǎng)絡平安聯(lián)盟實現(xiàn)產(chǎn)品之間的互聯(lián)互動，到達動態(tài)反響的平安效果。4.3網(wǎng)絡平安技術和策略內(nèi)部網(wǎng)絡的平安詳細來說包括攻擊檢測、攻擊防范、攻擊后的恢復這三個大方向，那么平安技術和策略的實現(xiàn)也應從這三個方面來考慮。積極主動的平安策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者)層面。內(nèi)部平安破綻在于人，而不是技術。因此，應重點由發(fā)現(xiàn)問題并填補破綻迅速轉(zhuǎn)向查出誰是破壞者、采取彌補措施并消除事件再發(fā)的可能性。假如不知道破壞者是誰，就無法解決問題。真正的平安策略的最正確工具應包括實時審查目錄和效勞器的功能，詳細包括：不斷地自動監(jiān)視目錄，檢查用戶權限和用戶組帳戶有無變更；警覺地監(jiān)視效勞器，檢查有無可疑的文件活動。無論未受權用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞，真正的平安管理工具會通知相應管理員，并自動采取預定行動。在積極查詢的同時，也應該采用必要的攻擊防范手段。網(wǎng)絡中使用的一些應用層協(xié)議，如、telnet，其中的用戶名和密碼的傳遞采用的是明文傳遞的方式，極易被竊聽和獲齲因此對于數(shù)據(jù)的平安保護，理想的方法是在內(nèi)部網(wǎng)絡中采用基于密碼技術的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術，同時采用平安的密鑰分發(fā)技術，這樣既防止用戶對業(yè)務的否認和抵賴，同時又防止數(shù)據(jù)遭到竊聽后被破解，保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃浴９艉蠡謴褪紫仁菙?shù)據(jù)的平安存儲和備份，在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復；針對效勞器網(wǎng)頁平安問題，施行對eb文件內(nèi)容的實時監(jiān)控，一旦發(fā)現(xiàn)被非法篡改，可及時報警并自動恢復，同時形成監(jiān)控和恢復日志，并提供友好的用戶界面以便用戶查看、使用，有效地保證了eb文件的完好性和真實性。4.4平安管理平安管理主要是指平安管理人員。有了好的平安工具和策略，還必須有好的平安管理人員來有效的使用工具和實現(xiàn)策略。經(jīng)過培訓的平安管理員可以隨時掌握網(wǎng)絡平安的最新動態(tài)，實時監(jiān)控網(wǎng)絡上的用戶行為，保障網(wǎng)絡設備自身和網(wǎng)上信息的平安，并對可能存在的網(wǎng)絡威脅有一定的預見才能和采取相應的應對措施，同時對已經(jīng)發(fā)生的網(wǎng)絡破壞行為在最短的時間內(nèi)做出響應，使企業(yè)的損失減少到最低限度。企業(yè)指導在認識到網(wǎng)絡平安的重要性的同時，應當投入相當?shù)慕?jīng)費用于網(wǎng)絡平安管理人員的培訓，或者聘請平安效勞提供商來維護內(nèi)部網(wǎng)絡的平安。4.5網(wǎng)絡平安制度網(wǎng)絡平安的威脅來自人對網(wǎng)絡的使用，因此好的網(wǎng)絡平安管理首先是對人的約束，企業(yè)并不缺乏對人的管理方法，但在網(wǎng)絡平安方面常常無視對網(wǎng)絡使用者的控制。要從網(wǎng)絡平安的角度來施行對人的管理，企業(yè)的指導必須首先認識到網(wǎng)絡平安的重要性，惟有指導重視了，員工才會普遍重視，在此根底上制定相應的政策法規(guī)，使網(wǎng)絡平安的相關問題做到有法可依、有據(jù)可查、有功必獎、有過必懲，最大限度地進步員工的平安意識和平安技能，并在一定程度上造成對蓄意破壞分子的心理震懾。目前許多企業(yè)已認識到網(wǎng)絡平安的重要性，已采取了一些措施并購置了相應的設備，但在網(wǎng)絡平安法規(guī)上還沒有清醒的認識，或者是沒有較為系統(tǒng)和完善的制度，這樣在企業(yè)上下往往會造成對網(wǎng)絡平安的無視，給不法分子以可乘之機。國際上，以is17799/bsi7799為根底的信息平安管理體系已經(jīng)確立，并已被廣泛采用，企業(yè)可以此為標準開展平安制度的建立工作。詳細應當明確企業(yè)指導、平安管理員、財物人員、采購人員、銷售人員和其它辦公人員等各自的平安職責。平安組織應當有企業(yè)高層掛帥，由專職的平安管理員負責平安設備的管理與維護，監(jiān)視其它人員設備平安配置的執(zhí)行情況。單位還應形成定期的平安評審機制。只有通過以上手段加強平安管理，才能保證由平安產(chǎn)品和平安技術組成的平安防護體系可以被有效地使用。5結論要想保證內(nèi)部網(wǎng)絡的平安，在做好邊界防護的同時，更要做好內(nèi)部網(wǎng)絡的管理。所以，目前在平安業(yè)界，平安重在管理的觀念已被廣泛承受。沒有好的管理思想，嚴格的管理制度，負責的管理人員和施行到位的管理程