摘 要:随着计算机网络和互联网的发展,局域网安全问题越来越受到人们的重视和关注。为了使局域网的安全措施能全方位地应对各种不同的威胁,确保网络信息的保密性、完整性和可用性。同时为了确保信息的安全与畅通,文中对局域网的安全以及防范措施进行了研究。
关键词:网络安全分析; 网络体系结构; 网络安全设计; 信息保密
中图分类号:TP3931 文献标识码:A
文章编号:2095-1302(2012)01-0063-03
LAN Network Security Analysis
XUE Zhe
(Shaanxi Province Product Quality Supervision and Inspection, Xi’an 710054, China)
Abstract: With the development of computer networks and the Internet, LAN security problem is getting people′s attention and concern. In order to be comprehensive LAN security measures to respond to a variety of threats, ensure that the network of information confidentiality, integrity and availability. Meanwhile, in order to ensure safety and smooth flow of information, the text of LAN security and preventive measures studied.
Keywords: network security analysis; network architecture; network security design; information security
0 引 言
随着局域网网络技术的发展和社会信息化进程的加快,现在,人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。尽管计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成很大的损害,因此,网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。
局域网是与Inernet互连的。由于Internet的开放性、国际性与自由性,局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自Internet 黑客的各种攻击。本文在网络安全理论指导下,以影响网络安全的因素为基础,讨论了局域网网络安全体系的设计问题,以便达到构建高质量、高稳定性、高可靠性的安全网络之目的。
1 网络安全分析
影响计算机网络安全的因素很多,如系统存在的漏洞、系统安全体系的缺陷、使用人员薄弱的安全意识及管理制度等,诸多的原因使网络安全面临的威胁日益严重,下面就对网络安全威胁的几个主要方式加以分析。
1.1 网络监听
网络监听也叫嗅探器,其英文名是Sniffer,即将网络上传输的数据捕获并进行分析的行为。网络监听在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直备受网络管理员的青睐。然而,在另一方面,网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
1.2 信息欺骗
通过篡改、删除或重放数据包进行信息欺骗是IP欺骗的一种常用的攻击手法,攻击者主要利用TCP/IP和操作系统中的某些缺陷来实施IP欺骗攻击,进而获得一个主机系统的控制权(root权限),为实施进一步的攻击打下基础。因此,IP欺骗攻击属于一种渗透式攻击。
1.3 系统和服务器安全漏洞
只要有程序,就可能存在BUG甚至连安全工具本身也可能存在安全漏洞,几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时,又可能使它产生了新的BUG,系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。
1.4 计算机病毒
计算机病毒是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、闪存)或程序里。当某种条件或时机成熟时,它就会自动复制和传播,破坏计算机系统及其资源。目前,全世界流行的病毒已经超过2万余种,并以每月300至500种的速度不断增长。所以,必须针对网络时代计算机病毒的特点,采取有效的病毒防御措施。
1.5 人为失误
人为失误造成损失的例子也不少,人为失误主要指来自内部的威胁,包括内部人员有意无意的泄密、更改记录信息,内部非授权人员有意或无意的偷窃机密信息,更改网络配置和记录信息,内部人员破坏网络系统等。
2 构建安全网络体系结构的原则
鉴于网络安全威胁的多样性、复杂性及网络信息、数据的重要性,局域网网络系统安全方案在设计、规划时,应当遵循一定的原则。
2.1 综合性和整体性原则
应当用系统工程的观点和方法,分析网络的安全及防范措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
2.2 需求和风险以及代价平衡的原则
对于任意网络,绝对安全也难以达到,也不一定是必要的。对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后才能制定规范和措施,确定本系统的安全策略。
2.3 一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致,包括安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始,就应考虑网络安全对策,这比在网络建设好后再考虑安全措施,不但容易,而且花费也要小得多。
2.4 易操作性原则
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
2.5 分步实施原则
由于网络系统及其应用扩展范围十分广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的,同时,由于实施信息安全措施需要相当的费用支出,因此,分步实施即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
2.6 多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是,建立一个多重保护系统,各层保护相互补充,这样,当一层保护被攻破时,其它层保护仍可保护信息的安全。
2.7 可评价性原则
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
3 网络安全设计步骤
3.1 明确安全需求,进行风险分析
满足网络的安全需求,是一个网络成功运行的必要条件,在此基础上提供强有力的安全保障,是网络系统安全的重要原则。网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是网络的基本安全需求。
3.2 选择并确定网络安全措施
明确了网络系统的目标,就可以依据各种安全规范和策略,详细描述网络构建的安全需求,通过多种手段和方案的比较以及反复的试验,从而产生一个可行的最佳方案。
3.3 方案实施
设计并完成各种安全措施的选配,包括论证实施方案是否与网络安全结构相符。
3.4 试运行以及优化和改进
对已确定的方案,可进入试运行阶段,以便在运行期间对安全措施进行评估,并在此基础上提出进一步的改进和完善网络安全措施的方案。
以上设计步骤在以往实际的网络构建过程中并没有得到很好的执行,大多数网络建设在一开始的时候,对网络安全性考虑就不全面。因此,必须采取补救的方案来逐步完善其安全措施。
4 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,因为,诸多的不安全因素恰恰反映在组织管理和人员使用等方面,而这又是计算机网络安全所必须考虑的基本问题。所以,理应引起重视。信息系统的安全管理部门应根据管理原则和处理数据的保密性原则,制定出相应的管理制度或采用相应的规范。
5 结 语
局域网网络安全技术是一个涉及多方面的系统工程。在实际工作中,既需要综合运用文中的以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,同时还需要规范和创建必要的安全管理模式和规章制度来约束人们的行为。因此,局域网安全不是一个单纯的技术问题,它涉及整个网络安全系统,包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,提高网络安全防范技术,就能有效阻止非法用户使用网络系统对信息资源进行的所有非法活动,有力地保障网络安全。
参考文献
[1]高传善,钱松荣.数据通信与计算机网络[M].北京:高等教育出版社,2001.
[2]张亚平.计算机网络安全[M].北京:人民邮电出版社,2004.
[3]李成大,张京.计算机信息安全[M].北京:人民邮电出版社,2004.
[4]孟清,刘运,邝月娟.无线局域网通信安全机制研究[J].现代电子技术,2011,34(9):102-104.
[5]阴国富.无线局域网安全加密算法的研究[J].现代电子技术,2009,32(20):99-100.
[6]孟祥丰.无线局域网安全设置优化研究[J].现代电子技术,2011,34(19):116-118.