淺談局域網(wǎng)中的安全問題

摘要：互聯(lián)網(wǎng)絡(luò)(Internet)起源于1969年的ARPANet，最初用于軍事目的，1993年開始用于商業(yè)應(yīng)用，進(jìn)入快速發(fā)展階段。隨著計算機(jī)網(wǎng)絡(luò)的普及和發(fā)展，人們利用網(wǎng)絡(luò)可以方便快捷地進(jìn)行各種信息處理，計算機(jī)網(wǎng)絡(luò)的應(yīng)用向深度和廣度不斷發(fā)展。網(wǎng)絡(luò)帶給人們便利的同時，也帶來了問題，即網(wǎng)絡(luò)的安全問題。本文主要介紹了局域網(wǎng)絡(luò)管理中的安全問題。

一、引言

網(wǎng)絡(luò)信息既有存儲于網(wǎng)絡(luò)節(jié)點上信息資源，即靜態(tài)信息，又有傳播于網(wǎng)絡(luò)節(jié)點間的信息，即動態(tài)信息。而這些靜態(tài)信息和動態(tài)信息中有些是開放的，有些是保密的。

網(wǎng)絡(luò)安全保護(hù)的核心是如何在網(wǎng)絡(luò)環(huán)境下保證數(shù)據(jù)本身的秘密性、完整性與操作的正確性、合法性與不可否認(rèn)性。而網(wǎng)絡(luò)攻擊的目的正相反，其立足于以各種方式通過網(wǎng)絡(luò)破壞數(shù)據(jù)的秘密性和完整性或進(jìn)行某些非法操作。因此可將網(wǎng)絡(luò)安全劃分為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全防護(hù)兩大類。下面就對網(wǎng)絡(luò)安全隱患和網(wǎng)絡(luò)安全防護(hù)作進(jìn)一步的分析。

二、互聯(lián)網(wǎng)絡(luò)中的安全隱患

2.1利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊

許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞有可能是系統(tǒng)本身所有的，如WindowsNT、UNIX等都有數(shù)量不等的漏洞，也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統(tǒng)入侵等攻擊。

2.2通過電子郵件進(jìn)行攻擊

電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)，無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓，這一點和后面要講到的“拒絕服務(wù)攻擊(DDoS)比較相似。

2.3解密攻擊

在互聯(lián)網(wǎng)上。使用密碼是最常見并且最重要的安全保護(hù)方法，用戶時時刻刻都需要輸入密碼進(jìn)行身份校驗。而現(xiàn)在的密碼保護(hù)手段大都認(rèn)密碼不認(rèn)人，只要有密碼，系統(tǒng)就會認(rèn)為你是經(jīng)過授權(quán)的正常用戶，因此，取得密碼也是黑客進(jìn)行攻擊的重要手法。

2.4后門軟件攻擊

后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。BackOrihce2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權(quán)利，可以對其進(jìn)行完全的控制，除了可以進(jìn)行文件操作外，同時也可以進(jìn)行對方桌面抓圖、取得密碼等操作。這些后門軟件分為服務(wù)器端和用戶端，當(dāng)黑客進(jìn)行攻擊時，會使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦，這些服務(wù)器端程序都比較小，一般會隨附帶于某些軟件上。有可能當(dāng)用戶下載了一個小游戲并運(yùn)行時，后門軟件的服務(wù)器端就安裝完成了，而且大部分后門軟件的重生能力比較強(qiáng)，給用戶進(jìn)行清除造成一定的麻煩。

2.5拒絕服務(wù)攻擊

互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊。實施拒絕服務(wù)攻擊(DDoS)的難度比較小，但它的破壞性卻很大。它的具體手法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶，從而使其無法對正常的服務(wù)請求進(jìn)行處理，而導(dǎo)致網(wǎng)站無法進(jìn)入、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓。現(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對服務(wù)器進(jìn)行拒絕服務(wù)攻擊的進(jìn)攻。它們的繁殖能力極強(qiáng)，一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件，而使郵件服務(wù)器無法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓。

2.6用戶安全意識淡薄

大多數(shù)系統(tǒng)是以用戶為中心的。一個合法的用戶在系統(tǒng)內(nèi)可以執(zhí)行各種操作。管理人員可以通過對用戶的權(quán)限分配，限定用戶的某些行為，以避免故意的或非故意的某些破壞。然而，更多的安全措施必須由用戶自己來完成，比如：

1、密碼控制。一個合理的要求是，由用戶來管理自己的登錄密碼。系統(tǒng)管理員可以更改用戶的密碼，但不能讀取用戶的密碼。用戶必須對自己密碼的安全性，保密性負(fù)責(zé)。一個不好的(或稱為不安全的)密碼事實上不能起到密碼的作用。在下面的分析中，將進(jìn)行具體的分析。同樣，如果不能保證密碼的保密性，自然密碼也是虛設(shè)。

2、文件管理。用戶對自己的文件必須負(fù)責(zé)。對于一般的系統(tǒng)和應(yīng)用，文件的創(chuàng)建者擁有對文件的全部權(quán)限，包括將權(quán)限分配給他人的權(quán)限。如果缺省設(shè)置是文件創(chuàng)建后。僅有文件創(chuàng)建者擁有對文件的權(quán)限，其他人必須顯式得到權(quán)限分配，問題會小些。然而，多數(shù)系統(tǒng)(比如MicrosoftWindows)對文件權(quán)限的設(shè)置是：只要沒有顯式的限制，都是可以訪問的。這樣，對文件訪問的安全問題實際上是交給了用戶自己管理。

三、網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵技術(shù)

3.1防火墻技術(shù)

“防火墻”(Firewall)安全保障技術(shù)主要是為了保護(hù)與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú)節(jié)點。它具有簡單實用的特點，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。防火墻一方面通過檢查、分析，過濾從內(nèi)部網(wǎng)流出的IP包，盡可能地對外部網(wǎng)絡(luò)屏蔽被保護(hù)網(wǎng)絡(luò)或節(jié)點的信息、結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部某些危險地址，實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護(hù)。

3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)：與防火墻相比，數(shù)據(jù)加密技術(shù)比較靈活，更加適用于開放網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù)，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。

3.3智能卡技術(shù)

與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦與它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當(dāng)口令與身份特征共同使用時，智能卡的保密性能還是相當(dāng)有效的。

3.4入侵檢測技術(shù)

入侵檢測屬于面向網(wǎng)絡(luò)邊界的一種安全技術(shù)，其目的在于監(jiān)控資源的使用，檢測系統(tǒng)配置的正確性和安全漏洞，檢測系統(tǒng)程序和數(shù)據(jù)的完整性，并提供報警。以檢測時機(jī)分為實時檢測和事后追蹤；以入侵檢測的信息來源分為基于主機(jī)、基于網(wǎng)絡(luò)和混合性的入侵檢測。入侵檢測工具通常和審計工具及日志工具相配合，共同完成攻擊前的告知、攻擊后的分析任務(wù)，它還可結(jié)合蜜罐策略，引誘攻擊者攻擊一假目標(biāo)，與此同時記錄下詳盡的審計信息以判定攻擊者身份。入侵檢測可以采取數(shù)據(jù)挖掘技術(shù)，指紋技術(shù)、分布式計算技術(shù)、移動代理技術(shù)等提高檢測率。

四、總結(jié)

由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷。以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重。

網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)這些防范措施都有一定的限度，并不是越安全就越可靠。因而，在看一個內(nèi)部網(wǎng)是否安全時不僅要考察其手段，而更重要的是對該網(wǎng)絡(luò)所采取的各種措施，其中不光是物理防范，還有人員的素質(zhì)等其他“軟”因素，只有加強(qiáng)了各方面的建設(shè)和管理，才能使我們的局域網(wǎng)更加安全、可靠。