本地網絡的安全性分析

馬佳華

92941部隊96分隊 遼寧 125000

0 引言

本地網絡采用先進的網絡技術，用戶群密集而且活躍，安全問題也十分突出。本地網絡的安全風險由多種因素引起，必須從物理、操作、信息、網絡、人員、管理、輻射、通信及計算機的安全等九個方面分析本地網絡的安全性并制定相應的安全解決方案，力爭使本地網絡成為一個全面、有效、系統的安全工程。

1 本地網的物理安全

引入分層網絡設計的方法將一個較大規模的本地網絡系統劃分為幾個較小的部分，它們之間既相對獨立又互相關聯。優良的網絡拓撲結構是本地網穩定可靠運行的基礎。將復雜的網絡清晰地劃分為功能明確的小塊，再具體地完成其相應的業務。現將其應用到本地網中，可將其網絡拓撲結構分為核心層、分布層及接入層。

核心層的規劃目標為處理高速數據流，實現數據分組交換。分布層負責聚合路由路徑，收斂數據流量，將大量低速的鏈接(與接入層設備的鏈接)通過少量寬帶的鏈接接入核心層，以實現通信量的收斂，提高網絡中聚合點的效率，同時減少核心層設備路由路徑的數量。接入層則將流量饋入網絡，執行網絡訪問控制，并且提供相關邊緣服務。對于復雜的本地網規劃而言，分層拓撲結構是最有效的，它的優點在于，它把一個大問題分解成幾個小問題，將局部拓撲結構改變所產生的影響降至最小，減少路由器必須存儲和處理的數據量，提供良好的路由聚合數據流收斂。

2 本地網絡的操作安全

操作安全包括正確使用用戶權限，正確運用系統軟硬件，正確操作終端或服務器等。訪問控制、授權管理、數據備份與數據恢復等是控制操作安全的有效方法。

訪問控制是實現既定安全策略的系統安全技術，通過訪問控制服務可以限制對關鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。

系統安全的根本目標是數據資料的安全，而數據資料是由它的使用者進行存取和維護的。傳統的數據存取和維護都是以新的數據覆蓋舊的數據，對于數據是無心的錯誤或有心的更改，一個管理者無法有效地查出蛛絲馬跡。因此，對數據的存取控制是系統安全的一個重要方面，可以引用授權管理來解決此問題。

操作失誤等原因導致數據損失時，數據恢復就顯得十分重要。無論是數據被清空或硬盤驅動器出現故障，還是格式化誤刪除或病毒引起的數據損失等情況，只要在存儲介質沒有嚴重受損的情況下，大部分數據仍然可以被恢復。當然做好日常的數據備份也是非常必要的。

3 本地網絡的信息安全

病毒與惡意代碼是當前網絡信息安全最大的威脅，在整個本地網絡的電子郵件系統、文件服務器系統、數據庫服務器系統、網絡客戶端系統以及網關和路由器系統等建立防病毒系統是十分必要的。

（1）電子郵件防毒：在郵件服務器上進行安全管理，能很好地解決病毒通過郵件以及通過公共文件復制進行傳播的問題。使用安全的郵件服務器，所有進出郵件服務器的郵件或者共享文件先被保存到臨時目錄，然后通過掃毒引擎進行掃描，發現病毒后進行相應處理，之后再放到相應的郵箱和文件夾中。處理方式包括清除、隔離、刪除、不處理并通過E-mail報警等方式通知發件人和管理員，同時還可以提供詳細的日志以備檢查和參考。

（2）文件服務器或數據庫服務器防毒：本地網絡內的重要服務器通常安裝了NT Server或者Win2000Server。由于重要服務器經常交換大量數據和文件，要保障服務器本身不被病毒侵害，就需要在這些服務器上安裝相應的防病毒軟件。

信息安全的另一個重要方面就是審計。審計是對那些可能危及系統安全的系統級屬性進行連續評估，報告并跟蹤企圖對系統進行破壞的行為。定期進行系統審計可以為網絡管理者提供關于系統安全狀態的一個整體評價，大多數入侵手段可以被這些檢查模擬出來。一些用于網絡入侵的工具也可以被用來對系統進行審計。

4 本地網絡的網絡安全

本地網絡的網絡安全是各安全要素的核心，包括網絡硬件、軟件和協議的保護以及網絡上傳輸信息的保護。

設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、最有效、最經濟的措施之一。防火墻設置在不同網絡或網絡安全域之間信息的惟一出入口，可以過濾進、出網絡的數據，管理進、出網絡的訪問行為，封堵某些禁止的業務，記錄通過防火墻的信息內容和活動，對網絡攻擊進行檢測和告警，起到保護網絡和外部網絡的隔離作用。

網絡間信息的傳輸是通過協議達成的，協議的安全是網絡安全的重點，安全的協議是可靠傳輸的前提。TCP和UDP端口需要在客戶端和服務器之間連接，用來提供可靠的數據連接，常見的有用于FTP服務的21端口，Telne t服務的23端口，SMTP服務的25端口以及HTTP服務的80端口等。有人把服務器比作房子，端口就是通向不同房間(服務)的門，對于入侵者來說，了解房子開了幾扇門，是什么樣的門，門后面有什么就顯得至關重要。入侵者會對可能存在漏洞的門(端口)進行攻擊，一種是利用現有端口中的安全漏洞進行攻擊，另一種就是種植木馬，利用木馬開辟的后門進入主機。所以針對TCP /UDP端口漏洞的安全防御需要，首先要關閉閑置的和有潛在危險的端口，其次要利用“TCP/IP篩選”功能限制服務器的端口，還應該利用防火墻來預防端口掃描。

5 本地網絡的人員安全

從一個組織產生、管理、傳播及保護信息的各個環節來看，人在其中起決定性作用，應當把這個幕后主角“人”納入信息安全的定義中去。信息安全中對人的有效管理稱為“人力防火墻”。對人的管理包括法律、法規與安全政策的約束，安全指南的幫助，安全意識的提高，安全教育與培訓，人力資源管理措施以及安全文化熏陶，建立“人力防火墻”是實現有效信息安全的基礎。“人力防火墻”并不是要代替傳統的技術手段，它只是一種人的原有價值的回歸。

如果把“信息安全”比作一輛馬車，那么“信息安全框架”就是馬車的車架，“人力防火墻”與“技術防火墻”就是馬車上的兩個輪子，“信息系統審計”就是駕車的馬夫，這幾個因素有機結合在一起，才能形成一個較為完整的防御體系，控制好“信息安全”這輛在信息高速公路上飛奔的馬車。

6 本地網絡的通信安全

入侵檢測是保證網絡通信安全的首選安全技術之一。入侵檢測是從各種系統和網絡資源收集信息，然后分析以發現反映外部入侵和內部誤用征兆的一種安全技術。它通過在計算機網絡或計算機系統中的若干關鍵點收集信息并對收集到的信息進行分析，從而判斷網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。其次，數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的，它能夠以很小的代價提供較強的安全保護。另外，虛擬專用網 VPN也可以保證在共享的通信設施上仿真專用的通信網絡。VPN技術采用認證、存取控制、機密性、數據完整性等措施，利用封裝、加密等技術和機制在開放的環境中虛擬出一條安全的通信隧道，保證信息在傳輸中不被偷看、篡改、復制，提供安全的通信傳輸服務。

[1]李圣良.網絡安全技術與應用——基于校園網的網絡安全策略[J].北京大學出版社.2009.