曾金繁

江西省興國縣信息中心 江西 342400

0 前言

辦公局域網(wǎng)一般是基于TCP/IP協(xié)議并采用了Internet的通信標準和Web信息流通模式的Intra-net，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄露、設備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴重后果，給正常的工作造成極大的負面影響。

網(wǎng)絡本身的脆弱性和通信設施脆弱性共同構成了計算機網(wǎng)絡的潛在威脅。網(wǎng)絡設計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規(guī)劃則非常有限。這樣，伴隨計算機與通信技術的迅猛發(fā)展，網(wǎng)絡攻擊與防御技術循環(huán)遞升，原來網(wǎng)絡固有優(yōu)越性的開放性和互聯(lián)性變成信息的安全性隱患之便利橋梁。網(wǎng)絡安全已變成越來越棘手的問題，只要是接入到因特網(wǎng)中的主機都有可能被攻擊或入侵了，而遭受安全問題的困擾。

網(wǎng)絡安全缺陷產(chǎn)生的原因主要有：

第一、TCP/IP的脆弱性：因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多，并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。

第二、網(wǎng)絡結(jié)構的不安全性：因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。

1 辦公局域網(wǎng)常見的安全問題

1.1 欺騙性的軟件使數(shù)據(jù)安全性降低

由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號 ID等信息的一種攻擊方式，最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的信任。

1.2 服務器區(qū)域沒有進行獨立防護

計算機病毒及惡意代碼的威脅、局域網(wǎng)用戶安全意識不強、IP地址沖突，造成網(wǎng)絡不穩(wěn)定，出現(xiàn)經(jīng)常掉網(wǎng)現(xiàn)象。

1.3 黑客入侵與病毒感染

黑客入侵：目前的辦公局域網(wǎng)基本上都采用以廣播為技術基礎的以太網(wǎng)。在同一以太網(wǎng)中，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅可以為這兩個節(jié)點的網(wǎng)卡所接收，也同時能夠為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。另外，為了工作方便，辦公局域網(wǎng)都備有與外網(wǎng)和國際互聯(lián)網(wǎng)相互連接的出入口，因此，外網(wǎng)及國際互聯(lián)網(wǎng)中的黑客只要侵入網(wǎng)絡內(nèi)部中的任意節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關鍵信息；而本網(wǎng)絡中的黑客則有可能非常方便的截取任何數(shù)據(jù)包，從而造成信息的失竊。

病毒感染：隨著計算機和網(wǎng)絡的進步和普及，計算機病毒也不斷出現(xiàn)，總數(shù)已經(jīng)超過20000種，并以每月300種的速度增加，其破環(huán)性也不斷增加，而網(wǎng)絡病毒破壞性就更強。一旦文件服務器的硬盤被病毒感染，就可能造成系統(tǒng)損壞、數(shù)據(jù)丟失，使網(wǎng)絡服務器無法起動，應用程序和數(shù)據(jù)無法正確使用，甚至導致整個網(wǎng)絡癱瘓，造成不可估量的損失。

網(wǎng)絡病毒普遍具有較強的再生機制，可以通過網(wǎng)絡擴散與傳染。一旦某個公用程序染了毒，那么病毒將很快在整個網(wǎng)絡上傳播，感染其它的程序。由網(wǎng)絡病毒造成網(wǎng)絡癱瘓的損失是難以估計的。一旦網(wǎng)絡服務器被感染，其解毒所需的時間將是單機的幾十倍以上。

1.4 數(shù)據(jù)破壞

在辦公局域網(wǎng)系統(tǒng)中，有多種因素可能導致數(shù)據(jù)的破壞。

首先是黑客侵入，黑客基于各種原因侵入網(wǎng)絡，其中惡意侵入對網(wǎng)絡的危害可能是多方面的。其中一種危害就是破壞數(shù)據(jù)，可能破壞服務器硬盤引導區(qū)數(shù)據(jù)、刪除或覆蓋原始數(shù)據(jù)庫、破壞應用程序數(shù)據(jù)等。

其次是病毒破壞，病毒可能攻擊系統(tǒng)數(shù)據(jù)區(qū)，包括硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等;病毒還可能攻擊文件數(shù)據(jù)區(qū)，使文件數(shù)據(jù)被刪除、改名、替換、丟失部分程序代碼、丟失數(shù)據(jù)文件；病毒還可能攻擊CMOS，破壞系統(tǒng)CMOS中的數(shù)據(jù)。

第三是災難破壞，由于自然災害、突然停電、強烈震動、誤操作等造成數(shù)據(jù)破壞。重要數(shù)據(jù)遭到破壞和丟失，會造成企業(yè)經(jīng)營困難、人力、物力、財力的巨大浪費。

2 網(wǎng)絡安全防護措施

網(wǎng)絡安全防護的主要技術：認證、加密、防火墻及入侵檢測、虛擬專用網(wǎng)(VPN)技術和數(shù)據(jù)異地備份。

2.1 加強內(nèi)部網(wǎng)絡管理人員以及使用人員的安全意識

很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進程中，最輕易和最經(jīng)濟的方法之一。網(wǎng)絡管理員和終端操作員根據(jù)自己的職責權限，選擇不同的口令，對應用程序數(shù)據(jù)進行合法操作，防止用戶越權訪問數(shù)據(jù)和使用網(wǎng)絡資源。

2.2 網(wǎng)絡防火墻技術

網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的非凡網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被答應，并監(jiān)視網(wǎng)絡運行狀態(tài)(如圖1)。

圖1 網(wǎng)絡防火墻技術

2.3 安全加密技術

加密技術的出現(xiàn)為全球電子商務提供了保證，從而使基于 Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術仍是 21世紀的主流。對稱加密是常規(guī)的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。

2.4 病毒防治

相對于單機病毒的防護來說，網(wǎng)絡病毒的防治具有更大的難度，網(wǎng)絡病毒防治應與網(wǎng)絡管理緊密結(jié)合。網(wǎng)絡防病毒最大的特點在于網(wǎng)絡的管理功能，如果沒有管理功能，很難完成網(wǎng)絡防毒的任務。只有管理與防范相結(jié)合，才能保證系統(tǒng)正常運行。

計算機病毒的預防在于完善操作系統(tǒng)和應用軟件的安全機制。在網(wǎng)絡環(huán)境下，病毒傳播擴散快，僅用單機防殺病毒產(chǎn)品已經(jīng)難以清除網(wǎng)絡病毒，必須有適用于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒產(chǎn)品。為實現(xiàn)計算機病毒的防治，可在局域網(wǎng)上安裝網(wǎng)絡病毒防治服務器，并在內(nèi)部網(wǎng)絡服務器上安裝網(wǎng)絡病毒防治軟件，在單機上安裝單機環(huán)境的反病毒軟件。安裝網(wǎng)絡病毒防治服務器的目標是以實時作業(yè)方式掃描所有進出網(wǎng)絡的文件。本地網(wǎng)絡與其它網(wǎng)絡間的數(shù)據(jù)交換、本地網(wǎng)絡工作站與服務器間的數(shù)據(jù)交換、本地網(wǎng)絡各工作站之間的數(shù)據(jù)交換都要經(jīng)過網(wǎng)絡病毒防治服務器的檢測與過濾，這樣就保證了網(wǎng)絡病毒的實時查殺與防治。

2.5 虛擬專用網(wǎng)(VPN)技術

虛擬專用網(wǎng)絡(VPN)能實現(xiàn)不同網(wǎng)絡的組件和資源之間的相互連接(圖2)。

虛擬專用網(wǎng)絡能夠利用 Internet或其他公共互連網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道，并提供和專用網(wǎng)絡相同的安全和功能保障。同時，要加強 VPN的安全管理，分配的用戶名和密碼進行復雜性設置，采用MAC網(wǎng)卡綁定等方法，對于臨時的 VPN通道接入，則可采用手機發(fā)短信的認證方式，確保VPN安全運行。

圖2 虛擬專用網(wǎng)(VPN)技術

2.6 數(shù)據(jù)備份

網(wǎng)絡遭到破壞之后，最重要的是要確保內(nèi)部數(shù)據(jù)的完整，而其數(shù)據(jù)恢復程度依賴于數(shù)據(jù)備份方案。

數(shù)據(jù)備份的目的在于盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：實時高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復；定期的數(shù)據(jù)存儲、備份與恢復；通過“云”技術或異地服務器實現(xiàn)異地備份。備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或?qū)W(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一。因此，要確實保證數(shù)據(jù)的完整與安全，應定期做好數(shù)據(jù)備份工作，條件允許的要做好數(shù)據(jù)異地備份。

3 總結(jié)

隨著 Internet技術的發(fā)展，網(wǎng)絡安全將會面臨更加嚴峻的挑戰(zhàn)。本文從網(wǎng)絡安全角度出發(fā)，從網(wǎng)絡自身現(xiàn)狀到安全防護等進行了詳細的介紹，希望能對不同的用戶提供參考。

[1] 謝希仁.計算機網(wǎng)絡[M].北京：電子工業(yè)出版社.2008.

[2] 胡道元.計算機局域網(wǎng)[M].北京：清華大學出版社.2010.

[3] 蘇劍飛,王景偉.網(wǎng)絡攻擊技術與網(wǎng)絡安全探析[J].通信技術.2010.

[4] 杜向文.中小企.業(yè)的網(wǎng)絡安全[J].計算機安全.2006.

[5] 葉安新.網(wǎng)絡安全與防火墻技術[J].大眾標準化.2005.