在當今社會,網(wǎng)絡(luò)越來越重要,信息社會對網(wǎng)絡(luò)的依賴使得計算機網(wǎng)絡(luò)本身運行的可靠性變得至關(guān)重要,也向網(wǎng)絡(luò)管理運行提出了更高的要求。為了保證網(wǎng)絡(luò)的性能,必須使用網(wǎng)絡(luò)管理系統(tǒng)監(jiān)視和控制網(wǎng)絡(luò),即對網(wǎng)絡(luò)進行配置、獲取信息、監(jiān)視網(wǎng)絡(luò)性能、管理故障以及進行安全控制。在連接信息能力、流通能力提高的同時,網(wǎng)絡(luò)安全問題也日益突出。
網(wǎng)絡(luò)開放性帶來安全問題
網(wǎng)絡(luò)的開放性以及其他方面的因素,導致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在很多安全問題。這些安全隱患可以歸結(jié)為以下幾個方面:
一是只要有程序,就可能存在漏洞。幾乎每天都有新的漏洞被發(fā)現(xiàn)和公布,程序設(shè)計者在修改已知漏洞的同時又可能使它產(chǎn)生新的漏洞。此外,系統(tǒng)的漏洞經(jīng)常被黑客攻擊,而且這種攻擊通常不會產(chǎn)生日志,幾乎無據(jù)可查。
二是黑客的攻擊手段在不斷更新。安全工具的更新速度太慢,絕大多數(shù)情況需要人為參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。因此,黑客總是可以找到漏洞進行攻擊。
三是傳統(tǒng)安全工具難于保護系統(tǒng)的后門。防火墻很難考慮到這類安全問題,大多數(shù)情況下,這類入侵行為可以堂而皇之地繞過防火墻而很難被察覺。
四是安全工具的使用受到人為因素的影響。一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶。
五是每一種安全機制都有一定的應(yīng)用范圍和環(huán)境。防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問,但對于內(nèi)部網(wǎng)絡(luò)之間的訪問往往是無能為力的。
增強網(wǎng)絡(luò)安全的防護力
首先是網(wǎng)絡(luò)內(nèi)部,即企業(yè)員工的個人電腦。我們不能保證電腦用戶每一次操作都是正確與安全的,由于如今流行的操作系統(tǒng)或多或少地存在漏洞和缺陷,并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮。一般情況下,可以通過安裝防病毒軟件來防御病毒的威脅,但是面對蠕蟲、木馬程序、后門程序等,防病毒軟件并不能起到很顯著的作用。一旦個人電腦遭到攻擊,就很可能威脅到整個內(nèi)部網(wǎng)絡(luò)和核心區(qū)域。
其次是網(wǎng)絡(luò)結(jié)構(gòu)的安全性。通過部署多層交換機,實現(xiàn)多個VLAN和快速收斂的路由,是保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性與強壯性的比較好方法。在劃分了多個邏輯網(wǎng)絡(luò)和建立符合應(yīng)用的ACL的同時,我們更希望能收集和歸納出整個網(wǎng)絡(luò)的更多安全信息,包括流量的管理、入侵行為和用戶訪問信息。僅通過網(wǎng)絡(luò)設(shè)備提供的日志、SNMP管理是遠遠不夠的,現(xiàn)今的方法是通過部署IDS/IPS來實現(xiàn)。在核心的節(jié)點部署IDS/IPS探點,采集和匯總數(shù)據(jù)包的完整信息,然后提供給網(wǎng)絡(luò)管理人員分析是一個正確的方法。
網(wǎng)絡(luò)安全技術(shù)探討
現(xiàn)階段,為了保證網(wǎng)絡(luò)的正常運行,可采用以下幾種方法:
一是防范網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。煙草網(wǎng)是一個內(nèi)部局域網(wǎng),就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。所以,比較好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,使網(wǎng)絡(luò)免受病毒的侵襲。
二是設(shè)置防火墻。利用防火墻在網(wǎng)絡(luò)通信時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,比較大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。
三是采用入侵檢測系統(tǒng)。入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,并限制這些活動,以保護系統(tǒng)的安全。內(nèi)部局域網(wǎng)采用入侵檢測技術(shù),比較好采用混合入侵檢測,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),構(gòu)架成一套完整的主動防御體系。
四是建立網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、E-mail服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡(luò),截獲網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、E-mail、FTP、Telnet應(yīng)用的內(nèi)容,同時建立保存相應(yīng)記錄的數(shù)據(jù)庫,發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告,予以解決。
五是解決IP盜用問題。在路由器上捆綁IP和MAC地址,當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符。如果相符就放行,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
六是利用網(wǎng)絡(luò)監(jiān)聽并維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)內(nèi)部的侵襲,可以采用對各個子網(wǎng)建立一個具有一定功能的過濾文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序,該軟件的主要功能是長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的過濾文件提供備份。
總之,網(wǎng)絡(luò)安全是一個系統(tǒng)工程,不能僅僅依靠防火墻等單個系統(tǒng),而需要全面考慮系統(tǒng)的安全需求,將密碼技術(shù)等多種安全技術(shù)結(jié)合在一起,形成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。