局域网安全机制研究与病毒防治策略
2014-02-28蔡东山
蔡东山
(国家新闻出版广电总局北京地球站,北京 102206)
局域网安全机制研究与病毒防治策略
蔡东山
(国家新闻出版广电总局北京地球站,北京 102206)
随着In ternet、网络信息技术的迅速发展及各种网络设备应用的日益普及,各单位的局域网成为越来越重要的基础设施,但随之而来的网络安全问题也显得尤为重要,本文重点介绍了局域网安全控制与病毒防护的一些策略。
计算机;局域网安全;VLAN;病毒防治
1 引言
随着信息技术的广泛应用,随之而来的黑客攻击、操作系统漏洞、计算机病毒等事件屡见不鲜,各种网络安全问题也不断出现,如何保护信息网络系统不受病毒和黑客攻击并保障数据传输的安全可靠,是建设局域网必须考虑的。
2 局域网安全
2.1 局域网安全现状
广域网目前防御体系健全,防火墙、防病毒软件、漏洞扫描、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但是,来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过局域网进入网络,形成极大的安全隐患。目前,局域网络安全隐患是由于网络系统本身结构简单导致的,而系统在使用和管理过程的疏漏使安全问题更加严重。
2.2 局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此,局域网内信息的传输速率比较高,但是其采用的技术比较简单,安全措施较少,给病毒传播提供了有效的通道,为数据信息的安全埋下了隐患。局域网的安全威胁有:欺骗性的软件使数据安全性降低;计算机病毒及恶意代码的威胁;服务器区域没有进行独立防护;IP地址冲突;局域网用户安全意识不强。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
2.3 局域网安全解决办法
当前,保证局域网安全的解决办法有以下几种:
2.3.1 网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,也是保证网络安全的一项重要措施,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。
2.3.2 用交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台计算机之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了窃取重要用户数据的机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(B roadcast Packet)和多播包(Mu lticast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
2.3.3 VLAN的划分
为了克服以太网的广播风暴,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的V LAN和基于应用协议的V LAN。基于端口的V LAN虽然稍欠灵活,但相关技术比较成熟,在实际应用中效果显著,广受欢迎;基于MAC地址的V LAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患;而基于协议的V LAN,理论上非常理想,实际应用尚不成熟。
在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个V LAN里不允许有任何用户节点,从而较好地保护了敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
V LAN内部的连接采用交换实现,而V LAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括普遍采用的DEC Multi Switch900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议的,也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客入侵上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Sw itch Po rtAnalyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。
3 局域网病毒防治
上网的人中,很少有谁没被病毒侵害过。要想保证上网安全,必须对以下这三种威胁同时设防:一是以传统宏病毒、蠕虫等为代表的入侵性病毒;二是以间谍软件、广告软件、网络钓鱼软件、木马程序为代表的扩展类威胁;三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。
3.1 三大新威胁
(1)Spyware(间谍软件)。间谍软件主要是用来窃取用户个人资料的恶意程序,如用户使用网上银行、网上购物等电子商务应用时,如果没有相关的防御措施与意识,那么用户的网银账号和密码就很容易被这种软件所窃取。
(2)Adware(广告软件)。广告软件一般表现为用户点击网站后就一连出现好多叠加的网页,很难关闭。它通常都跟某些工具软件绑在一起,当你安装这些软件后,也就跟着进入你的电脑了。它不但占用系统资源,还连着一些特定的网站。除强行向用户推送广告外,更会刺探用户的个人隐私资料,例如姓名、邮箱、银行资料、电话、地址等,因此隐藏着不小的危害性,需要尽快清除。
(3)Phishing(网络钓鱼软件,又称电子黑饵)。Phishing是fishing和phone的缩写,是指盗取他人个人资料、银行及财务账户资料的网络相关诱骗行为,可分为诱骗式及技术式两种。诱骗式是利用特制的电邮,引导收件人连接到特制的网页,这些网页通常会伪装成真正的银行或理财网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等;技术性的Phishing则是将程序安装到受害者的电脑中,直接盗取个人资料或使用木马程序、按键记录程序等。
3.2 网络威胁四大新趋势
总体来说,以前的黑客攻击和犯罪的目的性不很明确,他们大多出于好奇、出风头的目的,而现在多是有组织、有目的的经济犯罪。黑客的攻击大致有四大趋势:
(1)个人资料窃取。近年来利用Phishing攻击的犯罪增长非常快,主要出现在电子商务应用中。黑客假借银行之名给银行用户发电子邮件,提示银行系统升级要求用户重新注册,用户一旦轻信进行注册,银行账号即落入黑客手中,与此伴随的将是你的银行存款不翼而飞。
(2)“僵尸”式入侵。从全球来看,僵尸即机器人(BOT)程序在中国的增长最快,而整个亚太区也居于全球前十名。BOT类似于木马程序,它执行的是预先没有设置好的程序,通过所有被程序控制的“僵尸”电脑一起对某一目标发起攻击。这种攻击的危险性最大,因为它不像病毒那样可以提前监控。
(3)Adware,Spyware偷袭。Symantec的技术中心曾在用户送修的笔记本电脑中发现,其已经被植入了多达近百种的Adw are或Spyw are软件。它们一般通过小的用户在下载Flash和小游戏时安装,由于它们不像病毒和蠕虫那么敏感,于是在不知不觉中入侵你的电脑。现在一些正规的软件厂商也在应用这些软件来搜集用户的资料。尽管目前这类软件不见得都有害,但它们搜集的毕竟是你的个人隐私信息,这也将成为未来防范的重点。
(4)垃圾邮件改头换面。从当前来看,垃圾邮件的总量虽然呈下降态势,但其逃避技术却越来越强。这类邮件中携带着大量的病毒、Phishing、蠕虫、木马及额外的风险。
4 防火墙与路由器
4.1 防火墙与路由器的区别
防火墙为什么就能挡住木马病毒甚至是最新的木马病毒变种呢?很多人认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的Cisco路由器在安全方面作对比,来阐述为什么用户网络中有了路由器还需要防火墙。
(1)两种设备产生的根源不同
路由器的产生是基于对网络数据包路由产生的,路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是能否将不同的网段的数据包进行路由。
防火墙是产生于人们对于安全性的需求,数据包是否可以正确到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过和通过后是否会对网络造成危害。
(2)核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
(3)安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye防火墙的默认配置既可以防止各种攻击,达到既实用又安全,安全策略的制定是基于全中文的GU I的管理工具,其安全策略的制定较人性化,配置简单、出错率低。
(4)对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
(5)审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的响应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确地响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储和单独的日志服务器。针对这两种存储,NetEye防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye防火墙对安全事件的响应的及时性还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
(6)防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要升级IOS为防火墙特性集,此时不但要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
4.2 防火墙的作用
防火墙是根据连接网络的数据包来进行监控的,也就是说,防火墙就相当于一个严格的门卫,掌管系统的各扇门(端口),它负责对进出的人进行身份核实,每个人都需要得到最高长官的许可才可以出入,而这个最高长官,就是你自己了。每当有不明的程序想要进入系统,或者连出网络,防火墙都会在第一时间拦截,并检查身份,如果是经过你许可放行的,防火墙会放行该程序所发出的所有数据包,如果检测到这个程序并没有被许可放行,则自动报警,并发出提示是否允许这个程序放行,这时候就需要你做判断了。一般来说,自己没有运行或者不太了解的程序,我们一律阻拦,并通过搜索引擎或者防火墙的提示确认该软件的性质。
对于黑客攻击,杀毒软件是没有任何办法的,因为黑客的操作不具有任何特征码,杀毒软件自然无法识别,而防火墙则可以把你系统的每个端口都隐藏起来,让黑客找不到入口,自然也就保证了系统的安全。
5 网络使用人员的安全培训
从技术的角度看网络是没有绝对安全的,一个防护体系光有产品是不够的,日常工作学习中养成好的使用习惯也是不可或缺的。用户应该养成如下好习惯:
⊙ 应该定期升级所安装的杀毒软件,给操作系统打补丁、升级引擎和病毒定义码;
⊙ 一定不要打开不认识的邮件,不要随意下载软件,要下载就一定要到正规的网站去下载。同时,网上下载的程序或者文件在运行或打开前要对其进行病毒扫描。如果遇到病毒及时清除,遇到清除不了的病毒,及时提交给反病毒厂商;
⊙ 不要随意浏览黑客网站(包括正规的黑客网站)、色情网站;
⊙ 尽量去备份,其实备份是最安全的,尤其是重要的数据和文章,很多时候,其重要性比安装防御产品更甚;
⊙ 用户每个星期都应该对电脑进行一次全面地杀毒、扫描工作,以便发现并清除隐藏在系统中的病毒;
⊙ 是应该注意尽量不要所有的地方都使用同一个密码,这样一旦被黑客猜测出来,一切个人资料都将被泄漏;
⊙ 上网时不要轻易听信他人通过电子邮件或者P2P软件发来的消息;
⊙ 对于经常使用P2P类下载软件的用户,推荐每个月整理一下磁盘碎片,只要不是频繁地整理碎片是不会对硬盘造成伤害的,另外,
注意不要经常使用低级格式化;
⊙ 当用户不慎感染上病毒时,应该立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描操作,清除一切可以查杀的病毒。如果病毒无法清除,或者杀毒软件不能做到对病毒体进行清晰的辨认,那么应该将病毒提交给杀毒软件公司,杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时,我们的第一反应应该是拔掉网络连接端口或按下杀毒软件上的断开网络连接钮。
6 结束语
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断探索。随着网络应用的发展,计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
[1] 王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007,(5).
[2] 李辉.计算机网络安全与对策[J].潍坊学院学报,2007,(3).
[3] 高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003
[4] 网络信息资源的安全威胁与对策.情报学报,2001
[5] 徐济仁.谈计算机网络的安全[J].广播电视与教育,2002
中心编制的《VHF/UHF无线电监测测向系统开场测试参数和测试方法》标准正式发布实施
根据工业和信息化部公告(2013年第71号),由国家无线电监测中心组织编制的通信行业标准《VHF/UHF无线电监测测向系统开场测试参数和测试方法》(标准号为:YD/T2675-2013)正式发布实施。
该标准的发布实施,是落实《国家无线电管理“十二五”规划》中对无线电管理工作标准化的一项重要举措。它统一了VHF/UHF无线电监测测向系统开场测试,填补了我国无线电管理行业监测测向系统开场测试方法的空白,对于规范我国无线电监测技术设施市场秩序,提高我国无线电监测技术水平,保障频谱资源合理有效使用具有重要意义。
该标准规定了VHF/UHF无线电监测测向系统开场测试的测试条件、测试设置和测试参数及方法,包括监测系统监测灵敏度、监测系统场强测量精度、监测系统频率测量精度、监测系统识别信号能力、测向系统测向灵敏度、测向系统测向精度、测向系统带内抗扰度、测向系统互调抑制度和系统对瞬时信号的监测、测向能力等。
该标准适用于VHF/UHF频段内的无线电监测测向系统的开场测试,包括移动监测测向系统、可搬移监测测向系统、固定监测测向系统的参数测量和在用移动监测测向系统、在用可搬移监测测向系统的参数校验,但固定监测测向系统固定安装后的现场测试不适用于该标准。(王敬焘)
LAN Security Mechanisms and Virus Prevention Strategies
Cai Dongshan
(The Beijing earth station of SARFT, Beijing, 102206)
Along with the rapid developm ent of network information technology and the popularization of network equipment, each unit of local area network becomes more and more important infrastructure, but the problem of network security is particularly important, this article introduces some strategies of local area network security control and virus protection.
Computer; LAN Security; VLAN; Virus prevention
10.3969/j.issn.1672-7274.2014.05.007
TP393
A
1672-7274(2014)05-0027-05
