李清霞

（广东工业大学，广州 510095）

1 局域网通信安全的评估指标

局域网通信安全是指企业内部网络系统的硬件、软件及其系统中的数据受到保护，不受恶意的或者偶然的原因而遭到破坏、更改、外泄，使网络系统连续、可靠、正常地运行，以及网络服务不被中断[1]。

在网络信息安全的标准化中，众多国际标准化组织如ISO、BSI（英国标准化机构）等，在安全需求服务分析指导、安全技术机制开发、安全评估标准等方面制定了许多标准及草案（如BS7799、ISO27001等），在针对局域网通信安全方面，提出了不少具体的、可量化的评估指标，现将其总结并归纳如下[2,3]：

1.1 物理安全指标

局域网的操作者及其各种网络设备能够最大限度地避免水灾、火灾、地震和雷击等自然灾害的袭击；局域网及其网络设备所处的工作环境和综合布线符合有关标准及规范；杜绝失窃、破坏、非法断电、操作错误等人为的不良倾向[2,4]。

1.2 拓扑结构安全指标

局域网中各子网必须隔离，相互之间的通信应由局域网第三层的互联设备完成；局域网用户与外网之间的通信必经硬件防火墙过滤；对外服务器（例如WEB服务器）应与局域网内部的服务平台完全隔离；远程访问的接入尽量采用加密设备[2,3]。

1.3 操作系统安全指标

采用安全性高、漏洞小的操作系统；拥有安全配置服务，如身份验证、客户权限、审计日志、数据加密和完整性服务；可以执行数字签名、访问控制、注册保护、性能监视等安全机制；关闭有安全隐患的业务功能，及时给操作系统打补丁[3,5]。

1.4 应用软件安全指标

应用软件的选型着重考虑其稳定性及安全性；在使用中应能贯彻安全措施，如通讯授权、传输加密、访问控制、权限控制、数据加密等[5]。

1.5 信息系统安全指标

局域网的各种信息只为授权用户使用，不被泄露给非授权的用户和实体；信息在利用、传输、贮存等过程中不被篡改、丢失和缺损；信息及相关的信息资产在授权人需要的时候，可以立即获得[2,3]。

1.6 管理机制安全指标

网络管理科目（配置管理、性能管理、故障管理、安全管理）健全，能够实时检测、监控、报告（记录）和预警网络安全的事故；能够及时发现非法入侵行为并追踪线索，为破案提供原始依据；建有严格的网络管理规章制度，杜绝人为因素(例如违规操作、内部泄密）引起的安全事故[2,3,5]。

2 局域网通信安全的技术依托

局域网的通信安全系统属于主动防御式系统，因此必须具有相应的技术支撑才能成功构建，从技术层面考虑，局域网通信安全依托主要是由连接设备安全技术、域控制技术、防火墙技术、防病毒技术和监控技术共同承担[7～9]。

2.1 连接设备安全技术

由于局域网各连接设备分别作为网络中各大小不同节点的核心设备，因此它们的安全性首先受到关注。连接设备的安全技术是指安全性能、安全设置和安全管理。现举局域网交换机为例：[9,10]。

2.1.1 安全性能

1）采用MAC模式或IP模式的数据过滤数据包，根据过滤规则决定转发还是丢弃该数据包。

2）配置基于端口的安全访问控制协议802.1X，阻止非法用户进入局域网内部，保障网络的通信安全。

3）安装SNMP v3 或SSH 的安全网管功能，有效防止非授权用户对管理信息的修改、伪装和窃听，保护重要数据的安全性。

2.1.2 安全设置

1）VLAN设置——将整个局域网划分为若干个大小不同的虚拟子网，并限制它们之间的通信。

2）端口安全设置——限制访问交换机上某个端口的MAC地址以及IP的个数，实现严格控制对该端口的输入量。

3）流量控制设置——当交换机本地端口拥塞数据流时，暂停其他端口的数据发送，直至恢复常态。

4）安全认证设置——利用交换机内置的802.1x协议是基于端口的访问控制协议，通过对连接到局域网的合法用户进行认证和授权。

2.1.3 安全管理

1）注重工作环境——严格依照交换机在温度、湿度、卫生、供电、静电、磁场和接地等方面的工作环境规范和标准放置交换机。

2）配置不同密码——配置内容相对复杂的远程登录密码、console口配置密码、特权密码等，并定时更换新密码。

3）堵塞安全漏洞——关闭交换机内置如HTTP后台服务、自动协商链路聚集、CDP协议服务、定向广播转发等功能，截断非法入侵者的攻击渠道。

4）备份配置文件——定期查看交换机的操作系统和相关配置文件是否被擅改，撰写运行记录和安全日志，并且进行备份。

2.2 域控制技术

域控制技术是一种在安全边界内完全接受控制的网络管理技术，它内置了账户、密码等信息构成的数据库。任何用户接入网络时，域控制器会自动鉴别该用户的账号密码是否属于本域，若身份信息有错则拒绝登录局域网。此外，域控制技术可以将网络资源的分配细化到任一用户，各工作站的软硬件配置完全由管理员统一控制，避免了网络资源及客户端的软硬件受到有意或无意的擅改或破坏[8,9]。

域控制技术在局域网通信安全方面的实施主要在于用户的授权管理和目录进入控制，整合在活动目录中（包括用户的访问和登录权限等），集中控制用户授权不仅能在每一个目录中的对象上定义，而且还能在每一个对象的每个属性上定义，这一点是以前任何管理技术所不能达到的，活动目录还可以提供存储和应用程序作用域的安全策略（包含帐户信息，密码限制、特定域资源访问权等），以及安全策略的存储及应用范围。

2.3 防火墙技术

防火墙技术在局域网通信安全方面的实施，主要通过三个方面进行：

1）根据状态数据包筛选决定允许通过安全网络线路和应用程序层代理服务的数据包。

2）进行线路筛选，为多平台访问以及众多的 Internet 协议和服务提供了应用程序透明线路网关。

3）采用应用程序筛选检查与处理客户端计算机中应用程序协议（例如 HTTP、FTP 和 Gopher）内的命令，分析应用程序的数据流，以及提供指定应用程序的处理，包括检查、筛选或阻塞、重定向等。

2.4 防病毒技术

现代防病毒技术是构建以防病毒服务器为核心配置的系统，其最大的优势是能够自动更新病毒库，同步控制各客户端的查杀病毒工作，并且能够实时监测各工作站因病毒感染而出现的异常状态，主要的技术特征功如下[6,7,11]：

1）可作为防病毒软件的控制中心，及时通过Internet更新病毒库，并强制局域网中已开机的客户端及时更新病毒库软件。

2）记录各个客户端的病毒库升级情况、局域网中计算机病毒出现的时间、类型以及后续处理措施。

3）对工作站本机的内存、文件的读写进行监控；根据预定的处理方法处理带毒文件；监控邮件收发软件、根据预定处理方法处理带毒邮件。

4）对局域网内的应用服务器进行全面防护，包括Unix/Linux服务器，从而切断病毒在服务器内的寄生和传播。

5）检测微软Windows平台的安全漏洞和补丁安装状态，并且给出详细报表和警示。

2.5 监控技术

监控技术应用于局域网通信安全的监测和控制，能够实时监测网络的各项安全性能指标，为局域网通信安全状况提供可靠的依据，能够及时发现网络上的各种安全隐患，使管理员能够有针对性地排查和解决局域网通信安全故障。监控技术主要是指入侵检测（IDS）、内网监视和服务器监控[6,7,13]。

2.5.1 入侵检测（IDS）

IDS是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。其主要技术功能有：

1）识别黑客入侵手段---通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。

2）监控网络异常通信---对网络中不正常的通信连接做出快速反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被IDS系统发现到并作出警告。

3）防系统漏洞攻击---通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。

4）完善安全管理---通过对入侵的检测及反应，有效地阻止网络犯罪行为，通过监测、统计分析、报表等功能，可以进一步完善网络安全管理。

2.5.2 内网监视

内网监视的范围覆盖路由器以内的所有主机，也能够对外网接入进行全方位监控。监视的内容包括网络的利用率和网络的数据流量（每秒帧数、每秒字节数和每秒广播数），还有邮件监控、Webmail发送监视、聊天及P2P监控、流量监控、并发连接数限制和应用软件限制监控、FTP和TELNET命令监视、网页发送文件监视等。

2.5.3 服务器监控

局域网内各应用服务器通常是攻击者的主要目标，因此对服务器的监控应从以下几个方面进行[6,12,13]：

1）监测服务器硬件性能及网络响应状况。例如CPU的利用率、可用物理内存值、可用连接数、队列长度等信息，了解服务器及其网络资源的使用瓶颈、带宽和流量等物理状态，实时地发现及预报服务器潜在的硬件或软件平台的安全故障。

2）监测安全系统日志。例如有效和无效的登录尝试以及与资源使用相关的事件。检查运行系统日志程序及所有用户使用系统的状况。检查日志程序所定期生成的报表，通过报表分析是否存在安全异象。

3）监测是否受到网络攻击。在欠缺入侵检测系统的情况下，一般可以通过目录和文件系统信息、网络日志文件信息、程序执行异象信息、未授权的网络硬件连接和网络资源访问这几种渠道去查找服务器是否被入侵。

3 结论

局域网通信安全架构由安全技术、安全服务和安全支持这三者构成，影响安全性的最大因素是安全技术解决方案的设计与实施。在当前及未来的局域网通信环境中，迫切需要一种集多技术为一体的、立体化的安全系统保证局域网的通信安全。未来的局域网通信安全技术在安全监控管理、多级化分层管理、管理协议的标准化、性能综合评价与反应机制等几个方面将会得到更进一步的发展。

[1] 王淑江.网络安全[M].机械工业出版社,2007,11-276.

[2] 谢宗晓,郭立生.信息安全管理体系应用手册——ISO/IEC 27001标准解读及应用模板[M].中国标准出版社,2008,78-200.

[3] 王英梅,屈微.BS7799信息安全管理体系认证指南[M].中国计量出版社,2004,36-198.

[4] 中国标准出版社第四编辑室,信息安全标准汇编·技术与机制卷·物理安全技术分册[M].中国标准出版社,2009,78-122.

[5] 最新网络信息安全标准汇编[M].中国科技出版社,2009,112-178.

[6] 刘宝旭,蒋文保.黑客入侵的主动防御[M].电子工业出版社,2007,2-226.

[7] 袁德明,乔月圆.计算机网络安全[M].电子工业出版社,2007,12-226.

[8] 蒋建军.网络实用技术[M].上海交通大学出版社,2005,18-39.

[9] 刘晓辉,杨兴明.中小企业网络管理员实用教程[M].科学出版社,2006,55-203.

[10]刘晓辉.网管从业宝典:交换机·路由器·防火墙[M].重庆大学出版社,2008,5-269.

[11]刘晓辉.网管从业宝典:安全维护·防黑防毒·备份恢复[M].重庆大学出版社,2008,28-269.

[12]吴建业,吴进.服务器实战专家[M].电子科技大学出版社,2004,46-227.

[13]王国庆.网络攻击的模式及防范[M].西安交通大学出版社,2005,60-94.