陈晓东 马 冉

网络信息安全的威胁及对策
——党校局域网建设的体会与应对

陈晓东 马 冉

信息是社会发展的重要战略资源。近10多年来Internet网络飞速发展,电子政务、电子商务等各种信息化系统日益深入应用,信息技术正在改变着传统的生产、经营和生活方式,整个社会和个人的事务越来越依赖信息网络系统。党校也建立起了自己的局域网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了积极的作用。但在发展办公自动化、实现资源共享的同时,人们对局域网络的安全也越来越重视。

信息安全;局域网;建设

ISO国际标准化组织对于信息安全给出了精确的定义,描述是:信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。所以网络信息安全应该由以上两个方面组成,即信息安全和网络安全。其中信息安全主要是指数据安全,包括数据备份、加密、程序等;网络安全包括系统安全,即应用软件、硬件平台、操作系统、运行服务安全。

作为学校信息化重要基础设施的校园局域网,担当着学校教学、科研、管理和对外交流等重要角色,它增强了学校从外部获取信息的能力,而另一方面局域网安全状况也直接影响着学校的教学活动,使得局域网的管理要直面有Internet的开放性所带来的新挑战和新危险。许多局域网由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,在网络建成的初期,安全问题可能还不突出,随着应用的深入,局域网上各种数据的急剧增加,各种各样的安全问题开始困扰网络管理人员。由于网络不安全状态的存在,局域网数据丢失,系统被修改或瘫痪的事情时有发生。因此对建立一个安全、稳定、高效的校园局域网系统,网络安全成为一个非常重要的问题。

一、当前信息安全问题的根源

信息安全问题的根源主要可以从四个方面概括,即物理安全问题、系统安全漏洞、人为因素和方案设计缺陷。

1.物理安全问题。物理安全是其他安全的基础。不能保障物理安全,其他的安全就无从谈起。首先,物理设备的存放位置极为重要,要考虑防盗和访问控制措施。如果条件允许,要把关键的物理设备存放在一个物理上安全的地方(比如专门的中心机房),以降低被盗和非授权访问的可能性。其次,物理设备的环境安全威胁包括温度、湿度、灰尘、供电系统对系统运行可靠性的影响和自然灾害对系统的破坏等。最后是防电磁泄漏,信息系统的电子设备在工作时要产生电磁发射,电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成信息泄露。屏蔽是防电磁泄露的有效措施。

2.系统安全漏洞。随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、数据库、一些桌面软件等都被发现存在安全隐患。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是信息系统安全问题的主要根源之一。

3.人为因素。信息系统的运行是依靠人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。人的因素是信息安全问题的最主要的因素,具体有以下几个方面的表现。第一,人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享都会给信息安全带来威胁。第二,人为的恶意攻击。也就是黑客攻击,这是计算机网络所面临的最大威胁。黑客攻击比病毒破坏更具目的性,因而也更具危害性。更为严峻的是,黑客技术逐渐被越来越多的人掌握和发展,另外现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好、杀伤力强,成为网络安全的主要威胁之一。第三,管理上的因素。网络信息系统的严格管理是企业、机构及用户免受攻击的重要措施。管理的缺陷可能在系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露,从而为一些不法分子造成了可乘之机。

4.方案设计缺陷。网络信息系统的结构往往比较复杂,这就给网络信息系统管理和方案设计带来很多问题。为了实现异构网络信息系统间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性的要求。开放性与安全性正是一对相生相克的矛盾。如果设计者的安全理论和实践水平不够的话,设计出来的方案通常是存在不少漏洞的,这也是安全威胁的根源之一。

二、党校局域网面临的安全问题

校园局域网是一个直接连接互联网的开放式网络,局域网内用户的层次差异较大,局域网的信息安全与用户的安全意识和技能紧密相关,局域网的信息安全从总体结构上可分为,局域网主干网设备的应用安全和局域网用户的应用安全两个部分。对具体的信息安全问题的研究,能有效的解决局域网中的信息安全隐患,从而确保校园局域网安全、稳定、高效地运行。局域网的网络运行环境较为复杂,是一个由多用户、多系统、多协议、多应用组成的网络;局域网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞,不及时修补这些安全漏洞,就会给病毒、木马和黑客的入侵提供方便。对于局域网络来说,面临的主要安全威胁有病毒攻击、内部攻击和黑客攻击三种形式。

1.病毒攻击。计算机病毒是一种通过复制自身来感染其他软件的程序。当程序运行时,嵌入的病毒也随之运行并感染其他程序。下面我就本校局域网内常出现的一种名为“Auto”的病毒举例分析。Auto病毒又称U盘病毒,随着U盘的普及,越来越多的人都把各种文档资料备份在U盘里。病毒制作者将目光渐渐投向了这些经常使用U盘的人,这是一种利用Windows自动播放功能优先执行加载项的病毒程序,使用户的计算机感染该病毒。此病毒的最大特征是无论双击哪个磁盘,都无法打开。除此之外,它在系统中占用大量CPU资源;在每个分区下建立autorun.exe、autorun,inf等隐藏文件;大部分通过U盘、移动硬盘等存储设备传播;可能会引起部分操作系统崩溃;右键单击磁盘显示的菜单第一选项不是“打开”而是“播放”或“Autorun”。对于这种病毒的查杀目前最有效最简单的办法是可以下载Auto病毒专杀或用卡巴斯基,瑞星, NOD32等杀毒软件扫描查杀。当然,良好的使用计算机的习惯也是很重要的,这可以有效地起到对Auto病毒的防范。第一,改变双击习惯,请用户养成使用鼠标右键打开的习惯;第二,在使用U盘时,按住“Shift”键的同时插入USB接口(等于禁用U盘自动播放功能),这可阻止U盘上的病毒传播到系统中。

2.内部攻击。学校局域网内有众多主机及用户,相比来自外部的攻击,来自网内的攻击更为可怕,威胁更大,防不胜防。而学校现有安全技术如防火墙等往往只强调对来自外部的攻击进行防范。同时从我校目前出现的安全威胁来看,造成损失的网络威胁有近四分之三来自内部。至今我仍清晰地记得08年席卷我校局域网的ARP欺骗病毒。当时ARP病毒造成了我校局域网内严重的网络堵塞,使得多台校内计算机无法正常上内外网,影响了正常的办公与教学。该病毒通常都属于木马类型病毒,它不具备主动传播的特性,更不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰整个网络的运行,因此它的危害比一般的蠕虫病毒还要严重。ARP攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯,而且网络对此种病毒没有任何耐受度,只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断。目前ARP系列的攻击方式和手段多种多样,因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。此外,还有几种常用的防范ARP攻击的方法。一种是静态绑定,即将IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。这样的双向绑定比较保险,缺点是每台电脑需绑定,且重启后仍需绑定,工作量较大,虽说绑定可以通过批处理文件来实现但也比较麻烦。再一种是使用防护软件,如ARP防护大师等。ARP攻击是目前网络管理特别是局域网管理中最让人头疼的攻击,其攻击技术含量低,随便一个人都可以通过攻击软件来完成,同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施来防范了。

3.黑客攻击。是利用网络众多的黑客工具如拒绝服务类、缓冲区溢出类、口令猜解等黑客工具对主机或网络进行扫描和攻击。软件漏洞给黑客攻击提供了可乘之机。如我校局域网内被广泛采用的Windows操作系统,网络服务软件如IIS等,一旦被公布发现有漏洞,中文版的漏洞补丁一般会比英文版的补丁滞后,这就给局域网的安全埋下隐患。

三、网络信息安全问题的解决方案

面对日益严重的网络信息安全问题,我们一方面要加强制度管理,提高网络管理人员的安全意识,另一方面也要使用各种技术手段以提高校园网的安全性。校园局域网的安全,并不只是安装一个防火墙或几个补丁程序就可以保障的,我们必须要考虑从整体上建立安全可靠的防御体系结构,为学校局域网的安全提供坚实后盾。

1.VLAN的划分。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。使用VLAN技术优化内部网络结构,增强了网络灵活性,有效地控制了网络风暴,并将不同区域和应用划分为不同的网段进行隔离来控制相互间的访问,达到限制用户非法访问的目的。

2.防火墙的部署。使用硬件防火墙,防火墙可在校园网与外界网络之间建立一道安全屏障,是目前非常有效的网络安全模型,它提供了一整套的安全控制策略,包括访问控制、数据包过滤和应用网关等功能。使用防火墙可以将外界网络(风险区)与校园网(安全区)的连接进行逻辑隔离,在安全策略的控制下进行内外网的信息交换,有效地限制外网对内网的非法访问、恶意攻击和入侵。

3.VPN技术。VPN(虚拟专网)技术的核心是采用隧道技术,将专网的数据加密封装后,通过虚拟的公网隧道进行传输,从而防止敏感文件的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立,通过公网建立VPN,就如通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。我校教师利用VPN在家浏览校内网图书,查阅资料,极大方便了教学备课,提高工作效率,受到教师们的一致好评。

4.安装网络版杀毒产品。为了实现在整个局域网内杜绝病毒的感染、传播和发作,我们在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。在我校网络中心机房服务器上安装有卡巴斯基杀毒软件网络版的系统中心,负责管理学校200多个主机网点。在教师们的办公室及笔记本上分别安装卡巴斯基杀毒软件网络版的客户端。网络中心负责整个校园网的升级工作。为了安全和管理的方便,由网络中心的系统中心定期地、自动地到卡巴斯基网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他200多个主机网点的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。

5.安全管理。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式,制定了详细的安全管理制度,如机房管理制度、信息网络安全应急预案等,并采取切实有效的措施,保证了制度的执行。

随着校园局域网应用的越来越丰富、越来越开放,网络安全已经成为不可忽视的问题。网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括网络系统本身的安全问题,也有物理的和逻辑的技术措施。网络安全和数据保护防范措施都有一定的限度,任何一种技术都不能一成不变地防备新的网络安全问题。因此,建立一套完整安全的防御体系,利用各种技术,并配套上相应的安全管理制度,才能为校园局域网的安全提供有力的保障。

陈晓东,中共济南市委党校助教;马冉,济南师范学校助教(邮政编码 250014)

TP393.08

A

1672-6359(2011)02-0102-03

(责任编辑 马晓黎)