顾 迪

(1.河北大学 数学与计算机学院， 河北 保定 071002； 2.北京卫戌区某部， 北京 100000)

浅析局域网安全及其动态联动

顾 迪1,2

(1.河北大学 数学与计算机学院， 河北 保定 071002； 2.北京卫戌区某部， 北京 100000)

网络安全的滞后性，使得网络安全的技术、理论和产品必须随着网络技术的进步而不断发展和进步。必须动态应用所有安全理论和安全产品，根据不同时期的不同需求动态进行安全产品和安全技术的部署和策略调整，才能有效解决网络安全问题。当前内部网络的安全，主要是以防火墙、IDS/IPS、VPN、网络版杀毒、漏洞扫描、网络管理等主流设备构成安全体系。

网络安全；防火墙；IDS/IPS；安全联动；动态安全

1 局域网网络安全现状

随着计算机及网络的普及和发展，我们的生活和工作越来越依赖于网络；与此相关的网络安全问题也随之凸显出来，那么究竟网络安全面临哪些问题？我们将如何解决？

网络安全问题应该主要从以下几个方面加以考虑：

1.1 局域网内网安全

局域网内网安全是局域网安全的核心内容，因为内网的构成千差万别，并且处在不断的发展变化当中，并且内网主要完成网络选路、性能优化和部署应用策略等功能。同时，内网是数据和信息产生的源头，最后，网络的所有应用和计算都是在内网完成的。所以，为了保证网络正常的应用，必须主要针对内网的安全问题建立动态的、可用的、准确的和高效的安全策略，同时要部署相关设备。局域网内网安全主要有以下四个问题：

1.1.1 局域网网络设备安全

局域网的设备主要由完成OSI模型中的物理层、链路层、网络层和部分传输层功能的设备构成的。包括路由器、交换机(含三层)、集线器和连接介质(网线、光纤等)。其中物理层的安全主要表现为电力和综合布线相关内容，我们不做讨论。重点分析一下这些设备的网络层和链路层的安全问题。

对于网络层设备路由器而言，它的安全问题主要是设备自身的安全和路由协议的安全。设备自身的安全表现为：操作系统安全和访问控制安全，类似于PC终端，既要严格执行管理制度，又要制定正确的设备访问策略，包括认证和线路配置。路由器的协议安全是路由器安全的核心，它既包括路由协议的性能优化，又包括路由协议安全特性的正确应用。

对于链路层的交换机设备而言，首先要保证设备的自身安全，同时要保证链路层协议的性能优化和安全特性的正确应用。不同于路由器的是，链路层设备还要考虑接入终端设备的问题。比如：访问控制、非法外连和流量控制(实现QoS)、广播风暴、DHCP欺骗、ARP欺骗等特有的安全问题

1.1.2 局域网终端安全

自身内部的安全问题。包括：病毒、木马、操作系统漏洞、系统入侵、非法进程、系统扫描、密码窃取、账号安全等等。

在系统安全性问题中，主要考虑两个方面：病毒对于网络的威胁，黑客对于网络的破坏和入侵。

病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络。这些病毒在网络上传播和破坏的途径和手段，使得网络环境中防病毒的工作变得更加复杂。网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。

对于网络黑客而言，他们的主要目的在于窃取数据和非法修改系统，其手段之一是窃取合法用户的口令，在合法身份的掩护下进行非法操作；之二是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令进行非法操作。

对于用户的安全性问题所要考虑的是：是否只有那些真正获得授权的用户能够使用系统中的资源和数据？

要解决这一问题，首先要做的是应该对用户进行分组管理，并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说，应该根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据。

其次应该考虑的是强有力的身份认证，其目的是确保用户的密码不会被他人所猜测到。

其他的安全问题主要依赖于专业内网安全管理设备来解决了。

1.1.3 局域网服务器安全

局域网终端负责产生数据，而服务器负责处理和存储。现在的服务器技术已经有传统的C/S模式向B/S模式转化。在很长一段时间之内将是B/S应用为主，C/S和B/S并存的环境。B/S模式是以浏览器作为终端输入输出的接口，数据计算和处理以及存储主要有服务器来完成。所以一方面要保证浏览器的安全和高效，重点要保护好服务器的安全。服务器的安全组要表现为服务器操作系统的安全、服务器软件的安全(包括WEB服务器、数据库服务器、邮件服务器、文件服务器和专用服务器等和应用软件代码的安全。

1.1.4 局域网其他设备安全

局域网其他设备主要表现为终端的各种外设，为了实现网络功能和建设机房所购买的特定的设备，比如UPS、机柜、磁带机等等。这些设备的安全问题主要是物理安全问题。

1.2 内容安全

局域网内容安全实际上是TCP/IP模型的应用层部分，在前文中有所涉及。由于对于大多数网络工作人员来说，他们所使用和关心的主要还是应用的内容部分，包括程序、数据、信息等等。所以，其他的安全问题的终极目标就是为了保证办公人员的网络应用的有用性、可靠性、安全性和高效性。

在前文的局域网终端安全问题中，我们简单讨论了计算机病毒问题，现在我们重点分析一下目前计算机病毒的主要特点和现状。

新增计算机病毒、木马数量呈爆炸式增长，总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营”模式的互联网化成为计算机病毒发展的三大显著特征。同时，病毒制造者的“逐利性”依旧没有改变，网页挂马、漏洞攻击成为黑客获利的主要渠道。

大量的病毒通过网页挂马方式进行传播，采用的方式是下载器对抗安全软件，关闭安全软件然后下载大量盗号木马到用户电脑。从病毒的危害来看绝大多数流行的病毒都为网游盗号类木马，其次是远程控制类木马。

病毒制造进入“机械化”时代。由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化，病毒作者开始按照既定的病毒制作流程制作病毒。病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。

病毒制造的模块化、专业化特征明显。病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块，使得病毒的各方面功能越来越“专业”，病毒技术得以持续提高和发展，对网民的危害越来越大，而解决问题也越来越难。

病毒“运营”模式互联网化。病毒团伙已经完全转向互联网，网民访问带有挂马代码的“正常网站”时，会受到漏洞攻击而“不知不觉”中毒。这种传播方式的特点是快速、隐蔽性强、适合商业化运营(可像互联网厂商一样精确统计收益，进行销售分成)。

病毒团伙对于“新”漏洞的利用更加迅速。病毒与安全软件的对抗日益激烈。而且一些病毒制作者也曾扬言“饿死杀毒软件”。主要是由于大部分杀毒软件加大了查杀病毒的力度，使得病毒为了生存而必须对抗杀毒软件。

2 局域网网络安全分析

局域网安全是在一个局部的地理范围内，将各种计算机、外部设备和数据库等互相连接起来组成的计算机通信网络系统没有被危险虚拟事物侵害的状态。

2.1 从网络的自身特点看安全风险

目前的网络技术，不论是局域网还是广域网，甚至Internet,在原理上应用的都是TCP/IP。局域网中的路由器、交换机、PC、网络安全和管理设备等等绝大多数都要遵循这个协议来构建网络。这是现代网络的国际规范。由TCP/IP构成的网络大致可分为三个级别：应用级、系统级和网络级。在形式上分为：核心层、分布层和接入层。在原理上分为：网络接口层、网络层、传输层和应用层。但是TCP/IP协议本身就存在诸多缺陷，这是现在网络安全问题无法解决的根本原因。也就是说网络模型自身就存在着很严重的安全问题。

TCP/IP的安全问题非常复杂，我们简单讨论以下两个方面：

2.1.1 TCP协议的安全问题

TCP使用三次握手机制来建立一条连接，握手的第一个报文为SYN包；第二个报文为SYN/ACK包，表明它应答第一个SYN包同时继续握手的过程；第三个报文仅仅是一个应答，表示为ACK包。若A方为连接方，B为响应方，其间可能的威胁有：

1) 攻击者监听B方发出的SYN/ACK报文；

2) 攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接；

3) B方响应新连接，并发送连接响应报文SYN/ACK；

4) 攻击者再假冒A方对B方发送ACK包。

这样攻击者便达到了破坏连接的作用，若攻击者再趁机插入有害数据包，则后果更严重。

2.1.2 IP协议的安全问题

IP协议在互连网络之间提供无连接的数据包传输。IP协议根据IP头中的目的地址项来发送IP数据包。也就是说，IP路由IP包时，对IP头中提供的源地址不作任何检查，并且认为IP头中的源地址即为发送该包的机器的IP地址。这样，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。其中最重要的就是利用IP欺骗引起的各种攻击。

2.2 从黑客技术的发展看安全风险

黑客技术的发展也直接影响了网络安全技术的发展。网络技术发展之初，精通编程的技术达人被称之为Hacker(闲逛者)，是真正意义上的技术爱好者。当利益驱动成为网络应用的主流时，有很多黑客转变为Craker(破坏者)，他们同样拥有高超的编程技术，但他们的目标也转变为开发各种简单易用的黑客工具，并分发给普通的黑客甚至只拥有基本网络应用技术的非法人员。黑客工具的不断成熟，使得黑客(Cracker)的队伍与日俱增，网络安全工作主要就是以防范各种黑客工具的攻击为目的。

2.3 从网络攻击的来源看安全风险

从下图可以看出，局域网网络安全问题中的网络攻击的产生来源主要是不满的雇员和黑客，不满的雇员存在于内网；而黑客主要是外网通过边界进入的内网。所以解决局域网网络安全问题的核心就是边界和内网安全。

2.4 从安全管理的现状看安全风险

网络管理的实践表明，网络安全的风险30%在于技术，70%在于管理。因为最终设备是由办公人员来操作使用的，技术不能解决所有的问题，尤其是物理安全问题、权限问题和账号分配问题。很大程度上还是需要制定并严格执行符合企业自身需要的相关管理规章制度。但实际考察后不难发现，大多数应用局域网络的企业都普遍缺乏明确的安全政策与安全管理制度。所以，有效地落实安全管理制度是实现安全的关键。

2.5 深入总结并分析局域网网络安全

从网络安全现状和分析，不难看出产生网络安全的原因主要有：

1) 管理问题。主要是人的因素。

2) 技术问题。根本原因是TCP/IP模型自身的安全问题很严重。同时，所有的问题都发生在TCP/IP的五个层次上面，这也是实现动态安全联动的理论基础。

表1

我们可以得出这样一个结论，TCP/IP模型既是网络安全问题的源头，又是解决网络安全问题的终点。并且，TCP/IP的各个层次并不是孤立的，每一层之间都有相关接口完成特定功能。必须共同解决所有层次的设备加固，同时重点突出攻击的源头所偏爱的攻击方式。即：黑客和内部非法操作人员主要面向应用层、传输层和网络层的攻击。而且主要应用复杂的多种技术混合模式的攻击，而不是传统意义上的单一攻击模式。所谓安全联动，就是应用安全设备和安全技术对主要的攻击手段实现综合监控和管理。由于不同时期、同一时期不同阶段网络安全问题的表现也不尽相同，所以，还要实现动态联动。

针对于应用层、传输层和网络层的安全防护设备主要有：防火墙、IDS/IPS、VPN、网络管理设备、数据备份和恢复设备、漏洞扫描设备等等。其中，网络管理设备又有网络设备管理和PC终端管理等。实际上，最终应用动态安全联动来解决局域网网络安全问题的核心思想就是两个字：隔离。我们可以应用物理隔离和逻辑隔离两种技术。

所谓隔离，就是识别并分离有害信息和数据，保护有用的数据和信息。其中，识别有害信息至关重要，正确识别有害信息既是保证网络可用性的前提条件，也是正确制定网络安全策略的主要依据。分离有害信息和数据结果主要是丢弃并记录日志。

而物理隔离的最终结果是在保证安全的前提下实现有限的应用，只适用于金融、军用、银行等行业部门。大多数企业只能采用逻辑隔离，它的最终结果是保证应用的前提下，实现的是有限的安全。再一次证明了实现网络安全的效果必须是动态的和综合性的技术。并且再一次说明目前不存在任何一种能够解决所有网络安全问题的方法和技术。

3 实现局域网网络安全联动

3.1 网络安全理论

实现网络系统整体安全的理论有很多，我们重点来看一下得到广泛应用的APPDRR模型。

根据APPDRR模型，网络安全的第一个重要环节是风险评估，通过风险评估，掌握网络安全面临的风险信息，进而采取必要的处置措施，使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重要环节，起着承上启下的作用。一方面，安全策略应当随着风险评估的结果和安全需求的变化做相应的更新；另一方面，安全策略在整个网络安全工作中处于原则性的指导地位，其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节，体现了网络安全的静态防护措施。接下来是动态检测、实时响应、灾难恢复三环节，体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。

APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程，即：不存在百分之百的静态的网络安全，网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动，网络安全逐渐地得以完善和提高，从而实现保护网络资源的网络安全目标。

3.2 网络安全技术特点

最终实现动态安全联动当然是网络设备，目前主流应用的网络安全设备主要有防火墙、IDS/IPS、网络版杀毒软件、网络管理设备等。

3.2.1 防火墙

本文所提到的防火墙指的是网络防火墙，而非一般意义上的个人软件防火墙。防火墙的核心功能是实现内外网的访问控制，主要采用状态深度检测技术。拥有路由功能的防火墙可以作为网关置于边界实现NAT、IPSecVPN等功能。现在大部分防火墙都集成IDS/IPS和VPN功能。

作为边界安全网络设备，防火墙可以有效阻止外网黑客针对于网络层、传输层和部分应用层远程攻击。它属于被动防御设备，不能防范内网的攻击行为，集成了IDS/IPS的防火墙也可以同时实现一定程度的主动防御功能。因为处于边界，对于内网的安全问题，防火墙的作用不大。最后，防火墙对于应用层的攻击作用也不大。

3.2.2 IDS/IPS

IDS/IPS(入侵检测和入侵防护)是主动防御设备，一般单独部署于内网。它能够识别已知的网络攻击行为的特征并根据相应策略作出反应。要么提示告警并记录日志(IDS)，要么根据策略阻断非法攻击(IPS)，同时，如果和防火墙实现安全联动，可以将攻击行为的特征通告防火墙，防火墙在边界上自动建立策略，实现边界的访问控制。

3.2.3 网络杀毒

网络杀毒有两种方式：一种是传统的网络版的杀毒软件，由服务器负责病毒库的升级，并向客户端下发执行查杀病毒和升级病毒库的计划任务策略。第二种方式是新兴的硬件防毒墙实现网关杀毒，即在网络边界实现病毒查杀。网络版杀毒软件的服务器端完全可以和防毒墙实现安全联动，服务器把内网边界出现的病毒和网关未发现的病毒的特征码通告防毒墙，防毒墙自动建立新的网关查杀病毒的安全策略。

3.2.4 网络管理

网络管理主要包括网络设备管理和终端PC的管理，可以实现所有支持SNMP协议设备的统一集成管理平台。其中网络设备管理可以实现拓扑管理、性能管理、配置管理、故障管理、流量管理和行为管理等功能，终端PC管理可以实现每台计算机的资产管理、进程管理、网络行为管理、文件审计管理等主要针对于应用层功能的管理。

3.2.5 关于UTM

2004年9月，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别。该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。从这个定义上来看，IDC既提出了UTM产品的具体形态，又涵盖了更加深远的逻辑范畴。

3.3 实现局域网网络安全联动

3.3.1 局域网安全联动的流程

1) 实现边界的访问认证。除了做好所有设备的基本加固以外，采用认证强度更高的Ca认证服务器实现客户端对网络访问认证的统一管理。

2) 防毒墙、网络版杀毒软件和客户端杀毒软件实现安全联动。防毒墙做好基本网关杀毒的策略，网络版杀毒软件服务器负责升级病毒库，并下发查杀病毒和升级病毒库策略。客户端从服务器下载策略并执行任务计划，同时向服务器通告查杀日志，服务器端根据客户端的信息分析病毒活动特征并通告防毒墙，防毒墙自动或人工手动制定新的策略并下发给服务器，由服务器下发给各个客户端。三者共同对新的病毒活动特征作出响应。

3) 漏洞扫描服务器、IDS/IPS和防火墙一起构成安全联动。漏洞扫描除了完成所有设备操作系统的漏洞扫描外，还会针对特定漏洞的危害的程度提出告警，IDS主动跟踪监控网络外部和内部流量发现攻击行为，也提出告警或根据预定义策略进行响应。根据所有的告警，人工或自动的在防火墙中制定响应策略并执行。

4) 网络管理软件同时管理和监控所有支持SNMP协议的网络设备和终端PC，对攻击和病毒以外的对网络可用性、可靠性的网络访问行为进行管理，重点对边界和核心层部分的性能进行监控，并制定相应优化策略。主要对于其他安全设备无法识别的有害行为进行补充管理和集成管理。

3.3.2 局域网安全联动的策略和部署

除了分别制定各自的预定义安全策略外，根据上文安全联动的流程手动地或自动地建立安全策略，并统一执行。

3.3.3 局域网安全联动的监控和管理

为了高效完成所有动态安全联动的工作，应充分发挥人的主观能动性，建立完善的管理制度和详细的操作流程，并建立监督机制，同时建立详尽的规范的网络安全维护的技术文档并统一备案、管理。

[1] 孟学军，石岗.基于P2DR的网络安全体系结构[J].计算机工程，2004，30(4)：99-101.

[2] 梁琳、拾以娟，铁玲.基于策略的安全智能联动模型[J].信息安全与通信保密，2004(2)：35-37.

[3] Yao-Min Chen,Yanyan yang.Policy Management for Network-based Intrusion Detection and Prevention[J].Network Operation and Management Symposium,2004(2)：219-232.

[4] 陈运明.动态网络安全模型的系统研究[J].网络安全，2005(5)：47-49.

[责任编辑：张超]

G203

A

1671-6876(2011)04-0361-05

2011-05-14

顾迪(1989-)，男，江苏淮安人，主要从事网络技术研究。