滨州市局(有限公司) 孙亦帅
在当今社会,网络越来越重要,信息社会对网络的依赖使得计算机网络本身运行的可靠性变得至关重要,也向网络管理运行提出了更高的要求。为了保证网络的性能,必须使用网络管理系统监视和控制网络,即对网络进行配置、获取信息、监视网络性能、管理故障以及进行安全控制。在连接信息能力、流通能力提高的同时,网络安全问题也日益突出。
网络开放性带来安全问题
网络的开放性以及其他方面的因素,导致了网络环境下的计算机系统存在很多安全问题。这些安全隐患可以归结为以下几个方面:
一是只要有程序,就可能存在漏洞。几乎每天都有新的漏洞被发现和公布,程序设计者在修改已知漏洞的同时又可能使它产生新的漏洞。此外,系统的漏洞经常被黑客攻击,而且这种攻击通常不会产生日志,几乎无据可查。
二是黑客的攻击手段在不断更新。安全工具的更新速度太慢,绝大多数情况需要人为参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。因此,黑客总是可以找到漏洞进行攻击。
三是传统安全工具难于保护系统的后门。防火墙很难考虑到这类安全问题,大多数情况下,这类入侵行为可以堂而皇之地绕过防火墙而很难被察觉。
四是安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户。
五是每一种安全机制都有一定的应用范围和环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问,但对于内部网络之间的访问往往是无能为力的。
增强网络安全的防护力
首先是网络内部,即企业员工的个人电脑。我们不能保证电脑用户每一次操作都是正确与安全的,由于如今流行的操作系统或多或少地存在漏洞和缺陷,并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷。一般情况下,可以通过安装防病毒软件来防御病毒的威胁,但是面对蠕虫、木马程序、后门程序等,防病毒软件并不能起到很显著的作用。一旦个人电脑遭到攻击,就很可能威胁到整个内部网络和核心区域。
其次是网络结构的安全性。通过部署多层交换机,实现多个VLAN和快速收敛的路由,是保证网络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑网络和建立符合应用的ACL的同时,我们更希望能收集和归纳出整个网络的更多安全信息,包括流量的管理、入侵行为和用户访问信息。仅通过网络设备提供的日志、SNMP管理是远远不够的,现今的方法是通过部署IDS/IPS来实现。在核心的节点部署IDS/IPS探点,采集和汇总数据包的完整信息,然后提供给网络管理人员分析是一个正确的方法。
网络安全技术探讨
现阶段,为了保证网络的正常运行,可采用以下几种方法:
一是防范网络病毒。网络病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。烟草网是一个内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。所以,最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
二是设置防火墙。利用防火墙在网络通信时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
三是采用入侵检测系统。入侵检测系统能够识别出任何不希望有的活动,并限制这些活动,以保护系统的安全。内部局域网采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,构架成一套完整的主动防御体系。
四是建立网络安全监测系统。在网络的www服务器、E-mail服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获网上传输的内容,并将其还原成完整的www、E-mail、FTP、Telnet应用的内容,同时建立保存相应记录的数据库,发现在网络上传输的非法内容,及时向上级安全网管中心报告,予以解决。
五是解决IP盗用问题。在路由器上捆绑IP和MAC地址,当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符。如果相符就放行,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
六是利用网络监听并维护子网系统安全。对于网络内部的侵袭,可以采用对各个子网建立一个具有一定功能的过滤文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,该软件的主要功能是长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的过滤文件提供备份。
总之,网络安全是一个系统工程,不能仅仅依靠防火墙等单个系统,而需要全面考虑系统的安全需求,将密码技术等多种安全技术结合在一起,形成一个高效、通用、安全的网络系统。