局域网安全技术与病毒防护

摘要：全球化经济的浪潮使企业间和企业内部需要建立一种高效的联系。局域网＋Internet满足了这种需求，发展相当迅速，同时企业的信息安全和病毒防护也显得至关重要。本文通过对网络安全技术的剖析，提出了局域网的安全防护解决方案，对局域网的广泛应用和企业的信息安全具有一定的意义。

关键词：局域网；安全技术；病毒防护

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)17-31302-02

The Safety Technique and Viral Protection of LAN

WANG Yan-ping1, LI Li-rong2

(1.China Heliconpter Research and Development Institute, Jingdezhen 333001, China; 2.College of Automation Engineering, Nanjing University of Aeronautics & Astronautics, Nanjing 210003, China)

Abstract: The globalization economy tide causes the enterprise and the enterprise interior need establishes one kind of highly effective relation. Local Area Network and internet has met this kind of need and develop quite rapidly, simultaneously enterprise's information security and the viral protection also appeared very important. Through to the network security technology analysis and proposed the Local Area Network safe protection solution, This article has certain significance to theLocal Area Network widespread application and enterprise's information security.

Key words: ocal Area Network; safety technique; viral protection

1 引言

随着计算机网络信息的快速发展,人们对计算机网络的依赖愈来愈大。局域网在企业内部已经相当普遍，已成为新经济时代的基础设施。企业内部借助局域网实现信息的交换和共享，但企业局域网不是一个自我封闭的网络系统，也需要通过Internet网络系统与他人实现信息传递、营销、交流、娱乐等。随着网络应用越来越深入各行各业，各种目的的网络攻击和入侵也越来越频繁，网络安全日益成为与国家、政府、企业和个人利益息息相关的大事。

Internet的美妙之处在于你能和每个人都能互相连接，Internet的可怕之处也在于每个人都能和你互相连接。网络安全是一门涉及计算机科学、网络技术、通信技术、信息安全技术等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护， 不受偶然的或恶意的原因而遭受更改、破坏、泄密， 系统连续可靠正常地运行， 网络服务不中断。它有四个基本特征： 保密性、完整性、可用性、可控性。影响网络安全的因素主要有然环境引起的不安全因素，人为因素和作系统及软件本身的因素。

计算机病毒是一种常见的威胁局域网安全方式，受到越来越多的关注。当前，计算机病毒正呈现出传播方式、传播途径以及破坏方式更加多样化趋势。目前计算机病毒的网络化趋势更加明显，病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点：传播方式和途径多样化；病毒的欺骗性日益增强；病毒的传播速度极快；病毒的制作成本降低；病毒变种增多；病毒难以控制和根治；病毒传播更具有不确定性和跳跃性；病毒版本自动在线升级和自我保护能力；病毒编制采用了集成方式等。如何加强局域网病毒防护是保障网络信息安全的关键。

知己知彼，百战不殆。了解和掌握各种网络攻击手段和病毒知识才能有针对性的提高保障局域网安全的能力。构建适合自身企业局域网信息安全的网络。

2 网络攻击方式

目前网络中常见的攻击手段主要分为三个阶段：侦察、窃听和攻击。在侦察阶段主要是端口扫描，经典的扫描命令有ping、tracert、rusers和finger。通过使用扫描可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和他们的软件版本，可以使攻击者间接或直观了解到远程主机所存在的安全问题。“嗅探器”可以很形象的比喻成打入敌人内部的特工，源源不断的将敌人的情报送出来。在网络上Sniffer是一种常用的收集有用数据的方法。这种数据可以是用户的帐户和密码，也可以是一些商用的机密数据等等。在完成侦察和窃听后，常用的侵入手段有IP欺骗、特洛伊木马、缓冲区溢出和病毒等。随着网络的不断发展，这些网络攻击手段更加多样化，其基本特征是一致的。

3 网络病毒

网络病毒的传播速度快，传播范围广，危害也大。网络病毒还特别难以清除，只要有一台工作站的病毒未被彻底清除，整个网络就有可能重新感染。

当计算机感染上病毒出现异常时，人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天，病毒的种类和数量以及所造成的损失不是逐年减少，反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具，已显露出重大缺陷― 对病毒的防范始终滞后于病毒的出现。

随着网络的迅速发展，网络技术的日渐更新，网络时代的计算机信息安全越来越重要，针对网络系统的安全如何研制开发出由过去被动防御为主动防御计算机病毒的新型产品显得尤为重要。特别值得一提的是能开发出通用的能对计算机网络各种病毒都有免疫作用的技术已是全球反病毒机制所面临的巨大挑战，它具有现实的网络信息安全的急迫性。

4 局域网安全技术

计算机网络安全从技术上来讲主要由防火墙、防病毒、入侵检测、网络监控、信息审计和网络加密等。网络安全体系及协议包括网络应用实体结构、ISO/OSI安全参考模型、TCP/IP安全参考模型、IPSec协议SSL协议和SOCKS协议等。要保证局域网的安全应该建立全面的安全防护体系，实现阻止入侵、检测入侵、抵抗入侵和自动恢复的功能。

5 局域网安全防护解决方案

对于局域网内，网络安全防范措施主要有防火墙、加密传输、VPN和入侵检测。

图1 Internet中安全控制过程

防火墙是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络。防火墙在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行；外部对内部网络的访问受到防火墙的限制。防火墙的目的是过滤进出网络的数据包。管理进出网络的访问行为。封堵某些禁止的访问行为。记录通过防火墙的信息内容和活动。对网络攻击进行检测和告警。传统防火墙的优点是通过边界网关防止非法用户进入内部网络、保护网络中脆弱的服务、可监视网络的安全性，并产生报警信息审计和记录网络流量。它也有过份依赖网络拓扑结构、无法防止内部发生的攻击行为、防火墙负担过重、对防火墙的依赖性太强等缺点。最明显的是有绕过防火墙的非法访问。

图2 绕过防火墙的访问

网络数据加密主要有两种方式，即在网络上层(应用层)加密和在物理协议层(IP栈中)加密。前者网管人员可对数据有选择地加密，而后者则是对给定链路上的所有数据都加密。这两种加密方式各有优劣，在应用层加密，网管员对加密对象有选择权。由于其加密数据相对少故而对网络性能影响较小，但它对每个应用软件都必须设置加密参数，比较麻烦且网管人员必须经过培训。而在IP栈中加密由于采用的是强制加密，因此能较好地防止窃听者基于通信量进行分析等手段，保密性较好，但这种极端做法对网络性能影响较大，使网络处理能力降低不少。

VPN作为一种网络信息安全技术包含三种种方式：内部网VPN是在公司总部和它的分支机构之间建立VPN；远程访问VPN在公司总部和远地雇员之间建立VPN；外连网VPN在公司与商业伙伴、顾客、供应商、投资者之间建立VPN。它具有以下优点：能够验证用户身份并严格控制只有授权用户才能访问VPN。提供审计和记费功能，显示何人在何时访问了何种信息；为用户分配专用网络上的地址并确保地址的安全性；对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息；能够生成并更新客户端和服务器的加密密钥；支持公共互联网络上普遍使用的协议，包括IP，IPX等。

图3 内部网VPN

任何一种局域网安全技术都有其自身的优缺点，并不是百分百的可靠。因而针对于不同的局域网应该制定不同的安全策略，实施不同的局域网安全防护解决方案。整体解决方案思路是是防止来自外部和内部的各种入侵和攻击，防止非授权的访问，防止各种冒充、篡改和抵赖等行为，防止信息泄密和被破坏。因此，在建立系统时，必须磨合用户各种需求，综合各种安全技术，整合各种安全管理措施，采取“统一规划，分布实施”的总体战略，实现对系统的总体安全防护。

图4 整体解决方案

6 结束语

网络安全技术和病毒防护是一个涉及多方面的系统工程，既需要采取必要的安全技术来抵御各种攻击，又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此， 局域网信息安全不是一个单纯的技术问题，它涉及整个网络安全系统，包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁，不断健全网络的相关法规，提高网络安全防范的技求是否被授权，从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平，才能有力地保障网络安全。

参考文献：

[1]方勇, 等. 信息系统安全导论[M]. 电子工业出版社，2003.

[2]罗国庆，陈良萍. 网站建设案例精粹[M]. 电子工业出版社，2004.

[3]奠石镁，何蓉. 计算机网络安全技术研究[J]. IT技术，2006(30).

[4]冯登国. 计算机通信网络安全[M]. 清华大学出版社，2001.

[5]李文平. 防火墙技术及其应用浅析[J]. 科技情报开发与经济，2006(20).

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。