【文章內(nèi)容簡(jiǎn)介】 礎(chǔ)設(shè)施不需要再埋在地下或隱藏在墻里，網(wǎng)絡(luò)卻能夠隨著實(shí)際需要移動(dòng)或變化。之所以還稱(chēng)是局域網(wǎng)，是因?yàn)闀?huì)受到無(wú)線(xiàn)連接設(shè)備與電腦之間距離的遠(yuǎn)近限制而影 響傳輸范圍，所以必須要在區(qū)域范圍之內(nèi)才可以連上網(wǎng)絡(luò)。無(wú)線(xiàn)局域網(wǎng)的基礎(chǔ)還是傳統(tǒng)的有線(xiàn)局域網(wǎng)，是有線(xiàn)局域網(wǎng)的擴(kuò)展和替換。它只是在有線(xiàn)局域網(wǎng)的基礎(chǔ)上通過(guò)無(wú)線(xiàn)集線(xiàn)器、無(wú)線(xiàn)訪(fǎng)問(wèn)節(jié)點(diǎn)、無(wú)線(xiàn)網(wǎng)橋、無(wú)線(xiàn)網(wǎng)卡等設(shè)備使無(wú)線(xiàn)通信得以實(shí)現(xiàn)。與有線(xiàn)網(wǎng)絡(luò)一樣，無(wú)線(xiàn)局域網(wǎng)同樣也需要傳送介質(zhì)。只是無(wú)線(xiàn)局域網(wǎng)采用的傳輸介質(zhì)不是雙絞線(xiàn)或者光纖，而是紅外或者無(wú)線(xiàn)電波，且以后者使用較多。 3 局域網(wǎng)的安全分類(lèi) 在信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人，使他們受益，同樣，信息也可以用來(lái)對(duì)他們構(gòu)成威脅，造成破壞。因此網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其 在網(wǎng)絡(luò)上傳輸信息的安全信，使其不致因偶然的或者惡意的攻擊遭到破壞 ,網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題 ,也有管理方面的問(wèn)題 ,二方面相互補(bǔ)充 ,缺一不可。 3． 1 局域網(wǎng)的安全現(xiàn)狀 廣域網(wǎng)已經(jīng)有了相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、 IDS等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶(hù)端的安全威脅缺乏必要的安全管理措施，安全威脅較大。末經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶(hù)就可能通過(guò)到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)， 形成極 大的安全隱患。目前，局域網(wǎng)的安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過(guò)程的疏漏增加了安全問(wèn)題的嚴(yán)重程度。 3． 2 物理安全 物理安全主要是指通過(guò)物理隔離實(shí)現(xiàn)網(wǎng)絡(luò)安全 。局域網(wǎng)物理安全主要包括因?yàn)榉?wù)器、網(wǎng)絡(luò)設(shè)備硬件、線(xiàn)路和信息存儲(chǔ)設(shè)備等物理介質(zhì)造成的信息泄露、丟失或服務(wù)中斷。產(chǎn)生的原因主要包括以下幾種： （ 1）電磁輻射與塔線(xiàn)竊聽(tīng)。 （ 2）盜用。 （ 3）偷竊。 （ 4）硬件故障。 （ 5）超負(fù)荷。 （ 6）火災(zāi)及自然災(zāi)害。 在局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做 好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。 3． 3 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)的安全是指通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡(luò)安全的具體含義會(huì)隨著 “角度 ”的變化而變化。比如：從用戶(hù)（個(gè)人、企業(yè)等）的角度來(lái)說(shuō)，他們希望涉及 個(gè)人隱私 或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)。 網(wǎng)絡(luò)安全問(wèn)題主要有如下 情況： 3． 3． 1 非授權(quán)訪(fǎng)問(wèn) 沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪(fǎng)問(wèn)，如有意避開(kāi)系統(tǒng)訪(fǎng)問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪(fǎng)問(wèn)信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶(hù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶(hù)以未授權(quán)方式進(jìn)行操作等。 3． 3． 2 對(duì)信息完整性的攻擊 有幾種類(lèi)型的攻擊可能威脅信息的完整性，即篡改 (modification)、偽裝(masquerading)、重放 (replaying)和否認(rèn) (repudiation)。 3． 3． 3 拒絕服務(wù)攻擊 DoS 是 Denial of Service 的簡(jiǎn)稱(chēng)，即拒絕服務(wù)，造成 DoS 的攻擊行為被稱(chēng)為 DoS 攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的DoS 攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶(hù)請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶(hù)的請(qǐng)求 。 3． 4 系統(tǒng)安全 系統(tǒng)安全問(wèn)題是指服務(wù)器或主機(jī)的操作系統(tǒng)本身的安全。如系統(tǒng)中用戶(hù)賬號(hào)和口令設(shè)置、 文件和目錄存權(quán)限設(shè)置、系統(tǒng)安全管理設(shè)置，以及服務(wù)程序使用管理。在網(wǎng)絡(luò)服務(wù)中，網(wǎng)絡(luò)操作系統(tǒng)起著非常重要的組織作用，所以操作系統(tǒng)的安全關(guān)系到網(wǎng)絡(luò)的整體性能。 系統(tǒng)安全是人們?yōu)榻鉀Q復(fù)雜系統(tǒng)的安全性問(wèn)題而開(kāi)發(fā)、研究出來(lái)的安全理論、方法體系。系統(tǒng)安全的基本原則就是在一個(gè)新系統(tǒng)的構(gòu)思階段就必須考慮其安全性的問(wèn)題，制定并執(zhí)行安全工作規(guī)劃（系統(tǒng)安全活動(dòng)）。并且把系統(tǒng)安全活動(dòng)貫穿于生命整個(gè)系統(tǒng)生命周期，直到系統(tǒng)報(bào)廢為止。 3． 5 應(yīng)用安全 應(yīng)用安全問(wèn)題通常是指主機(jī)上所安裝的應(yīng)用軟件的安全問(wèn)題以及使用人員的人為因素造成的安全問(wèn)題 。例如：有的 Web 服務(wù)器的 HTTP 就有安全漏洞，在使用自己編寫(xiě)的的應(yīng)用程序時(shí)，可能因?yàn)槌绦騿T對(duì)系統(tǒng)安全漏洞認(rèn)識(shí)不足，設(shè)計(jì)與開(kāi)發(fā)中對(duì)安全問(wèn)題重視不夠，造成的本身安全問(wèn)題。 另外，如網(wǎng)上的不可靠站點(diǎn)下載未經(jīng)嚴(yán)格驗(yàn)證的應(yīng)用軟件會(huì)帶入一些木馬、病毒，甚至打開(kāi)匿名郵件都可能被計(jì)算機(jī)病毒感染。 使用人員不要進(jìn)一些不良網(wǎng)站，不明網(wǎng)站，自己不要有意在電腦上、主機(jī)上安裝非法軟件，如盜號(hào)軟件、黑客攻擊軟件等。使用人員在使用時(shí)，要嚴(yán)格按照使用操作程序進(jìn)行。局域網(wǎng)管理人員也要具有一定的網(wǎng)絡(luò)安全管理意識(shí)。 建議在網(wǎng)絡(luò)中對(duì)業(yè)務(wù)匯聚分流路 由器和城域內(nèi)網(wǎng)絡(luò)設(shè)備本身實(shí)現(xiàn)一定的安全考慮。對(duì)設(shè)備本身的安全保護(hù)建議作如下考慮： （ 1） 用戶(hù)口令的認(rèn)證，本地認(rèn)證或 Radius,TACACS。 （ 2） 用戶(hù)級(jí)別的劃分，將可進(jìn)入到設(shè)備的管理用戶(hù)分為多個(gè)級(jí)別，對(duì)不同級(jí)別的用戶(hù)具有不同的訪(fǎng)問(wèn)權(quán)限。 （ 3） 設(shè)置 Log 記錄，對(duì)網(wǎng)絡(luò)設(shè)備的任何有效配置和改動(dòng)均需要相應(yīng)的記錄。 對(duì)于用戶(hù)口令安全方面的考慮，建議采用集中管理的方式，在電信網(wǎng)管中心配置訪(fǎng)問(wèn)控制器，所有設(shè)備的用戶(hù)名、口令、權(quán)限控制都統(tǒng)一管理，避免因分散式管理帶來(lái)的安全漏洞和管理的復(fù)雜性。 在用戶(hù)的資格認(rèn)證方面，有四種常用的認(rèn)證方式 ，分別是： （ 1） 固定用戶(hù)名 /口令； （ 2） 時(shí)效用戶(hù)名 /口令； （ 3） 一次性口令； （ 4） 令牌卡 /軟令牌。 4 局域網(wǎng)安全危險(xiǎn)分析 局域網(wǎng)是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。 目前，在我國(guó)的各個(gè)行業(yè)系統(tǒng)中，無(wú)論是涉及科學(xué)研究的大型研究所，還是擁有自主知識(shí)產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲(chǔ)在計(jì)算機(jī)和網(wǎng)絡(luò)中，如何有效地保護(hù)這些 機(jī)密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注！ 防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段，我們通常認(rèn)為黑客、病毒以及各種蠕蟲(chóng)的攻擊大都來(lái)自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱(chēng)之為內(nèi)部網(wǎng)絡(luò)；另一套用于連接互聯(lián)網(wǎng)檢索資料，稱(chēng)之為外部網(wǎng)絡(luò)，同時(shí)使內(nèi)外網(wǎng)物理斷開(kāi)；另外采用防火墻、入侵檢測(cè)設(shè)備等。但是，各種計(jì)算機(jī)網(wǎng)絡(luò)、存儲(chǔ)數(shù)據(jù)遭受的攻擊和破壞， 80%是內(nèi)部人員所為！ (Computer World， January 20xx)。來(lái)自?xún)?nèi)部的數(shù)據(jù)失竊和破壞，遠(yuǎn)遠(yuǎn)高 于外部黑客的攻擊！事實(shí)上，來(lái)自?xún)?nèi)部的攻擊更易奏效！ 4． 1 內(nèi)部網(wǎng)絡(luò)更容易受到攻擊 為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢 ?主要原因如下： (1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于 Web 的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、 PDM 系統(tǒng)、 ERP 系統(tǒng)、 SCM 系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴(lài)于內(nèi)部網(wǎng)絡(luò)的暢通。 (2)在對(duì) Inter 嚴(yán)防死守和物理隔離的措施下，對(duì)網(wǎng)絡(luò)的破壞，大多數(shù)來(lái)自網(wǎng) 絡(luò)內(nèi)部的安全空隙。另外也因?yàn)槟壳搬槍?duì)內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒(méi)有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺(tái)，自然有更多的系統(tǒng)漏洞。 (3)黑客工具在 Inter 上很容易獲得，這些工具對(duì) Inter 及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員 (包括對(duì)計(jì)算機(jī)技術(shù)不熟悉的人 )能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。 (4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。 (5)為了簡(jiǎn)單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者 提供了竊 取機(jī)密數(shù)據(jù)的可能性。 (6)內(nèi)部網(wǎng)絡(luò)的用戶(hù)往往直接面對(duì)數(shù)據(jù)庫(kù)、直接對(duì)服務(wù)器進(jìn)行操作，利用內(nèi)網(wǎng)速度快的特性，對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。 (7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對(duì)使用者的管理也不是很?chē)?yán)格，對(duì)于那些如記錄鍵盤(pán)敲擊的黑客工具比較容易得逞。 (8)涉密信息不僅僅限于服務(wù)器，同時(shí)也分布于各個(gè)工作計(jì)算機(jī)中，目前對(duì)個(gè)人硬盤(pán)上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。 (9)由于人們對(duì)口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中， 黑客的口令破解程序更易奏效。 4． 2 內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀 目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程，在網(wǎng)絡(luò)平臺(tái)上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國(guó)家有關(guān)規(guī)定實(shí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離；在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、 PDM 系統(tǒng)甚至到計(jì)算機(jī)集成制造 (CIMS)或企業(yè)資源計(jì)劃 (ERP)，逐步實(shí)現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問(wèn)題解決鏈。 在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對(duì)安全的認(rèn)識(shí)，或是根據(jù)國(guó)家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購(gòu)置部分網(wǎng)絡(luò)安全產(chǎn)品，如 防火墻、防病毒、入侵檢測(cè)等產(chǎn)品來(lái)配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對(duì)外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對(duì)性強(qiáng)，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點(diǎn)，各種分立的安全產(chǎn)品通常只能