【正文】 在對于 QICQ 認證的分析過程中發(fā)現(xiàn)了一個嚴重的安全脆弱性隱患，導(dǎo)致黑客可以簡單的通過網(wǎng)絡(luò)數(shù)據(jù)抓包，破解整個局域網(wǎng)內(nèi)的 QICQ 密碼。但由于在登陸成功后，服務(wù)器返回 的 19 一個可以反向解碼的加密字符成為了最薄弱的安全環(huán)節(jié)。 (3) ARP 欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙 主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù)，另一種讓欺騙主機直接斷網(wǎng)。 (5) 郵件竊聽：網(wǎng)上提供的一類工具可以自動竊聽瀏覽網(wǎng)頁、收信、發(fā)信甚至任何網(wǎng)絡(luò)活動數(shù)據(jù)包中的郵件地址，更利害得是局域網(wǎng)中任何一臺計算機的網(wǎng)絡(luò)數(shù)據(jù)也能竊聽的到，做到別人上網(wǎng)，自己收集郵件，并有自動定時保存地址薄的功能。種類型的 DoS 攻擊源比以前導(dǎo)致 eBay 和雅虎網(wǎng)站癱瘓的攻擊更為狡詐，因為他不是通過向網(wǎng)絡(luò)傾斜大量信息而導(dǎo)致其超負荷而實現(xiàn)的；信息投毒攻擊，即向準備發(fā)布的數(shù)據(jù)流中插入偽信息，如發(fā)表虛假的新聞報道或欺騙性股價信息等；話路劫持，即接管用戶與計算機系統(tǒng)的連接，讓劫持者以用戶的身份進行應(yīng)用軟件的操作，如操縱本應(yīng)該只允許用戶本人使用的財務(wù)軟件或互聯(lián)網(wǎng)基礎(chǔ)設(shè)施管理系統(tǒng)等。而 VoIP 的協(xié)議安全卻是無法忽略的。 20 第五章 局域網(wǎng)安全防范措施 軟件措施 信息技術(shù)的發(fā)展，軟件自身的安全也引起廣大用戶的關(guān)注，軟件安全主要分為系統(tǒng)軟件、應(yīng)用軟件。我們都知 道系統(tǒng)常有漏洞補丁，有些不發(fā)分子就是利用系統(tǒng)的漏洞進行攻擊，盜竊信息，我們要經(jīng)常關(guān)注系統(tǒng)開發(fā)公司發(fā)布的系統(tǒng)漏洞補丁，并打好漏洞補丁，定時對系統(tǒng)進行升級。 應(yīng)用軟件包括很多種類，我們在下載安裝時要從正當軟件下載網(wǎng)站，或軟件開發(fā)公司進行下載安裝，不要到不明網(wǎng)站下載。 殺毒軟件的應(yīng)用（卡巴斯基） （ 1）從卡巴斯基官方網(wǎng)站下在最新版本的殺度軟件到個人電腦上。 26 硬件措施 網(wǎng)絡(luò)安全在硬件上的措施就是 是其網(wǎng)絡(luò)的物理安全，如設(shè)備安全、機房安全等。選擇好的硬件也將為網(wǎng)絡(luò)安全起到一定的安全防范作用。主要的網(wǎng)絡(luò) 安全防護技術(shù)包括 [13]： 防火墻技術(shù) [12] 防火墻是一種隔 離控制技術(shù)，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。 VPN 技術(shù) VPN（ Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。為了保障信息的安全， VPN 技術(shù)采用了 鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。 網(wǎng)絡(luò)檢測技術(shù) 人們意識到僅僅依靠防護技術(shù)是無法擋住所有攻擊，于是以檢測為主要標志的安全技術(shù)應(yīng)運而生。包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。 （ 2） 入侵防御 入侵防御 系統(tǒng)（ Intrusion Prevention System,IPS）則是一種主動的、積極的入侵防范、阻止系統(tǒng)。 IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而 IPS 部署在網(wǎng)絡(luò)的進出口處，當它檢測到攻擊企圖后， 28 會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于 TCP/IP 協(xié)議的過濾方面表現(xiàn)出色，同時具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計、 VPN 等功能。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐 (Honeypot)系統(tǒng)，它是故意讓人攻擊的目標，引誘黑客前來攻擊。 密碼學(xué)技術(shù) 給數(shù)據(jù)加密是計算機網(wǎng)絡(luò)安全的一個重要部分。 加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。密碼系統(tǒng)一般從下列 3 個方面進行分類。 認證技術(shù) 認證又稱為識別或確認。認證則是防止主動攻擊的重要技術(shù)，是應(yīng)用系統(tǒng)保障安全的第一道防線，是用來證實對象是否有效的一種過程。目前，計算機認證方式有口令、密鑰、標識符、帳戶名等。目前，認證技術(shù)重要有消息認證和身份認證。消 息認證的內(nèi)容包括：消息來源是否正確；消息的內(nèi)容是否真實，可曾篡改；消息的序號和時間是否正確。口令是由數(shù)字、字母和一些特殊字符組成的字符串。因此為確?？诹畹陌踩?，應(yīng)采取一些措施。 智能卡技術(shù) 智能卡是將集成電路芯片嵌到一張塑料基片上，集成電路芯片具有數(shù)據(jù)存儲、數(shù)據(jù)處理和安全保密的特點。智能卡被廣泛應(yīng)用。 局域網(wǎng)安全防范措施和策略 在技術(shù)層面，可以采取以下一些防范措施：通信加密、網(wǎng)絡(luò)分段、劃分 VLAN、入侵檢測、漏洞掃描、安裝防火墻和殺毒軟件等。網(wǎng)絡(luò)本身就不是一種安全的信息傳輸通道，網(wǎng)絡(luò)上的任何信息搜是經(jīng)過重重節(jié)點分段傳送到目的地 30 的。通過加密，可采取的防范措施： (1) 通信鏈路層加密：對于連接各涉密節(jié)點的線路，根據(jù)線路種類的不同可以采取相應(yīng)的鏈路級加密設(shè)備。 (2) 網(wǎng)絡(luò)層加密 ：對于網(wǎng)絡(luò)分布較廣，網(wǎng)點較多，采用多種通訊方式的局域網(wǎng)，如果采用多種鏈路加密設(shè)備就會增加成本，也為系統(tǒng)維護增加了困難，在這種情況下最好采用網(wǎng)絡(luò)層加密設(shè)備 (VPN)， IP Sec 是在 TCP/IP 體系中實現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施，而 VPN 設(shè)備正是一種符合 IP Sec 標準的 IP 協(xié)議加密設(shè)備。經(jīng)過對 VPN 的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機通過加密隧道，另一些計算機仍以普通方式傳輸，以達到安全和傳輸效率的最佳平衡。目前建議關(guān)注網(wǎng)絡(luò)安全的單位和用戶采用加密技術(shù)何許你個人網(wǎng)絡(luò)技術(shù)。 另外，在設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)、制定網(wǎng)絡(luò)安全方案時，盡量采用下面的技術(shù)防范措施：進行網(wǎng)絡(luò)分段；進行 VLAN 的劃分；入侵檢測；漏洞掃描；及時安裝系統(tǒng)補丁程序和應(yīng)用軟件的補丁程序 ，安裝殺毒軟件和防火墻，并及時更新升級 [11]。安全管理是一個動態(tài)管理的過程，會隨著時間的推移和業(yè)務(wù)的發(fā)展的變化。因為許多安全問題不是因為產(chǎn)品的功能不佳造成的。因此，信息 安全是管理問題，而非單純的技術(shù)問題。為此網(wǎng)絡(luò)安全管理，應(yīng)從以下幾個方面著手： (1) 提升組織的整體安全意識，加強信息系統(tǒng)的軟硬件建設(shè)的同時，對信息安全管理工作也不能松懈和忽視。 (3) 構(gòu)建安全環(huán)境，積極爭取網(wǎng)絡(luò)安全認證機構(gòu)的合作和支持，同時加強信息安全技術(shù)平臺的建設(shè)，加強企業(yè)內(nèi)部的安全技術(shù)建設(shè)和監(jiān)督管理。 第六章 局域網(wǎng)維護 局域網(wǎng)作為一種計算機網(wǎng)絡(luò)，在網(wǎng)絡(luò)協(xié)議上基本符合 OSI 模型，該網(wǎng)絡(luò)采用 TCP/IP 技術(shù)，實現(xiàn)數(shù)據(jù)的傳輸和處理功能。如何根抓實際利用現(xiàn)有的資源，提高維護下作的效率，是每個網(wǎng)絡(luò)維護管理工作者的職責(zé)， 科學(xué) 靈活的運用局域網(wǎng)的理論和技術(shù)來規(guī)劃、設(shè)計、管理局域網(wǎng)是網(wǎng)管人員需要研究的內(nèi)容。假如配置后，重啟系統(tǒng)錯或使用 winipcfg 檢查不到網(wǎng)卡的配置信息，說明網(wǎng)卡根本沒有被操作系統(tǒng)檢測到。有跳線的網(wǎng)卡要根據(jù)網(wǎng)卡說明書調(diào)整跳線，確保跳線設(shè)置正確。待配置結(jié)束后，重啟系統(tǒng)，再次檢查網(wǎng)卡是否正常。這主要是由于子網(wǎng)掩碼或 IP 地址配置錯誤、網(wǎng)線不通、網(wǎng)絡(luò)協(xié)議錯誤、路由錯誤等幾種情況造成。若通，則說明本機 TCP/IP 工作正常 。有些網(wǎng)卡缺省設(shè)置其速率為 100M，也會導(dǎo)致網(wǎng)絡(luò)不通，需要根據(jù)所連 Hub 或 Switch 口的速率，將其速率設(shè)置為 10M、 100M 或設(shè)成自適應(yīng)網(wǎng)線速率。檢測 HUB 或交換機故障。假如網(wǎng)線和主機都沒有問題、則應(yīng)測量網(wǎng)絡(luò)設(shè)備的地線和零線之間的電壓、假如電壓超過 3V 則表明 HUB 或交換機的供電系統(tǒng)有問題、靜電不能及時釋放、干擾了數(shù)據(jù)信號。利用 MIB 變量瀏覽器、用它收集路由器的路由表、端口流量數(shù)據(jù)、計費數(shù)據(jù)、路由器 CPU 的溫度、負載以及路由器的內(nèi)存余量等數(shù)據(jù)。另外、如兩個路由器直接連接、應(yīng)將一臺路由器的出口連 接另一路由器的入口。網(wǎng)絡(luò)某條線路忽然中斷、用 ping 或 fping 檢查線路在網(wǎng)管中心這邊是否連通、若連續(xù)幾次 ping都出現(xiàn) Requesttimeout 信息、表明網(wǎng)絡(luò)不通。 雙絞線的標準使用 雙絞線的正確聯(lián)接很重要。在 10BaseT 標準中，第 1，第 2 為一對線，第第 6 為一對線。 33 假如線路不正確使用，就起不到渦流抵消的雙絞線作用，使傳輸距離和傳輸速度都要打折扣。假如為 1，3， 2， 6 反接，則為雙機直聯(lián)線，又稱 Hub 集線器級聯(lián)線。服務(wù)器上的軟件價值最高，要非凡注重。軟件維護包括以下幾部分。這些軟件平常應(yīng)該正常運行，但還是要定期檢查。另外有時也有人為的操作錯誤而誤刪一些文件，因此，當服務(wù)器的運行出現(xiàn)異常時，應(yīng)通知維護人員進行檢查。等到發(fā)現(xiàn)這個錯誤時，恐怕已經(jīng)造成重大的影響了。要定期的做磁盤整理、注冊表清理等。這些資料一旦丟失而又沒有備份，后果是非?？膳碌摹＿@樣，就算資料流失了，也只是損失一天的資料而已。有些維護人員只是把工作過程設(shè)定在電腦中，然后將備份設(shè)備開著就不管了。另外，假如備份 的資料具有機密的性質(zhì)，不但要確認每日備份后資料的流向，對過期的備也要進行徹底的銷毀。 34 第七章 參考文獻 [1] 李園 《 無線網(wǎng)絡(luò)安全性威脅及應(yīng)對措施 》 [J].現(xiàn)代 電子 技術(shù) .2021,9194. [2] 張建忠《計算機網(wǎng)絡(luò)基礎(chǔ)》；人民郵電出版社， ， 1~20， 56~78， 211~238 [3] 楊風(fēng)暴《計算機網(wǎng)絡(luò)與通信》；人民郵電出版社， ， 290~310 [4] 趙江、馬憲延《局域網(wǎng)管理精講》；人民郵電出版社， ， [5] 博振書苑《局域網(wǎng)組建、應(yīng)用及維護》；中國鐵道出版社， ， [6] 郭世澤《網(wǎng)絡(luò)安全 — 取證與蜜罐》；人民郵電出版社， [7] 朱建軍《網(wǎng)絡(luò)安全防范手冊》；人民郵電出版社， [8] 張千里《 網(wǎng)絡(luò)安全基礎(chǔ)及應(yīng)用》；人民郵電出版社， [9] 陳錦花 《網(wǎng)絡(luò)安全策略研究》；中國論文下載中心， [10] 周碧英 《 淺析計算機網(wǎng)絡(luò)安全技術(shù) 》； 甘肅 科技 ， ， 18~19 [11] 方剛、江寶釧《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》；月 刊 , ， 37~38 [12] 孫曉南 《 防火墻技術(shù)與網(wǎng)絡(luò)安全 》；科技信息， ， 199~200 [13] 趙立志 、 林偉 《 淺析網(wǎng)絡(luò)安全技術(shù) 》；民營科技， ， 193 [14] 申雪琴 、 祁昌平 《 局域網(wǎng)的安全控制與病毒防治策略 》；中國論文下載中 心， .