馬福春 崔志云

摘要：隨著信息化建設(shè)的發(fā)展，很多單位建立了園區(qū)網(wǎng)。園區(qū)網(wǎng)不僅是內(nèi)部共享信息的重要手段，而且是一個(gè)重要的展示平臺(tái)。但網(wǎng)絡(luò)本身存在的不安全因素也給各單位的信息資源帶來(lái)了風(fēng)險(xiǎn)。如何在使用網(wǎng)絡(luò)的過(guò)程中保障信息資源的安全是各單位必須解決的問(wèn)題。該文分析了園區(qū)網(wǎng)存在的風(fēng)險(xiǎn)，并給出了相應(yīng)的解決措施。

關(guān)鍵詞：園區(qū)網(wǎng)；安全；防護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）24-5607-02

Study of Campus Network Security and Protection

MA Fu-chun1，CUI Zhi-yun2

（1.PLA Unit 61741， Beijing 10094， China；2.Center for Information Management， Command College of the Chinese Peoples Armed Police Forces， Tianjin 300250，China）

Abstract： With the development of information construction， many enterprises have built their own Campus Network， which is not only convenient to share information resources inside enterprise， but also a very important platform to exhibit the enterprise. However， the safety of information resources is threatened by the inborn weakness of Campus Network. How to ensure the safety of information resources while enjoying the convenience of Campus Network is an inevitable problem for every enterprise to solve. After carefully considering the network security， measures are proposed to strengthen the security of Campus Network in this paper.

Key words： Campus Network；security；protection

隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)及網(wǎng)絡(luò)已經(jīng)滲透到人們工作生活的各個(gè)方面，為了更好地利用計(jì)算機(jī)和網(wǎng)絡(luò)帶來(lái)的便利，提高工作效率，各單位都建立了園區(qū)網(wǎng)。所謂園區(qū)網(wǎng)，通常是指大學(xué)的校園網(wǎng)或者企業(yè)的內(nèi)部網(wǎng)，其特點(diǎn)是整個(gè)網(wǎng)絡(luò)在一個(gè)固定地理區(qū)域內(nèi)，園區(qū)網(wǎng)的所有者通常也擁有該園區(qū)網(wǎng)的物理線路。園區(qū)網(wǎng)中部署著單位的信息發(fā)布、辦公、郵件等應(yīng)用系統(tǒng)，存儲(chǔ)著單位的重要信息，園區(qū)網(wǎng)是否安全決定著該單位的信息是否安全。如何保障園區(qū)網(wǎng)的安全是每個(gè)單位都必須認(rèn)真思考和解決的問(wèn)題。

1 園區(qū)網(wǎng)面臨的主要風(fēng)險(xiǎn)

根據(jù)園區(qū)網(wǎng)的特點(diǎn)和它在人們的工作、生活中所具有的功能，必須要保證網(wǎng)絡(luò)信息的安全。為了更安全有效地利用園區(qū)網(wǎng)，我們首先要了解園區(qū)網(wǎng)會(huì)面臨哪些風(fēng)險(xiǎn)。

1.1病毒等惡意代碼的危害

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼[1]。病毒會(huì)破壞計(jì)算機(jī)上的文件和數(shù)據(jù)，占用計(jì)算機(jī)的內(nèi)存和CPU時(shí)間，影響計(jì)算機(jī)的性能，消耗網(wǎng)絡(luò)帶寬，嚴(yán)重時(shí)導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰或者網(wǎng)絡(luò)癱瘓。

木馬（Trojan）病毒源自古希臘特洛伊戰(zhàn)爭(zhēng)中著名的 “木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來(lái)害人。木馬的目的是竊取計(jì)算機(jī)上存放的信息數(shù)據(jù)[2]?，F(xiàn)在關(guān)系著國(guó)計(jì)民生的很多重要行業(yè)，比如電力、銀行、證券、零售等，都依靠網(wǎng)絡(luò)開展自己的業(yè)務(wù)，因此以竊取信息為目的的木馬可能會(huì)給用戶帶來(lái)很大的危害。另外，病毒還會(huì)通過(guò)制作假冒的銀行、電子商務(wù)網(wǎng)站等釣魚網(wǎng)站，竊取用戶的銀行賬戶、密碼等私密信息[3]。

1.2黑客攻擊

黑客通過(guò)使用弱點(diǎn)掃描、端口掃描、密碼破解、數(shù)據(jù)包嗅探、釣魚、Rootkit、社會(huì)工程、木馬、病毒、蠕蟲等工具或者技術(shù)手段[4]，發(fā)現(xiàn)操作系統(tǒng)、應(yīng)用軟件、網(wǎng)站等的漏洞、后門、賬號(hào)、密碼等信息，并利用這些信息，攻擊服務(wù)器、計(jì)算機(jī)、網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)速度減慢、癱瘓，服務(wù)器性能下降，無(wú)法正常提供服務(wù)，竊取、修改園區(qū)網(wǎng)的重要信息。黑客還會(huì)使用病毒等工具攻擊工業(yè)控制系統(tǒng)，破壞工業(yè)設(shè)施，如外國(guó)黑客利用病毒Stuxnet破壞了伊朗將近五分之一的濃縮鈾離心機(jī)[5]，從而拖延了伊朗核電廠的投入使用。

1.3內(nèi)部用戶的非法訪問(wèn)和攻擊

園區(qū)網(wǎng)不僅受到來(lái)自外部的攻擊，還可能面臨著園區(qū)網(wǎng)內(nèi)部用戶的非法訪問(wèn)和攻擊。園區(qū)網(wǎng)內(nèi)部用戶比較熟悉園區(qū)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)安全設(shè)備情況、信息資源情況、部門機(jī)構(gòu)、人員構(gòu)成和服務(wù)器及網(wǎng)絡(luò)管理員等信息，內(nèi)部用戶在攻擊園區(qū)網(wǎng)絡(luò)時(shí)可利用的信息和手段更多。園區(qū)網(wǎng)內(nèi)部用戶處在網(wǎng)絡(luò)防火墻等網(wǎng)絡(luò)安全防護(hù)設(shè)備內(nèi)部，很多防范外部攻擊的防護(hù)措施對(duì)內(nèi)部用戶是無(wú)效的。具有服務(wù)器、網(wǎng)絡(luò)設(shè)備管理權(quán)限的用戶，還可通過(guò)更改服務(wù)器、網(wǎng)絡(luò)設(shè)備的配置，利用Arp欺騙、端口鏡像、數(shù)據(jù)嗅探、安裝監(jiān)控控制軟件等技術(shù)手段，獲取應(yīng)用系統(tǒng)的帳戶、密碼等信息，竊取和盜用園區(qū)網(wǎng)內(nèi)的重要信息資源。

1.4服務(wù)器、網(wǎng)絡(luò)設(shè)備等存在的安全漏洞

園區(qū)網(wǎng)絡(luò)中的服務(wù)器、交換機(jī)、路由器等硬件設(shè)備使用的操作系統(tǒng)都存在一些安全漏洞。歐美國(guó)家在服務(wù)器、網(wǎng)絡(luò)設(shè)備、芯片制造等通信關(guān)鍵行業(yè)占據(jù)著壟斷地位，互聯(lián)網(wǎng)及園區(qū)網(wǎng)絡(luò)中使用的服務(wù)器和計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備很多都是外國(guó)公司生產(chǎn)制造的。在生產(chǎn)銷售過(guò)程中，外國(guó)的情報(bào)機(jī)構(gòu)可以把惡意硬件或者軟件植入到這些設(shè)備中。有些植入的惡意硬件可以使用無(wú)線電波發(fā)送信息，借助幾英里外的中繼站和其它通信設(shè)施可以將目標(biāo)計(jì)算機(jī)和境外情報(bào)機(jī)構(gòu)的電腦連接起來(lái)。即使目標(biāo)計(jì)算機(jī)不聯(lián)網(wǎng)，對(duì)方仍可以通過(guò)這種方式竊取信息。不僅如此，還可使用無(wú)線電波把信息注入到網(wǎng)絡(luò)中，實(shí)施攻擊[6]。在海灣戰(zhàn)爭(zhēng)前夕，美國(guó)情報(bào)人員把帶有病毒的芯片植入到伊拉克軍方購(gòu)買的打印機(jī)中。海灣戰(zhàn)爭(zhēng)爆發(fā)后，美國(guó)人通過(guò)無(wú)線遙控裝置激活了芯片中的病毒，致使伊拉克的防空系統(tǒng)癱瘓[7]。

1.5廣播風(fēng)暴

由于網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)或者網(wǎng)線連接錯(cuò)誤，或其他原因?qū)е麓罅繌V播數(shù)據(jù)在網(wǎng)段內(nèi)復(fù)制傳播，嚴(yán)重時(shí)會(huì)產(chǎn)生廣播風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至網(wǎng)絡(luò)阻塞、癱瘓[8]。

1.6帳戶和IP地址盜用

在園區(qū)網(wǎng)中，不同的帳戶及IP地址對(duì)信息資源擁有不同的訪問(wèn)權(quán)限。攻擊者通過(guò)各種手段獲取高權(quán)限用戶的帳戶，盜用IP地址，訪問(wèn)低權(quán)限用戶無(wú)法訪問(wèn)的信息資源。帳戶和IP地址盜用不僅會(huì)導(dǎo)致信息資源被非法訪問(wèn)，還可造成IP地址沖突，導(dǎo)致其他用戶無(wú)法正常使用網(wǎng)絡(luò)，網(wǎng)絡(luò)運(yùn)行出現(xiàn)異常。

2 園區(qū)網(wǎng)安全防護(hù)措施

針對(duì)園區(qū)網(wǎng)面臨的風(fēng)險(xiǎn)，除了常用的要安裝網(wǎng)絡(luò)版殺毒軟件、安裝硬件防毒、防火墻外，還可以通過(guò)以下多種防護(hù)措施，在不同方面起到保障園區(qū)網(wǎng)及信息安全的作用。

2.1在園區(qū)網(wǎng)中建立域控制器

在園區(qū)網(wǎng)內(nèi)部署域控制器，強(qiáng)制聯(lián)網(wǎng)計(jì)算機(jī)都加入到域里面。通過(guò)設(shè)置域策略，提高計(jì)算機(jī)的安全級(jí)別。設(shè)置域策略中的帳戶策略，強(qiáng)制帳戶使用高強(qiáng)度密碼，并設(shè)置密碼的最長(zhǎng)使用時(shí)間，避免因?yàn)殚L(zhǎng)期使用同一密碼而被暴力破解。設(shè)置軟件分發(fā)策略給聯(lián)網(wǎng)計(jì)算機(jī)安裝網(wǎng)絡(luò)版殺毒軟件，安裝操作系統(tǒng)補(bǔ)?。辉O(shè)置軟件限制策略，只允許計(jì)算機(jī)安裝運(yùn)行被許可的程序，保障信息資源的安全性。

2.2安裝操作系統(tǒng)補(bǔ)丁服務(wù)器

在園區(qū)網(wǎng)內(nèi)部署微軟windows升級(jí)服務(wù)器，定期從微軟網(wǎng)站下載最新的windows系統(tǒng)更新和補(bǔ)丁，為windows客戶端提供操作系統(tǒng)補(bǔ)丁，堵塞漏洞。如果園區(qū)網(wǎng)內(nèi)有計(jì)算機(jī)使用Linux等操作系統(tǒng)，也應(yīng)建立相應(yīng)Linux系統(tǒng)的yum升級(jí)源，從互聯(lián)網(wǎng)下載升級(jí)包后，升級(jí)操作系統(tǒng)。

2.3為計(jì)算機(jī)安裝保密系統(tǒng)，控制文檔流轉(zhuǎn)

在重要計(jì)算機(jī)上安裝系統(tǒng)安全加固系統(tǒng)和文檔保密管理系統(tǒng)，分散系統(tǒng)管理員的權(quán)限，實(shí)施文件的訪問(wèn)權(quán)限控制，對(duì)計(jì)算機(jī)上編輯、拷貝的文檔資料進(jìn)行登記審計(jì)，防止重要文檔信息的流出，達(dá)到使竊密者偷不走，偷走了也看不懂的目的。

2.4綁定上網(wǎng)計(jì)算機(jī)的帳戶、IP地址和網(wǎng)卡地址

在園區(qū)網(wǎng)中部署網(wǎng)絡(luò)認(rèn)證系統(tǒng)，綁定用戶的帳戶、IP地址、MAC地址，只有三者相符的計(jì)算機(jī)才能接入到園區(qū)網(wǎng)中，防止非法訪問(wèn)園區(qū)網(wǎng)信息及盜用IP地址，還可以幫助管理員通過(guò)日志中的IP地址訪問(wèn)記錄查找到用戶。

2.5保障服務(wù)器和網(wǎng)絡(luò)設(shè)備的安全

服務(wù)器和核心交換機(jī)是整個(gè)園區(qū)網(wǎng)的核心，應(yīng)該把服務(wù)器和核心交換機(jī)放到專用網(wǎng)絡(luò)機(jī)房中。機(jī)房要做到防火、防水、防靜電、防雷擊、防盜，保障服務(wù)器和網(wǎng)絡(luò)設(shè)備的物理安全，重要的網(wǎng)絡(luò)機(jī)房還應(yīng)該能做到電磁波屏蔽，防止重要信息通過(guò)電磁波泄露。嚴(yán)格控制進(jìn)出機(jī)房的人員，禁止未經(jīng)允許把計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、網(wǎng)線連入到網(wǎng)絡(luò)設(shè)備中，防止有人把非法電子器件、移動(dòng)部件插入到服務(wù)器和網(wǎng)絡(luò)設(shè)備上。打開交換機(jī)的生成樹協(xié)議，防止因錯(cuò)誤連線產(chǎn)生的廣播風(fēng)暴。設(shè)置服務(wù)器、交換機(jī)和路由器的密

碼，關(guān)閉不必要的端口，禁用多余的帳戶，更改系統(tǒng)默認(rèn)管理員帳戶名。限制可以遠(yuǎn)程登錄管理服務(wù)器、交換機(jī)、路由器的計(jì)算機(jī)IP地址，防止非管理員用戶遠(yuǎn)程登錄控制交換機(jī)、路由器，防止通過(guò)設(shè)置鏡像端口對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)聽。

在服務(wù)器群的網(wǎng)絡(luò)接口處安裝主動(dòng)防御設(shè)備，控制對(duì)服務(wù)器的訪問(wèn)，及時(shí)阻斷非法行為。

另外，在園區(qū)網(wǎng)核心交換機(jī)的鏡像端口上連接入侵檢測(cè)系統(tǒng)，探測(cè)來(lái)自互聯(lián)網(wǎng)以及園區(qū)網(wǎng)內(nèi)部的入侵。實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)和防火墻的聯(lián)動(dòng)，利用防火墻及時(shí)阻斷網(wǎng)絡(luò)入侵。也是一種不錯(cuò)的防護(hù)措施。管理員通過(guò)查看入侵檢測(cè)系統(tǒng)的事件記錄，就能夠及時(shí)發(fā)現(xiàn)高危行為，阻斷入侵攻擊。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全只是相對(duì)的安全，動(dòng)態(tài)的安全，不存在絕對(duì)的安全，更不可能一蹴而就，一勞永逸。只能根據(jù)單位的實(shí)際情況，采取適合本單位的安全措施，只有不斷總結(jié)經(jīng)驗(yàn)教訓(xùn)，增強(qiáng)園區(qū)網(wǎng)絡(luò)的安全性，才能切實(shí)保障園區(qū)網(wǎng)的信息資源安全。

參考文獻(xiàn)：

[1] 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中華人民共和國(guó)國(guó)務(wù)院令第147號(hào)發(fā)布[1994-2-18].http：//www.gov.cn/ziliao/flfg/2005-08/06/content_20928.htm

[2] Wikipedia：Trojan horse （computing），21 September 2009，http：//en.wikipedia.org/wiki/Trojan_horse_（computing）

[3] Wikipedia：phishing，18 September 2009，http：//en.wikipedia.org/wiki/Phishing

[4] Wikipedia：Hacker（Computer Security），http：//en.wikipedia.org/wiki/Hacker_（computer_security）

[5] Wikipedia：Stuxnet， http：//en.wikipedia.org/wiki/Stuxnet

[6] N.S.A. Devises Radio Pathway Into Computers， JAN. 14， 2014， http：//www.nytimes.com/2014/01/15/us/nsa-effort-pries-open-computers-not-connected-to-internet.html

[7] 許秀中.網(wǎng)絡(luò)與網(wǎng)絡(luò)犯罪[M].中信出版社，200：29.

[8] Steven T Karris：Networks design and management，F(xiàn)remont，Calif. ： Orchard Publications， ?2004.