加强计算机局域网安全建设的思考和实践.pdfVIP

加强计算机局域网安全建设的思考与实践 徐金伟 摘要本文详细地阐述了我军各单位内部网络的现状和存在的安全性问题，并结合 “网络守护神”的设计思想，提出了一个切合实际的解决内部网络安奎的策略． 随着国内外信息高速网的迅猛发展，我军的信息网络化建设也取得了瞩目的成绩。在“建 网”、“上网”的热潮声中．我们应该清醒地认识到．网络工程建设好后，网络信息的安全问 题就成为摆在每一个网络规划和设计者面前最紧迫、最重要的事情。网络安全的意义为何如 此重大呢?让我们看一看发生在我们身边的倒子： 继上个月，美国一些主要电子商务公司网站不同程度受到黑客的攻击，新闻界对这些攻 击进抒了广泛的宣传(在这些攻击中．包括雅虎、亚马孙网上书店在内的一些网址困同一时 间收到大量信息而陷入瘫痪达数小时)．三月十日北京晚报又刊登了刚开张的“ITl53．c∞” 网上连锁商城因遭受黑客攻击丽停业，其网页变成一片空白，上面留下一行侮辱性文字，经 查．页面文件全部被删除，各种数据库遭到不同程度破坏，致使网站无法运行，ITl63己向 市公安局报案…… 黑客译自“Hacker”一词，意指“非法入侵计算机系统的人”，其实许多信息专家都知道． 这种人应该被称作“cracker”(破坏者)。黑客一般对计算机系统有较深的研究和丰富的上机 经验，他们进入网络系统大都出自一种无约束的心理来获得技术上成功的满足感，真正心怀 叵测的破坏者和窃密者只是黑客群体中很小的一部分．但不管怎么说，他们对我们都是不受 欢迎的人．事实上，黑客在社会上和军队内部都有，他们是无组织、无纪律的不按规定上网 的一群“幽灵”．正是我们应该防范的重点．技术型黑客利用从互联网和社会上得到的丰富的 网络工具软件(大部分是从外国流入的)，利用计算机系统固有的安全漏洞，经常在我们跟皮 底下．从外部或内部对网络发起攻击．他们不仅具有筹划和执行复杂攻击的技术能力，而且 他们知道在执行过程中如何隐藏行迹．我们感觉对网络最大的危害还是来自内部的攻击，一 种是黑客侵入内部．用自带笔记本电脑上网．窃取机密；另一种是内部某些人员纪律性较差， 违反规定私自读写机密信息．这些人技术水平越高，破坏内部网络安全的可能性就越大。许 多单位凭借操作系统的安全措施例如口令字、权限等来限制对敏感信息的访问，实践证明这 种静态的安全措施对入侵检测是没有用的，口令也是不安全的。只要内部用户监控网络的通 信．或是在不加保护的客户机上安装专门破译口令的特洛伊木马后门程序，就可以轻易得到 口令。某些从公共网上下载的外国软件甚至能够接管系统管理员的权限．使黑客的权限高于 一切．目前市场上流行的安全软件只具有ID(intrusionDetection)即“侵入检测”功能， 它在时效上滞后黑客攻击的时间，没有即时应答功能，这样问题同样很严重，会导致网络更 易受到间接攻击，黑客会安装后门，更改系统代码．设置特洛伊木马，监控网络通信或是开 设新账号．以方便他们进行下一步的攻击．著名的黑客工具“肋”(Backorifice)就是这样 一457— 工作的．黑客的所作所为使网络管理员非常头痛，但又不知如何防范． 为了防止黑客通过网络从外部侵入我们内部的局域网．上级保密机关专门制订了严格的 上网纪律和规定．假设联接到公共交互网上的子网叫“外网”．内部业务流通同称为“内网”- 则规定“外网”与“内网”在物理上必须是断开的；规定又指明连接到“外网”上的各个计 算机不能储存任何与业务工作有关的程序、文字和数据资料．必须是专机，并由专人负责。“内 网”也有相应的上网规定，例如不准擅自发布不负责的言论或侵犯他人的版权等等．上述行 政管理规定的实旌，使网络信息的安全有了制度上的保障，确实减少了网络遭攻击的可能性。 但是光有强有力的行政手段是不够的．必须还要有强有力的技术手段来做后盾，才能真 正提高网络的安全性。目前．黑客经常采用的攻击手法归纳起来主要有两种：一种是侵入式 攻击，其目的是篡改用户的数据或窃取用户的机密：另一种则是服务拒绝式攻击，其目的是 使被攻击站址不堪重负．崩溃瘫痪，无法给正常访问提供服务。针对这两种特点的攻击，我 们分析了国内外各种安全软件的优长，开发研制了“网络守护神”安全系列软件。目前该软件 系列包含二大部分：一是内网安全监控管理软件；二是CIS方式配置的带有平衡负载器的防 火墙．内网安全监控软件主要是防范黑客从内部对网络的攻击，防火