局域網(wǎng)面臨安全問題有哪些

　　提起網(wǎng)絡(luò)安全，人們自然就會想到病毒破壞和黑客攻擊，其實(shí)不然。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。

　　對于國內(nèi)的網(wǎng)絡(luò)管理者而言，現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)手段大多強(qiáng)調(diào)對來自外部的主動(dòng)攻擊進(jìn)行預(yù)防，檢測以及處理，而授予內(nèi)部主機(jī)更多的信任。但是，統(tǒng)計(jì)數(shù)字表明，相當(dāng)多的安全事件是由內(nèi)網(wǎng)用戶有意或無意的操作造成的。為保護(hù)內(nèi)網(wǎng)的安全，一些單位將內(nèi)網(wǎng)與外網(wǎng)物理隔離，或者將內(nèi)部通過統(tǒng)一的網(wǎng)關(guān)接入外網(wǎng)，并在網(wǎng)關(guān)處架設(shè)防火墻，IPS,IDS等安全監(jiān)控設(shè)備。盡管如上述所示的各類安全措施都得到了實(shí)現(xiàn)，眾多管理者們卻仍然頭疼于泄密事件或其它各類內(nèi)網(wǎng)安全事件的頻繁發(fā)生，這就充分說明了內(nèi)網(wǎng)安全維護(hù)的復(fù)雜性[1] 。

　　總體上看，內(nèi)網(wǎng)主機(jī)大多以LAN的方式進(jìn)行接入，這些主機(jī)間以物理互連，邏輯隔離的方式共存，但為實(shí)現(xiàn)主機(jī)間的資料共享及數(shù)據(jù)通信需求，又不得不讓其之間建立各種互信關(guān)系，因此某臺主機(jī)的有意或無意的誤操作都會對整網(wǎng)主機(jī)的安全性造成威脅，這些威脅點(diǎn)主要分為以下幾類：

　　內(nèi)網(wǎng)邏輯邊界不完整

　　無線技術(shù)的迅猛發(fā)展讓隨時(shí)隨地接入internet這一想法成為現(xiàn)實(shí)，在驚嘆先進(jìn)的無線技術(shù)為我們的生活帶來便利的同時(shí)，也對我們的網(wǎng)絡(luò)管理人員提出了更多的要求。在內(nèi)外網(wǎng)隔離的環(huán)境中，如何確保內(nèi)網(wǎng)邊界的完整性，杜絕不明終端穿越網(wǎng)絡(luò)邊界接入是眾多管理者面臨的一大難題。事實(shí)上，國內(nèi)定義的網(wǎng)絡(luò)邊界防護(hù)由于《等?！返脑忈屚焕斫鉃榫W(wǎng)絡(luò)出口保護(hù)，而在現(xiàn)實(shí)情況中的邊界早已超越了"出口"這一狹隘的概念，而真正擴(kuò)展到全網(wǎng)，其中的關(guān)鍵就是內(nèi)網(wǎng)的邊界--網(wǎng)絡(luò)的入口。換言之，邊界防護(hù)更應(yīng)該是所有網(wǎng)絡(luò)邊界的防護(hù)--并側(cè)重于內(nèi)網(wǎng)入口的防護(hù)。

　　缺乏有效身份認(rèn)證機(jī)制

　　對內(nèi)部主機(jī)使用者缺乏特定的身份識別機(jī)制，只需一根網(wǎng)線或者在局域網(wǎng)AP信號覆蓋的范圍之內(nèi)，即可連入內(nèi)部網(wǎng)絡(luò)獲取機(jī)密文件資料。內(nèi)網(wǎng)猶如一座空門大宅，任何人都可以隨意進(jìn)入。往往管理者都比較注重終端訪問服務(wù)器時(shí)的身份驗(yàn)證，一時(shí)之間，CA、電子口令卡、radius等均大行其道，在這種環(huán)境下，被扔在墻角的終端之間非認(rèn)證互訪則成為了機(jī)密泄露和病毒傳播的源頭，而終端之間的聯(lián)系恰巧就是--網(wǎng)絡(luò)。

　　缺乏訪問權(quán)限控制機(jī)制

　　許多單位的網(wǎng)絡(luò)大體上可以分為兩大區(qū)域：其一是辦公或生產(chǎn)區(qū)域，其二是服務(wù)資源共享區(qū)域，上述兩大邏輯網(wǎng)絡(luò)物理上共存，并且尚未做明確的邏輯上的隔離，辦公區(qū)域的人員往往可隨意對服務(wù)器區(qū)域的資源進(jìn)行訪問。另外需要的注意的是，來賓用戶在默認(rèn)情況下，只要其接入內(nèi)部網(wǎng)絡(luò)并開通其網(wǎng)絡(luò)訪問權(quán)限，相應(yīng)的內(nèi)部服務(wù)資源的訪問權(quán)限也將一并開通，內(nèi)網(wǎng)機(jī)密文件資源此時(shí)將赤裸暴露于外部。

　　內(nèi)網(wǎng)主機(jī)漏洞

　　現(xiàn)有企業(yè)中大多采用微軟系列的產(chǎn)品，而微軟系列產(chǎn)品恰巧像蜜糖一樣不斷吸引著蜂擁而至的黑客做為嶄露頭角的試金石，調(diào)查顯示80%以上的攻擊和病毒都是針對windows系統(tǒng)而產(chǎn)生的，這也就引發(fā)了微軟一月一次的補(bǔ)丁更新計(jì)劃，包括IE補(bǔ)丁、office辦公軟件、以及操作系統(tǒng)等全系列產(chǎn)品都被納入這個(gè)安全保護(hù)之中。但空有微軟單方發(fā)布的補(bǔ)救文件，也必定只是剃頭挑子一頭熱，如果由于用戶處的設(shè)置不當(dāng)導(dǎo)致補(bǔ)丁無法及時(shí)更新的話，一旦被黑客所利用，將會作為進(jìn)一步攻擊內(nèi)網(wǎng)其他主機(jī)的跳板，引發(fā)更大的內(nèi)網(wǎng)安全事故，如曾經(jīng)爆發(fā)的各種蠕蟲病毒大都是利用這種攻擊方式，這也是為什么政府機(jī)構(gòu)的信息安全檢查都極其重視操作系統(tǒng)補(bǔ)丁更新的原因。

　　對于管理者而言，內(nèi)網(wǎng)安全的管理與外網(wǎng)相比存在一定的難度，究其主要原因就在于，內(nèi)網(wǎng)的管理面比較大，終端數(shù)較多，終端使用者的IT技能水平層次不齊，而這在領(lǐng)導(dǎo)看來往往會歸結(jié)到管理的層面，因此實(shí)施起來壓力大，抵觸情緒多，并且會形成各種各樣的違規(guī)對策，單槍匹馬的"管理"往往身體懸在半空，心也懸在半空。技術(shù)人員往往亟需技術(shù)手段的輔助來形成一個(gè)立體化的安全模型，也需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。

　　這些常見的客戶端安全威脅隨時(shí)隨地都可能影響著用戶網(wǎng)絡(luò)的正常運(yùn)行。在這些問題中，操作系統(tǒng)漏洞管理問題越來越凸現(xiàn)，消除漏洞的根本辦法就是安裝軟件補(bǔ)丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提醒人們要居安思危，打好補(bǔ)丁，做好防范工作——補(bǔ)丁越來越成為安全管理的一個(gè)重要環(huán)節(jié)。黑客技術(shù)的不斷變化和發(fā)展，留給管理員的時(shí)間將會越來越少，在最短的時(shí)間內(nèi)安裝補(bǔ)丁將會極大地保護(hù)網(wǎng)絡(luò)和其所承載的機(jī)密，同時(shí)也可以使更少的用戶免受蠕蟲的侵襲。對于機(jī)器眾多的用戶，繁雜的手工補(bǔ)丁安裝已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，必須依靠新的技術(shù)手段來實(shí)現(xiàn)對操作系統(tǒng)的補(bǔ)丁自動(dòng)修補(bǔ)。

　　國內(nèi)知名安全軟件廠商北信源公司通過對國內(nèi)和國外近幾年來計(jì)算機(jī)客戶端管理技術(shù)和發(fā)展趨勢的研究，將政府和企業(yè)內(nèi)部網(wǎng)絡(luò)客戶端安全管理概括的從客戶端狀態(tài)、行為、事件三個(gè)方面來進(jìn)行防御，研制出北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)軟件。