摘  要  随着网络技术的飞速发展，传统的网络安全防御方法面对的是层出不穷的病毒和网络防攻击等逐渐有“力不从心”的感觉。因此，新的网络安全防御方法——主动防御，已成为网络安全的重要手段。
    关键词  信息安全；主动防御；漏洞
 

1  引言
    园区网的普及与应用已成为教学、科研、训练等必不可缺少的工具。然而，信息化程度的提高带来的信息安全问题也开始“暂露头角”，许多用户的信息安全意识淡薄、技术水平所限、整体防护能力较弱等。面对严峻的形势，建立对园区网信息安全主动防御的对策，努力使用户的信息安全沿着健康有序的轨道发展。
2  园区网的安全现状
    一个中等规模的园区网所包含的计算机数量都在百台或千台以上，按物理分布和功能划分为数个、数十个甚至数百个子网，每个子网的信息安全很大程度上取决于使用者的水平。除信息管理中心外，网络使用者一般都不具备专业人士的信息安全意识，往往一个病毒就能传播整个子网或局域网，造成大量的信息被窃或损坏。在这种现状下，我们的网络信息安全是极为脆弱的。其中系统漏洞、软件漏洞、人为漏洞等就是产生信息不安全的重要原因。
2.1  系统漏洞
    现在绝大部分计算机所安装的操作系统都是微软的windows系列。众所周知，微软每年所公布的系统漏洞多达上百个，而且其中不乏高危漏洞。WwW.11665.COM往往一个高危漏洞就意味着一轮新的黑客攻击或新型病毒爆发，著名的“冲击波病毒”就是利用了微软的rpc漏洞进行传播，它攻击了至少全球80%的windows用户。针对漏洞的最好解决办法是打上补丁。在2006年windows系统共发现了61处漏洞，发布补丁的平均时间为13天。这速度并不快，但不得不提的是，目前许多网络用户还没有意识到打补丁重要性。
2.2  软件漏洞
    园区网的应用主要是资源共享。每台计算机上的应用软件少则十几个，多则几十个或上百个，它们都有一个共同的特点，绝大部分的计算机常用的应用软件就是那么几种。这意味着发现了一个此类软件的漏洞对大多数的计算机来说都可能被入侵，而且软件的漏洞平均修补时间大大长于系统漏洞，这对黑客的诱惑是很大的。
2.3  人为漏洞
    这是局域网面临的最大漏洞。密码泄漏、设置过于简单或特别有规律等是其中的隐患。安全意识不高的网络使用者容易将密码通过多种途径泄漏，如网络互联、拨号、短信平台等。密码设置简单在网络用户中普遍存在，为了方便使用，一般只设置简单密码，甚至不设，在这种情况下网络信息是极不安全的。另外，超级用户的管理、用户权限的设置、用户身份的认证、数字签名等，也同样存在着漏洞。
3  园区网安全面临的主要威胁
    园区网所面临的安全威胁主要有硬件威胁、病毒威胁和黑客威胁等。
3.1  硬件威胁
    园区网的数据主要集中在网络服务器上，因此，网络服务器设备及工作环境要求很高。我们在选用设备时，绝不能为节约开支而降低设备性能，使选用的设备不能满足园区网长远发展的需要，由此而引发的服务器宕机或其它设备不能正常运行，得不偿失。网络应用环境对设备和网络信息都有影响。如温度过高，会加快硬件设备的老化；湿度过大，会使器件性能变差，甚至被锈蚀、短路等。另外，网络综合布线的质量差，也容易造成网络的传输速率下降，性能不够稳定等问题。
3.2  病毒的威胁
    病毒可以说是破坏局域网信息的罪魁祸首。现在一个感染能力强大的病毒就能破坏整个局域网的数据，如熊猫烧香、冲击波等。我们使用的u盘、移动硬盘更是给病毒提供了局域网与局域网传播的途径。病毒不仅“杀伤力”在提高，数量更是突飞猛进。根据瑞星全球反病毒监测网的数据显示，由于黑客普遍利用程序给病毒加壳（相当于把病毒加密变形），实现“机械化生产病毒”，使得2006年出现的新病毒数量急剧增加，达到23万多个的惊人数字，几乎等于以往所有病毒数量的总和。
3.3  黑客的威胁
    1)黑客产生的原因
    就以2006年黑客们制造的新病毒为例，往往带有明显的利益目的，以海量的新病毒来对抗杀毒软件的查杀，从而达到商业目的。据统计，在新病毒中，以窃取用户账号、密码等个人虚拟财产信息的病毒达167，387个，占总病毒数量的71.47%。2006年6月，我国还出现了首个勒索木马病毒的进程杀手变种“q（trojan.killproc.q）”。瑞星反病毒专家预测，此类病毒可能在未来一段时期不断出现。传统的黑客窃取情报秘密出售牟利也是长盛不衰。
    2)黑客的攻击手段
    一个黑客发起的一次完整攻击通常包括信息的收集、系统安全弱点的探测、利用漏洞攻击、隐藏入侵痕迹等步骤，其真正的核心是发现和利用各种漏洞。无论是系统的、软件的、人为产生的，其原理各不相同，利用的方法也千差万别，但黑客的攻击手段看上去也可能千姿百态、层出不穷，其本质和核心是不变的。
4  园区网主动防御的对策
    面对日益严峻的安全形式，主动防御开始发挥越来越重要的作用。考察目前所有网络系统的关键资源，可以发现最关键的资源实际上就是驻留在客户端或服务器上的数据。如果我们对这些数据进行了强制性的防护，对其操作系统的使用进行严格的限制，对超级用户管理者进行一定的控制，就可以达到主动防御的目的。主动防御的对策主要分为：漏洞补丁管理和系统发布技

术、网络隔离技术、陷阱技术与取证技术的使用、超级用户权力的限制等。
4.1  漏洞补丁管理和系统发布技术
    近年来，病毒借用黑客攻击的技术给网络带来严重的后果，如code red、blaster等都无一例外地使校园网，甚至是整个internet陷于瘫痪状态。补丁程序就是这类问题的唯一根本解决方案。但各类补丁程序数量多、规模巨大，组建漏洞补丁管理和发布应用系统成为当务之急。一个园区网没有补丁服务器是不够完整的。目前园区网内多以windows系列为主，而它的漏洞危害严重，微软针对这一问题，在其服务器操作系统（windows server）的企业版、完整版中提供了详细的解决方案，只要稍加学习就能很轻易的组建这类服务，而且不需要购买额外的服务设备。在园区网内专门设置windows系统漏洞补丁管理和发布系统，对园区内的windows系统进行统一管理，从本地服务器上下载更新补丁程序。其分析统计功能详细地列出了每个受管理系统的补丁程序的更新状况，实用性很强。
4.2  网络隔离技术
    网络隔离技术的目标是确保把有害的攻击隔离，在保证可信任网内部信息不外泄（除专指）的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。
    经过多年的发展，现在的隔离技术已经发展到第五代——安全通道隔离。此技术的实现是通过专用通信设备、专有安全协议、加密验证机制、应用层数据提取和鉴别认证技术等，并进行不同安全级别网络之间的数据交换，彻底阻断了网间网的直接tcp/ip连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的风险。
4.3  陷阱技术与取证技术的使用
    1)蜜罐（honey pot）
    蜜罐技术是陷阱技术的一种。它的原理是设置一个包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。蜜罐的作用是为外界提供虚假的服务，拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间，从而达到预警和保护真正目标的目的。
    2)蜜网 (honey net)
    蜜网技术是最为著名的公开蜜罐项目，它是一个专门设计用来让入侵者“攻陷”的网络，主要用来分析入侵者的一切信息、使用的工具、策略及目的等，它包含设计好的网络系统。一个典型的蜜网有多台蜜罐和防火墙来限制与记录网络通信流。
    密网与传统意义上的密罐是不同的。密网是一个网络系统，而并非某台单一主机。该网络系统隐藏在防火墙内，对所有进出的资料进行监控、捕获及控制。这些被捕获的资料用于分析黑客团体使用的工具、方法及动机等。
    在蜜网中，需要相当多的硬件。一种解决办法是使用虚拟设备，在单台设备上运行多个虚拟操作系统，如solaris、linux等，甚至把防火墙技术设置在这台机器上，这样建立的网络更加真实可信。另外，通过在蜜罐主机之前放置带有防火墙功能的网桥可以大大增加蜜网的安全性。
    3)静态取证技术
    它是在已经遭受入侵的情况下，运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法，当入侵后对数据进行确认、提取、分析、抽取出有效证据等。目前已有专门用于静态取证的工具，如guidance software的encase，它运行时能建立一个独立的硬盘镜像，而它的fast bloc工具则能从物理层组织操作系统向硬盘写数据。
    4)动态取证技术
    它是将取证技术内嵌在防火墙、入侵检测以及蜜罐技术中，对所有可能的犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入。在确保系统安全的情况下获取大量的证据，并将证据鉴定、保存、提交。
    动态取证技术能记录系统工作，尤其是黑客入侵的全过程，截取入侵工具，对黑客入侵方式进行技术分析。通过分析和研究，牵制和转移黑客的攻击，从而取得最新的攻击技术资料，提出防御攻击的方法。目前的动态取证产品国外开发研制的较多，如tni的the coroner，s toolkit(tct) 等。
4.4  超级用户的限制策略
    如果一个入侵者通过种种途径获得了超级用户口令，那么他可能希望用这个账户和密码对服务器上的数据进行删除和篡改，这时我们的数据已经处于失窃的边缘。通过分析，即使是再利害的黑客都有一些条件不可能满足，如访问时间、访问地点等。如果我们事先利用主动防范制度，制定超级用户的限制策略：访问专机、时间以及发起访问的应用程序等几方面的登陆才能真正具有超级用户的条件。通过这些限制，入侵者攻击的企图就很难得逞。同时，这样的系统会将访问企图记录在服务器的日志中，达到对未知攻击的成功防范，为管理员处理新型的入侵方式争取到宝贵的响应时间。
5  结论
    一个局域网的安全涉及到方方面面，绝对不是到市场上采购各种安全产品，然后简单地接入到网络中就万事大吉。技术与设备永远是在攻与防的对立中发展，而引导发展的都是人，只有灵活处置各种情况才能真正确保信息安全防御的目的。
参考文献
[1] cisco公司编蓍．《cisco ios网络安全》．人民邮电出版社，2001年
[2] 屈延文审校．《网络安全实施方法》．人民邮电出版社，2000年
[3] 闫志刚编著．《cisco企业网快速构建与排错手册》．人民邮电出版社，2005年
[4] 韩东儒等译．《思科网络技术学院教程 网络安全基础》．人民邮电出版社，2005年