1、自動化技術與應用20011241網絡安全與局域網安全解決方案王威1鄧捷2呂瑩3(11哈爾濱理工大學計算機及控制學院,哈爾濱150080;21哈爾濱軸承廠,哈爾濱150030;31黑龍江大學依斯特信息技術有限公司,哈爾濱150080)摘要本文針對網絡安全的重要性,通過分析系統安全的結構,提出網絡系統安全應具備的八項功能;本文還就網絡分段、以交換式集成器代替共享式集成器和VLAN的實現等手段,探討了局域網安全解決方案。關鍵詞網絡安全局域網解決方案1前言重的威脅。無論是有意的攻擊,還是無意的誤操作,都將會系統帶來不可估量的損失的信息,;還可以篡,否認自己的簽名。更,摧毀網絡節。strpcopy(pe

2、xcel,excelwz);winexec(pexcel,l);網絡必須有足夠強的安全措施,隨著計算機網絡的廣泛使用和網絡之間信息傳輸量的急劇增長,一些機構和部門在得益于網絡加快業務運作的同時,其上網的數據也遭到了不同程度的破壞,除或被復制,pexcel:array0.255:TCLSID;try);classid:=progidtoclassid(excel.applicationexcept(警告:系統未安裝excel!);showmessageend;5兩種快速數據接口的比較用Excel自動化方法來轉移數據,編程較簡單,并且能用OLE類變量直接控制Excel,可進行靈活編程。但是,該方法

3、為了實現Delphi與Excel之間的通訊,要占用Windows系統大量的內存資源,當所開發的MIS管理系統過大時,不一定能啟動成功Excel系統。用第二種方法來處理,可節省系統的內存資源,但該方法有局限性,它只能把數據轉到Excel系統中,有關的字段名稱只能用特殊的方法處理,如直接修改庫的字段名表等,MIS系統不能有效控制Excel,只能由用戶在Excel環境里自行處理報表格exit;cnd;stringfromclsid(classid,classidstr);/轉換成字符串opreg:=tregistry.create;/建立注冊表的實例opreg.rootkey:=HKEY-CLASS

4、ES-ROOT;ifopreg.OpenKeyReadOnly(softwareclassesclsid)+classidstr+LocalServerthenbeginexcelwz:=opreg.ReadString(”0;ifpos(/,excelwz)<>0thenexcelwz:=copy(excelwz,1,pos(/,excelwz)-1);excelwz:=excelwz+ExtractFileDir(Application.exename)+DEMO.DBF;/winexec所需參數opreg.colsekey;opreg.free;式等數據。該方法適用于通有查詢

5、等模塊中。參考文獻1橫空翻譯組譯1Delphi2程序設計大會1北京:機械工業出版社,19972劉振安,張蕊等譯1MicrosoftExcel97開發使用手冊1北京:人民郵電出版社,1999作者簡介:呂振洪,男,1968年生,講師,主要從事工程數據庫、圖像處理等研究,目前在清華大學訪學。42自動化技術與應用200112務,如數據庫服務器、電子郵件服務器、Web服務器等。由于應用平臺的系統非常復雜,通常采用多種技術(如SSL等)來增強應用平臺的安全性。應用系統完成網絡系統的最終目的是為用戶服務。應用系統的安全與系統設計和實現關系密切。應用系統使用應用平臺提供的安全服務來保證基本安全,如通訊內容安全

6、,通訊雙方的認證,審計等手段。3網絡的安全問題已不是一個純技術性的問題,它是人法律網絡技術的綜合體。一個完善的網絡安全體系必須合理地協調法律、技術和管理三種因素,集成防護、監控和恢復三種技術。雖然目前還不能做到對某個網絡體系進行完全、徹底的安全防護,但在建網之初即建立一個網絡安全防護體系是十分重要和必須的。無論是在局域網還是在廣域網中,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性1網絡系統的安全應具備以下功能。網絡應用系統的安全體系應包含如下功能2:11攻擊干擾監控。通過對特定網段、服務建立2網絡系統安全結構的攻擊監控體系,可實時檢測出絕

7、大多數攻擊,并采取響應的行動(、記錄攻擊過程、跟)。,可使攻擊者不我們知道,網絡系統的安全涉及到平臺的各個方面。按照網絡OSI的7層模型,網絡安全貫穿于整個7層模型。針對網絡系統實際運行的IP議,型:應用層應用系統應用平臺會話層網絡層鏈路層物理層應用層應用系統安全應用平臺安全會話安全安全路由/訪問機制鏈路安全物理層信息安全。31檢查安全漏洞。通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。41認證體系。良好的認證體系可防止攻擊者假冒合法用戶。51多層防御。攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。61備份與恢復。良好的備份和恢復機制,可在攻擊造成損失時,盡快

8、地恢復數據和系統服務。71訪問控制。通過對特定網段、服務建立的訪物理層信息安全,主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊或干擾等。鏈路層的安全需要保證通過網絡鏈路傳送的數據不被竊聽。主要采用劃分VLAN(局域網)、加密通信(遠程網)等手段。網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。應用平臺指建立在網絡系統上的應用軟件服問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。81設立安全監控中心,為信息系統提供安全體系管理、監控、保護及緊急情況服務

9、。4局域網安全解決方案一個不設防的網絡,即使是局域網也是十分危險的,目前大多數局域網都采用以廣播為技術基礎的以太網,任何兩個節點之間的通信數據包,不僅為這兩個節點的網卡所接收,也同時為處在同一以太網上的任何一個節點的網卡所截取。因此,只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在自動化技術與應用200112這個以太網上的所有數據包,若黑客對其進行解包分析,便能竊取關鍵信息。目前,局域網安全的解決方案有以下幾種:11網絡分段43和插入(改變)問題。由以上運行機制帶來的網絡安全的好處是顯而易見的:信息只到達應該到達的地點。因此,防止了大部分基于網絡監聽的入侵手段。通過虛擬網設置的訪問控制,使

10、在虛擬網外的網絡節點不能直接訪問虛擬網內節點。目前的VLAN技術主要有三種:基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN?；诙丝诘腣LAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。VLAN,而VLAN與。目前,大多數的網絡分段是保證安全的一項重要措施,同時也是一項基本手段,其指導思想在于將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。網絡分段可分為物理分段和邏輯分段兩種方式。在實際

11、應用過程中,通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。目前,海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:在海關系統中普遍使用的DEC900的入侵檢測功能,DECMultiSwitch)都支持RIP和OSPF這兩種國際標準的路由協的訪問控制,分段。21以交換式集線器代替共享式集線器議。如果有特殊需要,必須使用其他路由協議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網口路由器來代替交換機,實現VLAN

12、之間的路由功能。當然,這種情況下,路由轉對局域網的中心交換機進行網絡分段后,以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包(稱為單播包UnicastPacket)還是會被同一臺集線器上的其他用戶所偵聽。因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。31VLAN的實現發的效率會有所下降。5結束語總之,網絡安全已成為當前網絡中愈來愈重要的問題,以合理的手段來實現網絡安全應具備的功能是網絡安全體系結構中重要的組成部分。除網絡安全外,作為網絡安全體系不容忽視的組成部分,還應注意一些問題:首先,要對網絡安全的重要性有一個清醒的認識,對必須購買的網絡安全產品要舍得花錢購買。其次,要加強外部防范,和加強人事管理。參考文獻1Black,U.TCP/IP&Related,Protocols.NewYork:McGraw-Hill,19952莫瑞加瑟1計算機安全的技術與方法1電子工業出版社,19983胡昌振1面向二十一世紀網絡安全與防護1北