構建安全可靠局域網絡的探討

韋斌柳州市城市規劃檔案館 廣西 545001

0 引言

隨著我國進入 WTO，社會對政府高效辦公提出了更高的要求。建立功能完善、安全可靠的網絡辦公平臺，增強管理的科學性和有效性，提升辦事效率和工作效能，已勢在必行。然而在實現聯網辦公的同時，由于使用人員混雜，管理水平各異，病毒傳播廣泛，網絡攻擊盛行，公文及行政審批等在網絡上傳輸和管理的安全受到嚴重威脅。因此，加強網絡安全，防止信息被泄露、修改和非法竊取已成為當前網絡辦公自動化普及與應用迫切需要解決的問題。

1 網絡安全的定義

從國際標準化組織對計算機系統安全的定義來看，計算機安全的定義包含物理安全和邏輯安全，其邏輯安全的內容就是我們常說的信息安全，是指網絡系統的硬件、軟件及數據受到保護，不受偶然的或者惡意的破壞、更改、泄露，網絡系統連續可靠運行，服務不中斷，從而確保數據的可用性、完整性和保密性。對用戶來說，就是涉及到個人隱私和行政審批的信息在網絡上傳輸時機密性、完整性和真實性得到有效保護，不被竊聽、冒充、篡改、抵賴和破壞；對網絡管理者來說，就是可以保護和控制對本地網絡信息的訪問、讀寫等操作，避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用和非法控制等威脅，制止和防御黑客的攻擊。

2 局域網絡安全風險分析

計算機網絡的開放性、互聯性、連接方式的多樣性及終端分布的廣闊性，以及網絡的脆弱性和人為的疏忽，決定了網絡環境下的計算機系統存在著很多的安全隱患。

2.1 物理安全風險分析

計算機系統只是智能的機器，極易受自然災害及環境的影響。由大量的終端、服務器、網絡設施以及其他媒體組成的計算機網絡，形成了統一有機的整體，任何部分的安全漏洞，如由于網絡自身脆弱性導致的安全防護措施不力，或網絡布線走向不合理、服務器無備份、交換機無備用、無防雷措施、未配不間斷電源等，或者地震、水災、火災等環境事故；人為操作失誤；設備被盜、被毀等問題，都可能引發整個網絡的癱瘓。可見網絡的物理安全是整個網絡安全的前提，在局域網內，網絡的物理跨度不大，只要制定健全的安全管理制度，做好備份，加強網絡設備和機房的管理，這些風險就可以大大降低。

2.2 操作系統的安全風險分析

無論是Windows NT或者UNIX操作系統，其開發廠商都會留有“后門”，因此存在著漏洞，為黑客入侵系統提供了方便之門，幾乎可以肯定沒有完全安全的操作系統。但是，可以對操作系統進行安全配置、對訪問權限進行嚴格控制來提高系統的安全性。首先選用可靠的操作系統和硬件平臺，而且加強登錄過程的認證，確保用戶的合法性；其次嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內，以提高系統的安全系數。

2.3 病毒的攻擊

隨著網絡技術的發展，計算機病毒技術也在快速地發展變化之中，而且在一定程度上走在網絡安全技術的前面，有關調查表明 2009年新增電腦病毒就超二千萬，并且伴隨著用戶對網絡安全問題的關注，病毒呈現多元化發展趨勢，以貓癬下載器、寶馬下載器、文件夾偽裝者為代表的“隱蔽性”頑固病毒頻繁出現，同時小范圍、針對性的木馬、病毒也已成為新增病毒的主流，危害十分大。盡管病毒種類繁多，發展和傳播迅速，感染形式多樣，還是可以預防和殺滅的。只要增強網絡的安全意識，采取有效的防殺措施，隨時注意工作中計算機的運行情況，發現異常及時處理，就可以減少病毒的危害。

2.4 黑客攻擊

近年來，黑客的攻擊手段層出不窮，攻擊行動無所不在，無時不在。有的對網絡設備進行信息轟炸，致使服務中斷；有的入侵Web或其他文件服務器刪除或篡改數據，致使系統癱瘓甚至完全崩潰等等，其攻擊殺傷力強，危害極大。據媒體披露，僅2009年我國有52%的網民遭遇過網絡安全事件，為此遭受的經濟損失高達153億元。然而黑客問題的出現，并非是黑客能夠制造入侵的機會，而是因為網絡本身的缺陷，成為被攻擊的目標或利用為攻擊的途徑，并構成了自然或人為的破壞。面對狡猾的黑客，我們必須綜合采用防火墻技術、Web頁面保護技術、入侵檢測技術、安全評估技術來保護網絡內的信息資源，才能防止其攻擊。

2.5 管理的安全風險分析

責權不明，管理混亂、安全管理制度不健全及可操作性差等都可能引起管理安全的風險。大多數內網計算機和使用人員眾多，對終端控制能力不強，安全規定無法執行，信息資源授權管理體系不完善，缺乏細粒度的控制，很容易造成內部人員越權訪問資源、文件資料失控泄密。當網絡出現攻擊行為或網絡受到其它安全威脅時，也無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。可見制定并切實執行針對性強的網絡安全管理制度是規避管理安全風險的關鍵。

3 局域網絡安全的實施

3.1 安全架構的構建

構建安全的局域網，需要考慮計算機終端、用戶身份、計算機外設、應用系統、網絡、存儲和服務器等各方面的因素，其安全架構可以劃分為：局部安全、全局安全、智能安全。局部安全就是針對關鍵問題點進行安全部署，抵御最基礎的安全威脅；全局安全則是將網絡中的網絡設備、安全設備和各組件聯動起來，在統一的安全管理平臺上進行安全事件的收集、整理、分析，并通過統一的安全策略，達到協同防御的目的，實現整網安全風險的提前預防與及時控制；智能安全是在局部安全、全局安全的基礎上，構建了專業安全服務、開放應用架構和可持續演進的全局安全管理平臺，通過對防護、檢測和響應等不同生命周期的各個安全環節進行基于策略的管理，將各種異構的安全產品、網絡設備、用戶終端和管理員有機地連接起來，構成了一個智能的、聯動的閉環響應體系，將網絡變為能感知安全威脅到處理安全響應的智能安全實體。通過這三個層面的共同協防，就可以構建一個多層次、全方位的立體防護網絡體系，讓網絡成為一個健康、穩定、可靠的安全實體。

3.2 安全保障體系的構建

網絡安全最重要的就是網絡上的信息安全，網絡信息安全包含技術方面和管理方面。技術方面側重于防范外部非法用戶的攻擊，管理方面則側重于內部人為因素的管理。這樣完整的內部網絡的安全體系就應該至少包括安全產品、安全技術和策略、安全管理以及安全制度等多個方面，整個體系可分為水平層面上的安全產品、安全技術和策略、安全管理，其在使用模式上是支配與被支配的關系；垂直層面上為安全制度，從上至下地規定各個水平層面上的安全行為。

3.2.1 安全產品

安全產品是各種安全策略和安全制度的執行載體。雖然有了安全制度，但既不能把制度理想化，也不能把人理想化，因此還必須有好的安全工具把安全管理的措施具體化。網絡安全產品的選擇應建立在相關安全產品能夠相互通信并協同工作的基礎上，即實現防火墻、IDS、病毒防護系統、信息審計系統等的互通與聯動，以實現最大程度和最好效果的安全保證。

3.2.2 安全技術和策略

內部安全漏洞在于人，而不是技術。因此，應重點由發現問題并填補漏洞迅速轉向查出誰是破壞者、采取彌補措施并消除事件再發生的可能性。網絡安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復三大方面，因此安全技術和策略的實現也應從這三個方面來考慮。有效的安全策略工具應包括實時審查目錄和服務器的功能：不斷地自動監視目錄，檢查用戶權限和用戶組賬戶有無變更；警惕地監視服務器，檢查有無可疑的文件活動。對于數據的安全保護，有必要的攻擊防范，在內網中采用基于密碼技術的數字身份認證和高強度的加密數據傳輸技術，同時采用安全的密鑰分發技術，既防止用戶對業務的否認和抵賴，又防止數據遭到竊聽后被破解，保證了數據在網上傳輸的可靠性。攻擊后恢復首先是數據的安全存儲和備份，在發現遭受攻擊后可以利用備份的數據快速的恢復。

3.2.3 安全管理

安全管理主要是指安全管理人員。有了好的安全工具和策略，還必須有好的安全管理人員來有效地使用工具和實現策略。安全管理員應隨時掌握網絡安全的最新動態，實時監控網絡上的用戶行為，保障網絡設備自身和網上信息的安全，并對可能存在的網絡威脅有一定的預見能力和采取相應的應對措施，同時對已經發生的網絡破壞行為在最短的時間內做出響應，使損失減少到最低限度。

3.2.4 網絡安全制度

網絡安全的威脅來自人對網絡的使用，在網絡安全建設上要“三分技術，七分管理”。在我國企事業單位里，由于管理制度上的不完善、人員責任心不強而導致的網絡安全事故發生屢見不鮮。事實證明，只有從網絡安全的角度來實施對人的管理，制定相應的政策法規，使網絡安全的相關問題做到有法可依、有據可查，只有通過制度手段加強安全管理，才能保證由安全產品和安全技術組成的安全防護體系能夠被有效地使用，保障網絡的安全。

4 結束語

構建一個真正可管理、可信任和可控制的局域網絡，應針對網絡安全威脅建立正確的安全策略，制定網絡安全的整體解決方案，統一規劃，綜合各種網絡安全產品技術的優勢，構建整體一致的局域網安全管理平臺。在信息技術日新月異的今天，隨著時間和網絡環境的變化或技術的發展，局域網需要不斷調整自身的安全策略，如何保證網絡的安全，是一個值得長期探索和研究的問題。

[1]楊學梅.數字圖書館的網絡完全與防范措施[J].科技情報開發與科技.2006．

[2]梁宏偉.高校圖書館網絡安全分析與對策[J].中國信息導報.2006．

[3]李軍利,張根耀,卜曉燕.園區網絡安全技術研究[J].計算機與網絡.2006．

[4]劉強.醫學圖書館計算機網絡安全策略[J].現代信息技術.2006．