局域網的安全策略

[摘 要] 如何降低網絡的安全風險是計算機網絡建設過程中首先需要考慮的問題，局域網安全設計需要在考察自身安全需求的基礎上，進行風險評估和安全加固，從而針對性地保障網絡的安全運行。本文從部署于邊界防護的防火墻、入侵檢測系統，部署于內部防控的終端監控與審計、身份認證、漏洞掃描系統、防病毒等方面針對局域網安全設計進行了探討，通過合理的部署安全產品，進而構成立體的安全防御體系。

[關鍵詞] 安全策略；局域網安全；風險評估

[中圖分類號] TP393.1 [文獻標識碼] A

1 前言

隨著國家現代移動通信的迅猛發展和寬帶接入的廣泛普及，各國政治、軍事、經濟、文化和社會生活對通信網和互聯網的需求越來越多，互聯網和通信網已成為國家關鍵基礎設施，獲得了迅速發展。互聯網具有以下特點：一是開放性強、二是資源龐大、三是傳播速度快、四是使用便捷、五是容易泄密。計算機網絡本身不能向用戶提供安全保密功能，在網絡上傳輸的信息、入網的計算機及其所存儲的信息會被竊取、篡改和破壞，網絡也會遭到攻擊，其硬件、軟件、線路、文件系統和信息發送或接收的確認等會被破壞，無法正常工作，甚至癱瘓。近年來，網絡信息安全成為突出問題，在傳輸、存儲、處理過程中經常發生數據信息丟失、泄漏或非法竊取、篡改等事件，對國家軍事、社會和經濟生活等產生了嚴重危害和影響，已成為現有通信技術和網絡安全性迫切需要解決的安全問題。

局域網安全設計是一個系統性工程，受到主觀和客觀、確定和不確定、自身和外界等因素的影響。局域網中承載著用戶許多重要的信息資產，這些安全風險將會給國家、社會、企業和個人帶來極大的安全隱患，因此在設計企業局域網安全方案之前，應首先進行風險評估。風險評估可以委托專業機構進行，也可以自評估，形成風險評估報告。根據風險評估結果和企業的網絡建設投入尋找一個平衡點，制定企業的安全策略，有取舍的選擇不同的安全系統，做好局域網安全設計。本文通過分析局域網安全設計需遵循的原則和涉及的典型安全系統，為局域網安全建設提供設計依據，從而有效規避風險，提高局域網的安全性。

2 設計原則

網絡安全設計的目標是選擇合適的技術和設備，進行合適的配置，但怎樣才能做到“合適”呢？這取決于每個人對客戶及其安全需求的了解程度。網絡建設者可以用不同的方式實現安全設計，但成功的網絡設計都要遵循一些最基本的原則。局域網安全設計時，應遵循以下原則：

2.1 木桶規則

網絡的安全遵循木桶理論，木桶的最大容積取決于最短的一塊木板。網絡系統是一個復雜的計算機系統，本身存在種種漏洞，網絡攻擊者總是會找到系統中最薄弱的環節進行攻擊，這就要求我們進行風險評估，全面、充分地認識到系統的脆弱性以及面臨的威脅。

2.2 易用性原則

復雜的系統難于掌握，對使用人員要求高，往往會降低系統的安全性。系統應盡可能操作簡便，維護簡單。

3 網絡安全系統

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因為偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。隨著網絡技術的快速發展，原來網絡威脅單點疊加式的防護手段已經難以有效抵御日趨嚴重的混合型安全威脅。構建一個局部安全、全局安全、智能安全的整體安全體系，為用戶提供多層次、全方位的立體防護體系成為信息安全建設的新理念，局域網安全系統設計圖如圖1所示。

目前局域網廣泛采用的安全系統有以下幾種：

3.1 防火墻系統

防火墻系統提供網絡邊界防護，也可用于構建不同的安全域，比如企業財務和其他各個部門，保護網絡免受非法用戶的侵入。

3.2 入侵檢測系統

入侵檢測系統是一種積極主動的安全防護技術，可以檢查網絡中是否存在違反安全策略的行為和被攻擊的跡象。可以作為防火墻的合理補充。

3.3 監控與審計系統

該系統各個廠家有不同命名，也稱之為防水墻系統，一般具有以下功能：信息泄露防范、系統資源安全管理、系統實時運行狀況監控、信息安全審計等。

隨著信息安全技術和理念的發展，安全監控的關注點已經從設備轉向對于設備使用者的行為。對設備使用人行為審計和行為控制的需求越來越明顯。

3.4 身份認證系統

身份認證可以限制未經授權的設備通過接入端口訪問局域網，還可以更好地保證應用服務器不被非法訪問，應用系統被身份認證系統隔離在可信網段內，用戶需要通過身份認證系統的認證后才能訪問應用。

3.5 漏洞掃描系統

漏洞掃描系統是對接入網絡中資產的漏洞進行自動發現、統計分析并提供相應的修補措施的系統，對利用這些漏洞的攻擊起到預防作用。

3.6 網絡防病毒系統

網絡病毒傳播速度快，危害大，大規模爆發甚至可以造成局域網癱瘓。部署單機版殺毒軟件，網絡管理員難于管理，很難做到足夠的防護。網絡版防病毒系統在部署、管理、應用和維護方面都具有很大的優勢。

4 結論

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。網絡上存儲和傳輸著大量敏感信息，甚至有國家機密，難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。同時，網絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。

在局域網設計方案中，安全系統設計是重中之重，應遵循相應的設計原則。企業和用戶需要在風險評估結果和企業的網絡建設投入之間尋找一個平衡點，做出適合企業自身的局域網安全設計并據此進行產品的選擇，從而確保網絡的信息安全。

參考文獻

[1]http：//baike.baidu.comiew/3067.htm

[2]王達，網絡工程方案規劃與設計[M].中國水利水電出版社.

[3]胡道元，閔京華.網絡安全[M].清華大學出版社。

作者簡介：李彬（1970.8-），女，解放軍61623部隊工程師。1992年8月畢業于解放軍信息工程大學應用數學專業，本科學歷，長期從事密碼、計算機、網絡安全和檔案管理工作。