涉密局域網(wǎng)風(fēng)險分析及安全策略的研究

林叢杰

【摘要】涉密局域網(wǎng)廣泛應(yīng)用于政府與企業(yè)并產(chǎn)生一定的積極影響，但在實際工作當(dāng)中某些單位對其安全管理方面存在僥幸心理未加以重視，于是導(dǎo)致存在較大的安全隱患。為解決此種情況，于是采取了一系列的安全措施。本文首先對涉密局域網(wǎng)進行一定的風(fēng)險分析，然后從網(wǎng)絡(luò)硬件安全、軟件安全及人員管理三方面對涉密局域網(wǎng)的安全策略進行一定的研究。

【關(guān)鍵詞】涉密;局域網(wǎng);風(fēng)險分析;安全策略

當(dāng)今社會處于信息時代，計算機的應(yīng)用范圍越來越廣泛，計算機網(wǎng)絡(luò)與此同時也遍布世界各地。由于局域網(wǎng)具有穩(wěn)定的技術(shù)以及低廉的投資被廣泛應(yīng)用于政府與各大企業(yè)。由于涉密局域網(wǎng)具有一定的特殊性，導(dǎo)致其存在著一定的安全風(fēng)險。對于政府部門以及企業(yè)來說，局域網(wǎng)既有利也有弊，利在于局域網(wǎng)可以用來通信以及共享資源從而大大提高了工作效率和服務(wù)能力，弊在于局域網(wǎng)有一定的脆弱性會造成涉密信息或者不愿公開的信息被泄露、竊取和破壞從而產(chǎn)生嚴重的后果。特此本文針對涉密局域網(wǎng)進行了一定的風(fēng)險分析和安全策略的研究，從而增強其安全性能，克服其安全風(fēng)險，改善其安全環(huán)境。通過本文的論述，筆者一方面希望能夠起到一個拋磚引玉的作用，另一方面，希望能夠給相關(guān)的工作人員提供一點參考借鑒的材料。

一、涉密局域網(wǎng)的風(fēng)險分析

涉密局域網(wǎng)由于其在傳輸、處理及存儲信息過程中存在一定的脆弱性，會導(dǎo)致信息面臨一定的風(fēng)險性，風(fēng)險存在但不能全部消除，因此必須對所面臨的安全隱患進行管理，對所面臨的安全風(fēng)險進行分析，把風(fēng)險性降低至政府部門和有關(guān)企業(yè)所能接受的最小程度。

下面對某政府機構(gòu)涉密局域網(wǎng)進行風(fēng)險分析，具體過程如下：

1.成立風(fēng)險分析小組。于本政府機構(gòu)各部門選出共15名人員（包含1名組長）進行2天有關(guān)網(wǎng)絡(luò)安全和風(fēng)險分析知識的培訓(xùn)。

2.分析威脅因素及脆弱性。培訓(xùn)結(jié)束后，15名小組成員依據(jù)自身經(jīng)驗針對本政府機構(gòu)可能的威脅因素、脆弱性和相對應(yīng)的威脅做詳細地分析，并最終列出表格。

3.列寫威脅報告。按照威脅因素和脆弱性表格，分別撰寫威脅報告，并交由相關(guān)負責(zé)人查驗、審核及修改。

4.研究安全舉措。小組成員獨立想出安全舉措，再集中討論進行補充，最終由小組組長進行匯總。

5.小組成員評估。小組成員按照威脅的嚴重程度不同從1至5分別對威脅以及措施進行評分，并進行匯總。列舉成員針對黑客竊取信息威脅作出如表1-1所示，評估結(jié)果顯示小組成員認為這一威脅非常嚴重，而且防火墻與IDS（即入侵檢測系統(tǒng)）的有效性比蜜罐的有效性要強。

表1-1 某威脅小組成員評估匯總

黑客竊取信息 威脅評估 措施評估

嚴重性 潛在損失 可能性 防火墻有效性 IDS有效性 蜜罐有效性

分析小組組長 5 4 3 3 3 1

裝備部門1 4 2 4 4 3 2

裝備部門2 4 4 4 3 4 1

聯(lián)絡(luò)部門1 3 4 3 4 2 1

聯(lián)絡(luò)部門2 4 3 3 4 3 1

綜合部門 5 4 4 4 4 2

政工部門 5 5 4 4 4 3

業(yè)務(wù)部門1 4 3 5 5 4 2

業(yè)務(wù)部門2 5 3 2 3 3 3

業(yè)務(wù)部門3 5 3 2 4 4 3

業(yè)務(wù)部門4 5 3 2 3 3 1

業(yè)務(wù)部門5 3 3 2 3 3 2

業(yè)務(wù)部門6 3 4 3 4 4 2

業(yè)務(wù)部門7 4 5 1 3 3 2

業(yè)務(wù)部門8 4 3 3 4 3 3

結(jié)果 4.2 3.5 3.0 3.7 3.3 1.9

6.列寫報告。進行評估結(jié)束以后，小組組長進行匯總，列寫風(fēng)險分析報告。某單位涉密局域網(wǎng)的步驟與要點如下表1-2所示。

表1-2 某單位涉密局域網(wǎng)的步驟與要點

步驟 過程要點 主要結(jié)果

成立風(fēng)險分析小組 選擇各部門具有中級以上職稱者

建立小組并進行培訓(xùn) 15名小組成員進行

2周脫產(chǎn)分析

分析威脅因素及脆弱性 小組成員利用DELPHI方法識別

局域網(wǎng)的威脅與脆弱性 涉密局域網(wǎng)威脅因素

與脆弱性分析表

列寫威脅報告 對威脅具體情況進行說明并審核 各個威脅的威脅報告

研究安全舉措 研究能夠降低風(fēng)險的措施并審核 制作各個威脅的評估表

小組成員評估 按評估表對威脅的嚴重性

及措施的有效性進行評估 對各威脅的評估進行匯總

列寫報告 列寫風(fēng)險分析報告對局域網(wǎng)威脅

以及相應(yīng)措施進行說明 風(fēng)險分析報告

二、涉密局域網(wǎng)的安全策略

1.網(wǎng)絡(luò)硬件安全策略

控制Telnet訪問及會話超時。在局域網(wǎng)中，交換機一般全部需要分配管理地址，為便于長距離之間的管理，一般交換機會啟動Telnet功能。對于網(wǎng)絡(luò)設(shè)備的安全進行管理，須設(shè)置Telnet密碼。網(wǎng)絡(luò)管理員在進入交換機的控制臺以后，若由于事情外出，這就會導(dǎo)致控制臺進入無人看管的狀態(tài)，此刻任何人都能夠趁此時機來對網(wǎng)絡(luò)設(shè)備的配置進行修改。特此須對空閑的會話進行超時設(shè)置，從而使控制臺隔一段空閑時間后自動地與網(wǎng)絡(luò)設(shè)備斷開，保證了網(wǎng)絡(luò)的安全。

對MAC地址進行綁定。交換機的一個特性就是端口安全。當(dāng)一個數(shù)據(jù)幀傳入某一端口時，此端口會將此數(shù)據(jù)幀的源地址與原來端口的源地址作比較。若MAC地址不能夠相互匹配，那么此端口會合閉，并且指示燈的顏色會顯示橙色。在缺省的狀態(tài)下，對于交換機來說，其允許全部的MAC地址進行網(wǎng)絡(luò)訪問。由于端口安全這一特性，可以通過配置一組較為安全的并允許訪問此端口的MAC地址來保證安全。由于端口數(shù)目是穩(wěn)定的，然而計算機的數(shù)目不斷上漲，對于綁定MAC地址非常局限。一般的安全設(shè)置基于IP地址，然而用戶的IP地址比較隨性可以自己隨性設(shè)置。特此須在交換機中把IP地址與MAC地址進行綁定。

對訪問列表進行設(shè)置。就是在交換機中依據(jù)地址、協(xié)議以及端口來定義數(shù)據(jù)流。列表訪問廣泛應(yīng)用于交換機中。訪問列表有兩種類型，一種是展型，另一種是標準型。展型訪問列表具有很強的制服力，標準型訪問列表對交換機來說便于處理。

VLAN的安全。根據(jù)局域網(wǎng)信息的重要程度不盡相同，需對VLAN進行劃分來實現(xiàn)隔離邏輯。通過交換機把網(wǎng)絡(luò)劃分成若干個虛擬網(wǎng)絡(luò)，不僅能夠增強網(wǎng)絡(luò)安全，而且能夠有效控制網(wǎng)絡(luò)風(fēng)暴。利用虛擬網(wǎng)絡(luò)，可以把較為敏感的網(wǎng)絡(luò)資源與非法的用戶進行隔離，進而阻止隱藏的非法竊聽與訪問。

2.軟件安全策略

為了及時能夠掃描與查殺病毒，可以安裝防病毒的軟件。其中防火墻于內(nèi)外網(wǎng)之間建立安全網(wǎng)關(guān)，能夠?qū)?shù)據(jù)包進行過濾，從而達到防護的作用。由于防火墻防御相對來說較靜態(tài)，入侵檢測系統(tǒng)能夠彌補防火墻的不足，其對內(nèi)外攻擊以及錯誤操作能夠進行實時的防護。此外可以利用網(wǎng)絡(luò)誘騙系統(tǒng)來對實際中正在運行的系統(tǒng)進行保護。

3.人員管理策略

為了加強涉密局域網(wǎng)的安全水平，首先應(yīng)該做好人員的管理工作。對于網(wǎng)絡(luò)安全的保密意識應(yīng)不斷增強，對于網(wǎng)絡(luò)安全的保密知識應(yīng)不斷積累，對于網(wǎng)絡(luò)安全的保密環(huán)境應(yīng)不斷改善。用戶應(yīng)對殺毒的軟件進行定期升級，應(yīng)對重要的資料應(yīng)進行定期備份。用戶應(yīng)嚴格遵守網(wǎng)絡(luò)信息安全的管理制度，不得隨意違反，養(yǎng)成良好的習(xí)慣。

三、總結(jié)

風(fēng)險與安全是一對矛盾體，涉密局域網(wǎng)廣泛應(yīng)用于政府部門與各大企業(yè)但與此同時存在一定的安全隱患。針對此情況，本文首先舉例對涉密局域網(wǎng)進行一定的風(fēng)險分析，然后對涉密局域網(wǎng)的安全管理策略進行一定的研究，主要涉及網(wǎng)絡(luò)硬件安全策略、軟件安全策略以及人員管理策略三個方面。然而由于自身所掌握知識的局限性，并不能夠分析和研究的很全面，還需要進一步的完善。以上是本人的粗淺之見，但是由于本人的知識水平及文字組織能力有限，因此文中如有不到之處還望不吝賜教。

參考文獻

[1]繆翔.涉密局域網(wǎng)風(fēng)險分析及安全策略的研究[J].同濟大學(xué)，2013（10）.

[2]李亮.重要信息系統(tǒng)局域網(wǎng)安全策略分析與研究[J].信息網(wǎng)絡(luò)安全，2013（02）.

[3]許蘭川.構(gòu)建辦公信息網(wǎng)絡(luò)安全防護體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（04）.

[4]藏學(xué)范.企業(yè)計算機應(yīng)用安全管理[M].遼寧人民出版社，2012：130-132.

[5]張虎.數(shù)據(jù)安全技術(shù)在涉密信息系統(tǒng)中的實踐與應(yīng)用[J].硅谷，2013（06）.

[6]劉冰.關(guān)于局域網(wǎng)計算機的網(wǎng)絡(luò)維護[A].低碳經(jīng)濟與科學(xué)發(fā)展——吉林省第六屆科學(xué)技術(shù)學(xué)術(shù)年會論文集[C].2010.