臺內局域網的安全設計方案

摘 要 本文對臺內局域網面臨的主要安全隱患做了詳細的分析，并全面探討了臺內局域網的安全設計方案。

關鍵詞 局域網 安全隱患 完全設計方案

一、臺內局域網面臨的主要安全隱患

（1）意外事故：由硬件故障、電路故障等意外事故及塵土覆蓋、雷電天氣、水災火災等自然因素造成的網絡故障和系統癱瘓。

（2）局域網內部人員造成的安全隱患：由于工作人員粗心大意或者操作失誤，導致重要數據損壞甚至丟失。

（3）局域網外部人員的非法介入導致臺內機器頻率參數、天線方位參數等機密信息泄露：局域網外部人員未經允許私自進入臺內局域網非法篡改或截取網內信息甚至蓄意破壞或攻擊，包括黑客攻擊、信息修改、網絡竊聽、惡意代碼等。

（4）病毒：病毒對臺內局域網的危害防不勝防。它能通過網絡或者移動磁盤進行傳染，局域網內任何一臺計算機中病毒都有可能傳染給其它計算機，甚至造成整個臺內局域網系統癱瘓。

（5）軟件漏洞：臺內所用軟件自身存在的安全缺陷可能使攻擊者在沒有得到授權的情況下訪問或破壞臺內系統，從而導致臺內重要信息的泄露。

二、臺內局域網的安全設計

1、整體設計思路

在使用臺內局域網系統前，按照用戶的級別和處理的密級進行授權，對于不符合要求的用戶，不準許其進入臺內局域網；在處理臺內信息前，對用戶的身份進行驗證，身份不真實者，杜絕其使用臺內系統。對于身份符合的用戶，檢測其權限和級別，然后準予其啟動權限和級別內的系統；在臺內信息處理的過程中，加密信息，防止信息被非法篡改或破壞。保證授權用戶對臺內信息資源的正常使用和共享；信息處理后，審計追蹤違反安全策略的時間和責任，防止用戶抵賴。

2、局域網安全設計路徑

（1）拓撲結構

局域網拓撲結構在設計時應基于保障網絡設備安全的基礎上。對于服務器、主干交換機、路由器等重要設備進行集中管理。同時防止各種通信線路的意外損壞。在涉及網絡拓撲結構時，選用千兆以太網構建網絡的主干部分，實現匯聚到核心的千兆鏈路。對于各種類型的應用服務器，選用千兆以太網技與骨干網絡設備進行鏈接。這就是局域網的拓撲結構設計，設計臺內局域網時可以此為參照。

（2）合理劃分 VLAN

當前的VLAN技術不僅可以阻止網絡廣播風波，同時還可以防止病毒入侵。大部分的企業或單位使用的都是基于端口劃分的VLAN。這種劃分方法有它自身的優點，同時也有一定的缺陷。它的優點是只要將所有端口都指定一下就可以定義VLAN成員，操作十分簡單。缺點是當中任何一個VLAN用戶想從原來的端口調到另一個交換機端口，就必須對所有VLAN成員重新進行定義。

按端口劃分V LAN 有多種劃分方法，企業或單位中最常用的是按樓層劃分、按科室劃分和按管理方式劃分方式。每種劃分方法都有各自的優缺點。

按樓層劃分操作起來比較簡單，但由于單位信息共享的必要性和單位科室的復雜性，一旦有病毒入侵，很難把病毒控制在一個固定的范圍內，容易造成病毒在整個單位擴散，甚至造成整個單位局域網的癱瘓。

而按科室劃分必須在某些特定情況下才能應用，比如某科室為了防止信息外泄，把本科室的計算機連城一個局域網，拒絕其它可是用戶訪問。

現在許多大型企業或單位都按管理方式劃分VLAN。簡單說，就是將單位的行政部、財務部、執行部分別劃到不同的VLAN中，且每個VLAN都是獨立的，同一個VLAN中的信息可以相互傳播。如果不同的科室之間有互通信息的需要，可以在信息中心內部傳輸（在計算機中心， 每一V LAN 都有相應的PC 機進行相關的監控）。

（3）防火墻技術

防火墻是一種保障網絡安全的基礎設施，同時又是保護局域網的第一道屏障。它通過一種訪問控制尺度來保障網絡通信的安全，具有較強的抗攻擊能力。實際上就是通過對進、出網的權限設置，強制所有鏈接接受檢測，防止外界因素對網絡的攻擊和破壞。臺內局域網的防火墻設置能夠保護臺內局域網免受外來攻擊，因而防火墻是臺內局域網安全系統中必不可少的。我臺可以在臺內局域網與互聯網之間建立防火墻，通過防火墻阻擋不安全的服務和非法用戶攻擊臺內局域網，禁止未經授權的用戶訪問臺內局域網內受保護的網絡，對所有通過的訪問進行記錄和數據統計，提供預警和審計功能，從而達到保障臺內局域網的安全目的。

（4）網絡數據存儲及傳輸安全的設計

存儲加密、數據訪問控制和數據備份都是基于保障網絡數據存儲及傳輸安全的技術設計。

數據加密是指把需要保護的數據信息經過加密處理，由明文變成密文。需要應用受保護的數據信息時再把它由密文轉換成明文。這樣即使非法用戶得到了存儲的數據信息也無法破解經加密的密文，從而達到保護存儲數據信息的目的。

數據訪問控制技術主要是通常對數據信息用戶身份鑒防止用戶非法訪問受控信息和保密信息。目前對終端用戶的身份進行識別和驗證的方法有：口令驗證、通行驗證和口令與IC 卡雙重認證技術。此外，訪問權限的控制也屬于數據訪問控制技術中的一種。

數據備份是保護網絡存儲數據最有效、最簡單的方法。數據備份無論是在網絡系統故障、人為操作失誤，還是非法用戶入侵或破壞網絡存儲數據的情況下，都能快速、完整地恢復計算機系統所需的數據信息。

三、結語

保障臺內局域網的安全是一項系統工程，必須從管理和技術兩個層面著手。一方面提高臺內計算機管理人員的管理水平和管理能力，保障臺內計算機的物理安全、電路安全；另一方面采用權限管理、流量控制、設置防火墻、加密認證等一系列技術措施將臺內局域網的安全保障工作落到實處、落到細處。只有全面構建臺內局域網的安全防御體系，才能最大限度的保障臺內局域網的安全。

參考文獻：

[1]王群.最新局域網管理與維護全接觸[M].北京：清華大學出版社，2004：160-161.

[2]教育部考試中心.全國計算機等級考試三級教程———網絡技術[M].北京：高等教育出版社，2007：191-204.