馬佳華

92941部隊96分隊 遼寧 125000

0 引言

本地網(wǎng)絡(luò)采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，用戶群密集而且活躍，安全問題也十分突出。本地網(wǎng)絡(luò)的安全風(fēng)險由多種因素引起，必須從物理、操作、信息、網(wǎng)絡(luò)、人員、管理、輻射、通信及計算機(jī)的安全等九個方面分析本地網(wǎng)絡(luò)的安全性并制定相應(yīng)的安全解決方案，力爭使本地網(wǎng)絡(luò)成為一個全面、有效、系統(tǒng)的安全工程。

1 本地網(wǎng)的物理安全

引入分層網(wǎng)絡(luò)設(shè)計的方法將一個較大規(guī)模的本地網(wǎng)絡(luò)系統(tǒng)劃分為幾個較小的部分，它們之間既相對獨(dú)立又互相關(guān)聯(lián)。優(yōu)良的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是本地網(wǎng)穩(wěn)定可靠運(yùn)行的基礎(chǔ)。將復(fù)雜的網(wǎng)絡(luò)清晰地劃分為功能明確的小塊，再具體地完成其相應(yīng)的業(yè)務(wù)?，F(xiàn)將其應(yīng)用到本地網(wǎng)中，可將其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為核心層、分布層及接入層。

核心層的規(guī)劃目標(biāo)為處理高速數(shù)據(jù)流，實現(xiàn)數(shù)據(jù)分組交換。分布層負(fù)責(zé)聚合路由路徑，收斂數(shù)據(jù)流量，將大量低速的鏈接(與接入層設(shè)備的鏈接)通過少量寬帶的鏈接接入核心層，以實現(xiàn)通信量的收斂，提高網(wǎng)絡(luò)中聚合點(diǎn)的效率，同時減少核心層設(shè)備路由路徑的數(shù)量。接入層則將流量饋入網(wǎng)絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問控制，并且提供相關(guān)邊緣服務(wù)。對于復(fù)雜的本地網(wǎng)規(guī)劃而言，分層拓?fù)浣Y(jié)構(gòu)是最有效的，它的優(yōu)點(diǎn)在于，它把一個大問題分解成幾個小問題，將局部拓?fù)浣Y(jié)構(gòu)改變所產(chǎn)生的影響降至最小，減少路由器必須存儲和處理的數(shù)據(jù)量，提供良好的路由聚合數(shù)據(jù)流收斂。

2 本地網(wǎng)絡(luò)的操作安全

操作安全包括正確使用用戶權(quán)限，正確運(yùn)用系統(tǒng)軟硬件，正確操作終端或服務(wù)器等。訪問控制、授權(quán)管理、數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)等是控制操作安全的有效方法。

訪問控制是實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，通過訪問控制服務(wù)可以限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。

系統(tǒng)安全的根本目標(biāo)是數(shù)據(jù)資料的安全，而數(shù)據(jù)資料是由它的使用者進(jìn)行存取和維護(hù)的。傳統(tǒng)的數(shù)據(jù)存取和維護(hù)都是以新的數(shù)據(jù)覆蓋舊的數(shù)據(jù)，對于數(shù)據(jù)是無心的錯誤或有心的更改，一個管理者無法有效地查出蛛絲馬跡。因此，對數(shù)據(jù)的存取控制是系統(tǒng)安全的一個重要方面，可以引用授權(quán)管理來解決此問題。

操作失誤等原因?qū)е聰?shù)據(jù)損失時，數(shù)據(jù)恢復(fù)就顯得十分重要。無論是數(shù)據(jù)被清空或硬盤驅(qū)動器出現(xiàn)故障，還是格式化誤刪除或病毒引起的數(shù)據(jù)損失等情況，只要在存儲介質(zhì)沒有嚴(yán)重受損的情況下，大部分?jǐn)?shù)據(jù)仍然可以被恢復(fù)。當(dāng)然做好日常的數(shù)據(jù)備份也是非常必要的。

3 本地網(wǎng)絡(luò)的信息安全

病毒與惡意代碼是當(dāng)前網(wǎng)絡(luò)信息安全最大的威脅，在整個本地網(wǎng)絡(luò)的電子郵件系統(tǒng)、文件服務(wù)器系統(tǒng)、數(shù)據(jù)庫服務(wù)器系統(tǒng)、網(wǎng)絡(luò)客戶端系統(tǒng)以及網(wǎng)關(guān)和路由器系統(tǒng)等建立防病毒系統(tǒng)是十分必要的。

（1）電子郵件防毒：在郵件服務(wù)器上進(jìn)行安全管理，能很好地解決病毒通過郵件以及通過公共文件復(fù)制進(jìn)行傳播的問題。使用安全的郵件服務(wù)器，所有進(jìn)出郵件服務(wù)器的郵件或者共享文件先被保存到臨時目錄，然后通過掃毒引擎進(jìn)行掃描，發(fā)現(xiàn)病毒后進(jìn)行相應(yīng)處理，之后再放到相應(yīng)的郵箱和文件夾中。處理方式包括清除、隔離、刪除、不處理并通過E-mail報警等方式通知發(fā)件人和管理員，同時還可以提供詳細(xì)的日志以備檢查和參考。

（2）文件服務(wù)器或數(shù)據(jù)庫服務(wù)器防毒：本地網(wǎng)絡(luò)內(nèi)的重要服務(wù)器通常安裝了NT Server或者Win2000Server。由于重要服務(wù)器經(jīng)常交換大量數(shù)據(jù)和文件，要保障服務(wù)器本身不被病毒侵害，就需要在這些服務(wù)器上安裝相應(yīng)的防病毒軟件。

信息安全的另一個重要方面就是審計。審計是對那些可能危及系統(tǒng)安全的系統(tǒng)級屬性進(jìn)行連續(xù)評估，報告并跟蹤企圖對系統(tǒng)進(jìn)行破壞的行為。定期進(jìn)行系統(tǒng)審計可以為網(wǎng)絡(luò)管理者提供關(guān)于系統(tǒng)安全狀態(tài)的一個整體評價，大多數(shù)入侵手段可以被這些檢查模擬出來。一些用于網(wǎng)絡(luò)入侵的工具也可以被用來對系統(tǒng)進(jìn)行審計。

4 本地網(wǎng)絡(luò)的網(wǎng)絡(luò)安全

本地網(wǎng)絡(luò)的網(wǎng)絡(luò)安全是各安全要素的核心，包括網(wǎng)絡(luò)硬件、軟件和協(xié)議的保護(hù)以及網(wǎng)絡(luò)上傳輸信息的保護(hù)。

設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、最有效、最經(jīng)濟(jì)的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，可以過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)、出網(wǎng)絡(luò)的訪問行為，封堵某些禁止的業(yè)務(wù)，記錄通過防火墻的信息內(nèi)容和活動，對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警，起到保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離作用。

網(wǎng)絡(luò)間信息的傳輸是通過協(xié)議達(dá)成的，協(xié)議的安全是網(wǎng)絡(luò)安全的重點(diǎn)，安全的協(xié)議是可靠傳輸?shù)那疤?。TCP和UDP端口需要在客戶端和服務(wù)器之間連接，用來提供可靠的數(shù)據(jù)連接，常見的有用于FTP服務(wù)的21端口，Telne t服務(wù)的23端口，SMTP服務(wù)的25端口以及HTTP服務(wù)的80端口等。有人把服務(wù)器比作房子，端口就是通向不同房間(服務(wù))的門，對于入侵者來說，了解房子開了幾扇門，是什么樣的門，門后面有什么就顯得至關(guān)重要。入侵者會對可能存在漏洞的門(端口)進(jìn)行攻擊，一種是利用現(xiàn)有端口中的安全漏洞進(jìn)行攻擊，另一種就是種植木馬，利用木馬開辟的后門進(jìn)入主機(jī)。所以針對TCP /UDP端口漏洞的安全防御需要，首先要關(guān)閉閑置的和有潛在危險的端口，其次要利用“TCP/IP篩選”功能限制服務(wù)器的端口，還應(yīng)該利用防火墻來預(yù)防端口掃描。

5 本地網(wǎng)絡(luò)的人員安全

從一個組織產(chǎn)生、管理、傳播及保護(hù)信息的各個環(huán)節(jié)來看，人在其中起決定性作用，應(yīng)當(dāng)把這個幕后主角“人”納入信息安全的定義中去。信息安全中對人的有效管理稱為“人力防火墻”。對人的管理包括法律、法規(guī)與安全政策的約束，安全指南的幫助，安全意識的提高，安全教育與培訓(xùn)，人力資源管理措施以及安全文化熏陶，建立“人力防火墻”是實現(xiàn)有效信息安全的基礎(chǔ)。“人力防火墻”并不是要代替?zhèn)鹘y(tǒng)的技術(shù)手段，它只是一種人的原有價值的回歸。

如果把“信息安全”比作一輛馬車，那么“信息安全框架”就是馬車的車架，“人力防火墻”與“技術(shù)防火墻”就是馬車上的兩個輪子，“信息系統(tǒng)審計”就是駕車的馬夫，這幾個因素有機(jī)結(jié)合在一起，才能形成一個較為完整的防御體系，控制好“信息安全”這輛在信息高速公路上飛奔的馬車。

6 本地網(wǎng)絡(luò)的通信安全

入侵檢測是保證網(wǎng)絡(luò)通信安全的首選安全技術(shù)之一。入侵檢測是從各種系統(tǒng)和網(wǎng)絡(luò)資源收集信息，然后分析以發(fā)現(xiàn)反映外部入侵和內(nèi)部誤用征兆的一種安全技術(shù)。它通過在計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。其次，數(shù)據(jù)加密作為一項基本技術(shù)是所有通信安全的基石。數(shù)據(jù)加密過程是由形形色色的加密算法來具體實施的，它能夠以很小的代價提供較強(qiáng)的安全保護(hù)。另外，虛擬專用網(wǎng) VPN也可以保證在共享的通信設(shè)施上仿真專用的通信網(wǎng)絡(luò)。VPN技術(shù)采用認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，利用封裝、加密等技術(shù)和機(jī)制在開放的環(huán)境中虛擬出一條安全的通信隧道，保證信息在傳輸中不被偷看、篡改、復(fù)制，提供安全的通信傳輸服務(wù)。

[1]李圣良.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用——基于校園網(wǎng)的網(wǎng)絡(luò)安全策略[J].北京大學(xué)出版社.2009.