趙新平，朱海巖

(呂梁學(xué)院汾陽師范分校 信息技術(shù)系，山西 汾陽 032200)

0 引言

幾乎所有的企事業(yè)單位都擁有一個或大或小的內(nèi)部網(wǎng)絡(luò).網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用為信息傳遞和資源共享帶來了極大的便利，但同時也存在著嚴(yán)重的安全問題[1，2].如：內(nèi)網(wǎng)資源幾乎直接暴露在公網(wǎng)上，直接關(guān)系到企業(yè)機(jī)密數(shù)據(jù)的安全；缺乏身份認(rèn)證機(jī)制，用戶隨意接入內(nèi)部網(wǎng)絡(luò)，出現(xiàn)問題難以定位和診斷；缺乏網(wǎng)絡(luò)互訪的控制，難以保證一些核心部門的數(shù)據(jù)安全等等，因此，網(wǎng)絡(luò)安全意識的強(qiáng)化和網(wǎng)絡(luò)安全技術(shù)的應(yīng)用在規(guī)模日益壯大的網(wǎng)絡(luò)環(huán)境中顯得猶為重要.

1 局域網(wǎng)絡(luò)安全技術(shù)探討

一個穩(wěn)定運(yùn)行的網(wǎng)絡(luò)是以安全性為基礎(chǔ)的，網(wǎng)絡(luò)安全問題是任何一個單位的內(nèi)部網(wǎng)絡(luò)都不能忽略的問題.本文所討論的網(wǎng)絡(luò)安全設(shè)計重點(diǎn)關(guān)注OSI參考模型網(wǎng)絡(luò)層和數(shù)據(jù)傳輸層的通信安全.

1.1 網(wǎng)絡(luò)邊界安全

網(wǎng)絡(luò)邊界安全是確保局域網(wǎng)內(nèi)的資源不會受到外網(wǎng)惡意的或非授權(quán)的訪問.在網(wǎng)絡(luò)邊界所采用的安全技術(shù)一般包括防火墻和VPN等.防火墻一般部署在局域網(wǎng)的Internet入口處，是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)通信的必經(jīng)之路.它能對內(nèi)網(wǎng)與外網(wǎng)之間通信的數(shù)據(jù)包進(jìn)行檢查和過濾以保證所有訪問都符合安全策略的要求.一般情況下防火墻的默認(rèn)配置是內(nèi)網(wǎng)到外網(wǎng)全部允許，外網(wǎng)到內(nèi)網(wǎng)全部禁止.

如果有些單位存在分支機(jī)構(gòu)，或員工出差時需要從外網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)資源，則應(yīng)該選購帶VPN功能的防火墻或在內(nèi)網(wǎng)布署VPN設(shè)備.通過VPN驗證的計算機(jī)將被視為內(nèi)網(wǎng)計算機(jī)，可以按被賦予的權(quán)限訪問內(nèi)網(wǎng)資源.如果內(nèi)網(wǎng)的某些服務(wù)是發(fā)布到公網(wǎng)的，如網(wǎng)頁服務(wù)、郵件服務(wù)等，可以考慮在防火墻上開啟相關(guān)端口來提供服務(wù)，嚴(yán)禁將整臺服務(wù)器發(fā)布到公網(wǎng).

1.2 網(wǎng)絡(luò)接入安全

局域網(wǎng)對入網(wǎng)計算機(jī)和用戶的控制主要有2種技術(shù)手段.一是對入網(wǎng)計算機(jī)進(jìn)行限制，對入網(wǎng)計算機(jī)的IP地址、MAC地址等進(jìn)行限制，也可結(jié)合交換機(jī)的VLAN技術(shù)進(jìn)行更靈活的控制；二是對入網(wǎng)用戶進(jìn)行身份認(rèn)證，限制未授權(quán)用戶訪問局域網(wǎng)[3].用戶身份認(rèn)證的技術(shù)原理如圖1所示.

圖1 用戶身價認(rèn)證原理示意圖

1.3 網(wǎng)段隔離與訪問控制

如果局域網(wǎng)內(nèi)有些資源的訪問時間和身份受限，則需要考慮將局域網(wǎng)劃分為多個VLAN.可以將內(nèi)網(wǎng)的計算機(jī)按重要程度劃分到不同的VLAN，內(nèi)網(wǎng)用戶按權(quán)限也劃分到不同的VLAN.VLAN之間的互訪根據(jù)策略進(jìn)行控制.不同VLAN之間的訪問控制一般通過訪問控制列表ACL進(jìn)行.您可以為每種協(xié)議、每個方向、每個接口配置一個 ACL，從而可以很靈活地控制內(nèi)網(wǎng)計算機(jī)和用戶的訪問權(quán)限.

1.4 存儲安全設(shè)計

服務(wù)器是局域網(wǎng)應(yīng)用的核心，服務(wù)器的數(shù)據(jù)安全成為一個不容忽視的重大問題，服務(wù)器數(shù)據(jù)的存儲安全是局域網(wǎng)安全的重中之重.但由于缺乏數(shù)據(jù)存儲安全的相關(guān)知識和資訊，或者資金預(yù)算有限、領(lǐng)導(dǎo)重視力度不夠等原因，很多單位沒有專門的數(shù)據(jù)存儲安全管理方案和設(shè)備支持，從而導(dǎo)致大量的核心數(shù)據(jù)面臨徹底丟失的風(fēng)險.

根據(jù)有關(guān)數(shù)據(jù)丟失事故原因的統(tǒng)計數(shù)據(jù)，在造成數(shù)據(jù)丟失的事故原因中，病毒、木馬和黑客攻擊占21%，而硬件故障、工作人員誤操作和信息泄露造成的數(shù)據(jù)丟失占比高達(dá)79%[4].另外自然災(zāi)害、設(shè)備被盜、人員離職等不太被關(guān)注的原因也很有可能造成數(shù)據(jù)泄漏或丟失.

根據(jù)上述原因，可以根據(jù)自己單位核心數(shù)據(jù)的量級、重要程度、業(yè)務(wù)類型和服務(wù)時間等因素，綜合分析，選擇相應(yīng)的技術(shù)，并結(jié)合數(shù)據(jù)安全管理要求，制定數(shù)據(jù)存儲安全管理方案.鑒于各單位數(shù)據(jù)管理要求各不相同，本文只對常用數(shù)據(jù)存儲備份技術(shù)進(jìn)行介紹，并對各種技術(shù)的適用場景和特點(diǎn)進(jìn)行簡要分析.

1.4.1 磁盤陣列(Redundant Arrays of Independent Disks，RAID)

磁盤陣列是將若干硬盤組成一個陣列，數(shù)據(jù)分散或冗余地存儲在各磁盤上，通過數(shù)據(jù)冗余的方式可以提高硬盤的平均無故障時間、數(shù)據(jù)傳輸速率和安全級別，通過數(shù)據(jù)分散存儲可以通過數(shù)據(jù)較驗技術(shù)提供容錯功能，從而提高數(shù)據(jù)的安全級別.在磁盤陣列中，通常單塊磁盤的損壞并不影響數(shù)據(jù)的完整性.RAID根據(jù)其設(shè)計目標(biāo)不同，有RAID0,RAID1,RAID10,RAID5等不同模式.

RAID的優(yōu)點(diǎn)是可以提供較高的數(shù)據(jù)傳輸率和磁盤容錯功能，很大程度上解決了磁盤故障造成數(shù)據(jù)丟失的風(fēng)險.

1.4.2 數(shù)據(jù)存儲方式

1.4.2.1 直連式存儲(Direct-Attached Storage，DAS)

DAS指存儲系統(tǒng)直連在應(yīng)用服務(wù)器中，依靠服務(wù)器的操作系統(tǒng)進(jìn)行數(shù)據(jù)讀寫控制和維護(hù)管理，數(shù)據(jù)備份和恢復(fù)要占用主機(jī)資源.存儲器與主機(jī)連接通常用SCSI通道，隨著磁盤數(shù)量的增多，SCSI通道會成為系統(tǒng)瓶頸.

這種存儲方式雖然并不先進(jìn)，但成本低廉，安裝維護(hù)簡單，被廣大中小型企業(yè)和組織廣泛采用.

1.4.2.2 網(wǎng)絡(luò)附屬存儲(Network Attached Storage，NAS)

NAS是將存儲設(shè)備通過網(wǎng)絡(luò)連接到一組計算機(jī)上，其一般被用于解決存儲容量增加的需求.如文檔共享和數(shù)據(jù)備份等應(yīng)用.NAS是即插即用產(chǎn)品，不同用戶通過網(wǎng)絡(luò)支持協(xié)議可以進(jìn)入同一個文檔，它允許用戶在無應(yīng)用服務(wù)器支持的情況下從網(wǎng)絡(luò)上存取文件，這樣可以減小CPU開銷和提升網(wǎng)絡(luò)性能.

NAS中的數(shù)據(jù)只能以文件方式訪問而不能直接訪問物理數(shù)據(jù)塊，這在某些情況下會影響系統(tǒng)效率并且不適用于某些服務(wù)(如數(shù)據(jù)庫服務(wù)).另外，NAS還會消耗較大的網(wǎng)絡(luò)帶寬.

1.4.2.3 存儲區(qū)域網(wǎng)絡(luò)(Storage Area Network，簡稱SAN)

SAN是通過光纖通道交換機(jī)，將存儲陣列和應(yīng)用服務(wù)器連接起來，組成一個專用的存儲網(wǎng)絡(luò).SAN允許企業(yè)靈活地進(jìn)行容量配置，也允許任意服務(wù)器連接到任意存儲陣列.SAN綜合了DAS和NAS的優(yōu)勢，既可以提供區(qū)塊級的數(shù)據(jù)訪問，也能提供巨大的存儲空間.

SAN確實(shí)非常優(yōu)秀，所以它是很多大型企業(yè)和機(jī)構(gòu)的首選.如果說它有什么缺點(diǎn)的話，那就是價格昂貴、設(shè)置維護(hù)復(fù)雜.

DAS,NAS和SAN三種存儲結(jié)構(gòu)如圖2所示.

圖2 DAS，NAS和SAN存儲結(jié)構(gòu)圖

2 制度建設(shè)和人員培訓(xùn)

網(wǎng)絡(luò)安全不僅僅是技術(shù)性問題，同樣是一個管理問題[5].再好的網(wǎng)絡(luò)安全設(shè)計如果沒有規(guī)范的管理制度，沒有強(qiáng)烈的安全意識，沒有合格的操作水平，網(wǎng)絡(luò)安全就沒有可靠的基礎(chǔ)和有力的保障.

3 結(jié)束語

網(wǎng)絡(luò)安全是一項系統(tǒng)工程，需要進(jìn)行全面設(shè)計和系統(tǒng)建設(shè)，也需要規(guī)范的管理制度，合格的操作水平作為基礎(chǔ)和保障.隨著計算機(jī)網(wǎng)絡(luò)的深入應(yīng)用，各種安全問題層出不窮，新的方法論和技術(shù)也隨之更新.只有通過不斷的研究、探索和實(shí)踐應(yīng)用，才能總結(jié)出適合自己的網(wǎng)絡(luò)防護(hù)方法，使計算機(jī)網(wǎng)絡(luò)更好地服務(wù)生產(chǎn)生活.