申繼平

摘要：局域網(wǎng)在社會生產(chǎn)生活管理中所起到的作用不斷得以提升，但是由于網(wǎng)絡系統(tǒng)運行的特殊性，使得局域網(wǎng)安全管理的重要性也不斷提高。本文以上海中國航海博物館為例，在闡述項目背景和項目實施必要性的基礎上，對項目建設內(nèi)容進行深入分析，對中海博局域網(wǎng)網(wǎng)絡安全建設方案內(nèi)容進行分析，以期為同類型局域網(wǎng)安全建設和管理提供理論指導。

關鍵詞：局域網(wǎng);網(wǎng)絡安全;要點

中圖分類號： TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2020）30-0040-02

互聯(lián)網(wǎng)技術的應用給現(xiàn)代社會發(fā)展起到了重要的促進作用，但是在實際運行中由于多方面因素的影響，使得網(wǎng)絡運行中常會出現(xiàn)安全防護問題，造成數(shù)據(jù)損壞或丟失，以此給企業(yè)帶來較大經(jīng)濟損失，甚至會造成嚴重的后果。因此在局域網(wǎng)建設和運行中，必須依賴于一定的安全防護對策，強化網(wǎng)絡安全防護水平，以此確保信息防護安全，保障企事業(yè)單位工作正常運轉。

1 項目概述

1.1 項目背景

近年來，隨著博物館信息化建設步伐的加快，上海中國航海博物館（下簡稱“中海博”）基于各業(yè)務信息系統(tǒng)的大數(shù)據(jù)交換和共享的需求也日益增長。博物館網(wǎng)絡信息安全防范需要綜合計算機網(wǎng)絡信息管理各個層面、各個環(huán)節(jié)的不同要素，圍繞“做好內(nèi)部網(wǎng)絡環(huán)境的治理、阻止外界入侵”，不斷加強對網(wǎng)絡信息安全方面的研究，并制定出科學的防護策略，進而使其防護手段能夠全面適應當前博物館計算機網(wǎng)絡技術的發(fā)展需求。現(xiàn)階段信息安全形勢嚴峻，網(wǎng)絡攻擊、信息泄露、勒索病毒等安全威脅層出不窮。特別是一些境外敵對勢力，常常在重大節(jié)日或關鍵會議期間，對國內(nèi)的機關和企事業(yè)單位發(fā)起集中攻擊[1]。同時行業(yè)各監(jiān)管單位也對下屬機構開展相關的安全檢查工作，以幫助發(fā)現(xiàn)自身安全問題，督促整改。中海博在建設信息化平臺的過程中，始終對信息和網(wǎng)絡安全保持高度重視，積極開展信息系統(tǒng)安全工作，保證核心業(yè)務系統(tǒng)基本的安全。但是隨著行業(yè)安全形勢變得越來越嚴峻，監(jiān)管要求的加強，《信息安全技術網(wǎng)絡安全等級保護基本要求》（以下簡稱：等保2.0）的提出，以及新業(yè)務對互聯(lián)網(wǎng)的開放程度加強。目前整體業(yè)務系統(tǒng)依然不能滿足要求，需要進一步完善和加固。

1.2 項目實施的必要性

網(wǎng)絡安全管理對于我國信息安全具有重要的保障作用，在博物館等大型公共場所運行中，必須強化對這方面工作的重視程度。中海博除內(nèi)部工作人員使用的辦公網(wǎng)絡外，還有包括電子消費系統(tǒng)、藏品管理系統(tǒng)等業(yè)務系統(tǒng)以及展廳內(nèi)大量終端、WiFi基站等都需要使用網(wǎng)絡系統(tǒng)進行接入。如果網(wǎng)絡系統(tǒng)受到攻擊，必然會對日常工作造成極為嚴重影響[2]。中海博雖已建立了基礎網(wǎng)絡系統(tǒng)，也具備了防火墻等最為基礎的信息安全設備。但隨著智慧博物館的建設，無線網(wǎng)絡的加入、日漸增多的應用層業(yè)務系統(tǒng)，以及因為觀眾的訴求和需要，內(nèi)外網(wǎng)融合等情況，也產(chǎn)生了較大的網(wǎng)絡安全隱患。網(wǎng)絡的安全性會直接影響到博物館整個信息化系統(tǒng)的安全性，所以，提供安全的網(wǎng)絡運行環(huán)境至關重要。

2 項目建設內(nèi)容

2.1 完善安全防御體系

通過安全建設保障單位業(yè)務系統(tǒng)安全、穩(wěn)定、高效運行;通過統(tǒng)一的安全規(guī)劃，對單位進行安全區(qū)域的劃分，對每個區(qū)域包括：核心業(yè)務區(qū)、安全管理區(qū)、安全運維區(qū)、核心交換區(qū)、DMZ區(qū)域、終端接入?yún)^(qū)和業(yè)務出口區(qū)域等進行安全隔離，并部署適當?shù)姆烙侄危饕ㄔO置防火墻、WAF等措施。門戶網(wǎng)站、對外票務系統(tǒng)等外部業(yè)務系統(tǒng)需要重點保護，根據(jù)業(yè)務的特點部署具有針對性的防護手段，如B/S架構的應用對應WEB應用防火墻和網(wǎng)頁防篡改等技術手段，7×24小時的實時網(wǎng)站監(jiān)測服務，針對外部系統(tǒng)的高可用、可靠性進行監(jiān)測，確保重要業(yè)務系統(tǒng)具有更高的安全等級和抗攻擊能力。對單位主機進行全面的管控和病毒防護，使用桌面管控和殺毒軟件實現(xiàn)全面的惡意代碼防范[3]。在網(wǎng)絡的關鍵節(jié)點部署網(wǎng)絡防病毒，阻斷病毒數(shù)據(jù)在區(qū)域間的傳播。

2.2 完善安全審計體系

建立信息安全審計系統(tǒng)是按一定規(guī)則，在不同層次獲取并分析各種記錄、日志、報告等信息資源，以如實反映系統(tǒng)安全情況和那里發(fā)生的所有事件，試圖從網(wǎng)絡或基于網(wǎng)絡向主機系統(tǒng)應用系統(tǒng)或直接向主機系統(tǒng)、應用系統(tǒng)發(fā)起外部的、內(nèi)部的、內(nèi)外串聯(lián)的與濫用特權的入侵和攻擊，都將在安全審計系統(tǒng)中留下他的活動記錄，如果安全審計系統(tǒng)能夠同時和實時告警與連接阻斷功能相結合或互動，就會組成一個及時響應、防審結合的縱深防御體系，將被動事后審計與實時主動防御結合起來，更有效地阻止入侵和攻擊，避免系統(tǒng)因此而產(chǎn)生不應有的損失。對于單位審計體系目前規(guī)劃主要審計主體為業(yè)務服務器和核心網(wǎng)絡、安全設備。具體涉及日志審計、運維審計、數(shù)據(jù)庫審計三個方面。

2.3 完善安全管理體系

除了技術措施外，建立健全安全管理體系也是極為重要的方面，這不但是等級保護標準中的要求，也是安全防護體系中不可或缺的重要組成部分。安全管理體系主要包括：安全管理制度;安全管理機構;安全管理人員;安全建設管理;安全運維管理。根據(jù)等級保護的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。

2.4 通過等保測評

通過一系列的安全加固手段，使中海博網(wǎng)絡達到等保2.0要求，確保網(wǎng)絡和信息系統(tǒng)安全穩(wěn)固。

3 方案設計

3.1 中海博局域網(wǎng)概述

中海博作為國家級的航海博物館，信息化網(wǎng)絡是所有網(wǎng)絡安全的重要體現(xiàn)，中海博內(nèi)網(wǎng)主要涵蓋保障博物館管理和運營業(yè)務正常開展的平臺，如辦公OA系統(tǒng)，館藏系統(tǒng)，電子消費系統(tǒng)，圖書館系統(tǒng)，內(nèi)部郵件系統(tǒng)，固定資產(chǎn)系統(tǒng)，財務管理系統(tǒng)，物資關系系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，環(huán)境監(jiān)控系統(tǒng)，域控系統(tǒng)。中海博外網(wǎng)主要涵蓋館內(nèi)對外服務資源的對外服務，如官方網(wǎng)站信息發(fā)布，網(wǎng)上訂票、信息查詢及講解預約等業(yè)務。

3.2 中海博局域網(wǎng)網(wǎng)絡安全風險分析

如果在網(wǎng)絡系統(tǒng)運行中使用內(nèi)外網(wǎng)合并的形式，將會給工作人員的日常工作帶來較大便利，同時也會同步帶來安全防護問題，由于內(nèi)網(wǎng)系統(tǒng)不再處于封閉式的狀態(tài)，博物館的管理和業(yè)務信息等將會直接出現(xiàn)被泄露或者入侵風險，這些風險不僅包括信息和數(shù)據(jù)層面，還包過設備設施的物理層和系統(tǒng)運行層面。由于博物館系統(tǒng)數(shù)據(jù)的特殊性，如果一旦出現(xiàn)數(shù)據(jù)信息泄露或者應用層等被破壞的情形，其所造成的社會效益損失將無法估量。

3.3 中海博局域網(wǎng)方案邏輯拓撲結構

3.4 中海博局域網(wǎng)設計概述

中海博局域網(wǎng)總體規(guī)劃方案根據(jù)等保2.0建設標準，將整體拓撲結構規(guī)劃為核心業(yè)務區(qū)、安全管理區(qū)、安全運維區(qū)、核心交換區(qū)、DMZ區(qū)域、終端接入?yún)^(qū)和業(yè)務出口區(qū)，七個區(qū)域。各個區(qū)域之間采用必要的安全手段進行安全隔離。總體的網(wǎng)絡設計如下：

核心業(yè)務區(qū)：作為核心業(yè)務的部署環(huán)境，該區(qū)域部署單位最核心的應用和數(shù)據(jù)，如：館藏、檢索、票務、域控和內(nèi)部郵箱等系統(tǒng)。需要部署高級別的安全防御。

安全管理區(qū)：專門部署安全設備和統(tǒng)一管理安全策略的區(qū)域，本次涉及的數(shù)據(jù)庫審計、日志審計、網(wǎng)頁防篡改服務器端，以及原有的IBMS、環(huán)境監(jiān)控機建議部署在此區(qū)域進行統(tǒng)一的管理和控制。

安全運維區(qū)域：安全運維區(qū)域作為唯一的運維通道，專門部署僅做運維操作的終端以及堡壘機等必要的運維工具。網(wǎng)絡設備、安全設備、服務器、數(shù)據(jù)庫等資產(chǎn)的運維工作全部通過此區(qū)域終端對接堡壘機進行操作。

核心交換區(qū)：網(wǎng)絡核心層，主要做業(yè)務交換，需要保證設備和線路的冗余架構。

DMZ區(qū)域：對外業(yè)務區(qū)，部署需要開放互聯(lián)網(wǎng)或者需要連接互聯(lián)網(wǎng)的對外業(yè)務，包括郵件系統(tǒng)、網(wǎng)站、域名服務器、業(yè)務前置機等。

終端接入?yún)^(qū)：主要部署包括內(nèi)部辦公人員網(wǎng)絡在內(nèi)的接入網(wǎng)。

業(yè)務出口區(qū)：互聯(lián)網(wǎng)邊界，互聯(lián)網(wǎng)業(yè)務的發(fā)布區(qū)域。

中海博局域網(wǎng)整體訪問邏輯根據(jù)實際業(yè)務類型進行設置，在邏輯設置中主要有如下幾個方面要求：對于內(nèi)部用戶，主要是通過核心交換機，通過防火墻、IDS的安全過濾訪問核心業(yè)務。核心業(yè)務原則上不對外開放和訪問，需要和互聯(lián)網(wǎng)對接的業(yè)務在DMZ區(qū)域部署前置機，開放前置機對外。內(nèi)部業(yè)務通過防火墻開放權限，和前置機對接。核心業(yè)務必須要訪問互聯(lián)網(wǎng)的，通過防火墻單獨開放權限。安全產(chǎn)品僅對運維區(qū)域開放，接入?yún)^(qū)無法訪問。所有設備管理權限僅對運維區(qū)堡壘機開放，堡壘機僅允許區(qū)域內(nèi)運維終端登錄。在區(qū)域隔離設計方面是在核心業(yè)務區(qū)域邊界部署2臺下一代防火墻（目前已有1臺，存在單點故障問題，且需要明確相應的安全模塊完整），實現(xiàn)核心業(yè)務區(qū)域邊界的網(wǎng)絡訪問控制。并通過核心業(yè)務防火墻隔離核心交換區(qū)、安全管理區(qū)和安全運維區(qū)。對于核心交換機區(qū)、出口區(qū)域、DMZ區(qū)域通過原有防火墻進行隔離，建議完善防病毒模塊。

3.5 中海博局域網(wǎng)方案安全管理方案

信息技術部根據(jù)等保2.0對網(wǎng)絡信息安全的要求，從安全責任制、技術防范措施、操作管理規(guī)程、應急預案和信息安全報告制度等方面建立相應的制度，做到有法可依，有法必依。根據(jù)測評年度要求，定期對信息系統(tǒng)進行等級保護測評，對網(wǎng)絡信息安全相關制度每年進行適當修訂。加強對全體館員的網(wǎng)絡安全教育，通過定期培訓技能和法律知識培訓，普及基本的操作技能，通過網(wǎng)絡安全主題宣傳，印刷網(wǎng)絡安全彩頁知識宣傳頁分發(fā)到各部門，召集員工收看網(wǎng)絡安全宣傳視頻，各部門落實專人為網(wǎng)絡安全員，每年定期培訓，針對網(wǎng)絡個人信息保護、密碼安全、公共WIFI安全、數(shù)據(jù)安全、移動介質(zhì)安全、防范勒索軟件等相關網(wǎng)絡安全知識進行講解，通過定期的安全意識考核，采用線上答題、訪談、抽查等方式進行安全意識考核，對不達標或者存在重大安全意識問題的員工進行針對性的安全培訓。以此幫助員工增強網(wǎng)絡安全意識，提升網(wǎng)絡安全風險防范能力，降低內(nèi)外網(wǎng)融合后的風險。

4 結束語

局域網(wǎng)安全建設已經(jīng)成為網(wǎng)絡信息系統(tǒng)管理的重要方面，對于管理機構的要求也不斷提升，在實際運行過程中，各個部門的人員都需要根據(jù)自身情況積極參與進來，通過技能培訓提升自身網(wǎng)絡技術應用水平，切實加強對網(wǎng)絡安全技術的重視程度，以此為局域網(wǎng)安全運行奠定堅實的基礎。

參考文獻：

[1] 宋晨媛.計算機局域網(wǎng)網(wǎng)絡的安全建設核心探索[J].計算機產(chǎn)品與流通，2018（12）：33.

[2] 李章平.虛擬局域網(wǎng)的建設與安全策略研究[J].南方農(nóng)機，2018，49（1）：138，141.

[3] 邢志玲.關于建設安全計算機局域網(wǎng)網(wǎng)絡分析[J].網(wǎng)絡安全技術與應用，2017（3）：20-21.

【通聯(lián)編輯：唐一東】