摘要：一系列的組合設(shè)計(jì)在局域網(wǎng)內(nèi)信息安全中得以進(jìn)行和實(shí)施，這主要包含的內(nèi)容有GSN全局安全設(shè)計(jì)工作流程、GSN硬軟件組成部件、GSN全局安全設(shè)計(jì)功能使用、GSN全局安全設(shè)計(jì)的典型部署模式。網(wǎng)絡(luò)安全的監(jiān)控、檢測(cè)、防御和處理需要從身份、主機(jī)和網(wǎng)絡(luò)等多個(gè)角度進(jìn)行。

關(guān)鍵詞：局域網(wǎng)；全局安全；設(shè)計(jì)探究

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-02

隨著我國(guó)信息技術(shù)的不斷發(fā)展，現(xiàn)階段網(wǎng)絡(luò)的運(yùn)用在各行各業(yè)都有所體現(xiàn)。但是當(dāng)前，完成了基礎(chǔ)網(wǎng)絡(luò)的構(gòu)架，上線了各種應(yīng)用和業(yè)務(wù)，但是網(wǎng)絡(luò)攻擊和破壞的行為也成為了影響網(wǎng)絡(luò)安全的重要因素，網(wǎng)絡(luò)的安全建設(shè)就顯得尤為重要。

1 基于局域網(wǎng)的全局安全設(shè)計(jì)的必要性

網(wǎng)絡(luò)的管理者會(huì)經(jīng)常會(huì)到網(wǎng)絡(luò)安全遭遇到各種木馬、病毒的攻擊，這使他們明白網(wǎng)絡(luò)安全的重要性。在現(xiàn)實(shí)生活中，超過(guò)七成以上的網(wǎng)絡(luò)安全事故是來(lái)自于局域網(wǎng)的內(nèi)部。例如灰鴿子、熊貓燒香、ARP欺騙這些被我們所熟知的網(wǎng)絡(luò)病毒和木馬就是在局域網(wǎng)內(nèi)進(jìn)行的擴(kuò)散和傳播，從而對(duì)網(wǎng)絡(luò)安全造成了危害。

對(duì)于上述出現(xiàn)的問(wèn)題，一些企業(yè)單位采用的方法就是投入大量的資金，用來(lái)采購(gòu)和安裝一些安全的軟件和設(shè)備。例如防毒墻、防火墻、資產(chǎn)管理軟件、代理服務(wù)器、防病毒軟件等。企事業(yè)單位主要是運(yùn)用這些軟件和設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)的安全的維護(hù)和管理，雖然這些軟件在抵御外部攻擊方面有著良好的效果，但是其也有著明顯的缺點(diǎn)，就是對(duì)內(nèi)網(wǎng)的控制和防護(hù)的不夠。有效的安全措施是NAC（網(wǎng)絡(luò)訪問(wèn)控制），其采用的方式是通過(guò)主機(jī)健康性保障、身份驗(yàn)證、網(wǎng)絡(luò)安全性保證等多個(gè)方面來(lái)對(duì)內(nèi)網(wǎng)用戶的有效管理。這一系列措施的采用，從而保證了內(nèi)網(wǎng)用戶的身份的合法性，網(wǎng)絡(luò)通信的安全和上網(wǎng)主機(jī)的安全，同時(shí)也保證了用戶網(wǎng)絡(luò)訪問(wèn)行為的健康化。簡(jiǎn)而言之，就是讓正確的人能夠使用健康的主機(jī)，從而安全地訪問(wèn)網(wǎng)絡(luò)。

全局安全網(wǎng)絡(luò)GSN（Global Security Network）要實(shí)現(xiàn)全局的安全，在設(shè)計(jì)的過(guò)程中就要注意將軟硬件能夠融合成一體，硬件和軟件聯(lián)動(dòng)。結(jié)合網(wǎng)絡(luò)領(lǐng)域和計(jì)算機(jī)領(lǐng)域，從而達(dá)到全局安全的目的。

2 GSN的組成

全局安全網(wǎng)絡(luò)GSN（Global Security Network）主要是由身份策略管理中心IPC（Identification Policy Center）、安全管理平臺(tái)SMP（Security Management Platform）、安全事故解析器SEP（Security Event Parser）、安全客戶認(rèn)證客戶端SU（Supplicant）、入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）、安全智能交換機(jī)組成的。

身份策略管理中心IPC（Identification Policy Center）中包含有全部用戶的主機(jī)信息、身份信息、軟件信息、網(wǎng)絡(luò)信息等其他多種信息，個(gè)性化的安全策略的制定，可以保證整個(gè)系統(tǒng)高度統(tǒng)一的安全策略。安全管理平臺(tái)SMP（Security Management Platform）是身份策略管理中心IPC（Identification Policy Center）的分支機(jī)構(gòu)，身份策略管理中心IPC（Identification Policy Center）將管理權(quán)下放給安全管理平臺(tái)SMP服務(wù)器，分支機(jī)構(gòu)就實(shí)現(xiàn)對(duì)信息的自行管理，總部只是通過(guò)身份策略管理中心IPC對(duì)信息進(jìn)行收集和同步的工作。

安全管理平臺(tái)SMP（Security Management Platform）對(duì)全局安全網(wǎng)絡(luò)GSN的組成部分有著統(tǒng)領(lǐng)的作用，用戶的身份信息都存在安全管理平臺(tái)SMP上，為了保證用戶身份的合法性，所以在用戶進(jìn)入網(wǎng)絡(luò)之前，用經(jīng)過(guò)安全管理平臺(tái)SMP服務(wù)器的認(rèn)證。安全客戶認(rèn)證客戶端SU（Supplicant）和安全管理平臺(tái)SMP（Security Management Platform）的聯(lián)動(dòng)從獲取入網(wǎng)PC（Personal Computer）的安全狀況，從而將對(duì)用的安全修補(bǔ)策略通過(guò)安全客戶認(rèn)證客戶端SU下發(fā)到PC上，從而實(shí)現(xiàn)主機(jī)完整性的管理。入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）和安全管理平臺(tái)SMP（Security Management Platform）的聯(lián)動(dòng)可以有效地處理發(fā)起攻擊的攻擊源，修復(fù)被攻擊的對(duì)象，有效地管理網(wǎng)絡(luò)攻擊問(wèn)題。同時(shí)其余安全智能交換機(jī)和安全網(wǎng)關(guān)的配合，可有效地防止ARP的攻擊。

安全事故的分析、收集和上報(bào)是安全事故解析器SEP（Security Event Parser）的主要作用。它直接接口于IDS入侵檢測(cè)設(shè)備，大量的安全事件庫(kù)預(yù)置在安全事故解析器SEP上，這樣就可以實(shí)現(xiàn)準(zhǔn)確地分析IDS設(shè)備反饋的安全事件，并決定是否上報(bào)安全管理平臺(tái)SMP（Security Management Platform）。

安全客戶認(rèn)證客戶端SU（Supplicant）和安全管理平臺(tái)SMP配合檢查主機(jī)的完成性和用戶的身份驗(yàn)證，下發(fā)安全策略。在發(fā)生安全事件的時(shí)候，對(duì)安全管理平臺(tái)SMP發(fā)來(lái)的處理策略的接收。配合安全管理平臺(tái)SMP和安全網(wǎng)關(guān)，可以實(shí)現(xiàn)主機(jī)端防范APR病毒。

入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）主要是由控制臺(tái)、日志服務(wù)器、時(shí)間收集器和傳感器組成的。傳感器對(duì)網(wǎng)絡(luò)安全事故的檢測(cè)主要是通過(guò)鏡像口碰經(jīng)過(guò)交換機(jī)的數(shù)據(jù)流量來(lái)實(shí)現(xiàn)的。當(dāng)檢測(cè)到安全事故，事件收集器就會(huì)收到傳感器發(fā)來(lái)的時(shí)間，控制臺(tái)也會(huì)收到傳感器上報(bào)的事件，并對(duì)其處理。安全管理平臺(tái)SMP和入侵檢測(cè)系統(tǒng)IDS的聯(lián)動(dòng)就可以實(shí)現(xiàn)安全管理平臺(tái)SMP在最短的時(shí)間內(nèi)獲得遭受攻擊用戶的MAC和IP信息，通過(guò)與安全管理平臺(tái)SMP的聯(lián)動(dòng)找出攻擊的元兇，相應(yīng)的策略經(jīng)過(guò)客戶端進(jìn)行下發(fā)。

安全智能交換機(jī)上的ACL、802.1X等相關(guān)的功能可以將PC安全、用戶行為、用戶身份等元素通過(guò)網(wǎng)絡(luò)連接起來(lái)，實(shí)現(xiàn)全局安全網(wǎng)絡(luò)GSN的“聯(lián)動(dòng)”“強(qiáng)制”效果。其將網(wǎng)絡(luò)的安全因素排除之外的主要方式就是通過(guò)對(duì)安全管理平臺(tái)SMP命令的執(zhí)行。

3 GSN全局安全設(shè)計(jì)功能

全局安全網(wǎng)絡(luò)GSN主要是從身份管理體系、Windows補(bǔ)丁的強(qiáng)制更新、三重立體的ARP防御體系的建立、對(duì)黑白名單的嚴(yán)格控制、聯(lián)動(dòng)的網(wǎng)絡(luò)通信防護(hù)體系的建立。

身份管理體系中，全局安全網(wǎng)絡(luò)GSN采用的是Radius協(xié)議和802.1X協(xié)議為基礎(chǔ)的身份驗(yàn)證體系，對(duì)用戶訪問(wèn)網(wǎng)絡(luò)的身份的控制主要就是全局安全網(wǎng)絡(luò)GSN和身份管理體系的聯(lián)動(dòng)來(lái)實(shí)現(xiàn)的。全局安全網(wǎng)絡(luò)GSN為了保證用戶身份的合法性，主要是通過(guò)嚴(yán)格的MAC、交換機(jī)端口、交換機(jī)IP、IP、用戶名和密碼這六元素的綁定措施得以實(shí)現(xiàn)的。

Windows補(bǔ)丁的強(qiáng)制更新主要是通過(guò)微軟WSUS服務(wù)器和全局安全網(wǎng)絡(luò)GSN的聯(lián)動(dòng)實(shí)現(xiàn)的，除了后臺(tái)自助自動(dòng)對(duì)Windows補(bǔ)丁的強(qiáng)制更新無(wú)需客戶參與以外，Windows補(bǔ)丁的下載、安裝、檢測(cè)的過(guò)程也是同樣的。

對(duì)于現(xiàn)在的ARP橫行的現(xiàn)象，就必須建立強(qiáng)有力的防御體系。全局安全網(wǎng)絡(luò)GSN通過(guò)介入設(shè)備、網(wǎng)關(guān)設(shè)備和后臺(tái)軟件的聯(lián)動(dòng)實(shí)現(xiàn)。

全局安全網(wǎng)絡(luò)GSN的重要功能就是對(duì)軟件的控制，全局安全網(wǎng)絡(luò)GSN通過(guò)對(duì)軟件的安裝、后臺(tái)服務(wù)、進(jìn)程管理和注冊(cè)表項(xiàng)的管理實(shí)現(xiàn)了對(duì)軟件的強(qiáng)制安裝、使用和對(duì)違禁軟件的禁用功能。這就保證了網(wǎng)絡(luò)安全和提高辦公效率的實(shí)現(xiàn)。

聯(lián)動(dòng)的網(wǎng)絡(luò)通信防護(hù)體系的建立主要是通過(guò)SEP安全事件解析器、安全管理平臺(tái)SMP和IDS入侵檢測(cè)設(shè)備的聯(lián)動(dòng)得以實(shí)現(xiàn)的，主要功能就是要檢測(cè)網(wǎng)絡(luò)安全事件，并對(duì)其進(jìn)行分析和處理，身份驗(yàn)證的輔助，從事對(duì)網(wǎng)絡(luò)安全事件的定位，對(duì)時(shí)間進(jìn)行自動(dòng)通知和處理。

4 結(jié)束語(yǔ)：

本文主要介紹了基于局域網(wǎng)的全局安全設(shè)計(jì)的必要性；全局安全網(wǎng)絡(luò)GSN主要是由身份策略管理中心IPC、安全管理平臺(tái)SMP、安全事故解析器SEP、安全客戶認(rèn)證客戶端SU、入侵檢測(cè)系統(tǒng)IDS、安全智能交換機(jī)組成的。全局安全網(wǎng)絡(luò)GSN主要是從身份管理體系、Windows補(bǔ)丁的強(qiáng)制更新、三重立體的ARP防御體系的建立、對(duì)黑白名單的嚴(yán)格控制、聯(lián)動(dòng)的網(wǎng)絡(luò)通信防護(hù)體系的建立。

參考文獻(xiàn)：

[1]劉彪.一種基于局域網(wǎng)的全局安全設(shè)計(jì)[J].計(jì)算機(jī)安全，2010，09.

[2]孫曉妮.淺論網(wǎng)絡(luò)信息的安全管理[J].黑龍江科技信息，2009，33.

[3]張?zhí)?計(jì)算機(jī)網(wǎng)絡(luò)安全相關(guān)問(wèn)題分析[J].中小企業(yè)管理與科技（上旬刊），2011，08.

[4]王秋華，章堅(jiān)武，駱懿.網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[J].杭州電子科技大學(xué)學(xué)報(bào)，2005，05.

[5]張俊峰，梁容，趙海燕，李愛(ài)民.網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，01.

[6]王瑩，孫厚娟，韓宇亮.檔案信息安全初探[J].濰坊教育學(xué)院學(xué)報(bào)，2007，04.