[摘 要] 如何降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)是計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)過(guò)程中首先需要考慮的問(wèn)題，局域網(wǎng)安全設(shè)計(jì)需要在考察自身安全需求的基礎(chǔ)上，進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全加固，從而針對(duì)性地保障網(wǎng)絡(luò)的安全運(yùn)行。本文從部署于邊界防護(hù)的防火墻、入侵檢測(cè)系統(tǒng)，部署于內(nèi)部防控的終端監(jiān)控與審計(jì)、身份認(rèn)證、漏洞掃描系統(tǒng)、防病毒等方面針對(duì)局域網(wǎng)安全設(shè)計(jì)進(jìn)行了探討，通過(guò)合理的部署安全產(chǎn)品，進(jìn)而構(gòu)成立體的安全防御體系。

[關(guān)鍵詞] 安全策略；局域網(wǎng)安全；風(fēng)險(xiǎn)評(píng)估

[中圖分類號(hào)] TP393.1 [文獻(xiàn)標(biāo)識(shí)碼] A

1 前言

隨著國(guó)家現(xiàn)代移動(dòng)通信的迅猛發(fā)展和寬帶接入的廣泛普及，各國(guó)政治、軍事、經(jīng)濟(jì)、文化和社會(huì)生活對(duì)通信網(wǎng)和互聯(lián)網(wǎng)的需求越來(lái)越多，互聯(lián)網(wǎng)和通信網(wǎng)已成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，獲得了迅速發(fā)展。互聯(lián)網(wǎng)具有以下特點(diǎn)：一是開放性強(qiáng)、二是資源龐大、三是傳播速度快、四是使用便捷、五是容易泄密。計(jì)算機(jī)網(wǎng)絡(luò)本身不能向用戶提供安全保密功能，在網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ⑷刖W(wǎng)的計(jì)算機(jī)及其所存儲(chǔ)的信息會(huì)被竊取、篡改和破壞，網(wǎng)絡(luò)也會(huì)遭到攻擊，其硬件、軟件、線路、文件系統(tǒng)和信息發(fā)送或接收的確認(rèn)等會(huì)被破壞，無(wú)法正常工作，甚至癱瘓。近年來(lái)，網(wǎng)絡(luò)信息安全成為突出問(wèn)題，在傳輸、存儲(chǔ)、處理過(guò)程中經(jīng)常發(fā)生數(shù)據(jù)信息丟失、泄漏或非法竊取、篡改等事件，對(duì)國(guó)家軍事、社會(huì)和經(jīng)濟(jì)生活等產(chǎn)生了嚴(yán)重危害和影響，已成為現(xiàn)有通信技術(shù)和網(wǎng)絡(luò)安全性迫切需要解決的安全問(wèn)題。

局域網(wǎng)安全設(shè)計(jì)是一個(gè)系統(tǒng)性工程，受到主觀和客觀、確定和不確定、自身和外界等因素的影響。局域網(wǎng)中承載著用戶許多重要的信息資產(chǎn)，這些安全風(fēng)險(xiǎn)將會(huì)給國(guó)家、社會(huì)、企業(yè)和個(gè)人帶來(lái)極大的安全隱患，因此在設(shè)計(jì)企業(yè)局域網(wǎng)安全方案之前，應(yīng)首先進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估可以委托專業(yè)機(jī)構(gòu)進(jìn)行，也可以自評(píng)估，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果和企業(yè)的網(wǎng)絡(luò)建設(shè)投入尋找一個(gè)平衡點(diǎn)，制定企業(yè)的安全策略，有取舍的選擇不同的安全系統(tǒng)，做好局域網(wǎng)安全設(shè)計(jì)。本文通過(guò)分析局域網(wǎng)安全設(shè)計(jì)需遵循的原則和涉及的典型安全系統(tǒng)，為局域網(wǎng)安全建設(shè)提供設(shè)計(jì)依據(jù)，從而有效規(guī)避風(fēng)險(xiǎn)，提高局域網(wǎng)的安全性。

2 設(shè)計(jì)原則

網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)是選擇合適的技術(shù)和設(shè)備，進(jìn)行合適的配置，但怎樣才能做到“合適”呢？這取決于每個(gè)人對(duì)客戶及其安全需求的了解程度。網(wǎng)絡(luò)建設(shè)者可以用不同的方式實(shí)現(xiàn)安全設(shè)計(jì)，但成功的網(wǎng)絡(luò)設(shè)計(jì)都要遵循一些最基本的原則。局域網(wǎng)安全設(shè)計(jì)時(shí)，應(yīng)遵循以下原則：

2.1 木桶規(guī)則

網(wǎng)絡(luò)的安全遵循木桶理論，木桶的最大容積取決于最短的一塊木板。網(wǎng)絡(luò)系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，本身存在種種漏洞，網(wǎng)絡(luò)攻擊者總是會(huì)找到系統(tǒng)中最薄弱的環(huán)節(jié)進(jìn)行攻擊，這就要求我們進(jìn)行風(fēng)險(xiǎn)評(píng)估，全面、充分地認(rèn)識(shí)到系統(tǒng)的脆弱性以及面臨的威脅。

2.2 易用性原則

復(fù)雜的系統(tǒng)難于掌握，對(duì)使用人員要求高，往往會(huì)降低系統(tǒng)的安全性。系統(tǒng)應(yīng)盡可能操作簡(jiǎn)便，維護(hù)簡(jiǎn)單。

3 網(wǎng)絡(luò)安全系統(tǒng)

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因?yàn)榕既坏幕蛘邜阂獾脑蚨獾狡茐?、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，原來(lái)網(wǎng)絡(luò)威脅單點(diǎn)疊加式的防護(hù)手段已經(jīng)難以有效抵御日趨嚴(yán)重的混合型安全威脅。構(gòu)建一個(gè)局部安全、全局安全、智能安全的整體安全體系，為用戶提供多層次、全方位的立體防護(hù)體系成為信息安全建設(shè)的新理念，局域網(wǎng)安全系統(tǒng)設(shè)計(jì)圖如圖1所示。

目前局域網(wǎng)廣泛采用的安全系統(tǒng)有以下幾種：

3.1 防火墻系統(tǒng)

防火墻系統(tǒng)提供網(wǎng)絡(luò)邊界防護(hù)，也可用于構(gòu)建不同的安全域，比如企業(yè)財(cái)務(wù)和其他各個(gè)部門，保護(hù)網(wǎng)絡(luò)免受非法用戶的侵入。

3.2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是一種積極主動(dòng)的安全防護(hù)技術(shù)，可以檢查網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象?？梢宰鳛榉阑饓Φ暮侠硌a(bǔ)充。

3.3 監(jiān)控與審計(jì)系統(tǒng)

該系統(tǒng)各個(gè)廠家有不同命名，也稱之為防水墻系統(tǒng)，一般具有以下功能：信息泄露防范、系統(tǒng)資源安全管理、系統(tǒng)實(shí)時(shí)運(yùn)行狀況監(jiān)控、信息安全審計(jì)等。

隨著信息安全技術(shù)和理念的發(fā)展，安全監(jiān)控的關(guān)注點(diǎn)已經(jīng)從設(shè)備轉(zhuǎn)向?qū)τ谠O(shè)備使用者的行為。對(duì)設(shè)備使用人行為審計(jì)和行為控制的需求越來(lái)越明顯。

3.4 身份認(rèn)證系統(tǒng)

身份認(rèn)證可以限制未經(jīng)授權(quán)的設(shè)備通過(guò)接入端口訪問(wèn)局域網(wǎng)，還可以更好地保證應(yīng)用服務(wù)器不被非法訪問(wèn)，應(yīng)用系統(tǒng)被身份認(rèn)證系統(tǒng)隔離在可信網(wǎng)段內(nèi)，用戶需要通過(guò)身份認(rèn)證系統(tǒng)的認(rèn)證后才能訪問(wèn)應(yīng)用。

3.5 漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)是對(duì)接入網(wǎng)絡(luò)中資產(chǎn)的漏洞進(jìn)行自動(dòng)發(fā)現(xiàn)、統(tǒng)計(jì)分析并提供相應(yīng)的修補(bǔ)措施的系統(tǒng)，對(duì)利用這些漏洞的攻擊起到預(yù)防作用。

3.6 網(wǎng)絡(luò)防病毒系統(tǒng)

網(wǎng)絡(luò)病毒傳播速度快，危害大，大規(guī)模爆發(fā)甚至可以造成局域網(wǎng)癱瘓。部署單機(jī)版殺毒軟件，網(wǎng)絡(luò)管理員難于管理，很難做到足夠的防護(hù)。網(wǎng)絡(luò)版防病毒系統(tǒng)在部署、管理、應(yīng)用和維護(hù)方面都具有很大的優(yōu)勢(shì)。

4 結(jié)論

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。網(wǎng)絡(luò)上存儲(chǔ)和傳輸著大量敏感信息，甚至有國(guó)家機(jī)密，難免會(huì)吸引來(lái)自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。同時(shí)，網(wǎng)絡(luò)實(shí)體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗(yàn)。

在局域網(wǎng)設(shè)計(jì)方案中，安全系統(tǒng)設(shè)計(jì)是重中之重，應(yīng)遵循相應(yīng)的設(shè)計(jì)原則。企業(yè)和用戶需要在風(fēng)險(xiǎn)評(píng)估結(jié)果和企業(yè)的網(wǎng)絡(luò)建設(shè)投入之間尋找一個(gè)平衡點(diǎn)，做出適合企業(yè)自身的局域網(wǎng)安全設(shè)計(jì)并據(jù)此進(jìn)行產(chǎn)品的選擇，從而確保網(wǎng)絡(luò)的信息安全。

參考文獻(xiàn)

[1]http：//baike.baidu.comiew/3067.htm

[2]王達(dá)，網(wǎng)絡(luò)工程方案規(guī)劃與設(shè)計(jì)[M].中國(guó)水利水電出版社.

[3]胡道元，閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社。

作者簡(jiǎn)介：李彬（1970.8-），女，解放軍61623部隊(duì)工程師。1992年8月畢業(yè)于解放軍信息工程大學(xué)應(yīng)用數(shù)學(xué)專業(yè)，本科學(xué)歷，長(zhǎng)期從事密碼、計(jì)算機(jī)、網(wǎng)絡(luò)安全和檔案管理工作。