林叢杰

【摘要】涉密局域網(wǎng)廣泛應(yīng)用于政府與企業(yè)并產(chǎn)生一定的積極影響，但在實(shí)際工作當(dāng)中某些單位對其安全管理方面存在僥幸心理未加以重視，于是導(dǎo)致存在較大的安全隱患。為解決此種情況，于是采取了一系列的安全措施。本文首先對涉密局域網(wǎng)進(jìn)行一定的風(fēng)險分析，然后從網(wǎng)絡(luò)硬件安全、軟件安全及人員管理三方面對涉密局域網(wǎng)的安全策略進(jìn)行一定的研究。

【關(guān)鍵詞】涉密;局域網(wǎng);風(fēng)險分析;安全策略

當(dāng)今社會處于信息時代，計算機(jī)的應(yīng)用范圍越來越廣泛，計算機(jī)網(wǎng)絡(luò)與此同時也遍布世界各地。由于局域網(wǎng)具有穩(wěn)定的技術(shù)以及低廉的投資被廣泛應(yīng)用于政府與各大企業(yè)。由于涉密局域網(wǎng)具有一定的特殊性，導(dǎo)致其存在著一定的安全風(fēng)險。對于政府部門以及企業(yè)來說，局域網(wǎng)既有利也有弊，利在于局域網(wǎng)可以用來通信以及共享資源從而大大提高了工作效率和服務(wù)能力，弊在于局域網(wǎng)有一定的脆弱性會造成涉密信息或者不愿公開的信息被泄露、竊取和破壞從而產(chǎn)生嚴(yán)重的后果。特此本文針對涉密局域網(wǎng)進(jìn)行了一定的風(fēng)險分析和安全策略的研究，從而增強(qiáng)其安全性能，克服其安全風(fēng)險，改善其安全環(huán)境。通過本文的論述，筆者一方面希望能夠起到一個拋磚引玉的作用，另一方面，希望能夠給相關(guān)的工作人員提供一點(diǎn)參考借鑒的材料。

一、涉密局域網(wǎng)的風(fēng)險分析

涉密局域網(wǎng)由于其在傳輸、處理及存儲信息過程中存在一定的脆弱性，會導(dǎo)致信息面臨一定的風(fēng)險性，風(fēng)險存在但不能全部消除，因此必須對所面臨的安全隱患進(jìn)行管理，對所面臨的安全風(fēng)險進(jìn)行分析，把風(fēng)險性降低至政府部門和有關(guān)企業(yè)所能接受的最小程度。

下面對某政府機(jī)構(gòu)涉密局域網(wǎng)進(jìn)行風(fēng)險分析，具體過程如下：

1.成立風(fēng)險分析小組。于本政府機(jī)構(gòu)各部門選出共15名人員（包含1名組長）進(jìn)行2天有關(guān)網(wǎng)絡(luò)安全和風(fēng)險分析知識的培訓(xùn)。

2.分析威脅因素及脆弱性。培訓(xùn)結(jié)束后，15名小組成員依據(jù)自身經(jīng)驗(yàn)針對本政府機(jī)構(gòu)可能的威脅因素、脆弱性和相對應(yīng)的威脅做詳細(xì)地分析，并最終列出表格。

3.列寫威脅報告。按照威脅因素和脆弱性表格，分別撰寫威脅報告，并交由相關(guān)負(fù)責(zé)人查驗(yàn)、審核及修改。

4.研究安全舉措。小組成員獨(dú)立想出安全舉措，再集中討論進(jìn)行補(bǔ)充，最終由小組組長進(jìn)行匯總。

5.小組成員評估。小組成員按照威脅的嚴(yán)重程度不同從1至5分別對威脅以及措施進(jìn)行評分，并進(jìn)行匯總。列舉成員針對黑客竊取信息威脅作出如表1-1所示，評估結(jié)果顯示小組成員認(rèn)為這一威脅非常嚴(yán)重，而且防火墻與IDS（即入侵檢測系統(tǒng)）的有效性比蜜罐的有效性要強(qiáng)。

表1-1 某威脅小組成員評估匯總

黑客竊取信息 威脅評估 措施評估

嚴(yán)重性 潛在損失 可能性 防火墻有效性 IDS有效性 蜜罐有效性

分析小組組長 5 4 3 3 3 1

裝備部門1 4 2 4 4 3 2

裝備部門2 4 4 4 3 4 1

聯(lián)絡(luò)部門1 3 4 3 4 2 1

聯(lián)絡(luò)部門2 4 3 3 4 3 1

綜合部門 5 4 4 4 4 2

政工部門 5 5 4 4 4 3

業(yè)務(wù)部門1 4 3 5 5 4 2

業(yè)務(wù)部門2 5 3 2 3 3 3

業(yè)務(wù)部門3 5 3 2 4 4 3

業(yè)務(wù)部門4 5 3 2 3 3 1

業(yè)務(wù)部門5 3 3 2 3 3 2

業(yè)務(wù)部門6 3 4 3 4 4 2

業(yè)務(wù)部門7 4 5 1 3 3 2

業(yè)務(wù)部門8 4 3 3 4 3 3

結(jié)果 4.2 3.5 3.0 3.7 3.3 1.9

6.列寫報告。進(jìn)行評估結(jié)束以后，小組組長進(jìn)行匯總，列寫風(fēng)險分析報告。某單位涉密局域網(wǎng)的步驟與要點(diǎn)如下表1-2所示。

表1-2 某單位涉密局域網(wǎng)的步驟與要點(diǎn)

步驟 過程要點(diǎn) 主要結(jié)果

成立風(fēng)險分析小組 選擇各部門具有中級以上職稱者

建立小組并進(jìn)行培訓(xùn) 15名小組成員進(jìn)行

2周脫產(chǎn)分析

分析威脅因素及脆弱性 小組成員利用DELPHI方法識別

局域網(wǎng)的威脅與脆弱性 涉密局域網(wǎng)威脅因素

與脆弱性分析表

列寫威脅報告 對威脅具體情況進(jìn)行說明并審核 各個威脅的威脅報告

研究安全舉措 研究能夠降低風(fēng)險的措施并審核 制作各個威脅的評估表

小組成員評估 按評估表對威脅的嚴(yán)重性

及措施的有效性進(jìn)行評估 對各威脅的評估進(jìn)行匯總

列寫報告 列寫風(fēng)險分析報告對局域網(wǎng)威脅

以及相應(yīng)措施進(jìn)行說明 風(fēng)險分析報告

二、涉密局域網(wǎng)的安全策略

1.網(wǎng)絡(luò)硬件安全策略

控制Telnet訪問及會話超時。在局域網(wǎng)中，交換機(jī)一般全部需要分配管理地址，為便于長距離之間的管理，一般交換機(jī)會啟動Telnet功能。對于網(wǎng)絡(luò)設(shè)備的安全進(jìn)行管理，須設(shè)置Telnet密碼。網(wǎng)絡(luò)管理員在進(jìn)入交換機(jī)的控制臺以后，若由于事情外出，這就會導(dǎo)致控制臺進(jìn)入無人看管的狀態(tài)，此刻任何人都能夠趁此時機(jī)來對網(wǎng)絡(luò)設(shè)備的配置進(jìn)行修改。特此須對空閑的會話進(jìn)行超時設(shè)置，從而使控制臺隔一段空閑時間后自動地與網(wǎng)絡(luò)設(shè)備斷開，保證了網(wǎng)絡(luò)的安全。

對MAC地址進(jìn)行綁定。交換機(jī)的一個特性就是端口安全。當(dāng)一個數(shù)據(jù)幀傳入某一端口時，此端口會將此數(shù)據(jù)幀的源地址與原來端口的源地址作比較。若MAC地址不能夠相互匹配，那么此端口會合閉，并且指示燈的顏色會顯示橙色。在缺省的狀態(tài)下，對于交換機(jī)來說，其允許全部的MAC地址進(jìn)行網(wǎng)絡(luò)訪問。由于端口安全這一特性，可以通過配置一組較為安全的并允許訪問此端口的MAC地址來保證安全。由于端口數(shù)目是穩(wěn)定的，然而計算機(jī)的數(shù)目不斷上漲，對于綁定MAC地址非常局限。一般的安全設(shè)置基于IP地址，然而用戶的IP地址比較隨性可以自己隨性設(shè)置。特此須在交換機(jī)中把IP地址與MAC地址進(jìn)行綁定。

對訪問列表進(jìn)行設(shè)置。就是在交換機(jī)中依據(jù)地址、協(xié)議以及端口來定義數(shù)據(jù)流。列表訪問廣泛應(yīng)用于交換機(jī)中。訪問列表有兩種類型，一種是展型，另一種是標(biāo)準(zhǔn)型。展型訪問列表具有很強(qiáng)的制服力，標(biāo)準(zhǔn)型訪問列表對交換機(jī)來說便于處理。

VLAN的安全。根據(jù)局域網(wǎng)信息的重要程度不盡相同，需對VLAN進(jìn)行劃分來實(shí)現(xiàn)隔離邏輯。通過交換機(jī)把網(wǎng)絡(luò)劃分成若干個虛擬網(wǎng)絡(luò)，不僅能夠增強(qiáng)網(wǎng)絡(luò)安全，而且能夠有效控制網(wǎng)絡(luò)風(fēng)暴。利用虛擬網(wǎng)絡(luò)，可以把較為敏感的網(wǎng)絡(luò)資源與非法的用戶進(jìn)行隔離，進(jìn)而阻止隱藏的非法竊聽與訪問。

2.軟件安全策略

為了及時能夠掃描與查殺病毒，可以安裝防病毒的軟件。其中防火墻于內(nèi)外網(wǎng)之間建立安全網(wǎng)關(guān)，能夠?qū)?shù)據(jù)包進(jìn)行過濾，從而達(dá)到防護(hù)的作用。由于防火墻防御相對來說較靜態(tài)，入侵檢測系統(tǒng)能夠彌補(bǔ)防火墻的不足，其對內(nèi)外攻擊以及錯誤操作能夠進(jìn)行實(shí)時的防護(hù)。此外可以利用網(wǎng)絡(luò)誘騙系統(tǒng)來對實(shí)際中正在運(yùn)行的系統(tǒng)進(jìn)行保護(hù)。

3.人員管理策略

為了加強(qiáng)涉密局域網(wǎng)的安全水平，首先應(yīng)該做好人員的管理工作。對于網(wǎng)絡(luò)安全的保密意識應(yīng)不斷增強(qiáng)，對于網(wǎng)絡(luò)安全的保密知識應(yīng)不斷積累，對于網(wǎng)絡(luò)安全的保密環(huán)境應(yīng)不斷改善。用戶應(yīng)對殺毒的軟件進(jìn)行定期升級，應(yīng)對重要的資料應(yīng)進(jìn)行定期備份。用戶應(yīng)嚴(yán)格遵守網(wǎng)絡(luò)信息安全的管理制度，不得隨意違反，養(yǎng)成良好的習(xí)慣。

三、總結(jié)

風(fēng)險與安全是一對矛盾體，涉密局域網(wǎng)廣泛應(yīng)用于政府部門與各大企業(yè)但與此同時存在一定的安全隱患。針對此情況，本文首先舉例對涉密局域網(wǎng)進(jìn)行一定的風(fēng)險分析，然后對涉密局域網(wǎng)的安全管理策略進(jìn)行一定的研究，主要涉及網(wǎng)絡(luò)硬件安全策略、軟件安全策略以及人員管理策略三個方面。然而由于自身所掌握知識的局限性，并不能夠分析和研究的很全面，還需要進(jìn)一步的完善。以上是本人的粗淺之見，但是由于本人的知識水平及文字組織能力有限，因此文中如有不到之處還望不吝賜教。

參考文獻(xiàn)

[1]繆翔.涉密局域網(wǎng)風(fēng)險分析及安全策略的研究[J].同濟(jì)大學(xué)，2013（10）.

[2]李亮.重要信息系統(tǒng)局域網(wǎng)安全策略分析與研究[J].信息網(wǎng)絡(luò)安全，2013（02）.

[3]許蘭川.構(gòu)建辦公信息網(wǎng)絡(luò)安全防護(hù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（04）.

[4]藏學(xué)范.企業(yè)計算機(jī)應(yīng)用安全管理[M].遼寧人民出版社，2012：130-132.

[5]張虎.數(shù)據(jù)安全技術(shù)在涉密信息系統(tǒng)中的實(shí)踐與應(yīng)用[J].硅谷，2013（06）.

[6]劉冰.關(guān)于局域網(wǎng)計算機(jī)的網(wǎng)絡(luò)維護(hù)[A].低碳經(jīng)濟(jì)與科學(xué)發(fā)展——吉林省第六屆科學(xué)技術(shù)學(xué)術(shù)年會論文集[C].2010.