林叢杰

【摘要】涉密局域網(wǎng)廣泛應(yīng)用于政府與企業(yè)并產(chǎn)生一定的積極影響，但在實(shí)際工作當(dāng)中某些單位對(duì)其安全管理方面存在僥幸心理未加以重視，于是導(dǎo)致存在較大的安全隱患。為解決此種情況，于是采取了一系列的安全措施。本文首先對(duì)涉密局域網(wǎng)進(jìn)行一定的風(fēng)險(xiǎn)分析，然后從網(wǎng)絡(luò)硬件安全、軟件安全及人員管理三方面對(duì)涉密局域網(wǎng)的安全策略進(jìn)行一定的研究。

【關(guān)鍵詞】涉密;局域網(wǎng);風(fēng)險(xiǎn)分析;安全策略

當(dāng)今社會(huì)處于信息時(shí)代，計(jì)算機(jī)的應(yīng)用范圍越來(lái)越廣泛，計(jì)算機(jī)網(wǎng)絡(luò)與此同時(shí)也遍布世界各地。由于局域網(wǎng)具有穩(wěn)定的技術(shù)以及低廉的投資被廣泛應(yīng)用于政府與各大企業(yè)。由于涉密局域網(wǎng)具有一定的特殊性，導(dǎo)致其存在著一定的安全風(fēng)險(xiǎn)。對(duì)于政府部門以及企業(yè)來(lái)說(shuō)，局域網(wǎng)既有利也有弊，利在于局域網(wǎng)可以用來(lái)通信以及共享資源從而大大提高了工作效率和服務(wù)能力，弊在于局域網(wǎng)有一定的脆弱性會(huì)造成涉密信息或者不愿公開的信息被泄露、竊取和破壞從而產(chǎn)生嚴(yán)重的后果。特此本文針對(duì)涉密局域網(wǎng)進(jìn)行了一定的風(fēng)險(xiǎn)分析和安全策略的研究，從而增強(qiáng)其安全性能，克服其安全風(fēng)險(xiǎn)，改善其安全環(huán)境。通過(guò)本文的論述，筆者一方面希望能夠起到一個(gè)拋磚引玉的作用，另一方面，希望能夠給相關(guān)的工作人員提供一點(diǎn)參考借鑒的材料。

一、涉密局域網(wǎng)的風(fēng)險(xiǎn)分析

涉密局域網(wǎng)由于其在傳輸、處理及存儲(chǔ)信息過(guò)程中存在一定的脆弱性，會(huì)導(dǎo)致信息面臨一定的風(fēng)險(xiǎn)性，風(fēng)險(xiǎn)存在但不能全部消除，因此必須對(duì)所面臨的安全隱患進(jìn)行管理，對(duì)所面臨的安全風(fēng)險(xiǎn)進(jìn)行分析，把風(fēng)險(xiǎn)性降低至政府部門和有關(guān)企業(yè)所能接受的最小程度。

下面對(duì)某政府機(jī)構(gòu)涉密局域網(wǎng)進(jìn)行風(fēng)險(xiǎn)分析，具體過(guò)程如下：

1.成立風(fēng)險(xiǎn)分析小組。于本政府機(jī)構(gòu)各部門選出共15名人員（包含1名組長(zhǎng)）進(jìn)行2天有關(guān)網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)分析知識(shí)的培訓(xùn)。

2.分析威脅因素及脆弱性。培訓(xùn)結(jié)束后，15名小組成員依據(jù)自身經(jīng)驗(yàn)針對(duì)本政府機(jī)構(gòu)可能的威脅因素、脆弱性和相對(duì)應(yīng)的威脅做詳細(xì)地分析，并最終列出表格。

3.列寫威脅報(bào)告。按照威脅因素和脆弱性表格，分別撰寫威脅報(bào)告，并交由相關(guān)負(fù)責(zé)人查驗(yàn)、審核及修改。

4.研究安全舉措。小組成員獨(dú)立想出安全舉措，再集中討論進(jìn)行補(bǔ)充，最終由小組組長(zhǎng)進(jìn)行匯總。

5.小組成員評(píng)估。小組成員按照威脅的嚴(yán)重程度不同從1至5分別對(duì)威脅以及措施進(jìn)行評(píng)分，并進(jìn)行匯總。列舉成員針對(duì)黑客竊取信息威脅作出如表1-1所示，評(píng)估結(jié)果顯示小組成員認(rèn)為這一威脅非常嚴(yán)重，而且防火墻與IDS（即入侵檢測(cè)系統(tǒng)）的有效性比蜜罐的有效性要強(qiáng)。

表1-1 某威脅小組成員評(píng)估匯總

黑客竊取信息 威脅評(píng)估 措施評(píng)估

嚴(yán)重性 潛在損失 可能性 防火墻有效性 IDS有效性 蜜罐有效性

分析小組組長(zhǎng) 5 4 3 3 3 1

裝備部門1 4 2 4 4 3 2

裝備部門2 4 4 4 3 4 1

聯(lián)絡(luò)部門1 3 4 3 4 2 1

聯(lián)絡(luò)部門2 4 3 3 4 3 1

綜合部門 5 4 4 4 4 2

政工部門 5 5 4 4 4 3

業(yè)務(wù)部門1 4 3 5 5 4 2

業(yè)務(wù)部門2 5 3 2 3 3 3

業(yè)務(wù)部門3 5 3 2 4 4 3

業(yè)務(wù)部門4 5 3 2 3 3 1

業(yè)務(wù)部門5 3 3 2 3 3 2

業(yè)務(wù)部門6 3 4 3 4 4 2

業(yè)務(wù)部門7 4 5 1 3 3 2

業(yè)務(wù)部門8 4 3 3 4 3 3

結(jié)果 4.2 3.5 3.0 3.7 3.3 1.9

6.列寫報(bào)告。進(jìn)行評(píng)估結(jié)束以后，小組組長(zhǎng)進(jìn)行匯總，列寫風(fēng)險(xiǎn)分析報(bào)告。某單位涉密局域網(wǎng)的步驟與要點(diǎn)如下表1-2所示。

表1-2 某單位涉密局域網(wǎng)的步驟與要點(diǎn)

步驟 過(guò)程要點(diǎn) 主要結(jié)果

成立風(fēng)險(xiǎn)分析小組 選擇各部門具有中級(jí)以上職稱者

建立小組并進(jìn)行培訓(xùn) 15名小組成員進(jìn)行

2周脫產(chǎn)分析

分析威脅因素及脆弱性 小組成員利用DELPHI方法識(shí)別

局域網(wǎng)的威脅與脆弱性 涉密局域網(wǎng)威脅因素

與脆弱性分析表

列寫威脅報(bào)告 對(duì)威脅具體情況進(jìn)行說(shuō)明并審核 各個(gè)威脅的威脅報(bào)告

研究安全舉措 研究能夠降低風(fēng)險(xiǎn)的措施并審核 制作各個(gè)威脅的評(píng)估表

小組成員評(píng)估 按評(píng)估表對(duì)威脅的嚴(yán)重性

及措施的有效性進(jìn)行評(píng)估 對(duì)各威脅的評(píng)估進(jìn)行匯總

列寫報(bào)告 列寫風(fēng)險(xiǎn)分析報(bào)告對(duì)局域網(wǎng)威脅

以及相應(yīng)措施進(jìn)行說(shuō)明 風(fēng)險(xiǎn)分析報(bào)告

二、涉密局域網(wǎng)的安全策略

1.網(wǎng)絡(luò)硬件安全策略

控制Telnet訪問(wèn)及會(huì)話超時(shí)。在局域網(wǎng)中，交換機(jī)一般全部需要分配管理地址，為便于長(zhǎng)距離之間的管理，一般交換機(jī)會(huì)啟動(dòng)Telnet功能。對(duì)于網(wǎng)絡(luò)設(shè)備的安全進(jìn)行管理，須設(shè)置Telnet密碼。網(wǎng)絡(luò)管理員在進(jìn)入交換機(jī)的控制臺(tái)以后，若由于事情外出，這就會(huì)導(dǎo)致控制臺(tái)進(jìn)入無(wú)人看管的狀態(tài)，此刻任何人都能夠趁此時(shí)機(jī)來(lái)對(duì)網(wǎng)絡(luò)設(shè)備的配置進(jìn)行修改。特此須對(duì)空閑的會(huì)話進(jìn)行超時(shí)設(shè)置，從而使控制臺(tái)隔一段空閑時(shí)間后自動(dòng)地與網(wǎng)絡(luò)設(shè)備斷開，保證了網(wǎng)絡(luò)的安全。

對(duì)MAC地址進(jìn)行綁定。交換機(jī)的一個(gè)特性就是端口安全。當(dāng)一個(gè)數(shù)據(jù)幀傳入某一端口時(shí)，此端口會(huì)將此數(shù)據(jù)幀的源地址與原來(lái)端口的源地址作比較。若MAC地址不能夠相互匹配，那么此端口會(huì)合閉，并且指示燈的顏色會(huì)顯示橙色。在缺省的狀態(tài)下，對(duì)于交換機(jī)來(lái)說(shuō)，其允許全部的MAC地址進(jìn)行網(wǎng)絡(luò)訪問(wèn)。由于端口安全這一特性，可以通過(guò)配置一組較為安全的并允許訪問(wèn)此端口的MAC地址來(lái)保證安全。由于端口數(shù)目是穩(wěn)定的，然而計(jì)算機(jī)的數(shù)目不斷上漲，對(duì)于綁定MAC地址非常局限。一般的安全設(shè)置基于IP地址，然而用戶的IP地址比較隨性可以自己隨性設(shè)置。特此須在交換機(jī)中把IP地址與MAC地址進(jìn)行綁定。

對(duì)訪問(wèn)列表進(jìn)行設(shè)置。就是在交換機(jī)中依據(jù)地址、協(xié)議以及端口來(lái)定義數(shù)據(jù)流。列表訪問(wèn)廣泛應(yīng)用于交換機(jī)中。訪問(wèn)列表有兩種類型，一種是展型，另一種是標(biāo)準(zhǔn)型。展型訪問(wèn)列表具有很強(qiáng)的制服力，標(biāo)準(zhǔn)型訪問(wèn)列表對(duì)交換機(jī)來(lái)說(shuō)便于處理。

VLAN的安全。根據(jù)局域網(wǎng)信息的重要程度不盡相同，需對(duì)VLAN進(jìn)行劃分來(lái)實(shí)現(xiàn)隔離邏輯。通過(guò)交換機(jī)把網(wǎng)絡(luò)劃分成若干個(gè)虛擬網(wǎng)絡(luò)，不僅能夠增強(qiáng)網(wǎng)絡(luò)安全，而且能夠有效控制網(wǎng)絡(luò)風(fēng)暴。利用虛擬網(wǎng)絡(luò)，可以把較為敏感的網(wǎng)絡(luò)資源與非法的用戶進(jìn)行隔離，進(jìn)而阻止隱藏的非法竊聽與訪問(wèn)。

2.軟件安全策略

為了及時(shí)能夠掃描與查殺病毒，可以安裝防病毒的軟件。其中防火墻于內(nèi)外網(wǎng)之間建立安全網(wǎng)關(guān)，能夠?qū)?shù)據(jù)包進(jìn)行過(guò)濾，從而達(dá)到防護(hù)的作用。由于防火墻防御相對(duì)來(lái)說(shuō)較靜態(tài)，入侵檢測(cè)系統(tǒng)能夠彌補(bǔ)防火墻的不足，其對(duì)內(nèi)外攻擊以及錯(cuò)誤操作能夠進(jìn)行實(shí)時(shí)的防護(hù)。此外可以利用網(wǎng)絡(luò)誘騙系統(tǒng)來(lái)對(duì)實(shí)際中正在運(yùn)行的系統(tǒng)進(jìn)行保護(hù)。

3.人員管理策略

為了加強(qiáng)涉密局域網(wǎng)的安全水平，首先應(yīng)該做好人員的管理工作。對(duì)于網(wǎng)絡(luò)安全的保密意識(shí)應(yīng)不斷增強(qiáng)，對(duì)于網(wǎng)絡(luò)安全的保密知識(shí)應(yīng)不斷積累，對(duì)于網(wǎng)絡(luò)安全的保密環(huán)境應(yīng)不斷改善。用戶應(yīng)對(duì)殺毒的軟件進(jìn)行定期升級(jí)，應(yīng)對(duì)重要的資料應(yīng)進(jìn)行定期備份。用戶應(yīng)嚴(yán)格遵守網(wǎng)絡(luò)信息安全的管理制度，不得隨意違反，養(yǎng)成良好的習(xí)慣。

三、總結(jié)

風(fēng)險(xiǎn)與安全是一對(duì)矛盾體，涉密局域網(wǎng)廣泛應(yīng)用于政府部門與各大企業(yè)但與此同時(shí)存在一定的安全隱患。針對(duì)此情況，本文首先舉例對(duì)涉密局域網(wǎng)進(jìn)行一定的風(fēng)險(xiǎn)分析，然后對(duì)涉密局域網(wǎng)的安全管理策略進(jìn)行一定的研究，主要涉及網(wǎng)絡(luò)硬件安全策略、軟件安全策略以及人員管理策略三個(gè)方面。然而由于自身所掌握知識(shí)的局限性，并不能夠分析和研究的很全面，還需要進(jìn)一步的完善。以上是本人的粗淺之見，但是由于本人的知識(shí)水平及文字組織能力有限，因此文中如有不到之處還望不吝賜教。

參考文獻(xiàn)

[1]繆翔.涉密局域網(wǎng)風(fēng)險(xiǎn)分析及安全策略的研究[J].同濟(jì)大學(xué)，2013（10）.

[2]李亮.重要信息系統(tǒng)局域網(wǎng)安全策略分析與研究[J].信息網(wǎng)絡(luò)安全，2013（02）.

[3]許蘭川.構(gòu)建辦公信息網(wǎng)絡(luò)安全防護(hù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（04）.

[4]藏學(xué)范.企業(yè)計(jì)算機(jī)應(yīng)用安全管理[M].遼寧人民出版社，2012：130-132.

[5]張虎.數(shù)據(jù)安全技術(shù)在涉密信息系統(tǒng)中的實(shí)踐與應(yīng)用[J].硅谷，2013（06）.

[6]劉冰.關(guān)于局域網(wǎng)計(jì)算機(jī)的網(wǎng)絡(luò)維護(hù)[A].低碳經(jīng)濟(jì)與科學(xué)發(fā)展——吉林省第六屆科學(xué)技術(shù)學(xué)術(shù)年會(huì)論文集[C].2010.