林叢杰
【摘要】涉密局域網(wǎng)廣泛應(yīng)用于政府與企業(yè)并產(chǎn)生一定的積極影響,但在實(shí)際工作當(dāng)中某些單位對其安全管理方面存在僥幸心理未加以重視,于是導(dǎo)致存在較大的安全隱患。為解決此種情況,于是采取了一系列的安全措施。本文首先對涉密局域網(wǎng)進(jìn)行一定的風(fēng)險分析,然后從網(wǎng)絡(luò)硬件安全、軟件安全及人員管理三方面對涉密局域網(wǎng)的安全策略進(jìn)行一定的研究。
【關(guān)鍵詞】涉密;局域網(wǎng);風(fēng)險分析;安全策略
當(dāng)今社會處于信息時代,計算機(jī)的應(yīng)用范圍越來越廣泛,計算機(jī)網(wǎng)絡(luò)與此同時也遍布世界各地。由于局域網(wǎng)具有穩(wěn)定的技術(shù)以及低廉的投資被廣泛應(yīng)用于政府與各大企業(yè)。由于涉密局域網(wǎng)具有一定的特殊性,導(dǎo)致其存在著一定的安全風(fēng)險。對于政府部門以及企業(yè)來說,局域網(wǎng)既有利也有弊,利在于局域網(wǎng)可以用來通信以及共享資源從而大大提高了工作效率和服務(wù)能力,弊在于局域網(wǎng)有一定的脆弱性會造成涉密信息或者不愿公開的信息被泄露、竊取和破壞從而產(chǎn)生嚴(yán)重的后果。特此本文針對涉密局域網(wǎng)進(jìn)行了一定的風(fēng)險分析和安全策略的研究,從而增強(qiáng)其安全性能,克服其安全風(fēng)險,改善其安全環(huán)境。通過本文的論述,筆者一方面希望能夠起到一個拋磚引玉的作用,另一方面,希望能夠給相關(guān)的工作人員提供一點(diǎn)參考借鑒的材料。
一、涉密局域網(wǎng)的風(fēng)險分析
涉密局域網(wǎng)由于其在傳輸、處理及存儲信息過程中存在一定的脆弱性,會導(dǎo)致信息面臨一定的風(fēng)險性,風(fēng)險存在但不能全部消除,因此必須對所面臨的安全隱患進(jìn)行管理,對所面臨的安全風(fēng)險進(jìn)行分析,把風(fēng)險性降低至政府部門和有關(guān)企業(yè)所能接受的最小程度。
下面對某政府機(jī)構(gòu)涉密局域網(wǎng)進(jìn)行風(fēng)險分析,具體過程如下:
1.成立風(fēng)險分析小組。于本政府機(jī)構(gòu)各部門選出共15名人員(包含1名組長)進(jìn)行2天有關(guān)網(wǎng)絡(luò)安全和風(fēng)險分析知識的培訓(xùn)。
2.分析威脅因素及脆弱性。培訓(xùn)結(jié)束后,15名小組成員依據(jù)自身經(jīng)驗(yàn)針對本政府機(jī)構(gòu)可能的威脅因素、脆弱性和相對應(yīng)的威脅做詳細(xì)地分析,并最終列出表格。
3.列寫威脅報告。按照威脅因素和脆弱性表格,分別撰寫威脅報告,并交由相關(guān)負(fù)責(zé)人查驗(yàn)、審核及修改。
4.研究安全舉措。小組成員獨(dú)立想出安全舉措,再集中討論進(jìn)行補(bǔ)充,最終由小組組長進(jìn)行匯總。
5.小組成員評估。小組成員按照威脅的嚴(yán)重程度不同從1至5分別對威脅以及措施進(jìn)行評分,并進(jìn)行匯總。列舉成員針對黑客竊取信息威脅作出如表1-1所示,評估結(jié)果顯示小組成員認(rèn)為這一威脅非常嚴(yán)重,而且防火墻與IDS(即入侵檢測系統(tǒng))的有效性比蜜罐的有效性要強(qiáng)。
表1-1 某威脅小組成員評估匯總
黑客竊取信息 威脅評估 措施評估
嚴(yán)重性 潛在損失 可能性 防火墻有效性 IDS有效性 蜜罐有效性
分析小組組長 5 4 3 3 3 1
裝備部門1 4 2 4 4 3 2
裝備部門2 4 4 4 3 4 1
聯(lián)絡(luò)部門1 3 4 3 4 2 1
聯(lián)絡(luò)部門2 4 3 3 4 3 1
綜合部門 5 4 4 4 4 2
政工部門 5 5 4 4 4 3
業(yè)務(wù)部門1 4 3 5 5 4 2
業(yè)務(wù)部門2 5 3 2 3 3 3
業(yè)務(wù)部門3 5 3 2 4 4 3
業(yè)務(wù)部門4 5 3 2 3 3 1
業(yè)務(wù)部門5 3 3 2 3 3 2
業(yè)務(wù)部門6 3 4 3 4 4 2
業(yè)務(wù)部門7 4 5 1 3 3 2
業(yè)務(wù)部門8 4 3 3 4 3 3
結(jié)果 4.2 3.5 3.0 3.7 3.3 1.9
6.列寫報告。進(jìn)行評估結(jié)束以后,小組組長進(jìn)行匯總,列寫風(fēng)險分析報告。某單位涉密局域網(wǎng)的步驟與要點(diǎn)如下表1-2所示。
表1-2 某單位涉密局域網(wǎng)的步驟與要點(diǎn)
步驟 過程要點(diǎn) 主要結(jié)果
成立風(fēng)險分析小組 選擇各部門具有中級以上職稱者
建立小組并進(jìn)行培訓(xùn) 15名小組成員進(jìn)行
2周脫產(chǎn)分析
分析威脅因素及脆弱性 小組成員利用DELPHI方法識別
局域網(wǎng)的威脅與脆弱性 涉密局域網(wǎng)威脅因素
與脆弱性分析表
列寫威脅報告 對威脅具體情況進(jìn)行說明并審核 各個威脅的威脅報告
研究安全舉措 研究能夠降低風(fēng)險的措施并審核 制作各個威脅的評估表
小組成員評估 按評估表對威脅的嚴(yán)重性
及措施的有效性進(jìn)行評估 對各威脅的評估進(jìn)行匯總
列寫報告 列寫風(fēng)險分析報告對局域網(wǎng)威脅
以及相應(yīng)措施進(jìn)行說明 風(fēng)險分析報告
二、涉密局域網(wǎng)的安全策略
1.網(wǎng)絡(luò)硬件安全策略
控制Telnet訪問及會話超時。在局域網(wǎng)中,交換機(jī)一般全部需要分配管理地址,為便于長距離之間的管理,一般交換機(jī)會啟動Telnet功能。對于網(wǎng)絡(luò)設(shè)備的安全進(jìn)行管理,須設(shè)置Telnet密碼。網(wǎng)絡(luò)管理員在進(jìn)入交換機(jī)的控制臺以后,若由于事情外出,這就會導(dǎo)致控制臺進(jìn)入無人看管的狀態(tài),此刻任何人都能夠趁此時機(jī)來對網(wǎng)絡(luò)設(shè)備的配置進(jìn)行修改。特此須對空閑的會話進(jìn)行超時設(shè)置,從而使控制臺隔一段空閑時間后自動地與網(wǎng)絡(luò)設(shè)備斷開,保證了網(wǎng)絡(luò)的安全。
對MAC地址進(jìn)行綁定。交換機(jī)的一個特性就是端口安全。當(dāng)一個數(shù)據(jù)幀傳入某一端口時,此端口會將此數(shù)據(jù)幀的源地址與原來端口的源地址作比較。若MAC地址不能夠相互匹配,那么此端口會合閉,并且指示燈的顏色會顯示橙色。在缺省的狀態(tài)下,對于交換機(jī)來說,其允許全部的MAC地址進(jìn)行網(wǎng)絡(luò)訪問。由于端口安全這一特性,可以通過配置一組較為安全的并允許訪問此端口的MAC地址來保證安全。由于端口數(shù)目是穩(wěn)定的,然而計算機(jī)的數(shù)目不斷上漲,對于綁定MAC地址非常局限。一般的安全設(shè)置基于IP地址,然而用戶的IP地址比較隨性可以自己隨性設(shè)置。特此須在交換機(jī)中把IP地址與MAC地址進(jìn)行綁定。
對訪問列表進(jìn)行設(shè)置。就是在交換機(jī)中依據(jù)地址、協(xié)議以及端口來定義數(shù)據(jù)流。列表訪問廣泛應(yīng)用于交換機(jī)中。訪問列表有兩種類型,一種是展型,另一種是標(biāo)準(zhǔn)型。展型訪問列表具有很強(qiáng)的制服力,標(biāo)準(zhǔn)型訪問列表對交換機(jī)來說便于處理。
VLAN的安全。根據(jù)局域網(wǎng)信息的重要程度不盡相同,需對VLAN進(jìn)行劃分來實(shí)現(xiàn)隔離邏輯。通過交換機(jī)把網(wǎng)絡(luò)劃分成若干個虛擬網(wǎng)絡(luò),不僅能夠增強(qiáng)網(wǎng)絡(luò)安全,而且能夠有效控制網(wǎng)絡(luò)風(fēng)暴。利用虛擬網(wǎng)絡(luò),可以把較為敏感的網(wǎng)絡(luò)資源與非法的用戶進(jìn)行隔離,進(jìn)而阻止隱藏的非法竊聽與訪問。
2.軟件安全策略
為了及時能夠掃描與查殺病毒,可以安裝防病毒的軟件。其中防火墻于內(nèi)外網(wǎng)之間建立安全網(wǎng)關(guān),能夠?qū)?shù)據(jù)包進(jìn)行過濾,從而達(dá)到防護(hù)的作用。由于防火墻防御相對來說較靜態(tài),入侵檢測系統(tǒng)能夠彌補(bǔ)防火墻的不足,其對內(nèi)外攻擊以及錯誤操作能夠進(jìn)行實(shí)時的防護(hù)。此外可以利用網(wǎng)絡(luò)誘騙系統(tǒng)來對實(shí)際中正在運(yùn)行的系統(tǒng)進(jìn)行保護(hù)。
3.人員管理策略
為了加強(qiáng)涉密局域網(wǎng)的安全水平,首先應(yīng)該做好人員的管理工作。對于網(wǎng)絡(luò)安全的保密意識應(yīng)不斷增強(qiáng),對于網(wǎng)絡(luò)安全的保密知識應(yīng)不斷積累,對于網(wǎng)絡(luò)安全的保密環(huán)境應(yīng)不斷改善。用戶應(yīng)對殺毒的軟件進(jìn)行定期升級,應(yīng)對重要的資料應(yīng)進(jìn)行定期備份。用戶應(yīng)嚴(yán)格遵守網(wǎng)絡(luò)信息安全的管理制度,不得隨意違反,養(yǎng)成良好的習(xí)慣。
三、總結(jié)
風(fēng)險與安全是一對矛盾體,涉密局域網(wǎng)廣泛應(yīng)用于政府部門與各大企業(yè)但與此同時存在一定的安全隱患。針對此情況,本文首先舉例對涉密局域網(wǎng)進(jìn)行一定的風(fēng)險分析,然后對涉密局域網(wǎng)的安全管理策略進(jìn)行一定的研究,主要涉及網(wǎng)絡(luò)硬件安全策略、軟件安全策略以及人員管理策略三個方面。然而由于自身所掌握知識的局限性,并不能夠分析和研究的很全面,還需要進(jìn)一步的完善。以上是本人的粗淺之見,但是由于本人的知識水平及文字組織能力有限,因此文中如有不到之處還望不吝賜教。
參考文獻(xiàn)
[1]繆翔.涉密局域網(wǎng)風(fēng)險分析及安全策略的研究[J].同濟(jì)大學(xué),2013(10).
[2]李亮.重要信息系統(tǒng)局域網(wǎng)安全策略分析與研究[J].信息網(wǎng)絡(luò)安全,2013(02).
[3]許蘭川.構(gòu)建辦公信息網(wǎng)絡(luò)安全防護(hù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(04).
[4]藏學(xué)范.企業(yè)計算機(jī)應(yīng)用安全管理[M].遼寧人民出版社,2012:130-132.
[5]張虎.數(shù)據(jù)安全技術(shù)在涉密信息系統(tǒng)中的實(shí)踐與應(yīng)用[J].硅谷,2013(06).
[6]劉冰.關(guān)于局域網(wǎng)計算機(jī)的網(wǎng)絡(luò)維護(hù)[A].低碳經(jīng)濟(jì)與科學(xué)發(fā)展——吉林省第六屆科學(xué)技術(shù)學(xué)術(shù)年會論文集[C].2010.