摘 要 本文對臺(tái)內(nèi)局域網(wǎng)面臨的主要安全隱患做了詳細(xì)的分析，并全面探討了臺(tái)內(nèi)局域網(wǎng)的安全設(shè)計(jì)方案。

關(guān)鍵詞 局域網(wǎng) 安全隱患 完全設(shè)計(jì)方案

一、臺(tái)內(nèi)局域網(wǎng)面臨的主要安全隱患

（1）意外事故：由硬件故障、電路故障等意外事故及塵土覆蓋、雷電天氣、水災(zāi)火災(zāi)等自然因素造成的網(wǎng)絡(luò)故障和系統(tǒng)癱瘓。

（2）局域網(wǎng)內(nèi)部人員造成的安全隱患：由于工作人員粗心大意或者操作失誤，導(dǎo)致重要數(shù)據(jù)損壞甚至丟失。

（3）局域網(wǎng)外部人員的非法介入導(dǎo)致臺(tái)內(nèi)機(jī)器頻率參數(shù)、天線方位參數(shù)等機(jī)密信息泄露：局域網(wǎng)外部人員未經(jīng)允許私自進(jìn)入臺(tái)內(nèi)局域網(wǎng)非法篡改或截取網(wǎng)內(nèi)信息甚至蓄意破壞或攻擊，包括黑客攻擊、信息修改、網(wǎng)絡(luò)竊聽、惡意代碼等。

（4）病毒：病毒對臺(tái)內(nèi)局域網(wǎng)的危害防不勝防。它能通過網(wǎng)絡(luò)或者移動(dòng)磁盤進(jìn)行傳染，局域網(wǎng)內(nèi)任何一臺(tái)計(jì)算機(jī)中病毒都有可能傳染給其它計(jì)算機(jī)，甚至造成整個(gè)臺(tái)內(nèi)局域網(wǎng)系統(tǒng)癱瘓。

（5）軟件漏洞：臺(tái)內(nèi)所用軟件自身存在的安全缺陷可能使攻擊者在沒有得到授權(quán)的情況下訪問或破壞臺(tái)內(nèi)系統(tǒng)，從而導(dǎo)致臺(tái)內(nèi)重要信息的泄露。

二、臺(tái)內(nèi)局域網(wǎng)的安全設(shè)計(jì)

1、整體設(shè)計(jì)思路

在使用臺(tái)內(nèi)局域網(wǎng)系統(tǒng)前，按照用戶的級別和處理的密級進(jìn)行授權(quán)，對于不符合要求的用戶，不準(zhǔn)許其進(jìn)入臺(tái)內(nèi)局域網(wǎng)；在處理臺(tái)內(nèi)信息前，對用戶的身份進(jìn)行驗(yàn)證，身份不真實(shí)者，杜絕其使用臺(tái)內(nèi)系統(tǒng)。對于身份符合的用戶，檢測其權(quán)限和級別，然后準(zhǔn)予其啟動(dòng)權(quán)限和級別內(nèi)的系統(tǒng)；在臺(tái)內(nèi)信息處理的過程中，加密信息，防止信息被非法篡改或破壞。保證授權(quán)用戶對臺(tái)內(nèi)信息資源的正常使用和共享；信息處理后，審計(jì)追蹤違反安全策略的時(shí)間和責(zé)任，防止用戶抵賴。

2、局域網(wǎng)安全設(shè)計(jì)路徑

（1）拓?fù)浣Y(jié)構(gòu)

局域網(wǎng)拓?fù)浣Y(jié)構(gòu)在設(shè)計(jì)時(shí)應(yīng)基于保障網(wǎng)絡(luò)設(shè)備安全的基礎(chǔ)上。對于服務(wù)器、主干交換機(jī)、路由器等重要設(shè)備進(jìn)行集中管理。同時(shí)防止各種通信線路的意外損壞。在涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，選用千兆以太網(wǎng)構(gòu)建網(wǎng)絡(luò)的主干部分，實(shí)現(xiàn)匯聚到核心的千兆鏈路。對于各種類型的應(yīng)用服務(wù)器，選用千兆以太網(wǎng)技與骨干網(wǎng)絡(luò)設(shè)備進(jìn)行鏈接。這就是局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)，設(shè)計(jì)臺(tái)內(nèi)局域網(wǎng)時(shí)可以此為參照。

（2）合理劃分 VLAN

當(dāng)前的VLAN技術(shù)不僅可以阻止網(wǎng)絡(luò)廣播風(fēng)波，同時(shí)還可以防止病毒入侵。大部分的企業(yè)或單位使用的都是基于端口劃分的VLAN。這種劃分方法有它自身的優(yōu)點(diǎn)，同時(shí)也有一定的缺陷。它的優(yōu)點(diǎn)是只要將所有端口都指定一下就可以定義VLAN成員，操作十分簡單。缺點(diǎn)是當(dāng)中任何一個(gè)VLAN用戶想從原來的端口調(diào)到另一個(gè)交換機(jī)端口，就必須對所有VLAN成員重新進(jìn)行定義。

按端口劃分V LAN 有多種劃分方法，企業(yè)或單位中最常用的是按樓層劃分、按科室劃分和按管理方式劃分方式。每種劃分方法都有各自的優(yōu)缺點(diǎn)。

按樓層劃分操作起來比較簡單，但由于單位信息共享的必要性和單位科室的復(fù)雜性，一旦有病毒入侵，很難把病毒控制在一個(gè)固定的范圍內(nèi)，容易造成病毒在整個(gè)單位擴(kuò)散，甚至造成整個(gè)單位局域網(wǎng)的癱瘓。

而按科室劃分必須在某些特定情況下才能應(yīng)用，比如某科室為了防止信息外泄，把本科室的計(jì)算機(jī)連城一個(gè)局域網(wǎng)，拒絕其它可是用戶訪問。

現(xiàn)在許多大型企業(yè)或單位都按管理方式劃分VLAN。簡單說，就是將單位的行政部、財(cái)務(wù)部、執(zhí)行部分別劃到不同的VLAN中，且每個(gè)VLAN都是獨(dú)立的，同一個(gè)VLAN中的信息可以相互傳播。如果不同的科室之間有互通信息的需要，可以在信息中心內(nèi)部傳輸（在計(jì)算機(jī)中心， 每一V LAN 都有相應(yīng)的PC 機(jī)進(jìn)行相關(guān)的監(jiān)控）。

（3）防火墻技術(shù)

防火墻是一種保障網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，同時(shí)又是保護(hù)局域網(wǎng)的第一道屏障。它通過一種訪問控制尺度來保障網(wǎng)絡(luò)通信的安全，具有較強(qiáng)的抗攻擊能力。實(shí)際上就是通過對進(jìn)、出網(wǎng)的權(quán)限設(shè)置，強(qiáng)制所有鏈接接受檢測，防止外界因素對網(wǎng)絡(luò)的攻擊和破壞。臺(tái)內(nèi)局域網(wǎng)的防火墻設(shè)置能夠保護(hù)臺(tái)內(nèi)局域網(wǎng)免受外來攻擊，因而防火墻是臺(tái)內(nèi)局域網(wǎng)安全系統(tǒng)中必不可少的。我臺(tái)可以在臺(tái)內(nèi)局域網(wǎng)與互聯(lián)網(wǎng)之間建立防火墻，通過防火墻阻擋不安全的服務(wù)和非法用戶攻擊臺(tái)內(nèi)局域網(wǎng)，禁止未經(jīng)授權(quán)的用戶訪問臺(tái)內(nèi)局域網(wǎng)內(nèi)受保護(hù)的網(wǎng)絡(luò)，對所有通過的訪問進(jìn)行記錄和數(shù)據(jù)統(tǒng)計(jì)，提供預(yù)警和審計(jì)功能，從而達(dá)到保障臺(tái)內(nèi)局域網(wǎng)的安全目的。

（4）網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)及傳輸安全的設(shè)計(jì)

存儲(chǔ)加密、數(shù)據(jù)訪問控制和數(shù)據(jù)備份都是基于保障網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)及傳輸安全的技術(shù)設(shè)計(jì)。

數(shù)據(jù)加密是指把需要保護(hù)的數(shù)據(jù)信息經(jīng)過加密處理，由明文變成密文。需要應(yīng)用受保護(hù)的數(shù)據(jù)信息時(shí)再把它由密文轉(zhuǎn)換成明文。這樣即使非法用戶得到了存儲(chǔ)的數(shù)據(jù)信息也無法破解經(jīng)加密的密文，從而達(dá)到保護(hù)存儲(chǔ)數(shù)據(jù)信息的目的。

數(shù)據(jù)訪問控制技術(shù)主要是通常對數(shù)據(jù)信息用戶身份鑒防止用戶非法訪問受控信息和保密信息。目前對終端用戶的身份進(jìn)行識(shí)別和驗(yàn)證的方法有：口令驗(yàn)證、通行驗(yàn)證和口令與IC 卡雙重認(rèn)證技術(shù)。此外，訪問權(quán)限的控制也屬于數(shù)據(jù)訪問控制技術(shù)中的一種。

數(shù)據(jù)備份是保護(hù)網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)最有效、最簡單的方法。數(shù)據(jù)備份無論是在網(wǎng)絡(luò)系統(tǒng)故障、人為操作失誤，還是非法用戶入侵或破壞網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的情況下，都能快速、完整地恢復(fù)計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)信息。

三、結(jié)語

保障臺(tái)內(nèi)局域網(wǎng)的安全是一項(xiàng)系統(tǒng)工程，必須從管理和技術(shù)兩個(gè)層面著手。一方面提高臺(tái)內(nèi)計(jì)算機(jī)管理人員的管理水平和管理能力，保障臺(tái)內(nèi)計(jì)算機(jī)的物理安全、電路安全；另一方面采用權(quán)限管理、流量控制、設(shè)置防火墻、加密認(rèn)證等一系列技術(shù)措施將臺(tái)內(nèi)局域網(wǎng)的安全保障工作落到實(shí)處、落到細(xì)處。只有全面構(gòu)建臺(tái)內(nèi)局域網(wǎng)的安全防御體系，才能最大限度的保障臺(tái)內(nèi)局域網(wǎng)的安全。

參考文獻(xiàn)：

[1]王群.最新局域網(wǎng)管理與維護(hù)全接觸[M].北京：清華大學(xué)出版社，2004：160-161.

[2]教育部考試中心.全國計(jì)算機(jī)等級考試三級教程———網(wǎng)絡(luò)技術(shù)[M].北京：高等教育出版社，2007：191-204.