局域网的安全策略
[摘 要] 如何降低网络的安全风险是计算机网络建设过程中首先需要考虑的问题,局域网安全设计需要在考察自身安全需求的基础上,进行风险评估和安全加固,从而针对性地保障网络的安全运行。本文从部署于边界防护的防火墙、入侵检测系统,部署于内部防控的终端监控与审计、身份认证、漏洞扫描系统、防病毒等方面针对局域网安全设计进行了探讨,通过合理的部署安全产品,进而构成立体的安全防御体系。
[关键词] 安全策略;局域网安全;风险评估
[中图分类号] TP393.1 [文献标识码] A
1 前言
随着国家现代移动通信的迅猛发展和宽带接入的广泛普及,各国政治、军事、经济、文化和社会生活对通信网和互联网的需求越来越多,互联网和通信网已成为国家关键基础设施,获得了迅速发展。互联网具有以下特点:一是开放性强、二是资源庞大、三是传播速度快、四是使用便捷、五是容易泄密。计算机网络本身不能向用户提供安全保密功能,在网络上传输的信息、入网的计算机及其所存储的信息会被窃取、篡改和破坏,网络也会遭到攻击,其硬件、软件、线路、文件系统和信息发送或接收的确认等会被破坏,无法正常工作,甚至瘫痪。近年来,网络信息安全成为突出问题,在传输、存储、处理过程中经常发生数据信息丢失、泄漏或非法窃取、篡改等事件,对国家军事、社会和经济生活等产生了严重危害和影响,已成为现有通信技术和网络安全性迫切需要解决的安全问题。
局域网安全设计是一个系统性工程,受到主观和客观、确定和不确定、自身和外界等因素的影响。局域网中承载着用户许多重要的信息资产,这些安全风险将会给国家、社会、企业和个人带来极大的安全隐患,因此在设计企业局域网安全方案之前,应首先进行风险评估。风险评估可以委托专业机构进行,也可以自评估,形成风险评估报告。根据风险评估结果和企业的网络建设投入寻找一个平衡点,制定企业的安全策略,有取舍的选择不同的安全系统,做好局域网安全设计。本文通过分析局域网安全设计需遵循的原则和涉及的典型安全系统,为局域网安全建设提供设计依据,从而有效规避风险,提高局域网的安全性。
2 设计原则
网络安全设计的目标是选择合适的技术和设备,进行合适的配置,但怎样才能做到“合适”呢?这取决于每个人对客户及其安全需求的了解程度。网络建设者可以用不同的方式实现安全设计,但成功的网络设计都要遵循一些最基本的原则。局域网安全设计时,应遵循以下原则:
2.1 木桶规则
网络的安全遵循木桶理论,木桶的最大容积取决于最短的一块木板。网络系统是一个复杂的计算机系统,本身存在种种漏洞,网络攻击者总是会找到系统中最薄弱的环节进行攻击,这就要求我们进行风险评估,全面、充分地认识到系统的脆弱性以及面临的威胁。
2.2 易用性原则
复杂的系统难于掌握,对使用人员要求高,往往会降低系统的安全性。系统应尽可能操作简便,维护简单。
3 网络安全系统
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因为偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。随着网络技术的快速发展,原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系,为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念,局域网安全系统设计图如图1所示。
目前局域网广泛采用的安全系统有以下几种:
3.1 防火墙系统
防火墙系统提供网络边界防护,也可用于构建不同的安全域,比如企业财务和其他各个部门,保护网络免受非法用户的侵入。
3.2 入侵检测系统
入侵检测系统是一种积极主动的安全防护技术,可以检查网络中是否存在违反安全策略的行为和被攻击的迹象。可以作为防火墙的合理补充。
3.3 监控与审计系统
该系统各个厂家有不同命名,也称之为防水墙系统,一般具有以下功能:信息泄露防范、系统资源安全管理、系统实时运行状况监控、信息安全审计等。
随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为。对设备使用人行为审计和行为控制的需求越来越明显。
3.4 身份认证系统
身份认证可以限制未经授权的设备通过接入端口访问局域网,还可以更好地保证应用服务器不被非法访问,应用系统被身份认证系统隔离在可信网段内,用户需要通过身份认证系统的认证后才能访问应用。
3.5 漏洞扫描系统
漏洞扫描系统是对接入网络中资产的漏洞进行自动发现、统计分析并提供相应的修补措施的系统,对利用这些漏洞的攻击起到预防作用。
3.6 网络防病毒系统
网络病毒传播速度快,危害大,大规模爆发甚至可以造成局域网瘫痪。部署单机版杀毒软件,网络管理员难于管理,很难做到足够的防护。网络版防病毒系统在部署、管理、应用和维护方面都具有很大的优势。
4 结论
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。网络上存储和传输着大量敏感信息,甚至有国家机密,难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
在局域网设计方案中,安全系统设计是重中之重,应遵循相应的设计原则。企业和用户需要在风险评估结果和企业的网络建设投入之间寻找一个平衡点,做出适合企业自身的局域网安全设计并据此进行产品的选择,从而确保网络的信息安全。
参考文献
[1]http://baike.baidu.comiew/3067.htm
[2]王达,网络工程方案规划与设计[M].中国水利水电出版社.
[3]胡道元,闵京华.网络安全[M].清华大学出版社。
作者简介:李彬(1970.8-),女,解放军61623部队工程师。1992年8月毕业于解放军信息工程大学应用数学专业,本科学历,长期从事密码、计算机、网络安全和档案管理工作。