臺內(nèi)局域網(wǎng)的安全設(shè)計方案

摘 要 本文對臺內(nèi)局域網(wǎng)面臨的主要安全隱患做了詳細的分析，并全面探討了臺內(nèi)局域網(wǎng)的安全設(shè)計方案。

關(guān)鍵詞 局域網(wǎng) 安全隱患 完全設(shè)計方案

一、臺內(nèi)局域網(wǎng)面臨的主要安全隱患

（1）意外事故：由硬件故障、電路故障等意外事故及塵土覆蓋、雷電天氣、水災(zāi)火災(zāi)等自然因素造成的網(wǎng)絡(luò)故障和系統(tǒng)癱瘓。

（2）局域網(wǎng)內(nèi)部人員造成的安全隱患：由于工作人員粗心大意或者操作失誤，導(dǎo)致重要數(shù)據(jù)損壞甚至丟失。

（3）局域網(wǎng)外部人員的非法介入導(dǎo)致臺內(nèi)機器頻率參數(shù)、天線方位參數(shù)等機密信息泄露：局域網(wǎng)外部人員未經(jīng)允許私自進入臺內(nèi)局域網(wǎng)非法篡改或截取網(wǎng)內(nèi)信息甚至蓄意破壞或攻擊，包括黑客攻擊、信息修改、網(wǎng)絡(luò)竊聽、惡意代碼等。

（4）病毒：病毒對臺內(nèi)局域網(wǎng)的危害防不勝防。它能通過網(wǎng)絡(luò)或者移動磁盤進行傳染，局域網(wǎng)內(nèi)任何一臺計算機中病毒都有可能傳染給其它計算機，甚至造成整個臺內(nèi)局域網(wǎng)系統(tǒng)癱瘓。

（5）軟件漏洞：臺內(nèi)所用軟件自身存在的安全缺陷可能使攻擊者在沒有得到授權(quán)的情況下訪問或破壞臺內(nèi)系統(tǒng)，從而導(dǎo)致臺內(nèi)重要信息的泄露。

二、臺內(nèi)局域網(wǎng)的安全設(shè)計

1、整體設(shè)計思路

在使用臺內(nèi)局域網(wǎng)系統(tǒng)前，按照用戶的級別和處理的密級進行授權(quán)，對于不符合要求的用戶，不準(zhǔn)許其進入臺內(nèi)局域網(wǎng)；在處理臺內(nèi)信息前，對用戶的身份進行驗證，身份不真實者，杜絕其使用臺內(nèi)系統(tǒng)。對于身份符合的用戶，檢測其權(quán)限和級別，然后準(zhǔn)予其啟動權(quán)限和級別內(nèi)的系統(tǒng)；在臺內(nèi)信息處理的過程中，加密信息，防止信息被非法篡改或破壞。保證授權(quán)用戶對臺內(nèi)信息資源的正常使用和共享；信息處理后，審計追蹤違反安全策略的時間和責(zé)任，防止用戶抵賴。

2、局域網(wǎng)安全設(shè)計路徑

（1）拓撲結(jié)構(gòu)

局域網(wǎng)拓撲結(jié)構(gòu)在設(shè)計時應(yīng)基于保障網(wǎng)絡(luò)設(shè)備安全的基礎(chǔ)上。對于服務(wù)器、主干交換機、路由器等重要設(shè)備進行集中管理。同時防止各種通信線路的意外損壞。在涉及網(wǎng)絡(luò)拓撲結(jié)構(gòu)時，選用千兆以太網(wǎng)構(gòu)建網(wǎng)絡(luò)的主干部分，實現(xiàn)匯聚到核心的千兆鏈路。對于各種類型的應(yīng)用服務(wù)器，選用千兆以太網(wǎng)技與骨干網(wǎng)絡(luò)設(shè)備進行鏈接。這就是局域網(wǎng)的拓撲結(jié)構(gòu)設(shè)計，設(shè)計臺內(nèi)局域網(wǎng)時可以此為參照。

（2）合理劃分 VLAN

當(dāng)前的VLAN技術(shù)不僅可以阻止網(wǎng)絡(luò)廣播風(fēng)波，同時還可以防止病毒入侵。大部分的企業(yè)或單位使用的都是基于端口劃分的VLAN。這種劃分方法有它自身的優(yōu)點，同時也有一定的缺陷。它的優(yōu)點是只要將所有端口都指定一下就可以定義VLAN成員，操作十分簡單。缺點是當(dāng)中任何一個VLAN用戶想從原來的端口調(diào)到另一個交換機端口，就必須對所有VLAN成員重新進行定義。

按端口劃分V LAN 有多種劃分方法，企業(yè)或單位中最常用的是按樓層劃分、按科室劃分和按管理方式劃分方式。每種劃分方法都有各自的優(yōu)缺點。

按樓層劃分操作起來比較簡單，但由于單位信息共享的必要性和單位科室的復(fù)雜性，一旦有病毒入侵，很難把病毒控制在一個固定的范圍內(nèi)，容易造成病毒在整個單位擴散，甚至造成整個單位局域網(wǎng)的癱瘓。

而按科室劃分必須在某些特定情況下才能應(yīng)用，比如某科室為了防止信息外泄，把本科室的計算機連城一個局域網(wǎng)，拒絕其它可是用戶訪問。

現(xiàn)在許多大型企業(yè)或單位都按管理方式劃分VLAN。簡單說，就是將單位的行政部、財務(wù)部、執(zhí)行部分別劃到不同的VLAN中，且每個VLAN都是獨立的，同一個VLAN中的信息可以相互傳播。如果不同的科室之間有互通信息的需要，可以在信息中心內(nèi)部傳輸（在計算機中心， 每一V LAN 都有相應(yīng)的PC 機進行相關(guān)的監(jiān)控）。

（3）防火墻技術(shù)

防火墻是一種保障網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，同時又是保護局域網(wǎng)的第一道屏障。它通過一種訪問控制尺度來保障網(wǎng)絡(luò)通信的安全，具有較強的抗攻擊能力。實際上就是通過對進、出網(wǎng)的權(quán)限設(shè)置，強制所有鏈接接受檢測，防止外界因素對網(wǎng)絡(luò)的攻擊和破壞。臺內(nèi)局域網(wǎng)的防火墻設(shè)置能夠保護臺內(nèi)局域網(wǎng)免受外來攻擊，因而防火墻是臺內(nèi)局域網(wǎng)安全系統(tǒng)中必不可少的。我臺可以在臺內(nèi)局域網(wǎng)與互聯(lián)網(wǎng)之間建立防火墻，通過防火墻阻擋不安全的服務(wù)和非法用戶攻擊臺內(nèi)局域網(wǎng)，禁止未經(jīng)授權(quán)的用戶訪問臺內(nèi)局域網(wǎng)內(nèi)受保護的網(wǎng)絡(luò)，對所有通過的訪問進行記錄和數(shù)據(jù)統(tǒng)計，提供預(yù)警和審計功能，從而達到保障臺內(nèi)局域網(wǎng)的安全目的。

（4）網(wǎng)絡(luò)數(shù)據(jù)存儲及傳輸安全的設(shè)計

存儲加密、數(shù)據(jù)訪問控制和數(shù)據(jù)備份都是基于保障網(wǎng)絡(luò)數(shù)據(jù)存儲及傳輸安全的技術(shù)設(shè)計。

數(shù)據(jù)加密是指把需要保護的數(shù)據(jù)信息經(jīng)過加密處理，由明文變成密文。需要應(yīng)用受保護的數(shù)據(jù)信息時再把它由密文轉(zhuǎn)換成明文。這樣即使非法用戶得到了存儲的數(shù)據(jù)信息也無法破解經(jīng)加密的密文，從而達到保護存儲數(shù)據(jù)信息的目的。

數(shù)據(jù)訪問控制技術(shù)主要是通常對數(shù)據(jù)信息用戶身份鑒防止用戶非法訪問受控信息和保密信息。目前對終端用戶的身份進行識別和驗證的方法有：口令驗證、通行驗證和口令與IC 卡雙重認證技術(shù)。此外，訪問權(quán)限的控制也屬于數(shù)據(jù)訪問控制技術(shù)中的一種。

數(shù)據(jù)備份是保護網(wǎng)絡(luò)存儲數(shù)據(jù)最有效、最簡單的方法。數(shù)據(jù)備份無論是在網(wǎng)絡(luò)系統(tǒng)故障、人為操作失誤，還是非法用戶入侵或破壞網(wǎng)絡(luò)存儲數(shù)據(jù)的情況下，都能快速、完整地恢復(fù)計算機系統(tǒng)所需的數(shù)據(jù)信息。

三、結(jié)語

保障臺內(nèi)局域網(wǎng)的安全是一項系統(tǒng)工程，必須從管理和技術(shù)兩個層面著手。一方面提高臺內(nèi)計算機管理人員的管理水平和管理能力，保障臺內(nèi)計算機的物理安全、電路安全；另一方面采用權(quán)限管理、流量控制、設(shè)置防火墻、加密認證等一系列技術(shù)措施將臺內(nèi)局域網(wǎng)的安全保障工作落到實處、落到細處。只有全面構(gòu)建臺內(nèi)局域網(wǎng)的安全防御體系，才能最大限度的保障臺內(nèi)局域網(wǎng)的安全。

參考文獻：

[1]王群.最新局域網(wǎng)管理與維護全接觸[M].北京：清華大學(xué)出版社，2004：160-161.

[2]教育部考試中心.全國計算機等級考試三級教程———網(wǎng)絡(luò)技術(shù)[M].北京：高等教育出版社，2007：191-204.