摩登3新闻554258:_局域网安全体系结构的研究与设计

引 言

随着计算机技术和信息技术的进步和发展,特别是近年来移动互联网的迅猛发展,越来越多的单位、企业和家庭都建立了属于自己的局域网。局域网为用户内部信息资源共享提供了方便,在人们的工作和生活中发挥着不可替代的作用。但由于网络本身的开放性和共享性,在网络为大家带来便利的同时, 网络本身存在的不安全因素也给各企业单位和家庭带来了信息泄露的风险,为实现社会稳定,保证计算机网络安全,人们迫切需要解决目前计算机局域网应用中存在的安全问题 [1,2]。

1 局域网中主要的安全问题

网络安全问题主要由网络的开放性和共享性造成。网络安全问题的实质是对网络安全缺陷的潜在利用,这些缺陷可能导致网络的非法访问、信息泄露、资源耗尽、资源被盗或者被破坏等 ;网络安全问题产生的根源在于网络协议的不完整性、网络操作系统的漏洞缺陷、应用程序漏洞、物理设备损坏及人为因素等。归纳起来,目前局域网安全问题主要来源于物理设备的安全威胁、来自互联网的安全威胁、来自局域网内部用户的安全威胁这三个方面[3-5]。

1.1 物理设备的安全威胁

来自物理设备的安全威胁主要有如下几项:

(1) 自然灾害或非人为故意造成的软、硬件故障或冲突以及水灾火灾等;

(2) 人为操作不当(属意外事件)导致数据信息的错误、丢失或其它一些硬件故障等。

1.2 来自互联网的安全威胁

一般情况下, 局域网都与 Internet进行了互联。由于Internet的开放性、国际性与自由性,来自Internet的世界各地的黑客都可以通过Internet 和一些黑客工具来探测和扫描网络上存在的各种安全问题,如操作系统的类型及其它是否为弱口令、服务器开放的各种易于攻击的端口号及服务器应用程序是否存在开放权限或存在弱用户弱口令等,并采取相应的攻击手段进行攻击。同时还可以通过协议分析软件等手段监听并获得局域网内部用户的用户名、口令及一些敏感数据等信息, 从而假冒内部的合法用户进行非法操作,窃取内部网络中的重要信息。而这些黑客也能通过控制大量肉机向网络中的服务器发送大量的数据包进行 DDoS 攻击,使服务器不能正常工作而拒绝为正常用户服务。

1.3 来自局域网内部用户的安全威胁

内部的网络管理人员有时为了对外进行宣传,会不经意间把内部网络拓扑结构及系统的一些重要信息(如设备型号、操作系统的类型等)放在网站上,这就致使网络内部信息严重泄露,网络上的不法分子可以利用这些包括网络拓扑、网络设备信息及应用系统信息等内部信息,制定有针对性的入侵策略,从而大大增加被攻破的机率,给内部局域网造成巨大的安全隐患。由于内部网络的大多数用户对计算机的操作及网络运行不熟悉,不知道哪些软件是安全的,若下载并使用了带有病毒或木马的软件,那么这些病毒或木马会收集并泄漏内部用户的重要信息,尤其是用户名及密码等重要信息,或是对计算机操作不当,误删除了重要数据等,这些都将给网络造成极大的安全威胁。

2 安全体系结构的设计

2.1 局域网安全总体设计思路

局域网安全是一项系统工程,需要充分考虑各层次各方面的安全因素。根据局域网运行所涉及到的层次,建立一个全方位的、可持续循环改进的局域网安全解决方案。以网络安全技术为主导,辅以法律法规和规章制度的安全管理,设计一个包含五个层次(物理安全、网络安全、系统安全、应用安全、

在局域网安全系统中,物理安全是最基本的安全。如果物理安全得不到保证,那么其它一切安全措施都变得毫无意义。如果网络设备遭到破坏或被人非法接触,将会给局域网造成毁灭性的破坏,若安装有数据库的服务器被非法人员或是自然灾害损坏,就可能致使数据丢失且不可恢复,这同样是毁灭性的破坏。因此,要确保局域网有一个安全的物理环境, 就应对接触到的网络设备及系统人员有一套完善的技术控制手段和规章制度约束,并且还要充分考虑自然灾害可能对局域网中的网络设备及线路等造成的威胁并加以规避。

2.1.2 网络安全

网络安全主要是整个数据传输网的安全,包括数据链路层、网络层及传输层等的安全。

(1) 数据链路安全主要是保障通信链路不被非法窃听并防止借助链路的连接进行各种类型的攻击。

(2) 网络层的安全主要包括网络访问控制、各种网络协议本身的缺陷和对这些协议的攻击等问题。

(3) 传输层的安全与链路层的安全类型涉及的层次不一样,但也是关于数据被非法窃听的问题。

2.1.3 系统安全

系统安全主要是操作系统本身的安全问题,体现在系统是否完整坚固,是否存在漏洞,以避免攻击者通过系统漏洞实施入侵,主要涉及到以下两个问题:

(1) 病毒和木马对局域网中系统的威胁。

(2) Internet上的黑客入侵了局域网中的系统后通过该系统对其它局域网设备和系统进行入侵和破坏。

2.1.4 应用安全

应用安全主要是应用平台和应用程序的安全。主要涉及到以下两方面问题:

(1) 应用程序对数据的合法权限,即应用程序对数据的访问是否合法。

(2) 应用程序对用户的合法权限,即用户是否有合法的权限访问该应用程序。

2.1.5 数据安全

数据安全是这些安全中最重要的一项,所有采取的措施都以数据安全为目标。保证信息资源的机密性、完整性、真实性、不可抵赖性以及可用性是安全防护的最终目标。

2.1.6 安全管理

安全管理包括国家制订的法律法规和单位组织制定的管理和技术操作规范,从法律和管理层面对人的行为进行规范。

2.1.7 网络结构设计

网络结构设计是为局域网设计的一个高安全性网络结构, 涉及各种网络安全设备与技术的有机结合、综合应用与部署。

2.2 局域网安全方案设计

2.2.1 各层次技术解决方案设计

局域网工作的每个层次都有相应的安全措施,每个层次在大技术层面上常用的安全措施如图 2 所示。

物理安全最重要的就是选择地理位置安全的场所建设网络机房,应尽量远离生产或储存易燃、易爆物品和强电磁场场所的周围及低洼地带。对于网络设备应配备防电磁泄漏机柜或屏蔽机房等 ;关键设备要配备 UPS 电源 ;机房要配备空调以保持机房的恒温恒湿环境,并配备消防报警和灭火设施 ;建立严格的机房准入制度等。如果有更高级别的安全需要,需对机房中的网络设备及线路做远程的冗余备份。

2.2.1.2 网络安全技术与措施

网络安全技术与措施较多,主要涉及网络安全设备和技术及安全协议。常用的有各种防火墙设备和技术、入侵检测设备和技术、VPN 设备和技术以及入侵防御设备和技术等。

(1) 防火墙是常用的网络设备和技术,根据策略控制进出网络的数据权限,并可强制检查所有进出网络的各种链接, 以避免局域网遭受外界入侵和破坏。因此,通过建立防火墙安全策略, 可在内部网(局域网)和外网(Internet)之间, 或者在内部网的各部分之间(即不同安全域之间)实施安全防护。

(2) 入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,实时监测局域网的运行状况,常与防火墙联动运作。常用的安全协议有 PPTP,L2TP,IPSec及

除此之外,还有其它访问控制技术,常用的有 VLAN 划分技术和访问列表控制(ACL)技术等。

2.2.1.3 系统安全技术与措施

系统安全措施主要为系统安装防病毒和防木马软件以及为系统打补丁,加固系统的安全性,设置用户的访问权限等级和口令,可对系统的访问进行访问权限控制。安装分布式的网络防病毒软件,对局域网内的服务器和个人计算机进行有效防护,使局域网上的各个节点都不受病毒的侵害。同时,应尽量实时更新系统补丁和杀毒软件,确保系统和杀毒软件处于最新状态,并定期更换用户密码,使用户口令被破解的可能性降至最低。

2.2.1.4 应用安全技术与措施

应用安全包括应用平台和应用程序的安全性。可以通过身份认证来判别用户使用系统的合法性。身份认证一般通过用户名和口令来验证。身份认证可以有效防止数据被篡改及非法用户访问网络资源。同时还能通过审计用户相关的活动信息进行记录、存储和分析,系统通过分析网络信息系统的实际使用状况来对应用服务器的安全事件进行有效监控。

2.2.1.5 数据安全技术与措施

采用数据安全技术与措施的最终目的在于确保网络数据的可用性、完整性和保密性。为了确保数据的安全性,可以采用多种数据备份技术来确保数据的可用性和完整性,如磁盘冗余阵列技术、双机容错技术及SAN 技术等。同时,为了增强数据的保密性,可采用加密技术对数据进行加密,如DES 加密算法、IDEA 加密算法及RSA 加密算法等。

2.2.2 网络结构设计

一个设计合理的网络拓扑结构可以大大增加局域网的安全性,如图 3 所示的网络拓扑结构综合运用了多种安全技术, 对局域网起到了很好的保护作用,大大提高了局域网的安全性。

图 3 所示为双路由单防火墙的拓扑设计,对外网(Internet) 进入局域网内部的访问起到了三层过滤的作用,大大增强了局域网的安全性。对于一些常用的对外服务,设置一个DMZ 区域,尽量减少外网用户对内网的访问,这也是增强局域网安全的一种措施。同时,DMZ 为了保证服务器的安全,使用了入侵检测系统以提高 DMZ 区域的安全性。

人是局域网安全中最不稳定的因素,也是最主要的因素。因此,规范人的行为对局域网的安全起到了至关重要的作用。建立健全的法律法规对入侵网络的不法分子有极大的震慑作用,使之不敢轻易破坏网络。同时,对于网络的管理也要建立规范的管理制度,严格机房管理。可采取如下措施:

(1) 建立完整的计算机运行日志、操作记录及其它与安全有关的资料;

(2) 机房必须有当班值班人员;

(3) 严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房,重要技术资料应有副本并异地存放等。

结 语

局域网安全是一项系统工程,涉及到网络工作的各个层次,任何一个层次都可以通过安全技术措施来加强局域网的安全,但任何层次也有可能成为局域网的弱点。因此,在综合应用安全措施的同时应全面考虑各层次的特点,采用相应的安全技术措施,建立一个较完善合理的安全机制。同时还要运用技术之外的管理措施,从制度方面确保局域网的安全。