马佳华

92941部队96分队 辽宁 125000

0 引言

本地网络采用先进的网络技术，用户群密集而且活跃，安全问题也十分突出。本地网络的安全风险由多种因素引起，必须从物理、操作、信息、网络、人员、管理、辐射、通信及计算机的安全等九个方面分析本地网络的安全性并制定相应的安全解决方案，力争使本地网络成为一个全面、有效、系统的安全工程。

1 本地网的物理安全

引入分层网络设计的方法将一个较大规模的本地网络系统划分为几个较小的部分，它们之间既相对独立又互相关联。优良的网络拓扑结构是本地网稳定可靠运行的基础。将复杂的网络清晰地划分为功能明确的小块，再具体地完成其相应的业务。现将其应用到本地网中，可将其网络拓扑结构分为核心层、分布层及接入层。

核心层的规划目标为处理高速数据流，实现数据分组交换。分布层负责聚合路由路径，收敛数据流量，将大量低速的链接(与接入层设备的链接)通过少量宽带的链接接入核心层，以实现通信量的收敛，提高网络中聚合点的效率，同时减少核心层设备路由路径的数量。接入层则将流量馈入网络，执行网络访问控制，并且提供相关边缘服务。对于复杂的本地网规划而言，分层拓扑结构是最有效的，它的优点在于，它把一个大问题分解成几个小问题，将局部拓扑结构改变所产生的影响降至最小，减少路由器必须存储和处理的数据量，提供良好的路由聚合数据流收敛。

2 本地网络的操作安全

操作安全包括正确使用用户权限，正确运用系统软硬件，正确操作终端或服务器等。访问控制、授权管理、数据备份与数据恢复等是控制操作安全的有效方法。

访问控制是实现既定安全策略的系统安全技术，通过访问控制服务可以限制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。

系统安全的根本目标是数据资料的安全，而数据资料是由它的使用者进行存取和维护的。传统的数据存取和维护都是以新的数据覆盖旧的数据，对于数据是无心的错误或有心的更改，一个管理者无法有效地查出蛛丝马迹。因此，对数据的存取控制是系统安全的一个重要方面，可以引用授权管理来解决此问题。

操作失误等原因导致数据损失时，数据恢复就显得十分重要。无论是数据被清空或硬盘驱动器出现故障，还是格式化误删除或病毒引起的数据损失等情况，只要在存储介质没有严重受损的情况下，大部分数据仍然可以被恢复。当然做好日常的数据备份也是非常必要的。

3 本地网络的信息安全

病毒与恶意代码是当前网络信息安全最大的威胁，在整个本地网络的电子邮件系统、文件服务器系统、数据库服务器系统、网络客户端系统以及网关和路由器系统等建立防病毒系统是十分必要的。

（1）电子邮件防毒：在邮件服务器上进行安全管理，能很好地解决病毒通过邮件以及通过公共文件复制进行传播的问题。使用安全的邮件服务器，所有进出邮件服务器的邮件或者共享文件先被保存到临时目录，然后通过扫毒引擎进行扫描，发现病毒后进行相应处理，之后再放到相应的邮箱和文件夹中。处理方式包括清除、隔离、删除、不处理并通过E-mail报警等方式通知发件人和管理员，同时还可以提供详细的日志以备检查和参考。

（2）文件服务器或数据库服务器防毒：本地网络内的重要服务器通常安装了NT Server或者Win2000Server。由于重要服务器经常交换大量数据和文件，要保障服务器本身不被病毒侵害，就需要在这些服务器上安装相应的防病毒软件。

信息安全的另一个重要方面就是审计。审计是对那些可能危及系统安全的系统级属性进行连续评估，报告并跟踪企图对系统进行破坏的行为。定期进行系统审计可以为网络管理者提供关于系统安全状态的一个整体评价，大多数入侵手段可以被这些检查模拟出来。一些用于网络入侵的工具也可以被用来对系统进行审计。

4 本地网络的网络安全

本地网络的网络安全是各安全要素的核心，包括网络硬件、软件和协议的保护以及网络上传输信息的保护。

设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的惟一出入口，可以过滤进、出网络的数据，管理进、出网络的访问行为，封堵某些禁止的业务，记录通过防火墙的信息内容和活动，对网络攻击进行检测和告警，起到保护网络和外部网络的隔离作用。

网络间信息的传输是通过协议达成的，协议的安全是网络安全的重点，安全的协议是可靠传输的前提。TCP和UDP端口需要在客户端和服务器之间连接，用来提供可靠的数据连接，常见的有用于FTP服务的21端口，Telne t服务的23端口，SMTP服务的25端口以及HTTP服务的80端口等。有人把服务器比作房子，端口就是通向不同房间(服务)的门，对于入侵者来说，了解房子开了几扇门，是什么样的门，门后面有什么就显得至关重要。入侵者会对可能存在漏洞的门(端口)进行攻击，一种是利用现有端口中的安全漏洞进行攻击，另一种就是种植木马，利用木马开辟的后门进入主机。所以针对TCP /UDP端口漏洞的安全防御需要，首先要关闭闲置的和有潜在危险的端口，其次要利用“TCP/IP筛选”功能限制服务器的端口，还应该利用防火墙来预防端口扫描。

5 本地网络的人员安全

从一个组织产生、管理、传播及保护信息的各个环节来看，人在其中起决定性作用，应当把这个幕后主角“人”纳入信息安全的定义中去。信息安全中对人的有效管理称为“人力防火墙”。对人的管理包括法律、法规与安全政策的约束，安全指南的帮助，安全意识的提高，安全教育与培训，人力资源管理措施以及安全文化熏陶，建立“人力防火墙”是实现有效信息安全的基础。“人力防火墙”并不是要代替传统的技术手段，它只是一种人的原有价值的回归。

如果把“信息安全”比作一辆马车，那么“信息安全框架”就是马车的车架，“人力防火墙”与“技术防火墙”就是马车上的两个轮子，“信息系统审计”就是驾车的马夫，这几个因素有机结合在一起，才能形成一个较为完整的防御体系，控制好“信息安全”这辆在信息高速公路上飞奔的马车。

6 本地网络的通信安全

入侵检测是保证网络通信安全的首选安全技术之一。入侵检测是从各种系统和网络资源收集信息，然后分析以发现反映外部入侵和内部误用征兆的一种安全技术。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。其次，数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的，它能够以很小的代价提供较强的安全保护。另外，虚拟专用网 VPN也可以保证在共享的通信设施上仿真专用的通信网络。VPN技术采用认证、存取控制、机密性、数据完整性等措施，利用封装、加密等技术和机制在开放的环境中虚拟出一条安全的通信隧道，保证信息在传输中不被偷看、篡改、复制，提供安全的通信传输服务。

[1]李圣良.网络安全技术与应用——基于校园网的网络安全策略[J].北京大学出版社.2009.