赵新平，朱海岩

(吕梁学院汾阳师范分校 信息技术系，山西 汾阳 032200)

0 引言

几乎所有的企事业单位都拥有一个或大或小的内部网络.网络技术的广泛应用为信息传递和资源共享带来了极大的便利，但同时也存在着严重的安全问题[1，2].如：内网资源几乎直接暴露在公网上，直接关系到企业机密数据的安全；缺乏身份认证机制，用户随意接入内部网络，出现问题难以定位和诊断；缺乏网络互访的控制，难以保证一些核心部门的数据安全等等，因此，网络安全意识的强化和网络安全技术的应用在规模日益壮大的网络环境中显得犹为重要.

1 局域网络安全技术探讨

一个稳定运行的网络是以安全性为基础的，网络安全问题是任何一个单位的内部网络都不能忽略的问题.本文所讨论的网络安全设计重点关注OSI参考模型网络层和数据传输层的通信安全.

1.1 网络边界安全

网络边界安全是确保局域网内的资源不会受到外网恶意的或非授权的访问.在网络边界所采用的安全技术一般包括防火墙和VPN等.防火墙一般部署在局域网的Internet入口处，是内部网络和外部网络通信的必经之路.它能对内网与外网之间通信的数据包进行检查和过滤以保证所有访问都符合安全策略的要求.一般情况下防火墙的默认配置是内网到外网全部允许，外网到内网全部禁止.

如果有些单位存在分支机构，或员工出差时需要从外网访问内部网络资源，则应该选购带VPN功能的防火墙或在内网布署VPN设备.通过VPN验证的计算机将被视为内网计算机，可以按被赋予的权限访问内网资源.如果内网的某些服务是发布到公网的，如网页服务、邮件服务等，可以考虑在防火墙上开启相关端口来提供服务，严禁将整台服务器发布到公网.

1.2 网络接入安全

局域网对入网计算机和用户的控制主要有2种技术手段.一是对入网计算机进行限制，对入网计算机的IP地址、MAC地址等进行限制，也可结合交换机的VLAN技术进行更灵活的控制；二是对入网用户进行身份认证，限制未授权用户访问局域网[3].用户身份认证的技术原理如图1所示.

图1 用户身价认证原理示意图

1.3 网段隔离与访问控制

如果局域网内有些资源的访问时间和身份受限，则需要考虑将局域网划分为多个VLAN.可以将内网的计算机按重要程度划分到不同的VLAN，内网用户按权限也划分到不同的VLAN.VLAN之间的互访根据策略进行控制.不同VLAN之间的访问控制一般通过访问控制列表ACL进行.您可以为每种协议、每个方向、每个接口配置一个 ACL，从而可以很灵活地控制内网计算机和用户的访问权限.

1.4 存储安全设计

服务器是局域网应用的核心，服务器的数据安全成为一个不容忽视的重大问题，服务器数据的存储安全是局域网安全的重中之重.但由于缺乏数据存储安全的相关知识和资讯，或者资金预算有限、领导重视力度不够等原因，很多单位没有专门的数据存储安全管理方案和设备支持，从而导致大量的核心数据面临彻底丢失的风险.

根据有关数据丢失事故原因的统计数据，在造成数据丢失的事故原因中，病毒、木马和黑客攻击占21%，而硬件故障、工作人员误操作和信息泄露造成的数据丢失占比高达79%[4].另外自然灾害、设备被盗、人员离职等不太被关注的原因也很有可能造成数据泄漏或丢失.

根据上述原因，可以根据自己单位核心数据的量级、重要程度、业务类型和服务时间等因素，综合分析，选择相应的技术，并结合数据安全管理要求，制定数据存储安全管理方案.鉴于各单位数据管理要求各不相同，本文只对常用数据存储备份技术进行介绍，并对各种技术的适用场景和特点进行简要分析.

1.4.1 磁盘阵列(Redundant Arrays of Independent Disks，RAID)

磁盘阵列是将若干硬盘组成一个阵列，数据分散或冗余地存储在各磁盘上，通过数据冗余的方式可以提高硬盘的平均无故障时间、数据传输速率和安全级别，通过数据分散存储可以通过数据较验技术提供容错功能，从而提高数据的安全级别.在磁盘阵列中，通常单块磁盘的损坏并不影响数据的完整性.RAID根据其设计目标不同，有RAID0,RAID1,RAID10,RAID5等不同模式.

RAID的优点是可以提供较高的数据传输率和磁盘容错功能，很大程度上解决了磁盘故障造成数据丢失的风险.

1.4.2 数据存储方式

1.4.2.1 直连式存储(Direct-Attached Storage，DAS)

DAS指存储系统直连在应用服务器中，依靠服务器的操作系统进行数据读写控制和维护管理，数据备份和恢复要占用主机资源.存储器与主机连接通常用SCSI通道，随着磁盘数量的增多，SCSI通道会成为系统瓶颈.

这种存储方式虽然并不先进，但成本低廉，安装维护简单，被广大中小型企业和组织广泛采用.

1.4.2.2 网络附属存储(Network Attached Storage，NAS)

NAS是将存储设备通过网络连接到一组计算机上，其一般被用于解决存储容量增加的需求.如文档共享和数据备份等应用.NAS是即插即用产品，不同用户通过网络支持协议可以进入同一个文档，它允许用户在无应用服务器支持的情况下从网络上存取文件，这样可以减小CPU开销和提升网络性能.

NAS中的数据只能以文件方式访问而不能直接访问物理数据块，这在某些情况下会影响系统效率并且不适用于某些服务(如数据库服务).另外，NAS还会消耗较大的网络带宽.

1.4.2.3 存储区域网络(Storage Area Network，简称SAN)

SAN是通过光纤通道交换机，将存储阵列和应用服务器连接起来，组成一个专用的存储网络.SAN允许企业灵活地进行容量配置，也允许任意服务器连接到任意存储阵列.SAN综合了DAS和NAS的优势，既可以提供区块级的数据访问，也能提供巨大的存储空间.

SAN确实非常优秀，所以它是很多大型企业和机构的首选.如果说它有什么缺点的话，那就是价格昂贵、设置维护复杂.

DAS,NAS和SAN三种存储结构如图2所示.

图2 DAS，NAS和SAN存储结构图

2 制度建设和人员培训

网络安全不仅仅是技术性问题，同样是一个管理问题[5].再好的网络安全设计如果没有规范的管理制度，没有强烈的安全意识，没有合格的操作水平，网络安全就没有可靠的基础和有力的保障.

3 结束语

网络安全是一项系统工程，需要进行全面设计和系统建设，也需要规范的管理制度，合格的操作水平作为基础和保障.随着计算机网络的深入应用，各种安全问题层出不穷，新的方法论和技术也随之更新.只有通过不断的研究、探索和实践应用，才能总结出适合自己的网络防护方法，使计算机网络更好地服务生产生活.