引 言

隨著計算機技術和信息技術的進步和發(fā)展，特別是近年來移動互聯(lián)網的迅猛發(fā)展，越來越多的單位、企業(yè)和家庭都建立了屬于自己的局域網。局域網為用戶內部信息資源共享提供了方便，在人們的工作和生活中發(fā)揮著不可替代的作用。但由于網絡本身的開放性和共享性，在網絡為大家?guī)肀憷耐瑫r， 網絡本身存在的不安全因素也給各企業(yè)單位和家庭帶來了信息泄露的風險，為實現社會穩(wěn)定，保證計算機網絡安全，人們迫切需要解決目前計算機局域網應用中存在的安全問題 [1，2]。

1 局域網中主要的安全問題

網絡安全問題主要由網絡的開放性和共享性造成。網絡安全問題的實質是對網絡安全缺陷的潛在利用，這些缺陷可能導致網絡的非法訪問、信息泄露、資源耗盡、資源被盜或者被破壞等 ；網絡安全問題產生的根源在于網絡協(xié)議的不完整性、網絡操作系統(tǒng)的漏洞缺陷、應用程序漏洞、物理設備損壞及人為因素等。歸納起來，目前局域網安全問題主要來源于物理設備的安全威脅、來自互聯(lián)網的安全威脅、來自局域網內部用戶的安全威脅這三個方面[3-5]。

1.1 物理設備的安全威脅

來自物理設備的安全威脅主要有如下幾項：

(1) 自然災害或非人為故意造成的軟、硬件故障或沖突以及水災火災等；

(2) 人為操作不當（屬意外事件）導致數據信息的錯誤、丟失或其它一些硬件故障等。

1.2 來自互聯(lián)網的安全威脅

一般情況下， 局域網都與 Internet進行了互聯(lián)。由于Internet的開放性、國際性與自由性，來自Internet的世界各地的黑客都可以通過Internet 和一些黑客工具來探測和掃描網絡上存在的各種安全問題，如操作系統(tǒng)的類型及其它是否為弱口令、服務器開放的各種易于攻擊的端口號及服務器應用程序是否存在開放權限或存在弱用戶弱口令等，并采取相應的攻擊手段進行攻擊。同時還可以通過協(xié)議分析軟件等手段監(jiān)聽并獲得局域網內部用戶的用戶名、口令及一些敏感數據等信息， 從而假冒內部的合法用戶進行非法操作，竊取內部網絡中的重要信息。而這些黑客也能通過控制大量肉機向網絡中的服務器發(fā)送大量的數據包進行 DDoS 攻擊，使服務器不能正常工作而拒絕為正常用戶服務。

1.3 來自局域網內部用戶的安全威脅

內部的網絡管理人員有時為了對外進行宣傳，會不經意間把內部網絡拓撲結構及系統(tǒng)的一些重要信息（如設備型號、操作系統(tǒng)的類型等）放在網站上，這就致使網絡內部信息嚴重泄露，網絡上的不法分子可以利用這些包括網絡拓撲、網絡設備信息及應用系統(tǒng)信息等內部信息，制定有針對性的入侵策略，從而大大增加被攻破的機率，給內部局域網造成巨大的安全隱患。由于內部網絡的大多數用戶對計算機的操作及網絡運行不熟悉，不知道哪些軟件是安全的，若下載并使用了帶有病毒或木馬的軟件，那么這些病毒或木馬會收集并泄漏內部用戶的重要信息，尤其是用戶名及密碼等重要信息，或是對計算機操作不當，誤刪除了重要數據等，這些都將給網絡造成極大的安全威脅。

2 安全體系結構的設計

2.1 局域網安全總體設計思路

局域網安全是一項系統(tǒng)工程，需要充分考慮各層次各方面的安全因素。根據局域網運行所涉及到的層次，建立一個全方位的、可持續(xù)循環(huán)改進的局域網安全解決方案。以網絡安全技術為主導，輔以法律法規(guī)和規(guī)章制度的安全管理，設計一個包含五個層次（物理安全、網絡安全、系統(tǒng)安全、應用安全、數據安全）的局域網安全體系結構，如圖 1 所示。

2.1.1 物理安全

在局域網安全系統(tǒng)中，物理安全是最基本的安全。如果物理安全得不到保證，那么其它一切安全措施都變得毫無意義。如果網絡設備遭到破壞或被人非法接觸，將會給局域網造成毀滅性的破壞，若安裝有數據庫的服務器被非法人員或是自然災害損壞，就可能致使數據丟失且不可恢復，這同樣是毀滅性的破壞。因此，要確保局域網有一個安全的物理環(huán)境， 就應對接觸到的網絡設備及系統(tǒng)人員有一套完善的技術控制手段和規(guī)章制度約束，并且還要充分考慮自然災害可能對局域網中的網絡設備及線路等造成的威脅并加以規(guī)避。

2.1.2 網絡安全

網絡安全主要是整個數據傳輸網的安全，包括數據鏈路層、網絡層及傳輸層等的安全。

(1) 數據鏈路安全主要是保障通信鏈路不被非法竊聽并防止借助鏈路的連接進行各種類型的攻擊。

(2) 網絡層的安全主要包括網絡訪問控制、各種網絡協(xié)議本身的缺陷和對這些協(xié)議的攻擊等問題。

(3) 傳輸層的安全與鏈路層的安全類型涉及的層次不一樣，但也是關于數據被非法竊聽的問題。

2.1.3 系統(tǒng)安全

系統(tǒng)安全主要是操作系統(tǒng)本身的安全問題，體現在系統(tǒng)是否完整堅固，是否存在漏洞，以避免攻擊者通過系統(tǒng)漏洞實施入侵，主要涉及到以下兩個問題：

(1) 病毒和木馬對局域網中系統(tǒng)的威脅。

(2) Internet上的黑客入侵了局域網中的系統(tǒng)后通過該系統(tǒng)對其它局域網設備和系統(tǒng)進行入侵和破壞。

2.1.4 應用安全

應用安全主要是應用平臺和應用程序的安全。主要涉及到以下兩方面問題：

(1) 應用程序對數據的合法權限，即應用程序對數據的訪問是否合法。

(2) 應用程序對用戶的合法權限，即用戶是否有合法的權限訪問該應用程序。

2.1.5 數據安全

數據安全是這些安全中最重要的一項，所有采取的措施都以數據安全為目標。保證信息資源的機密性、完整性、真實性、不可抵賴性以及可用性是安全防護的最終目標。

2.1.6 安全管理

安全管理包括國家制訂的法律法規(guī)和單位組織制定的管理和技術操作規(guī)范，從法律和管理層面對人的行為進行規(guī)范。

2.1.7 網絡結構設計

網絡結構設計是為局域網設計的一個高安全性網絡結構， 涉及各種網絡安全設備與技術的有機結合、綜合應用與部署。

2.2 局域網安全方案設計

2.2.1 各層次技術解決方案設計

局域網工作的每個層次都有相應的安全措施，每個層次在大技術層面上常用的安全措施如圖 2 所示。

2.2.1.1 物理安全技術與措施

物理安全最重要的就是選擇地理位置安全的場所建設網絡機房，應盡量遠離生產或儲存易燃、易爆物品和強電磁場場所的周圍及低洼地帶。對于網絡設備應配備防電磁泄漏機柜或屏蔽機房等 ；關鍵設備要配備 UPS 電源 ；機房要配備空調以保持機房的恒溫恒濕環(huán)境，并配備消防報警和滅火設施 ；建立嚴格的機房準入制度等。如果有更高級別的安全需要，需對機房中的網絡設備及線路做遠程的冗余備份。

2.2.1.2 網絡安全技術與措施

網絡安全技術與措施較多，主要涉及網絡安全設備和技術及安全協(xié)議。常用的有各種防火墻設備和技術、入侵檢測設備和技術、VPN 設備和技術以及入侵防御設備和技術等。

(1) 防火墻是常用的網絡設備和技術，根據策略控制進出網絡的數據權限，并可強制檢查所有進出網絡的各種鏈接， 以避免局域網遭受外界入侵和破壞。因此，通過建立防火墻安全策略， 可在內部網（局域網）和外網（Internet）之間， 或者在內部網的各部分之間（即不同安全域之間）實施安全防護。

(2) 入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數據進行檢測和報警，實時監(jiān)測局域網的運行狀況，常與防火墻聯(lián)動運作。常用的安全協(xié)議有 PPTP，L2TP，IPSec及SSL 協(xié)議等。

除此之外，還有其它訪問控制技術，常用的有 VLAN 劃分技術和訪問列表控制（ACL）技術等。

2.2.1.3 系統(tǒng)安全技術與措施

系統(tǒng)安全措施主要為系統(tǒng)安裝防病毒和防木馬軟件以及為系統(tǒng)打補丁，加固系統(tǒng)的安全性，設置用戶的訪問權限等級和口令，可對系統(tǒng)的訪問進行訪問權限控制。安裝分布式的網絡防病毒軟件，對局域網內的服務器和個人計算機進行有效防護，使局域網上的各個節(jié)點都不受病毒的侵害。同時，應盡量實時更新系統(tǒng)補丁和殺毒軟件，確保系統(tǒng)和殺毒軟件處于最新狀態(tài)，并定期更換用戶密碼，使用戶口令被破解的可能性降至最低。

2.2.1.4 應用安全技術與措施

應用安全包括應用平臺和應用程序的安全性?？梢酝ㄟ^身份認證來判別用戶使用系統(tǒng)的合法性。身份認證一般通過用戶名和口令來驗證。身份認證可以有效防止數據被篡改及非法用戶訪問網絡資源。同時還能通過審計用戶相關的活動信息進行記錄、存儲和分析，系統(tǒng)通過分析網絡信息系統(tǒng)的實際使用狀況來對應用服務器的安全事件進行有效監(jiān)控。

2.2.1.5 數據安全技術與措施

采用數據安全技術與措施的最終目的在于確保網絡數據的可用性、完整性和保密性。為了確保數據的安全性，可以采用多種數據備份技術來確保數據的可用性和完整性，如磁盤冗余陣列技術、雙機容錯技術及SAN 技術等。同時，為了增強數據的保密性，可采用加密技術對數據進行加密，如DES 加密算法、IDEA 加密算法及RSA 加密算法等。

2.2.2 網絡結構設計

一個設計合理的網絡拓撲結構可以大大增加局域網的安全性，如圖 3 所示的網絡拓撲結構綜合運用了多種安全技術， 對局域網起到了很好的保護作用，大大提高了局域網的安全性。

圖 3 所示為雙路由單防火墻的拓撲設計，對外網（Internet） 進入局域網內部的訪問起到了三層過濾的作用，大大增強了局域網的安全性。對于一些常用的對外服務，設置一個DMZ 區(qū)域，盡量減少外網用戶對內網的訪問，這也是增強局域網安全的一種措施。同時，DMZ 為了保證服務器的安全，使用了入侵檢測系統(tǒng)以提高 DMZ 區(qū)域的安全性。

2.2.3 安全管理規(guī)范

人是局域網安全中最不穩(wěn)定的因素，也是最主要的因素。因此，規(guī)范人的行為對局域網的安全起到了至關重要的作用。建立健全的法律法規(guī)對入侵網絡的不法分子有極大的震懾作用，使之不敢輕易破壞網絡。同時，對于網絡的管理也要建立規(guī)范的管理制度，嚴格機房管理?？刹扇∪缦麓胧?

(1) 建立完整的計算機運行日志、操作記錄及其它與安全有關的資料；

(2) 機房必須有當班值班人員；

(3) 嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房，重要技術資料應有副本并異地存放等。

結 語

局域網安全是一項系統(tǒng)工程，涉及到網絡工作的各個層次，任何一個層次都可以通過安全技術措施來加強局域網的安全，但任何層次也有可能成為局域網的弱點。因此，在綜合應用安全措施的同時應全面考慮各層次的特點，采用相應的安全技術措施，建立一個較完善合理的安全機制。同時還要運用技術之外的管理措施，從制度方面確保局域網的安全。