如何建立一个安全稳定的局域网?

一、概要

随着Internet、网络信息技术的迅速发展及各种应用的日益普及，各单位计算机局域网已成为重要的基础设施。近年来各种网络安全问题接踵而至：计算机病毒、操作系统漏洞、黑客攻击等屡见不鲜，如何使信息网络系统不受黑客和病毒的入侵，如何保障数据传输的安全性、可靠性，也是建设局域网网络安全过程中所必须考虑的重要事情之一。本文依据自己在信息安全领域的经验，从安全角度出发，并结合自己了解的本单位网络实际情况提出局域网网络的安全解决方案。

二、网络概况

2.1 网络结构

单位局域网，物理跨度大，通过核心交换机在主干网络上提供100M/1000M带宽，通过下级交换机与各部门的工作站和服务器连结，利用与中心交换机连结的路由器，所有授权用户可直接访问Internet。网络按访问区域一般划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。

2.2 网络应用

1、电子邮件服务;

2、各种基于数据库的应用;

3、WWW服务及提供对Internet的访问

4、流媒体服务

2.3 网络特点

1、速度快：目前普遍使用百兆到桌面，因此网络安全问题蔓延也快;

2、计算机管理比较复杂：对局域网内的所有计算机系统实施统一的安全策略(如安装防病毒软件、设置复杂口令等)非常困难;

3、安全建设方面的资金投入少;

4、网络与Internet直接连结;

5、网络中一般存在多台应用服务器;

三、网络中存在的安全风险

3.1 管理中存在的问题;

管理是网络中安全较较重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

3.2 主机系统中存在许多安全漏洞;

网络中存在大量不同操作系统的主机如unix、Windows 2000　SERVER。这些操作系统自身也存在许多安全漏洞。

3.3 病毒攻击及恶意代码;

病毒的具有非常强的破坏力和传播能力。越是网络应用水平高，共享资源访问频繁的环境中，计算机病毒的蔓延速度就会越快。恶意代码不限于病毒，还包括特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。

3.4 黑客攻击;

黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过服务器，得到系统的口令文件并将之送回。黑客侵入服务器后，有可能修改特权，从普通用户变为高级用户，一旦成功，黑客可以直接进入口令文件。这时为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。

3.5 非授权访问;

利用各种假冒或欺骗的手段非法获得合法用户的使用权限，对网络设备及信息资源进行非正常使用或越权使用，以达到占用合法用户资源的目的。
四、安全解决方案

4.1 制定完善的网络安全管理制度;

通常所说的网络安全建设"三分技术，七分管理"，也就是突出了"管理"在网络安全建设中所处的重要地位。长期以来，由于管理制度上的不完善、人员责任心差而导致的网络攻击事件层出不穷。尽管在所有的网络安全建设中。网络安全管理制度的建设都被提到极其重要的位置，但能按相关标准制定出具有全面性、可行性、合理性的安全制度，并严格按其实施的项目数量并不是很多。这一点，不得不引起用户的重视，内网安全建设中，安全制度的良好实施和执行能从很大程度上保证网络的安全，同时为网络的管理和长期监控提供有理可依的指导性理论。例如，建立完善的机房管理制度、完善的网络使用制度、密钥管理制度、数据管理及备份制度、病毒防治管理制度、责任到人的设备管理制度、网络安全应急预案和定期网络评估制度等。

4.2 建立健全完善的网络安全防护系统;

1.网络安全管理制度的建设

网安全建设是一项系统工程，需要周密的设计和部署，同时内网安全也是一项长期的任务，这其中既包含网络安全制度建设和人员安全意识培养层面，也包含了网络安全防护系统建设层面。

尽管在所有的网络安全建设中。网络安全管理制度的建设都被提到极其重要的位置，但能按相关标准制定出具有全面性、可行性、合理性的安全制度，并严格按其实施的项目数量并不是很多。

这一点，不得不引起用户的重视，内网安全建设中，安全制度的良好实施和执行能从很大程度上保证网络的安全，同时为网络的管理和长期监控提供有理可依的指导性理论。例如，建立完善的机房管理

2.网络使用人员安全意识的培养

长期的安全攻击事件分析证明，很多攻击事件是由于人员的安全意识薄弱，无意中触发了黑客设下的机关、打开了带有恶意攻击企图的邮件或网页造成的。针对这种情况，首要解决的问题是提高网络使用人员的安全意识，定期进行相关的网络安全知识的培训，全面提高网络使用人员的安全意识，是提高网络安全性的有效手段。

制度、完善的网络使用制度、责任到人的设备管理制度、网络安全应急预案和定期网络评估制度等。

当前常见的网络安全防护系统包括防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防护系统、VPN、数据加密等。

在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的较主要、同时也是较有效、较经济的措施之一。防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。防火墙具有以下五大基本功能：过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。防火墙通常被用来进行网络安全边界的防护，事实证明，在内网中不同安全级别的安全域之间采用防火墙进行安全防护，不但能保证各安全域之间相对安全，同时对于网络日常运行中，各安全域中访问权限的调整提供了便利条件。

入侵检测的出现，很大程度地弥补了防火墙防外不防内的特性。同时，对网络内部的信息做到了实时的监控和预警，入侵检测系统与防火墙的联动，给内网中重要的安全域打造了一个动态的实时防护屏障。

利用漏洞扫描系统定期对包括操作系统、数据库管理系统等系统软件进行漏洞、端口扫描，对防火墙和路由器的配置进行检测;关闭不必要开放的端口，对系统打补丁;较后对日志进行审核

利用安全审计系统的记录功能，对网络中所出现的操作和数据等做详细的记录，为事后攻击事件的分析提供了有力的原始依据。

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，因此它的防范是网络安全性建设中重要的一环。防毒软件应该构造全网统一的防病毒体系：主要面向MAIL 、Web服务器，以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒，包括宏病毒;支持对Internet/ Intranet服务器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项，如对染毒文件进行实时杀毒，移出，重新命名等;支持病毒隔离;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。

利用VPN技术实现远程或异地对局域网的安全访问。

为确保数据库、文件及重要数据的完整、有效，防止数据被破坏、修改和窃取，利用各种安全措施(加密算法、存取控制、安全分级等)增加对数据的操作安全。

4.3 网络使用人员的安全培训

长期的安全攻击事件分析证明，很多攻击事件是由于人员的安全意识薄弱，无意中触发了黑客设下的机关、打开了带有恶意攻击企图的邮件或网页造成的。针对这种情况，首要解决的问题是提高网络使用人员的安全意识，定期进行相关的网络安全知识的培训，全面提高网络使用人员的安全意识，是提高网络安全性的有效手段。

五、结束语

网络安全是动态的、整体的，并不是简单的安全产品集成就解决问题。安全不是一劳永逸的，安全总会随着用户网络现况的变化而变化。随着时间推移，新的安全风险又将随着产生，只有大力加强信息安全的宣传和教育，树立牢固的信息安全意识，提高网络使用人员的技术水平，才可能实现网络的畅通和信息的安全。