劉立志

民航吉林空中交通管理分局，吉林長春 130000

辦公局域網(wǎng)的安全風(fēng)險及防護措施

劉立志

民航吉林空中交通管理分局，吉林長春 130000

隨著計算機網(wǎng)絡(luò)在日常辦公中應(yīng)用普及，辦公局域網(wǎng)絡(luò)的安全風(fēng)險問題也日益突出。來自于網(wǎng)絡(luò)硬件、應(yīng)用軟件、工作人員和環(huán)境等多種因素一直是影響網(wǎng)絡(luò)安全的隱患。本文通過對辦公局域網(wǎng)應(yīng)用需求的分析，來討論影響局域網(wǎng)安全的因素及可行的防護措施。

局域網(wǎng)；病毒；安全風(fēng)險

局域網(wǎng)絡(luò)是把分布在數(shù)公里范圍內(nèi)的不同物理位置的計算機設(shè)備連在一起，在網(wǎng)絡(luò)軟件的支持下可以相互通訊和資源共享的網(wǎng)絡(luò)系統(tǒng)。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個企業(yè)內(nèi)的上千臺計算機組成。組建于同一局域網(wǎng)絡(luò)內(nèi)的計算機可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享等諸多功能。

我們知道，組建局域網(wǎng)是為了更好發(fā)揮辦公效益、加快信息傳遞、實現(xiàn)資源共享。辦公局域網(wǎng)在推動辦公效率的同時,也帶來了不容忽視的安全風(fēng)險。如何實現(xiàn)局域網(wǎng)的安全防護和信息保密機制，成為當(dāng)前一個重要問題。為達到企業(yè)內(nèi)網(wǎng)的安全需求，網(wǎng)絡(luò)管理必須針對網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全風(fēng)險，依據(jù)國家有關(guān)計算機信息系統(tǒng)安全標(biāo)準(zhǔn)和規(guī)定，從技術(shù)和管理等方面設(shè)計網(wǎng)絡(luò)安全體系的功能結(jié)構(gòu)。

1 辦公局域網(wǎng)的安全需求

1）機密性：信息不暴露給未授權(quán)實體或進程；

2）完整性：保證數(shù)據(jù)不被未授權(quán)修改；

3）可用性：授權(quán)實體有權(quán)訪問數(shù)據(jù)；

4）可控性：控制授權(quán)范圍內(nèi)的信息流向及操作方式；

5）可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段；

6）訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機、所交換的數(shù)據(jù)進行嚴(yán)格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制；

7）數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段；

8）安全審計：是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時響應(yīng)（如報警）并進行阻斷；二是對信息內(nèi)容的審計，可以防止內(nèi)部機密或敏感信息的非法泄漏。

2 網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析與安全防控措施

2.1 物理安全

一般說來,網(wǎng)絡(luò)的物理安全的風(fēng)險是多種多樣的，計算機系統(tǒng)本身的脆弱性和通信設(shè)施脆弱性共同構(gòu)成了計算機網(wǎng)絡(luò)的潛在威脅。一是計算機系統(tǒng)硬件和通信設(shè)施極易遭受到自然環(huán)境因素的影響，如地震、水災(zāi)、火災(zāi)等自然災(zāi)害影響；二是易受溫度、適度、灰塵度等因素影響；三是計算機系統(tǒng)軟件的自然損耗和自然失效等同樣會影響系統(tǒng)的正常工作，造成計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的損壞、丟失和安全事故；四是介質(zhì)安全包括媒體數(shù)據(jù)安全及媒體自身安全。將各類媒體按所存儲信息分類標(biāo)識，采取限制使用、歸口管理及集中銷毀等措施。同時，電源故障、人為操作失誤或錯誤、線路截獲等因素也是不可忽視的問題。

物理安全是整個局域網(wǎng)絡(luò)的安全前提。在局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的網(wǎng)絡(luò)安全管理制度，做好數(shù)據(jù)備份，并且加強網(wǎng)絡(luò)設(shè)備設(shè)施和機房的管理，這些風(fēng)險是可以避免的。

2.2 運行安全

首先，局域網(wǎng)內(nèi)部系統(tǒng)的主要設(shè)備、軟件、數(shù)據(jù)、電源等有備份，并具有在短時間內(nèi)恢復(fù)運行的能力。

其次，要重于病毒防治。一個完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務(wù)器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。網(wǎng)絡(luò)防病毒系統(tǒng)可以實現(xiàn)的基本功能是：對文件服務(wù)器和工作站進行查毒掃描、檢查、隔離、報警，當(dāng)發(fā)現(xiàn)病毒時，由網(wǎng)絡(luò)管理員負責(zé)清除病毒。

再次，硬件設(shè)備應(yīng)滿足國家電磁兼容標(biāo)準(zhǔn)GB9254-1998《信息技術(shù)設(shè)備的無線電騷擾限值和測量方法》的要求。

最后，注意介質(zhì)安全，它包括媒體數(shù)據(jù)安全及媒體自身安全。將各類媒體按所存儲信息分類標(biāo)識，采取限制使用、歸口管理及集中銷毀等措施。

2.3 信息安全

要想杜絕網(wǎng)絡(luò)安全問題，只有從兩方面著手，防止外部黑客攻擊或防止內(nèi)部違規(guī)使用。防止外部黑客攻擊的技術(shù)手段很多，典型的有防火墻、安全服務(wù)器、身份認(rèn)證等，其核心思想，是外部用戶在使用內(nèi)部資源時必須出示用戶的身份，在得到系統(tǒng)的確認(rèn)后，根據(jù)相應(yīng)的身份賦予不同的資源訪問權(quán)限，而防止內(nèi)部違規(guī)使用的技術(shù)手段并不多。目前內(nèi)部網(wǎng)的安全防護主要集中在以下幾個方面：重點資源監(jiān)控；網(wǎng)絡(luò)設(shè)備使用監(jiān)控；內(nèi)部網(wǎng)網(wǎng)絡(luò)信息采集、分析；對來自內(nèi)部網(wǎng)攻擊的報警、阻斷；基于主機的集中式訪問控制管理。

2.4 管理安全

不完善的制度滋長了網(wǎng)絡(luò)管理者和內(nèi)部人士自身的違法行為。同時，政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要，政府部門信息立法還存在相當(dāng)多的空白。個人隱私保護法、數(shù)據(jù)庫保護法、數(shù)字媒體法、數(shù)字簽名認(rèn)證法、計算機犯罪法以及計算機安全監(jiān)管法等信息空間正常運作所需的配套法規(guī)尚不健全。制度管理是根據(jù)實際情況設(shè)計一套包括組織管理、職能管理和安全管理制度的綜合管理系統(tǒng)。有關(guān)局域網(wǎng)安全的政策、計劃和管理手段等最終都應(yīng)在安全管理機制上體現(xiàn)出來。

綜上所述，網(wǎng)絡(luò)安全的管理是過程管理，是實現(xiàn)全網(wǎng)安全和動態(tài)安全的關(guān)鍵。要使網(wǎng)絡(luò)有序、安全的運行，必須加強網(wǎng)絡(luò)使用方法、網(wǎng)絡(luò)安全技術(shù)與道德教育，完善網(wǎng)絡(luò)管理的各個層面以便更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性。

[1][美]Patricia Wallace著.謝影，茍新建，譯.互聯(lián)網(wǎng)心理學(xué).北京：中國輕工業(yè)出版社，2001，1.

[2]項立剛.手機中心：技術(shù)推動媒體產(chǎn)業(yè)發(fā)展.新聞戰(zhàn)線，2011(2).

[3]曹彥軍.鮑慧芝的路由發(fā)布和選路.計算機與網(wǎng)絡(luò)，2006，15.

[4]王承恕.通信網(wǎng)基礎(chǔ).北京：人民郵電出版社，1999.

TP39

A

1674-6708（2011）53-0167-01