文/楊茂凱

（南京工業(yè)職業(yè)技術(shù)學(xué)院 江蘇省南京市 210000）

基于整個互聯(lián)網(wǎng)基礎(chǔ)與結(jié)構(gòu)進(jìn)行分析，可以發(fā)現(xiàn)，局域網(wǎng)是互聯(lián)網(wǎng)結(jié)構(gòu)中的一個非常重要的部分。其分布范圍非常廣泛，而且所承載的任務(wù)也非常重。特別是在當(dāng)今的學(xué)校、企業(yè)、公司等各種單位中，對于局域網(wǎng)的應(yīng)用可謂是遍布于每一個角落。通過設(shè)立局域網(wǎng)，可以使其在應(yīng)用的過程中用戶在訪問互聯(lián)網(wǎng)的時候變得更加方便快捷，而且還可以實現(xiàn)資源的互通與共享，以此來帶動整體的工作效率提升以及信息高速傳遞。但是，由于當(dāng)前在互聯(lián)網(wǎng)環(huán)境中病毒、木馬等有害程序肆意橫行，所以導(dǎo)致整個互聯(lián)網(wǎng)環(huán)境變得烏煙瘴氣。為有效抵制類似軟件對互聯(lián)網(wǎng)的侵害，務(wù)必要對其進(jìn)行管理與控制。在該環(huán)境中，局域網(wǎng)的信息安全問題也日愈突出，特別是在針對各類實驗室的內(nèi)部局域網(wǎng)的信息安全方面，其面臨的考驗與遇到的威脅日益加大。因此，對實驗室內(nèi)部局域網(wǎng)信息安全問題進(jìn)行有效的管理與解決，是當(dāng)前實驗室內(nèi)部局域網(wǎng)研究與發(fā)展過程中需要直接面對的一個問題，同時也是一個需要對其進(jìn)行深入思考與分析的問題。針對于此，伴隨著互聯(lián)網(wǎng)大量的信息傳遞，以及局域網(wǎng)的使用范圍不斷地擴(kuò)大，其在安全方面的可靠度以及在自由度方面的管控也越來越困難。為確保實驗室內(nèi)部的數(shù)據(jù)信息絕對安全，保證實驗室內(nèi)部局域網(wǎng)不被外來病毒侵害，對其進(jìn)行研究的是一個迫在眉睫的工作。

1 造成安全缺陷的原因分析

在當(dāng)前，我國所使用的絕大多數(shù)局域網(wǎng)網(wǎng)絡(luò)通信協(xié)議都是TCP/IP協(xié)議，這一協(xié)議與Internet是相同的。所以，也比較符合當(dāng)前各種黑客軟件以及病毒系統(tǒng)的攻擊范疇。自從局域網(wǎng)得到了大力的發(fā)展與推廣之后，黑客對網(wǎng)絡(luò)系統(tǒng)的攻擊從互聯(lián)網(wǎng)結(jié)構(gòu)逐漸轉(zhuǎn)向了局域網(wǎng)結(jié)構(gòu)。旨在通過更簡單的辦法，利用更快的速度，突破更弱的防線，獲得更大的利益。就如實驗室的內(nèi)部局域網(wǎng)當(dāng)中，黑客對其進(jìn)行攻擊的時候會利用信息包展開分析與探索，通過對數(shù)據(jù)的分析與匹配之后，便會使廣域傳播的各種數(shù)據(jù)和信息完全暴露于透明空間中，從而方便黑客對其進(jìn)行破壞與攻擊。結(jié)合當(dāng)前我國的實驗室內(nèi)部局域網(wǎng)的使用現(xiàn)狀以及安全狀況展開思考，可以發(fā)現(xiàn)，其在安全防護(hù)方面，以及網(wǎng)絡(luò)系統(tǒng)的防御方面具有很多漏洞。

1.1 TCP/IP較為脆弱

首先是TCP/IP。TCP/IP是互聯(lián)網(wǎng)協(xié)議實現(xiàn)的基礎(chǔ)，也是維持整個因特網(wǎng)協(xié)議的整體結(jié)構(gòu)。但是，值得關(guān)注的是，當(dāng)前的TCP/IP在設(shè)計過程中，對于網(wǎng)絡(luò)的安全性能考慮的并不是非常到位，甚至可以用“沒有考慮安全性能”來對其定義。而且，在當(dāng)今的網(wǎng)絡(luò)全球化普及的環(huán)境中，TCP/IP協(xié)議是面向全世界人群開放的，也是沒有任何保密意義可言的。因此，但凡是了解過TCP/IP協(xié)議的人，都會對其作出一個較為全面的分析與掌握，并且可以快速發(fā)現(xiàn)其中的問題，找到其中的安全防范漏洞，并且可以根據(jù)其弱點直接制作相關(guān)攻擊軟件與木馬程序?qū)ζ鋵嵤┚W(wǎng)絡(luò)破壞和侵襲。這就是TCP/IP協(xié)議脆弱的主要原因，也是當(dāng)今TCP/IP協(xié)議越發(fā)展越?jīng)]有安全保障的一大要素。而在實驗室內(nèi)部局域網(wǎng)的應(yīng)用中，能否對TCP/IP協(xié)議進(jìn)行安全問題上的管理與優(yōu)化，直接關(guān)系到了實驗室相關(guān)內(nèi)容研究的進(jìn)度以及質(zhì)量，甚至?xí)c科研成果以及科研事故產(chǎn)生緊密的聯(lián)系。

1.2 網(wǎng)絡(luò)結(jié)構(gòu)不健全

其次是網(wǎng)絡(luò)結(jié)構(gòu)的不健全與不安全性。在互聯(lián)網(wǎng)的架構(gòu)與應(yīng)用和實現(xiàn)過程中，其所使用的是一種“網(wǎng)間網(wǎng)”的技術(shù)措施。換言之，“網(wǎng)間網(wǎng)”就是通過多個，甚至是無數(shù)個小型的局域網(wǎng)對其進(jìn)行連接與架構(gòu)，從而像一張不斷擴(kuò)大、不斷編織的漁網(wǎng)一樣，將全世界的網(wǎng)絡(luò)用戶籠罩在其中，并且為所有的用戶提供相應(yīng)的服務(wù)。在這一巨大網(wǎng)絡(luò)的構(gòu)建中，有著數(shù)不清的主機(jī)和客戶服務(wù)端。在這一背景下，如果眾多主機(jī)中的一臺主機(jī)需要與另一臺主機(jī)進(jìn)行聯(lián)絡(luò)和互通的時候，就必須要利用局域網(wǎng)的橋梁實現(xiàn)通信關(guān)系的建立。在此，便可以發(fā)現(xiàn)，在網(wǎng)絡(luò)黑客利用一臺主機(jī)對另一臺主機(jī)進(jìn)行攻擊的時候，且攻擊的主機(jī)處于數(shù)據(jù)流傳輸路徑時，此時的網(wǎng)絡(luò)黑客便可以輕而易舉的對被攻擊的主機(jī)進(jìn)行肆意的修改與數(shù)據(jù)調(diào)換。所以，在實驗室內(nèi)部局域網(wǎng)的安全問題管理過程中，還需要對網(wǎng)絡(luò)結(jié)構(gòu)做出相應(yīng)的分析與思考，并且要探索該通過怎樣的方法才能有效提高網(wǎng)絡(luò)結(jié)構(gòu)的安全性與實際應(yīng)用價值，以及通過怎樣的方法來體現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的健全性和可靠程度。

1.3 易被破壞被竊聽

在實驗室內(nèi)部局域網(wǎng)的正常工作過程中，很少有主動加密的網(wǎng)絡(luò)。一般使用者都認(rèn)為，基于互聯(lián)網(wǎng)的大平臺有著信息加密與安全防護(hù)功能，所以在實驗室的內(nèi)部局域網(wǎng)上沒有必要再設(shè)計加密項目。在此需要提出，這一認(rèn)知是完全錯誤的，而且會嚴(yán)重的妨礙到實驗室內(nèi)部局域網(wǎng)的安全性與可靠性，甚至?xí)?dǎo)致實驗室的內(nèi)部實驗數(shù)據(jù)得到泄露與丟失。為確保這一情況不會發(fā)生，務(wù)必要對當(dāng)前的實驗室內(nèi)部局域網(wǎng)作出全面的分析與判斷，以此了解其安全性的高低，以及防護(hù)措施的嚴(yán)密程度。若其安全性與防護(hù)措施無法達(dá)到既定的要求與標(biāo)準(zhǔn)，一定要想辦法對其進(jìn)行提升，以確保實驗數(shù)據(jù)的安全，以及實驗室內(nèi)部局域網(wǎng)絡(luò)的可靠程度。因為當(dāng)前的互聯(lián)網(wǎng)信息傳輸過程中，很多數(shù)據(jù)在傳輸時都是自動傳輸?shù)模沂菦]有任何加密措施的，所以如果有人蓄意對其進(jìn)行破壞，只需要利用電子郵件以及一些其他的木馬程序和口令便可完成。實現(xiàn)對其進(jìn)行監(jiān)控、盜取、破壞以及竊聽等。如果該安全問題發(fā)生在實驗室的內(nèi)部局域網(wǎng)中，那么后期的損失是無法估量的，而且前期所研究數(shù)據(jù)安全也無法得到有效的保障。

1.4 缺少必要的防范

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展與壯大，以及當(dāng)前的網(wǎng)絡(luò)安全問題日益嚴(yán)峻，很多人對于實驗室內(nèi)部局域網(wǎng)絡(luò)的安全性以及可靠性也逐漸的重視了起來，并且提出了很多看法與意見，力求對其進(jìn)行高效的管理與控制，從而確保在后期的局域網(wǎng)應(yīng)用過程中盡量避免被網(wǎng)絡(luò)黑客以及網(wǎng)絡(luò)木馬攻擊與破壞的概率。但是，因為當(dāng)前很多設(shè)計人員缺乏必要的網(wǎng)絡(luò)安全認(rèn)知，以及缺少相關(guān)的理論和實踐能力。所以在對實驗室內(nèi)部局域網(wǎng)的安全性和可靠性進(jìn)行重新設(shè)計與提升的過程中都無法實現(xiàn)高效率與高質(zhì)量的目標(biāo)達(dá)成。反而會因為設(shè)計不周以及管理不當(dāng)出現(xiàn)意料之外的問題。這不僅會影響到實驗室的工作開展，甚至?xí)茐膶嶒炇乙延械难芯砍晒c數(shù)據(jù)信息。另外，還有部分實驗室內(nèi)部局域網(wǎng)中，其安全系統(tǒng)以及安全防護(hù)功能形同虛設(shè)，在面對一般等級的網(wǎng)絡(luò)病毒攻擊時，就會表現(xiàn)出無法應(yīng)對的狀態(tài)。歸根結(jié)底，造成這一問題的原因在于人為因素。比如，很多人在設(shè)計和管理的過程中，為了躲避防火墻代理服務(wù)器對其進(jìn)行額外的認(rèn)證與監(jiān)管，會對PPP進(jìn)行直接的連接，這就會導(dǎo)致防火墻的原有功能失效，而且會導(dǎo)致內(nèi)部資源的流失。

2 安全技術(shù)的應(yīng)用方法

在當(dāng)今信息技術(shù)與互聯(lián)網(wǎng)科技飛速發(fā)展的背景下，網(wǎng)絡(luò)安全與信息安全是其中的重中之重。在實驗室內(nèi)部局域網(wǎng)的應(yīng)用與安全管理方面，其安全技術(shù)必須要有一個較為完善的機(jī)制，并且需要在該安全機(jī)制上進(jìn)行特點的體現(xiàn)以及系統(tǒng)保密性的強(qiáng)化。只有在這一基礎(chǔ)上，才能夠有效實現(xiàn)實驗室內(nèi)部局域網(wǎng)的靜態(tài)防護(hù)和可用性提升。特別是在當(dāng)今的互聯(lián)網(wǎng)普及階段中，以信息保障技術(shù)框架為主所建立起來的標(biāo)準(zhǔn)模式為廣大用戶提供了一個可視化的信息安全結(jié)構(gòu)，在該結(jié)構(gòu)中，可以反映信息安全的保障措施與方法技術(shù)，從而有效避免了單一的防護(hù)措施和檢測過程。利用該方法，能夠大大提升實驗室內(nèi)部局域網(wǎng)的信息安全性，確保其在防護(hù)過程、檢測過程以及響應(yīng)過程和恢復(fù)過程中能夠?qū)崿F(xiàn)高效的統(tǒng)一與銜接。

2.1 典型信息安全管理技術(shù)的分析

（1）關(guān)于環(huán)境安全、媒體安全以及設(shè)備安全的物理安全技術(shù)。

（2）關(guān)于操作系統(tǒng)安全、數(shù)據(jù)庫安全以及數(shù)據(jù)系統(tǒng)安全的整體系統(tǒng)安全技術(shù)。

（3）關(guān)于網(wǎng)絡(luò)隔離、VPN、訪問控制、掃描評估以及入侵檢測的網(wǎng)絡(luò)安全技術(shù)。

（4）關(guān)于Web訪問安全、電子郵件安全以及內(nèi)容過濾和應(yīng)用系統(tǒng)安全的應(yīng)用安全技術(shù)。

（5）關(guān)于硬件安全、軟件安全、硬件與軟件加密安全、身份認(rèn)證安全以及數(shù)據(jù)信息CIA特性的數(shù)據(jù)加密技術(shù)。

（6）關(guān)于口令認(rèn)證、證書認(rèn)證以及SSO認(rèn)證的認(rèn)證授權(quán)技術(shù)。

（7）關(guān)于訪問控制列表以及防火墻的訪問控制技術(shù)。

（8）關(guān)于日志審計、入侵檢測以及辨析取證的審計跟蹤技術(shù)。

（9）關(guān)于單機(jī)防病毒系統(tǒng)發(fā)展，以及整體防病毒體系的防病毒系統(tǒng)建設(shè)技術(shù)。

（10）關(guān)于業(yè)務(wù)連續(xù)性技術(shù)和數(shù)據(jù)備份的問題回復(fù)與備份技術(shù)。

以此作為典型信息安全管理技術(shù)的分析，可發(fā)現(xiàn)，在不同應(yīng)用范圍的局域網(wǎng)中，其發(fā)生問題的實際情況也不盡相同。因此，我們務(wù)必要強(qiáng)化實驗室內(nèi)部局域網(wǎng)的信息安全技術(shù)，并且要對其進(jìn)行防護(hù)措施的提升，以此為其提供可靠地運行環(huán)境與運行空間。

2.2 可采取的信息安全防護(hù)措施

在此，可以結(jié)合大型局域網(wǎng)對其進(jìn)行分析與研究。如：

（1）規(guī)劃網(wǎng)絡(luò)。在面對一些較為重要的基礎(chǔ)服務(wù)器，以及較為特殊的用戶和設(shè)置不同的網(wǎng)段時，可以對其進(jìn)行安全策略的分析與匹配，以此來有效控制訪問權(quán)限的問題。

（2）需要對局域網(wǎng)的漏洞進(jìn)行定期檢測，同時需要對其進(jìn)行全盤掃描，在生成數(shù)據(jù)信息之后，需要將之進(jìn)行深入的分析，以此明確安全防護(hù)的狀態(tài)與等級，該數(shù)據(jù)信息可作為一種實驗室內(nèi)部局域網(wǎng)安全問題管理工作開展實施的有效參考憑據(jù)。

（3）可以通過構(gòu)建WSUS服務(wù)器對其進(jìn)行網(wǎng)絡(luò)的升級，從而提升實驗室內(nèi)部局域網(wǎng)的實用性，同時還需要對網(wǎng)絡(luò)安全進(jìn)行即時監(jiān)控，并根據(jù)問題快速開發(fā)相關(guān)補(bǔ)丁作出漏洞和問題的修復(fù)處理，保證把問題扼殺在萌芽之中。

（4）可以利用無線網(wǎng)絡(luò)構(gòu)建安全認(rèn)證機(jī)制，以此來確保無線網(wǎng)絡(luò)的正常接入與認(rèn)證服務(wù)管理。

（5）需要對局域網(wǎng)進(jìn)行服務(wù)器的裝配，并且需要將其置于用戶的網(wǎng)絡(luò)當(dāng)中，以此作為探針進(jìn)行應(yīng)用。該方法可有效確保對網(wǎng)絡(luò)應(yīng)用狀況的實時了解與分析，并且還可以反應(yīng)網(wǎng)絡(luò)的故障問題和關(guān)鍵點。

（6）可設(shè)計專門用于UPN的網(wǎng)絡(luò)設(shè)備，以此來管理內(nèi)部服務(wù)器以及控制遠(yuǎn)程端口。使其達(dá)到統(tǒng)一白的認(rèn)證標(biāo)準(zhǔn)與要求。這樣可以提高管理的效率，降低問題發(fā)生的概率。

（7）需要對被采集的流量數(shù)據(jù)進(jìn)行分析，從而全面了解實驗室內(nèi)部局域網(wǎng)的控制狀況與不良信息。

（8）需要構(gòu)建安全門戶，以確保網(wǎng)絡(luò)信息的安全發(fā)布與正常宣傳。

（9）需要建立損壞恢復(fù)與備份系統(tǒng)，為實驗室各種數(shù)據(jù)資料提供高效的保存空間。

（10）需要明確防火墻的重要性，體現(xiàn)對防火墻部署的邊界意識。

3 安全的管理

解決網(wǎng)絡(luò)及信息系統(tǒng)的安全問題不能只局限于技術(shù)，更重要的還在于管理。安全技術(shù)只是信息安全控制的手段，要讓安全技術(shù)發(fā)揮應(yīng)有的作用，必然要有適當(dāng)?shù)墓芾沓绦虻闹С?，否則安全技術(shù)只能趨于僵化和失敗。只有將有效的安全管理從始至終貫徹落實于安全建設(shè)的過程中，信息安全的長期性和穩(wěn)定性才能有所保證。現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的。理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)來說尤其重要。我們常說，信息安全是三分技術(shù)七分管理，可見管理對于信息安全的重要性。信息安全管理作為組織完整的管理體系中一個重要的環(huán)節(jié)，構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動。

4 總結(jié)

在當(dāng)今學(xué)校實驗室的內(nèi)部局域網(wǎng)管理和規(guī)劃的工作中，需要重點結(jié)合PDCA模型對其進(jìn)行系統(tǒng)和設(shè)施的完善，以此提升實驗室內(nèi)部局域網(wǎng)的整體可用性與安全性。在這一科學(xué)的舉措與方法帶動下，可有效實現(xiàn)對局域網(wǎng)的嚴(yán)格管控與安全保障，同時可以為將來的學(xué)校實驗室內(nèi)研究工作提供更多的可能性與便利性。