局域网安全体系结构的研究与设计.docVIP

局域网安全体系结构的研究与设计 　　摘 要：文章对局域网可能受到的安全威胁进行了分析，并针对这些可能受到的威胁设计了一个包含物理安全、网络安全、系统安全、应用安全和数据安全的局域网安全模型，从技术上保证局域网的安全，同时还设计了安全的网络结构并辅以安全管理制度来增加局域网的安全性。 　　关键词：局域网；安全；体系结构；管理制度 　　中图分类号：TP393.08 文献标识码：A 文章编号：2095-1302（2016）10-00-03 　　0 引 言 　　随着计算机技术和信息技术的进步和发展，特别是近年来移动互联网的迅猛发展，越来越多的单位、企业和家庭都建立了属于自己的局域网。局域网为用户内部信息资源共享提供了方便，在人们的工作和生活中发挥着不可替代的作用。但由于网络本身的开放性和共享性，在网络为大家带来便利的同时，网络本身存在的不安全因素也给各企业单位和家庭带来了信息泄露的风险，为实现社会稳定，保证计算机网络安全，人们迫切需要解决目前计算机局域网应用中存在的安全问题[1，2]。 　　1 局域网中主要的安全问题 　　网络安全问题主要由网络的开放性和共享性造成。网络安全问题的实质是对网络安全缺陷的潜在利用，这些缺陷可能导致网络的非法访问、信息泄露、资源耗尽、资源被盗或者被破坏等；网络安全问题产生的根源在于网络协议的不完整性、网络操作系统的漏洞缺陷、应用程序漏洞、物理设备损坏及人为因素等。归纳起来，目前局域网安全问题主要来源于物理设备的安全威胁、来自互联网的安全威胁、来自局域网内部用户的安全威胁这三个方面[3-5]。 　　1.1 物理设备的安全威胁 　　来自物理设备的安全威胁主要有如下几项： 　　（1）自然灾害或非人为故意造成的软、硬件故障或冲突以及水灾火灾等； 　　（2）人为操作不当（属意外事件）导致数据信息的错误、丢失或其它一些硬件故障等。 　　1.2 来自互联网的安全威胁 　　一般情况下，局域网都与Internet进行了互联。由于Internet的开放性、国际性与自由性，来自Internet的世界各地的黑客都可以通过Internet和一些黑客工具来探测和扫描网络上存在的各种安全问题，如操作系统的类型及其它是否为弱口令、服务器开放的各种易于攻击的端口号及服务器应用程序是否存在开放权限或存在弱用户弱口令等，并采取相应的攻击手段进行攻击。同时还可以通过协议分析软件等手段监听并获得局域网内部用户的用户名、口令及一些敏感数据等信息，从而假冒内部的合法用户进行非法操作，窃取内部网络中的重要信息。而这些黑客也能通过控制大量肉机向网络中的服务器发送大量的数据包进行DDoS攻击，使服务器不能正常工作而拒绝为正常用户服务。 　　1.3 来自局域网内部用户的安全威胁 　　内部的网络管理人员有时为了对外进行宣传，会不经意间把内部网络拓扑结构及系统的一些重要信息（如设备型号、操作系统的类型等）放在网站上，这就致使网络内部信息严重泄露，网络上的不法分子可以利用这些包括网络拓扑、网络设备信息及应用系统信息等内部信息，制定有针对性的入侵策略，从而大大增加被攻破的机率，给内部局域网造成巨大的安全隐患。由于内部网络的大多数用户对计算机的操作及网络运行不熟悉，不知道哪些软件是安全的，若下载并使用了带有病毒或木马的软件，那么这些病毒或木马会收集并泄漏内部用户的重要信息，尤其是用户名及密码等重要信息，或是对计算机操作不当，误删除了重要数据等，这些都将给网络造成极大的安全威胁。 　　2 安全体系结构的设计 　　2.1 局域网安全总体设计思路 　　局域网安全是一项系统工程，需要充分考虑各层次各方面的安全因素。根据局域网运行所涉及到的层次，建立一个全方位的、可持续循环改进的局域网安全解决方案。以网络安全技术为主导，辅以法律法规和规章制度的安全管理，设计一个包含五个层次（物理安全、网络安全、系统安全、应用安全、数据安全）的局域网安全体系结构，如图1所示。 　　2.1.1 物理安全 　　在局域网安全系统中，物理安全是最基本的安全。如果物理安全得不到保证，那么其它一切安全措施都变得毫无意义。如果网络设备遭到破坏或被人非法接触，将会给局域网造成毁灭性的破坏，若安装有数据库的服务器被非法人员或是自然灾害损坏，就可能致使数据丢失且不可恢复，这同样是毁灭性的破坏。因此，要确保局域网有一个安全的物理环境，就应对接触到的网络设备及系统人员有一套完善的技术控制手段和规章制度约束，并且还要充分考虑自然灾害可能对局域网中的网络设备及线路等造成的威胁并加以规避。 　　2.1.2 网络安全 　　网络安全主要是整个数据传输网的安全，包括数据链路层、网络层及传输层等的安全。 　　（1）数据链路安全主要是保障通信链路不被非法窃听并防止借助链路的连接进行各