涉密机关中小型局域网的安全方案

   一、引言

    随着计算机网络的发展和广泛应用，它对社会经济、文化以及科学和教育都产生了极其深远的影响。计算机网络发展呈现出以下三大特点：一是网络系统规模不断扩大；二是网络系统复杂度增加；三是在—个网络内经常会由于集成了多个计算机和网络厂家的产品而出现在一个网内存在多个网管的现象。与此同时，我们又发现计算机网络的广泛应用也产生了一些新的问题，比如站点被攻击、重要数据被盗用等计算机网络安全问题，使计算机网络面临极大的挑战。如何在安全的计算机网络环境下办公成为计算机网络技术的一个重要领域，尤其是局域网安全问题。现在的许多单位都有自己的局域网，特别是涉密机关单位，许多涉密的数据关系着小到每个人，大到国家的切实利益，一旦出现问题后果不堪设想。如何使这些重要的数据在局域网中安全的正常的使用，是我们亟待解决的问题。本文从局域网安全管理出发，提出了涉密机关中小型局域网的安全策略。

    二、涉密局域网所面临的安全问题

    当前，对安全保密要求较高的政府部门和工商企业而言，涉密局域网主要面临以下安全问题：

    2.1不安全的网络体系

    在网络安全领域，我们始终无法回避黑客／骇客（Hacker／Cracker）的存在，并且，随着黑客攻击软件功能不断强大、操作不断简化及获取更加简便，有越来越多的人参与到攻击中来，导致黑客攻击事件呈现不断上升趋势。成千上万的黑客无时无刻地扫描存在漏洞的计算机系统和缺乏有效保护的网络。如果局域网没有得到应有的维护和保护，例如服务器操作系统没有及时安装补丁程序、没有良好地执行网络隔离措施等，这些网络则会受到黑客们的攻击，进而产生巨大的损失。

    2.2来自内部的非授权访问

    标识、认证和授权是访问控制中非常重要的概念。标识是确保某主体（用户、程序或进程）就是它所宣称的那个实体的方法，标识之后，将会通过认证来核对主体信息，认证通过后，将通过授权来确定他是否有权限完成他将要执行的操作。相关技术应该保证较低级别的用户无法执行高权限的操作，而当前多数涉密局域网的管理者缺乏口令管理的概念，所采用的用户名和口令难当此任，有的高级别用户的口令一直沿用初始口令，有的直接向他人透露密码，同时，标识认证技术也要兼顾出错率和系统开销的平衡。

    2.3远程访问和传输加密

    不论是党政机关还是工商企业，都可能存在异地的工作部门或异地终端，这就使得局域网的地理范围不再局限于一个楼层或一栋建筑，带来的问题就是如何让这些异地的工作部门联入政府或企业的涉密局域网，进行远程访问、数据交换，如何在一定的时延要求下对数据传输进行加解密。

    2.4不安全的数据传递

    在局域网中，每个终端都有可能通过光驱或USB存储设备与局域网外进行数据交换，并在硬盘存储。而这些数据虽然存储在终端的硬盘上，但若包含网络病毒或攻击脚本，则会给局域网带来很大的破坏。以网络病毒为例，它除与单机病毒一样具有传播性、破坏性外，还具有感染速度快、扩散面广、传播形式多、潜在性大等特点，有的可设定一定触发条件进行触发。同时，对网络病毒的查杀工作常常无法彻底进行，因为只要有一个工作站没有杀尽病毒，就会再次造成全网感染，因此具有更大的破坏性。

    2.5来自物理安全方面的威胁

    一个上了规模的局域网来说，物理安全也是一个不容忽视的问题。当每张办公桌上都有一台计算机，设备和资源遍布单位的各个角落、工作的环境和人员变得越来越复杂之时，保护这些系统和设备的任务也变得异常艰巨。因此，必须建立物理安全的机制，包括设备陈放地点的设计和布置、环境因素、突发事件响应的敏捷性、人员的训练、访问控制、入侵检测以及电气和火灾保护等诸多方面，同时物理安全机制也应该能为人员、数据、器材、应用系统以及这些设备的自身安全提供有力保障。

    2.6缺乏有效的安全策略和统一的安全意识

    安全策略是高层决定—个全面的声明，它规定在组织中安全问题扮演什么样的角色。安全策略可以是—个组织策略、针对专门问题的策略或是针对系统的策略，如果缺乏有效的安全策略，那么安全规程、安全标准和安全方针将无从谈起。事实上，安全策略是实现对有关安全问题的提示，而标准、规程和方针用以支持这些提示，但如果没有入知道这些或没人知道具体的执行方法，那所有这些就失去了意义。这就是安全意识的问题，要成功解决局域网安全问题，上到管理层，下至普通员工都需要充分了解计算机和信息安全的重要性，了解安全的潜在意义以及他们被要求的和安全有关的特定要求。

[page]    三、涉密局域网安全策略

    3.1对涉密局域网进行安全级别划分

    根据数据的密级划分成不同子网，即绝密级数据单独成网（下称绝密子网），机密级及秘密级数据合并组网（下称机密子网）。其次。由于绝密级数据敏感性较高，所以绝密子网必须与其它网络实行物理隔离，对涉密局域网中高密级数据必须执行严格的保护措施，把可能面临的风险减小到最小，因为对于涉密局域网中的绝密信息来说，如果发生泄漏将会造成极其严重的损害，所以必须实行网络隔离。同时，所有产生及处理的绝密信息的过程和渠道也必须在绝密子网上完成，或通过国家认可的其它途径如机要通信完成，而不得与机密、秘密甚至普通信息共同传输或共用设备。第三，每个子网均配备专用的打印机、扫描仪等，禁止任何形式的跨网设备共享，也禁止使用无线网络。

    3.2对内部局域网实施准入机制

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!