局域网组建

作者:王传琦
日期:2011/7/1 8:04:24

做好以下三个方面的工作,来确保局域网的安全:
    物理安全、网络结构安全、网络系统安全
一、物理安全 
  保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面: 
  1、环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》 
  2、设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等
   3、媒体安全:包括媒体数据的安全及媒体本身的安全。 
  在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。 
二、网络结构安全 
  安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。 网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完 善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。 
  网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。 
三、网络系统安全 
1、 访问控制及内外网的隔离 
  访问控制 
  访问控制可以通过如下几个方面来实现: 
  a.制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。 
  b.配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。 
  防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火 墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。 
  防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。 
2、 内部网不同网络安全域的隔离及访问控制 
  在这里,主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的LAN段内,就可以限制局部网络安全问题对全局网络造成的影响。 
3、 网络安全检测 
  网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能: 
具备网络监控、分析和自动响应功能 
  找出经常发生问题的根源所在; 
  建立必要的循环过程确保隐患时刻被纠正;控制各种网络安全危险。 

  漏洞分析和响应、配置分析和响应、漏洞形势分析和响应 
  认证和趋势分析   
  具体体现在以下方面:
   a.防火墙得到合理配置 
  b.内外WEB站点的安全漏洞减为最低 
  c.网络体系达到强壮的耐攻击性 
  d.各种服务器操作系统,如E_MIAL服务器、WEB服务器、应用服务器、,将受黑客攻击的可能降为最低 
  e.对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害。

分享