局域網安全建設要點探析

時間:2022-11-22 11:10:42

導語:局域網安全建設要點探析一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

局域網安全建設要點探析

摘要:局域網在社會生產生活管理中所起到的作用不斷得以提升,但是由于網絡系統運行的特殊性,使得局域網安全管理的重要性也不斷提高。本文以上海中國航海博物館為例,在闡述項目背景和項目實施必要性的基礎上,對項目建設內容進行深入分析,對中海博局域網網絡安全建設方案內容進行分析,以期為同類型局域網安全建設和管理提供理論指導。

關鍵詞:局域網;網絡安全;要點

互聯網技術的應用給現代社會發展起到了重要的促進作用,但是在實際運行中由于多方面因素的影響,使得網絡運行中常會出現安全防護問題,造成數據損壞或丟失,以此給企業帶來較大經濟損失,甚至會造成嚴重的后果。因此在局域網建設和運行中,必須依賴于一定的安全防護對策,強化網絡安全防護水平,以此確保信息防護安全,保障企事業單位工作正常運轉。

1項目概述

1.1項目背景。近年來,隨著博物館信息化建設步伐的加快,上海中國航海博物館(下簡稱“中海博”)基于各業務信息系統的大數據交換和共享的需求也日益增長。博物館網絡信息安全防范需要綜合計算機網絡信息管理各個層面、各個環節的不同要素,圍繞“做好內部網絡環境的治理、阻止外界入侵”,不斷加強對網絡信息安全方面的研究,并制定出科學的防護策略,進而使其防護手段能夠全面適應當前博物館計算機網絡技術的發展需求。現階段信息安全形勢嚴峻,網絡攻擊、信息泄露、勒索病毒等安全威脅層出不窮。特別是一些境外敵對勢力,常常在重大節日或關鍵會議期間,對國內的機關和企事業單位發起集中攻擊[1]。同時行業各監管單位也對下屬機構開展相關的安全檢查工作,以幫助發現自身安全問題,督促整改。中海博在建設信息化平臺的過程中,始終對信息和網絡安全保持高度重視,積極開展信息系統安全工作,保證核心業務系統基本的安全。但是隨著行業安全形勢變得越來越嚴峻,監管要求的加強,《信息安全技術網絡安全等級保護基本要求》(以下簡稱:等保2.0)的提出,以及新業務對互聯網的開放程度加強。目前整體業務系統依然不能滿足要求,需要進一步完善和加固。1.2項目實施的必要性。網絡安全管理對于我國信息安全具有重要的保障作用,在博物館等大型公共場所運行中,必須強化對這方面工作的重視程度。中海博除內部工作人員使用的辦公網絡外,還有包括電子消費系統、藏品管理系統等業務系統以及展廳內大量終端、WiFi基站等都需要使用網絡系統進行接入。如果網絡系統受到攻擊,必然會對日常工作造成極為嚴重影響[2]。中海博雖已建立了基礎網絡系統,也具備了防火墻等最為基礎的信息安全設備。但隨著智慧博物館的建設,無線網絡的加入、日漸增多的應用層業務系統,以及因為觀眾的訴求和需要,內外網融合等情況,也產生了較大的網絡安全隱患。網絡的安全性會直接影響到博物館整個信息化系統的安全性,所以,提供安全的網絡運行環境至關重要。

2項目建設內容

2.1完善安全防御體系。通過安全建設保障單位業務系統安全、穩定、高效運行;通過統一的安全規劃,對單位進行安全區域的劃分,對每個區域包括:核心業務區、安全管理區、安全運維區、核心交換區、DMZ區域、終端接入區和業務出口區域等進行安全隔離,并部署適當的防御手段,主要包括設置防火墻、WAF等措施。門戶網站、對外票務系統等外部業務系統需要重點保護,根據業務的特點部署具有針對性的防護手段,如B/S架構的應用對應WEB應用防火墻和網頁防篡改等技術手段,7×24小時的實時網站監測服務,針對外部系統的高可用、可靠性進行監測,確保重要業務系統具有更高的安全等級和抗攻擊能力。對單位主機進行全面的管控和病毒防護,使用桌面管控和殺毒軟件實現全面的惡意代碼防范[3]。在網絡的關鍵節點部署網絡防病毒,阻斷病毒數據在區域間的傳播。2.2完善安全審計體系。建立信息安全審計系統是按一定規則,在不同層次獲取并分析各種記錄、日志、報告等信息資源,以如實反映系統安全情況和那里發生的所有事件,試圖從網絡或基于網絡向主機系統應用系統或直接向主機系統、應用系統發起外部的、內部的、內外串聯的與濫用特權的入侵和攻擊,都將在安全審計系統中留下他的活動記錄,如果安全審計系統能夠同時和實時告警與連接阻斷功能相結合或互動,就會組成一個及時響應、防審結合的縱深防御體系,將被動事后審計與實時主動防御結合起來,更有效地阻止入侵和攻擊,避免系統因此而產生不應有的損失。對于單位審計體系目前規劃主要審計主體為業務服務器和核心網絡、安全設備。具體涉及日志審計、運維審計、數據庫審計三個方面。2.3完善安全管理體系。除了技術措施外,建立健全安全管理體系也是極為重要的方面,這不但是等級保護標準中的要求,也是安全防護體系中不可或缺的重要組成部分。安全管理體系主要包括:安全管理制度;安全管理機構;安全管理人員;安全建設管理;安全運維管理。根據等級保護的要求在上述方面建立一系列的管理制度與操作規范,并明確執行。2.4通過等保測評。通過一系列的安全加固手段,使中海博網絡達到等保2.0要求,確保網絡和信息系統安全穩固。

3方案設計

3.1中海博局域網概述。中海博作為國家級的航海博物館,信息化網絡是所有網絡安全的重要體現,中海博內網主要涵蓋保障博物館管理和運營業務正常開展的平臺,如辦公OA系統,館藏系統,電子消費系統,圖書館系統,內部郵件系統,固定資產系統,財務管理系統,物資關系系統,數據庫系統,環境監控系統,域控系統。中海博外網主要涵蓋館內對外服務資源的對外服務,如官方網站信息,網上訂票、信息查詢及講解預約等業務。3.2中海博局域網網絡安全風險分析。如果在網絡系統運行中使用內外網合并的形式,將會給工作人員的日常工作帶來較大便利,同時也會同步帶來安全防護問題,由于內網系統不再處于封閉式的狀態,博物館的管理和業務信息等將會直接出現被泄露或者入侵風險,這些風險不僅包括信息和數據層面,還包過設備設施的物理層和系統運行層面。由于博物館系統數據的特殊性,如果一旦出現數據信息泄露或者應用層等被破壞的情形,其所造成的社會效益損失將無法估量。3.3中海博局域網方案邏輯拓撲結構。3.4中海博局域網設計概述。中海博局域網總體規劃方案根據等保2.0建設標準,將整體拓撲結構規劃為核心業務區、安全管理區、安全運維區、核心交換區、DMZ區域、終端接入區和業務出口區,七個區域。各個區域之間采用必要的安全手段進行安全隔離。總體的網絡設計如下:核心業務區:作為核心業務的部署環境,該區域部署單位最核心的應用和數據,如:館藏、檢索、票務、域控和內部郵箱等系統。需要部署高級別的安全防御。安全管理區:專門部署安全設備和統一管理安全策略的區域,本次涉及的數據庫審計、日志審計、網頁防篡改服務器端,以及原有的IBMS、環境監控機建議部署在此區域進行統一的管理和控制。安全運維區域:安全運維區域作為唯一的運維通道,專門部署僅做運維操作的終端以及堡壘機等必要的運維工具。網絡設備、安全設備、服務器、數據庫等資產的運維工作全部通過此區域終端對接堡壘機進行操作。核心交換區:網絡核心層,主要做業務交換,需要保證設備和線路的冗余架構。DMZ區域:對外業務區,部署需要開放互聯網或者需要連接互聯網的對外業務,包括郵件系統、網站、域名服務器、業務前置機等。終端接入區:主要部署包括內部辦公人員網絡在內的接入網。業務出口區:互聯網邊界,互聯網業務的區域。中海博局域網整體訪問邏輯根據實際業務類型進行設置,在邏輯設置中主要有如下幾個方面要求:對于內部用戶,主要是通過核心交換機,通過防火墻、IDS的安全過濾訪問核心業務。核心業務原則上不對外開放和訪問,需要和互聯網對接的業務在DMZ區域部署前置機,開放前置機對外。內部業務通過防火墻開放權限,和前置機對接。核心業務必須要訪問互聯網的,通過防火墻單獨開放權限。安全產品僅對運維區域開放,接入區無法訪問。所有設備管理權限僅對運維區堡壘機開放,堡壘機僅允許區域內運維終端登錄。在區域隔離設計方面是在核心業務區域邊界部署2臺下一代防火墻(目前已有1臺,存在單點故障問題,且需要明確相應的安全模塊完整),實現核心業務區域邊界的網絡訪問控制。并通過核心業務防火墻隔離核心交換區、安全管理區和安全運維區。對于核心交換機區、出口區域、DMZ區域通過原有防火墻進行隔離,建議完善防病毒模塊。3.5中海博局域網方案安全管理方案。信息技術部根據等保2.0對網絡信息安全的要求,從安全責任制、技術防范措施、操作管理規程、應急預案和信息安全報告制度等方面建立相應的制度,做到有法可依,有法必依。根據測評年度要求,定期對信息系統進行等級保護測評,對網絡信息安全相關制度每年進行適當修訂。加強對全體館員的網絡安全教育,通過定期培訓技能和法律知識培訓,普及基本的操作技能,通過網絡安全主題宣傳,印刷網絡安全彩頁知識宣傳頁分發到各部門,召集員工收看網絡安全宣傳視頻,各部門落實專人為網絡安全員,每年定期培訓,針對網絡個人信息保護、密碼安全、公共WIFI安全、數據安全、移動介質安全、防范勒索軟件等相關網絡安全知識進行講解,通過定期的安全意識考核,采用線上答題、訪談、抽查等方式進行安全意識考核,對不達標或者存在重大安全意識問題的員工進行針對性的安全培訓。以此幫助員工增強網絡安全意識,提升網絡安全風險防范能力,降低內外網融合后的風險。

4結束語

局域網安全建設已經成為網絡信息系統管理的重要方面,對于管理機構的要求也不斷提升,在實際運行過程中,各個部門的人員都需要根據自身情況積極參與進來,通過技能培訓提升自身網絡技術應用水平,切實加強對網絡安全技術的重視程度,以此為局域網安全運行奠定堅實的基礎。

參考文獻:

[1]宋晨媛.計算機局域網網絡的安全建設核心探索[J].計算機產品與流通,2018(12):33.

[2]李章平.虛擬局域網的建設與安全策略研究[J].南方農機,2018,49(1):138,141.

[3]邢志玲.關于建設安全計算機局域網網絡分析[J].網絡安全技術與應用,2017(3):20-21.

作者:申繼平 單位:上海中國航海博物館