涉密局域网风险分析及安全策略的研究

林丛杰

【摘要】涉密局域网广泛应用于政府与企业并产生一定的积极影响，但在实际工作当中某些单位对其安全管理方面存在侥幸心理未加以重视，于是导致存在较大的安全隐患。为解决此种情况，于是采取了一系列的安全措施。本文首先对涉密局域网进行一定的风险分析，然后从网络硬件安全、软件安全及人员管理三方面对涉密局域网的安全策略进行一定的研究。

【关键词】涉密;局域网;风险分析;安全策略

当今社会处于信息时代，计算机的应用范围越来越广泛，计算机网络与此同时也遍布世界各地。由于局域网具有稳定的技术以及低廉的投资被广泛应用于政府与各大企业。由于涉密局域网具有一定的特殊性，导致其存在着一定的安全风险。对于政府部门以及企业来说，局域网既有利也有弊，利在于局域网可以用来通信以及共享资源从而大大提高了工作效率和服务能力，弊在于局域网有一定的脆弱性会造成涉密信息或者不愿公开的信息被泄露、窃取和破坏从而产生严重的后果。特此本文针对涉密局域网进行了一定的风险分析和安全策略的研究，从而增强其安全性能，克服其安全风险，改善其安全环境。通过本文的论述，笔者一方面希望能够起到一个抛砖引玉的作用，另一方面，希望能够给相关的工作人员提供一点参考借鉴的材料。

一、涉密局域网的风险分析

涉密局域网由于其在传输、处理及存储信息过程中存在一定的脆弱性，会导致信息面临一定的风险性，风险存在但不能全部消除，因此必须对所面临的安全隐患进行管理，对所面临的安全风险进行分析，把风险性降低至政府部门和有关企业所能接受的最小程度。

下面对某政府机构涉密局域网进行风险分析，具体过程如下：

1.成立风险分析小组。于本政府机构各部门选出共15名人员（包含1名组长）进行2天有关网络安全和风险分析知识的培训。

2.分析威胁因素及脆弱性。培训结束后，15名小组成员依据自身经验针对本政府机构可能的威胁因素、脆弱性和相对应的威胁做详细地分析，并最终列出表格。

3.列写威胁报告。按照威胁因素和脆弱性表格，分别撰写威胁报告，并交由相关负责人查验、审核及修改。

4.研究安全举措。小组成员独立想出安全举措，再集中讨论进行补充，最终由小组组长进行汇总。

5.小组成员评估。小组成员按照威胁的严重程度不同从1至5分别对威胁以及措施进行评分，并进行汇总。列举成员针对黑客窃取信息威胁作出如表1-1所示，评估结果显示小组成员认为这一威胁非常严重，而且防火墙与IDS（即入侵检测系统）的有效性比蜜罐的有效性要强。

表1-1 某威胁小组成员评估汇总

黑客窃取信息 威胁评估 措施评估

严重性 潜在损失 可能性 防火墙有效性 IDS有效性 蜜罐有效性

分析小组组长 5 4 3 3 3 1

装备部门1 4 2 4 4 3 2

装备部门2 4 4 4 3 4 1

联络部门1 3 4 3 4 2 1

联络部门2 4 3 3 4 3 1

综合部门 5 4 4 4 4 2

政工部门 5 5 4 4 4 3

业务部门1 4 3 5 5 4 2

业务部门2 5 3 2 3 3 3

业务部门3 5 3 2 4 4 3

业务部门4 5 3 2 3 3 1

业务部门5 3 3 2 3 3 2

业务部门6 3 4 3 4 4 2

业务部门7 4 5 1 3 3 2

业务部门8 4 3 3 4 3 3

结果 4.2 3.5 3.0 3.7 3.3 1.9

6.列写报告。进行评估结束以后，小组组长进行汇总，列写风险分析报告。某单位涉密局域网的步骤与要点如下表1-2所示。

表1-2 某单位涉密局域网的步骤与要点

步骤 过程要点 主要结果

成立风险分析小组 选择各部门具有中级以上职称者

建立小组并进行培训 15名小组成员进行

2周脱产分析

分析威胁因素及脆弱性 小组成员利用DELPHI方法识别

局域网的威胁与脆弱性 涉密局域网威胁因素

与脆弱性分析表

列写威胁报告 对威胁具体情况进行说明并审核 各个威胁的威胁报告

研究安全举措 研究能够降低风险的措施并审核 制作各个威胁的评估表

小组成员评估 按评估表对威胁的严重性

及措施的有效性进行评估 对各威胁的评估进行汇总

列写报告 列写风险分析报告对局域网威胁

以及相应措施进行说明 风险分析报告

二、涉密局域网的安全策略

1.网络硬件安全策略

控制Telnet访问及会话超时。在局域网中，交换机一般全部需要分配管理地址，为便于长距离之间的管理，一般交换机会启动Telnet功能。对于网络设备的安全进行管理，须设置Telnet密码。网络管理员在进入交换机的控制台以后，若由于事情外出，这就会导致控制台进入无人看管的状态，此刻任何人都能够趁此时机来对网络设备的配置进行修改。特此须对空闲的会话进行超时设置，从而使控制台隔一段空闲时间后自动地与网络设备断开，保证了网络的安全。

对MAC地址进行绑定。交换机的一个特性就是端口安全。当一个数据帧传入某一端口时，此端口会将此数据帧的源地址与原来端口的源地址作比较。若MAC地址不能够相互匹配，那么此端口会合闭，并且指示灯的颜色会显示橙色。在缺省的状态下，对于交换机来说，其允许全部的MAC地址进行网络访问。由于端口安全这一特性，可以通过配置一组较为安全的并允许访问此端口的MAC地址来保证安全。由于端口数目是稳定的，然而计算机的数目不断上涨，对于绑定MAC地址非常局限。一般的安全设置基于IP地址，然而用户的IP地址比较随性可以自己随性设置。特此须在交换机中把IP地址与MAC地址进行绑定。

对访问列表进行设置。就是在交换机中依据地址、协议以及端口来定义数据流。列表访问广泛应用于交换机中。访问列表有两种类型，一种是展型，另一种是标准型。展型访问列表具有很强的制服力，标准型访问列表对交换机来说便于处理。

VLAN的安全。根据局域网信息的重要程度不尽相同，需对VLAN进行划分来实现隔离逻辑。通过交换机把网络划分成若干个虚拟网络，不仅能够增强网络安全，而且能够有效控制网络风暴。利用虚拟网络，可以把较为敏感的网络资源与非法的用户进行隔离，进而阻止隐藏的非法窃听与访问。

2.软件安全策略

为了及时能够扫描与查杀病毒，可以安装防病毒的软件。其中防火墙于内外网之间建立安全网关，能够对数据包进行过滤，从而达到防护的作用。由于防火墙防御相对来说较静态，入侵检测系统能够弥补防火墙的不足，其对内外攻击以及错误操作能够进行实时的防护。此外可以利用网络诱骗系统来对实际中正在运行的系统进行保护。

3.人员管理策略

为了加强涉密局域网的安全水平，首先应该做好人员的管理工作。对于网络安全的保密意识应不断增强，对于网络安全的保密知识应不断积累，对于网络安全的保密环境应不断改善。用户应对杀毒的软件进行定期升级，应对重要的资料应进行定期备份。用户应严格遵守网络信息安全的管理制度，不得随意违反，养成良好的习惯。

三、总结

风险与安全是一对矛盾体，涉密局域网广泛应用于政府部门与各大企业但与此同时存在一定的安全隐患。针对此情况，本文首先举例对涉密局域网进行一定的风险分析，然后对涉密局域网的安全管理策略进行一定的研究，主要涉及网络硬件安全策略、软件安全策略以及人员管理策略三个方面。然而由于自身所掌握知识的局限性，并不能够分析和研究的很全面，还需要进一步的完善。以上是本人的粗浅之见，但是由于本人的知识水平及文字组织能力有限，因此文中如有不到之处还望不吝赐教。

参考文献

[1]繆翔.涉密局域网风险分析及安全策略的研究[J].同济大学，2013（10）.

[2]李亮.重要信息系统局域网安全策略分析与研究[J].信息网络安全，2013（02）.

[3]许兰川.构建办公信息网络安全防护体系[J].网络安全技术与应用，2014（04）.

[4]藏学范.企业计算机应用安全管理[M].辽宁人民出版社，2012：130-132.

[5]张虎.数据安全技术在涉密信息系统中的实践与应用[J].硅谷，2013（06）.

[6]刘冰.关于局域网计算机的网络维护[A].低碳经济与科学发展——吉林省第六届科学技术学术年会论文集[C].2010.