一、引言
隨著計算機網絡的發展和廣泛應用,它對社會經濟、文化以及科學和教育都產生了極其深遠的影響。計算機網絡發展呈現出以下三大特點:一是網絡系統規模不斷擴大;二是網絡系統復雜度增加;三是在—個網絡內經常會由于集成了多個計算機和網絡廠家的產品而出現在一個網內存在多個網管的現象。與此同時,我們又發現計算機網絡的廣泛應用也產生了一些新的問題,比如站點被攻擊、重要數據被盜用等計算機網絡安全問題,使計算機網絡面臨極大的挑戰。如何在安全的計算機網絡環境下辦公成為計算機網絡技術的一個重要領域,尤其是局域網安全問題。現在的許多單位都有自己的局域網,特別是涉密機關單位,許多涉密的數據關系著小到每個人,大到國家的切實利益,一旦出現問題后果不堪設想。如何使這些重要的數據在局域網中安全的正常的使用,是我們亟待解決的問題。本文從局域網安全管理出發,提出了涉密機關中小型局域網的安全策略。
二、涉密局域網所面臨的安全問題
當前,對安全保密要求較高的政府部門和工商企業而言,涉密局域網主要面臨以下安全問題:
2.1不安全的網絡體系
在網絡安全領域,我們始終無法回避黑客/駭客(Hacker/Cracker)的存在,并且,隨著黑客攻擊軟件功能不斷強大、操作不斷簡化及獲取更加簡便,有越來越多的人參與到攻擊中來,導致黑客攻擊事件呈現不斷上升趨勢。成千上萬的黑客無時無刻地掃描存在漏洞的計算機系統和缺乏有效保護的網絡。如果局域網沒有得到應有的維護和保護,例如服務器操作系統沒有及時安裝補丁程序、沒有良好地執行網絡隔離措施等,這些網絡則會受到黑客們的攻擊,進而產生巨大的損失。
2.2來自內部的非授權訪問
標識、認證和授權是訪問控制中非常重要的概念。標識是確保某主體(用戶、程序或進程)就是它所宣稱的那個實體的方法,標識之后,將會通過認證來核對主體信息,認證通過后,將通過授權來確定他是否有權限完成他將要執行的操作。相關技術應該保證較低級別的用戶無法執行高權限的操作,而當前多數涉密局域網的管理者缺乏口令管理的概念,所采用的用戶名和口令難當此任,有的高級別用戶的口令一直沿用初始口令,有的直接向他人透露密碼,同時,標識認證技術也要兼顧出錯率和系統開銷的平衡。
2.3遠程訪問和傳輸加密
不論是黨政機關還是工商企業,都可能存在異地的工作部門或異地終端,這就使得局域網的地理范圍不再局限于一個樓層或一棟建筑,帶來的問題就是如何讓這些異地的工作部門聯入政府或企業的涉密局域網,進行遠程訪問、數據交換,如何在一定的時延要求下對數據傳輸進行加解密。
2.4不安全的數據傳遞
在局域網中,每個終端都有可能通過光驅或USB存儲設備與局域網外進行數據交換,并在硬盤存儲。而這些數據雖然存儲在終端的硬盤上,但若包含網絡病毒或攻擊腳本,則會給局域網帶來很大的破壞。以網絡病毒為例,它除與單機病毒一樣具有傳播性、破壞性外,還具有感染速度快、擴散面廣、傳播形式多、潛在性大等特點,有的可設定一定觸發條件進行觸發。同時,對網絡病毒的查殺工作常常無法徹底進行,因為只要有一個工作站沒有殺盡病毒,就會再次造成全網感染,因此具有更大的破壞性。
2.5來自物理安全方面的威脅
一個上了規模的局域網來說,物理安全也是一個不容忽視的問題。當每張辦公桌上都有一臺計算機,設備和資源遍布單位的各個角落、工作的環境和人員變得越來越復雜之時,保護這些系統和設備的任務也變得異常艱巨。因此,必須建立物理安全的機制,包括設備陳放地點的設計和布置、環境因素、突發事件響應的敏捷性、人員的訓練、訪問控制、入侵檢測以及電氣和火災保護等諸多方面,同時物理安全機制也應該能為人員、數據、器材、應用系統以及這些設備的自身安全提供有力保障。
2.6缺乏有效的安全策略和統一的安全意識
安全策略是高層決定—個全面的聲明,它規定在組織中安全問題扮演什么樣的角色。安全策略可以是—個組織策略、針對專門問題的策略或是針對系統的策略,如果缺乏有效的安全策略,那么安全規程、安全標準和安全方針將無從談起。事實上,安全策略是實現對有關安全問題的提示,而標準、規程和方針用以支持這些提示,但如果沒有入知道這些或沒人知道具體的執行方法,那所有這些就失去了意義。這就是安全意識的問題,要成功解決局域網安全問題,上到管理層,下至普通員工都需要充分了解計算機和信息安全的重要性,了解安全的潛在意義以及他們被要求的和安全有關的特定要求。
三、涉密局域網安全策略
3.1對涉密局域網進行安全級別劃分
根據數據的密級劃分成不同子網,即絕密級數據單獨成網(下稱絕密子網),機密級及秘密級數據合并組網(下稱機密子網)。其次。由于絕密級數據敏感性較高,所以絕密子網必須與其它網絡實行物理隔離,對涉密局域網中高密級數據必須執行嚴格的保護措施,把可能面臨的風險減小到最小,因為對于涉密局域網中的絕密信息來說,如果發生泄漏將會造成極其嚴重的損害,所以必須實行網絡隔離。同時,所有產生及處理的絕密信息的過程和渠道也必須在絕密子網上完成,或通過國家認可的其它途徑如機要通信完成,而不得與機密、秘密甚至普通信息共同傳輸或共用設備。第三,每個子網均配備專用的打印機、掃描儀等,禁止任何形式的跨網設備共享,也禁止使用無線網絡。
3.2對內部局域網實施準入機制
在涉密局域網中應采用雙因子認證的方法進行標識和認證。所謂雙因子認證,tiVOli強認證,是指至少包含三種認證中兩項的認證方法,如密碼與證件或指紋與密碼等的組合。筆者推薦的方式是采用生物識別技術與口令的組合認證。
生物識別技術是一種個人標識技術,它通過每個人所具有的唯一特征進行標識,這是準確標識的最有效且最準確的技術之一,它包括指紋、手掌掃描、手形掃描、視網膜掃描、虹膜掃描、動態簽名、動態鍵盤輸入、語音識別、面部掃描和手形拓撲。在各種技術中,指紋識別技術不僅使用方便、安傘性較高,而且發展比較成熟,更容易獲得在錯誤接受和錯誤拒絕之間的平衡,開銷也相對低廉,容易推廣接受。具體地說,指紋是由一些曲線和分叉以及一些非常微小的特征構成,正是這些微小的特征使得每一個人都具有明顯的唯一的指紋特征,當一個把他的手指放在認證裝置上時,裝置會讀出他帶有一定體溫的指紋(防止制作指紋模板)并且和參考文件中的數據進行比較,如果兩者非常吻合,那么這個人的身份就得到了確認。要注意的是,如果系統存儲了完整的指紋,那將會占用大量的硬盤資源并且會使用戶很難快速完成比較過程。而如果采用指紋掃描技術提取指紋中的一些特征并且存儲這些特征信息,這樣就占用了少量的硬盤資源并且獲得了快速的數據庫查詢和比較。
指紋與口令的組合既為涉密局域網提供足夠安全的標識和認證,在一定程度卜杜絕非授權訪問的發生,也便于操作實施,不會給頻繁登錄的用戶增加過多的麻煩。
3.3對人員進行安全培訓
安全培訓在傘面的基礎上應具有較強的針對性,應根據聽眾的職務不同而有所側重。
例如管理層可以通過探討安全損失、各種危害、安全措施等對安全計劃的重要性產生足夠的認識。而針對中層的培訓,應說明特定部門的支持的重要性,以及他對保證工作人員執行安全措施的重要性及個人違反規程的后果和管理者必須對這種錯誤的舉動所采取的措施。安全培訓應該定期地、持續地進行,從而改變工作人員的行為和對安全的態度。
除了安全培訓之外,也有必要設立專門的安全監督機構對相關進行監督評估,并間隔一定的時間進行測試或演習。以確保:全體人員的安全意識始終處于—個合適的水平。
3.4物理安全
在涉密局域網的物理安全防護中,實現這些安全的因素包括良好的物理的、技術的和管理上的控制機制。管理上的控制措施包括設施的選擇和建設、設施的管理、員工的管控、培訓以及突發事件的響應和處理步驟。技術上的控制措施包括訪問控制、報警裝置、監視裝置、供暖通風空調、電力供應、火災的檢測和排除以及備份等。而物理上的措施包括柵欄、大門、護柱、加鎖、照明和建筑設施的材料。
四、結論
由于涉密單位的特殊性,使其對安全性的要求較高,如果我們能加強安全意識,嚴格遵守操作規范,在技術有保障的情形下,我們的局域網安全性就會大大提高,那么,由于局域網不安全因素造成的損失就會大大減少。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:涉密機關中小型局域網的安全策略
相關文章
