導(dǎo)語：局域網(wǎng)安全建設(shè)要點探析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：局域網(wǎng)在社會生產(chǎn)生活管理中所起到的作用不斷得以提升，但是由于網(wǎng)絡(luò)系統(tǒng)運(yùn)行的特殊性，使得局域網(wǎng)安全管理的重要性也不斷提高。本文以上海中國航海博物館為例，在闡述項目背景和項目實施必要性的基礎(chǔ)上，對項目建設(shè)內(nèi)容進(jìn)行深入分析，對中海博局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)方案內(nèi)容進(jìn)行分析，以期為同類型局域網(wǎng)安全建設(shè)和管理提供理論指導(dǎo)。

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；要點

互聯(lián)網(wǎng)技術(shù)的應(yīng)用給現(xiàn)代社會發(fā)展起到了重要的促進(jìn)作用，但是在實際運(yùn)行中由于多方面因素的影響，使得網(wǎng)絡(luò)運(yùn)行中常會出現(xiàn)安全防護(hù)問題，造成數(shù)據(jù)損壞或丟失，以此給企業(yè)帶來較大經(jīng)濟(jì)損失，甚至?xí)斐蓢?yán)重的后果。因此在局域網(wǎng)建設(shè)和運(yùn)行中，必須依賴于一定的安全防護(hù)對策，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)水平，以此確保信息防護(hù)安全，保障企事業(yè)單位工作正常運(yùn)轉(zhuǎn)。

1項目概述

1.1項目背景。近年來，隨著博物館信息化建設(shè)步伐的加快，上海中國航海博物館（下簡稱“中海博”）基于各業(yè)務(wù)信息系統(tǒng)的大數(shù)據(jù)交換和共享的需求也日益增長。博物館網(wǎng)絡(luò)信息安全防范需要綜合計算機(jī)網(wǎng)絡(luò)信息管理各個層面、各個環(huán)節(jié)的不同要素，圍繞“做好內(nèi)部網(wǎng)絡(luò)環(huán)境的治理、阻止外界入侵”，不斷加強(qiáng)對網(wǎng)絡(luò)信息安全方面的研究，并制定出科學(xué)的防護(hù)策略，進(jìn)而使其防護(hù)手段能夠全面適應(yīng)當(dāng)前博物館計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展需求?，F(xiàn)階段信息安全形勢嚴(yán)峻，網(wǎng)絡(luò)攻擊、信息泄露、勒索病毒等安全威脅層出不窮。特別是一些境外敵對勢力，常常在重大節(jié)日或關(guān)鍵會議期間，對國內(nèi)的機(jī)關(guān)和企事業(yè)單位發(fā)起集中攻擊[1]。同時行業(yè)各監(jiān)管單位也對下屬機(jī)構(gòu)開展相關(guān)的安全檢查工作，以幫助發(fā)現(xiàn)自身安全問題，督促整改。中海博在建設(shè)信息化平臺的過程中，始終對信息和網(wǎng)絡(luò)安全保持高度重視，積極開展信息系統(tǒng)安全工作，保證核心業(yè)務(wù)系統(tǒng)基本的安全。但是隨著行業(yè)安全形勢變得越來越嚴(yán)峻，監(jiān)管要求的加強(qiáng)，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（以下簡稱：等保2.0）的提出，以及新業(yè)務(wù)對互聯(lián)網(wǎng)的開放程度加強(qiáng)。目前整體業(yè)務(wù)系統(tǒng)依然不能滿足要求，需要進(jìn)一步完善和加固。1.2項目實施的必要性。網(wǎng)絡(luò)安全管理對于我國信息安全具有重要的保障作用，在博物館等大型公共場所運(yùn)行中，必須強(qiáng)化對這方面工作的重視程度。中海博除內(nèi)部工作人員使用的辦公網(wǎng)絡(luò)外，還有包括電子消費(fèi)系統(tǒng)、藏品管理系統(tǒng)等業(yè)務(wù)系統(tǒng)以及展廳內(nèi)大量終端、WiFi基站等都需要使用網(wǎng)絡(luò)系統(tǒng)進(jìn)行接入。如果網(wǎng)絡(luò)系統(tǒng)受到攻擊，必然會對日常工作造成極為嚴(yán)重影響[2]。中海博雖已建立了基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)，也具備了防火墻等最為基礎(chǔ)的信息安全設(shè)備。但隨著智慧博物館的建設(shè)，無線網(wǎng)絡(luò)的加入、日漸增多的應(yīng)用層業(yè)務(wù)系統(tǒng)，以及因為觀眾的訴求和需要，內(nèi)外網(wǎng)融合等情況，也產(chǎn)生了較大的網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)的安全性會直接影響到博物館整個信息化系統(tǒng)的安全性，所以，提供安全的網(wǎng)絡(luò)運(yùn)行環(huán)境至關(guān)重要。

2項目建設(shè)內(nèi)容

2.1完善安全防御體系。通過安全建設(shè)保障單位業(yè)務(wù)系統(tǒng)安全、穩(wěn)定、高效運(yùn)行；通過統(tǒng)一的安全規(guī)劃，對單位進(jìn)行安全區(qū)域的劃分，對每個區(qū)域包括：核心業(yè)務(wù)區(qū)、安全管理區(qū)、安全運(yùn)維區(qū)、核心交換區(qū)、DMZ區(qū)域、終端接入?yún)^(qū)和業(yè)務(wù)出口區(qū)域等進(jìn)行安全隔離，并部署適當(dāng)?shù)姆烙侄?，主要包括設(shè)置防火墻、WAF等措施。門戶網(wǎng)站、對外票務(wù)系統(tǒng)等外部業(yè)務(wù)系統(tǒng)需要重點保護(hù)，根據(jù)業(yè)務(wù)的特點部署具有針對性的防護(hù)手段，如B/S架構(gòu)的應(yīng)用對應(yīng)WEB應(yīng)用防火墻和網(wǎng)頁防篡改等技術(shù)手段，7×24小時的實時網(wǎng)站監(jiān)測服務(wù)，針對外部系統(tǒng)的高可用、可靠性進(jìn)行監(jiān)測，確保重要業(yè)務(wù)系統(tǒng)具有更高的安全等級和抗攻擊能力。對單位主機(jī)進(jìn)行全面的管控和病毒防護(hù)，使用桌面管控和殺毒軟件實現(xiàn)全面的惡意代碼防范[3]。在網(wǎng)絡(luò)的關(guān)鍵節(jié)點部署網(wǎng)絡(luò)防病毒，阻斷病毒數(shù)據(jù)在區(qū)域間的傳播。2.2完善安全審計體系。建立信息安全審計系統(tǒng)是按一定規(guī)則，在不同層次獲取并分析各種記錄、日志、報告等信息資源，以如實反映系統(tǒng)安全情況和那里發(fā)生的所有事件，試圖從網(wǎng)絡(luò)或基于網(wǎng)絡(luò)向主機(jī)系統(tǒng)應(yīng)用系統(tǒng)或直接向主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)發(fā)起外部的、內(nèi)部的、內(nèi)外串聯(lián)的與濫用特權(quán)的入侵和攻擊，都將在安全審計系統(tǒng)中留下他的活動記錄，如果安全審計系統(tǒng)能夠同時和實時告警與連接阻斷功能相結(jié)合或互動，就會組成一個及時響應(yīng)、防審結(jié)合的縱深防御體系，將被動事后審計與實時主動防御結(jié)合起來，更有效地阻止入侵和攻擊，避免系統(tǒng)因此而產(chǎn)生不應(yīng)有的損失。對于單位審計體系目前規(guī)劃主要審計主體為業(yè)務(wù)服務(wù)器和核心網(wǎng)絡(luò)、安全設(shè)備。具體涉及日志審計、運(yùn)維審計、數(shù)據(jù)庫審計三個方面。2.3完善安全管理體系。除了技術(shù)措施外，建立健全安全管理體系也是極為重要的方面，這不但是等級保護(hù)標(biāo)準(zhǔn)中的要求，也是安全防護(hù)體系中不可或缺的重要組成部分。安全管理體系主要包括：安全管理制度；安全管理機(jī)構(gòu)；安全管理人員；安全建設(shè)管理；安全運(yùn)維管理。根據(jù)等級保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。2.4通過等保測評。通過一系列的安全加固手段，使中海博網(wǎng)絡(luò)達(dá)到等保2.0要求，確保網(wǎng)絡(luò)和信息系統(tǒng)安全穩(wěn)固。

3方案設(shè)計

3.1中海博局域網(wǎng)概述。中海博作為國家級的航海博物館，信息化網(wǎng)絡(luò)是所有網(wǎng)絡(luò)安全的重要體現(xiàn)，中海博內(nèi)網(wǎng)主要涵蓋保障博物館管理和運(yùn)營業(yè)務(wù)正常開展的平臺，如辦公OA系統(tǒng)，館藏系統(tǒng)，電子消費(fèi)系統(tǒng)，圖書館系統(tǒng)，內(nèi)部郵件系統(tǒng)，固定資產(chǎn)系統(tǒng)，財務(wù)管理系統(tǒng)，物資關(guān)系系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，環(huán)境監(jiān)控系統(tǒng)，域控系統(tǒng)。中海博外網(wǎng)主要涵蓋館內(nèi)對外服務(wù)資源的對外服務(wù)，如官方網(wǎng)站信息，網(wǎng)上訂票、信息查詢及講解預(yù)約等業(yè)務(wù)。3.2中海博局域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險分析。如果在網(wǎng)絡(luò)系統(tǒng)運(yùn)行中使用內(nèi)外網(wǎng)合并的形式，將會給工作人員的日常工作帶來較大便利，同時也會同步帶來安全防護(hù)問題，由于內(nèi)網(wǎng)系統(tǒng)不再處于封閉式的狀態(tài)，博物館的管理和業(yè)務(wù)信息等將會直接出現(xiàn)被泄露或者入侵風(fēng)險，這些風(fēng)險不僅包括信息和數(shù)據(jù)層面，還包過設(shè)備設(shè)施的物理層和系統(tǒng)運(yùn)行層面。由于博物館系統(tǒng)數(shù)據(jù)的特殊性，如果一旦出現(xiàn)數(shù)據(jù)信息泄露或者應(yīng)用層等被破壞的情形，其所造成的社會效益損失將無法估量。3.3中海博局域網(wǎng)方案邏輯拓?fù)浣Y(jié)構(gòu)。3.4中海博局域網(wǎng)設(shè)計概述。中海博局域網(wǎng)總體規(guī)劃方案根據(jù)等保2.0建設(shè)標(biāo)準(zhǔn)，將整體拓?fù)浣Y(jié)構(gòu)規(guī)劃為核心業(yè)務(wù)區(qū)、安全管理區(qū)、安全運(yùn)維區(qū)、核心交換區(qū)、DMZ區(qū)域、終端接入?yún)^(qū)和業(yè)務(wù)出口區(qū)，七個區(qū)域。各個區(qū)域之間采用必要的安全手段進(jìn)行安全隔離。總體的網(wǎng)絡(luò)設(shè)計如下：核心業(yè)務(wù)區(qū)：作為核心業(yè)務(wù)的部署環(huán)境，該區(qū)域部署單位最核心的應(yīng)用和數(shù)據(jù)，如：館藏、檢索、票務(wù)、域控和內(nèi)部郵箱等系統(tǒng)。需要部署高級別的安全防御。安全管理區(qū)：專門部署安全設(shè)備和統(tǒng)一管理安全策略的區(qū)域，本次涉及的數(shù)據(jù)庫審計、日志審計、網(wǎng)頁防篡改服務(wù)器端，以及原有的IBMS、環(huán)境監(jiān)控機(jī)建議部署在此區(qū)域進(jìn)行統(tǒng)一的管理和控制。安全運(yùn)維區(qū)域：安全運(yùn)維區(qū)域作為唯一的運(yùn)維通道，專門部署僅做運(yùn)維操作的終端以及堡壘機(jī)等必要的運(yùn)維工具。網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫等資產(chǎn)的運(yùn)維工作全部通過此區(qū)域終端對接堡壘機(jī)進(jìn)行操作。核心交換區(qū)：網(wǎng)絡(luò)核心層，主要做業(yè)務(wù)交換，需要保證設(shè)備和線路的冗余架構(gòu)。DMZ區(qū)域：對外業(yè)務(wù)區(qū)，部署需要開放互聯(lián)網(wǎng)或者需要連接互聯(lián)網(wǎng)的對外業(yè)務(wù)，包括郵件系統(tǒng)、網(wǎng)站、域名服務(wù)器、業(yè)務(wù)前置機(jī)等。終端接入?yún)^(qū)：主要部署包括內(nèi)部辦公人員網(wǎng)絡(luò)在內(nèi)的接入網(wǎng)。業(yè)務(wù)出口區(qū)：互聯(lián)網(wǎng)邊界，互聯(lián)網(wǎng)業(yè)務(wù)的區(qū)域。中海博局域網(wǎng)整體訪問邏輯根據(jù)實際業(yè)務(wù)類型進(jìn)行設(shè)置，在邏輯設(shè)置中主要有如下幾個方面要求：對于內(nèi)部用戶，主要是通過核心交換機(jī)，通過防火墻、IDS的安全過濾訪問核心業(yè)務(wù)。核心業(yè)務(wù)原則上不對外開放和訪問，需要和互聯(lián)網(wǎng)對接的業(yè)務(wù)在DMZ區(qū)域部署前置機(jī)，開放前置機(jī)對外。內(nèi)部業(yè)務(wù)通過防火墻開放權(quán)限，和前置機(jī)對接。核心業(yè)務(wù)必須要訪問互聯(lián)網(wǎng)的，通過防火墻單獨開放權(quán)限。安全產(chǎn)品僅對運(yùn)維區(qū)域開放，接入?yún)^(qū)無法訪問。所有設(shè)備管理權(quán)限僅對運(yùn)維區(qū)堡壘機(jī)開放，堡壘機(jī)僅允許區(qū)域內(nèi)運(yùn)維終端登錄。在區(qū)域隔離設(shè)計方面是在核心業(yè)務(wù)區(qū)域邊界部署2臺下一代防火墻（目前已有1臺，存在單點故障問題，且需要明確相應(yīng)的安全模塊完整），實現(xiàn)核心業(yè)務(wù)區(qū)域邊界的網(wǎng)絡(luò)訪問控制。并通過核心業(yè)務(wù)防火墻隔離核心交換區(qū)、安全管理區(qū)和安全運(yùn)維區(qū)。對于核心交換機(jī)區(qū)、出口區(qū)域、DMZ區(qū)域通過原有防火墻進(jìn)行隔離，建議完善防病毒模塊。3.5中海博局域網(wǎng)方案安全管理方案。信息技術(shù)部根據(jù)等保2.0對網(wǎng)絡(luò)信息安全的要求，從安全責(zé)任制、技術(shù)防范措施、操作管理規(guī)程、應(yīng)急預(yù)案和信息安全報告制度等方面建立相應(yīng)的制度，做到有法可依，有法必依。根據(jù)測評年度要求，定期對信息系統(tǒng)進(jìn)行等級保護(hù)測評，對網(wǎng)絡(luò)信息安全相關(guān)制度每年進(jìn)行適當(dāng)修訂。加強(qiáng)對全體館員的網(wǎng)絡(luò)安全教育，通過定期培訓(xùn)技能和法律知識培訓(xùn)，普及基本的操作技能，通過網(wǎng)絡(luò)安全主題宣傳，印刷網(wǎng)絡(luò)安全彩頁知識宣傳頁分發(fā)到各部門，召集員工收看網(wǎng)絡(luò)安全宣傳視頻，各部門落實專人為網(wǎng)絡(luò)安全員，每年定期培訓(xùn)，針對網(wǎng)絡(luò)個人信息保護(hù)、密碼安全、公共WIFI安全、數(shù)據(jù)安全、移動介質(zhì)安全、防范勒索軟件等相關(guān)網(wǎng)絡(luò)安全知識進(jìn)行講解，通過定期的安全意識考核，采用線上答題、訪談、抽查等方式進(jìn)行安全意識考核，對不達(dá)標(biāo)或者存在重大安全意識問題的員工進(jìn)行針對性的安全培訓(xùn)。以此幫助員工增強(qiáng)網(wǎng)絡(luò)安全意識，提升網(wǎng)絡(luò)安全風(fēng)險防范能力，降低內(nèi)外網(wǎng)融合后的風(fēng)險。

4結(jié)束語

局域網(wǎng)安全建設(shè)已經(jīng)成為網(wǎng)絡(luò)信息系統(tǒng)管理的重要方面，對于管理機(jī)構(gòu)的要求也不斷提升，在實際運(yùn)行過程中，各個部門的人員都需要根據(jù)自身情況積極參與進(jìn)來，通過技能培訓(xùn)提升自身網(wǎng)絡(luò)技術(shù)應(yīng)用水平，切實加強(qiáng)對網(wǎng)絡(luò)安全技術(shù)的重視程度，以此為局域網(wǎng)安全運(yùn)行奠定堅實的基礎(chǔ)。

參考文獻(xiàn)：

[1]宋晨媛.計算機(jī)局域網(wǎng)網(wǎng)絡(luò)的安全建設(shè)核心探索[J].計算機(jī)產(chǎn)品與流通,2018(12):33.

[2]李章平.虛擬局域網(wǎng)的建設(shè)與安全策略研究[J].南方農(nóng)機(jī),2018,49(1):138,141.

[3]邢志玲.關(guān)于建設(shè)安全計算機(jī)局域網(wǎng)網(wǎng)絡(luò)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(3):20-21.

作者:申繼平 單位:上海中國航海博物館