導(dǎo)語(yǔ)：局域網(wǎng)安全建設(shè)要點(diǎn)探析一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：局域網(wǎng)在社會(huì)生產(chǎn)生活管理中所起到的作用不斷得以提升，但是由于網(wǎng)絡(luò)系統(tǒng)運(yùn)行的特殊性，使得局域網(wǎng)安全管理的重要性也不斷提高。本文以上海中國(guó)航海博物館為例，在闡述項(xiàng)目背景和項(xiàng)目實(shí)施必要性的基礎(chǔ)上，對(duì)項(xiàng)目建設(shè)內(nèi)容進(jìn)行深入分析，對(duì)中海博局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)方案內(nèi)容進(jìn)行分析，以期為同類(lèi)型局域網(wǎng)安全建設(shè)和管理提供理論指導(dǎo)。

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；要點(diǎn)

互聯(lián)網(wǎng)技術(shù)的應(yīng)用給現(xiàn)代社會(huì)發(fā)展起到了重要的促進(jìn)作用，但是在實(shí)際運(yùn)行中由于多方面因素的影響，使得網(wǎng)絡(luò)運(yùn)行中常會(huì)出現(xiàn)安全防護(hù)問(wèn)題，造成數(shù)據(jù)損壞或丟失，以此給企業(yè)帶來(lái)較大經(jīng)濟(jì)損失，甚至?xí)斐蓢?yán)重的后果。因此在局域網(wǎng)建設(shè)和運(yùn)行中，必須依賴于一定的安全防護(hù)對(duì)策，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)水平，以此確保信息防護(hù)安全，保障企事業(yè)單位工作正常運(yùn)轉(zhuǎn)。

1項(xiàng)目概述

1.1項(xiàng)目背景。近年來(lái)，隨著博物館信息化建設(shè)步伐的加快，上海中國(guó)航海博物館（下簡(jiǎn)稱“中海博”）基于各業(yè)務(wù)信息系統(tǒng)的大數(shù)據(jù)交換和共享的需求也日益增長(zhǎng)。博物館網(wǎng)絡(luò)信息安全防范需要綜合計(jì)算機(jī)網(wǎng)絡(luò)信息管理各個(gè)層面、各個(gè)環(huán)節(jié)的不同要素，圍繞“做好內(nèi)部網(wǎng)絡(luò)環(huán)境的治理、阻止外界入侵”，不斷加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全方面的研究，并制定出科學(xué)的防護(hù)策略，進(jìn)而使其防護(hù)手段能夠全面適應(yīng)當(dāng)前博物館計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展需求?，F(xiàn)階段信息安全形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)攻擊、信息泄露、勒索病毒等安全威脅層出不窮。特別是一些境外敵對(duì)勢(shì)力，常常在重大節(jié)日或關(guān)鍵會(huì)議期間，對(duì)國(guó)內(nèi)的機(jī)關(guān)和企事業(yè)單位發(fā)起集中攻擊[1]。同時(shí)行業(yè)各監(jiān)管單位也對(duì)下屬機(jī)構(gòu)開(kāi)展相關(guān)的安全檢查工作，以幫助發(fā)現(xiàn)自身安全問(wèn)題，督促整改。中海博在建設(shè)信息化平臺(tái)的過(guò)程中，始終對(duì)信息和網(wǎng)絡(luò)安全保持高度重視，積極開(kāi)展信息系統(tǒng)安全工作，保證核心業(yè)務(wù)系統(tǒng)基本的安全。但是隨著行業(yè)安全形勢(shì)變得越來(lái)越嚴(yán)峻，監(jiān)管要求的加強(qiáng)，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱：等保2.0）的提出，以及新業(yè)務(wù)對(duì)互聯(lián)網(wǎng)的開(kāi)放程度加強(qiáng)。目前整體業(yè)務(wù)系統(tǒng)依然不能滿足要求，需要進(jìn)一步完善和加固。1.2項(xiàng)目實(shí)施的必要性。網(wǎng)絡(luò)安全管理對(duì)于我國(guó)信息安全具有重要的保障作用，在博物館等大型公共場(chǎng)所運(yùn)行中，必須強(qiáng)化對(duì)這方面工作的重視程度。中海博除內(nèi)部工作人員使用的辦公網(wǎng)絡(luò)外，還有包括電子消費(fèi)系統(tǒng)、藏品管理系統(tǒng)等業(yè)務(wù)系統(tǒng)以及展廳內(nèi)大量終端、WiFi基站等都需要使用網(wǎng)絡(luò)系統(tǒng)進(jìn)行接入。如果網(wǎng)絡(luò)系統(tǒng)受到攻擊，必然會(huì)對(duì)日常工作造成極為嚴(yán)重影響[2]。中海博雖已建立了基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)，也具備了防火墻等最為基礎(chǔ)的信息安全設(shè)備。但隨著智慧博物館的建設(shè)，無(wú)線網(wǎng)絡(luò)的加入、日漸增多的應(yīng)用層業(yè)務(wù)系統(tǒng)，以及因?yàn)橛^眾的訴求和需要，內(nèi)外網(wǎng)融合等情況，也產(chǎn)生了較大的網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)的安全性會(huì)直接影響到博物館整個(gè)信息化系統(tǒng)的安全性，所以，提供安全的網(wǎng)絡(luò)運(yùn)行環(huán)境至關(guān)重要。

2項(xiàng)目建設(shè)內(nèi)容

2.1完善安全防御體系。通過(guò)安全建設(shè)保障單位業(yè)務(wù)系統(tǒng)安全、穩(wěn)定、高效運(yùn)行；通過(guò)統(tǒng)一的安全規(guī)劃，對(duì)單位進(jìn)行安全區(qū)域的劃分，對(duì)每個(gè)區(qū)域包括：核心業(yè)務(wù)區(qū)、安全管理區(qū)、安全運(yùn)維區(qū)、核心交換區(qū)、DMZ區(qū)域、終端接入?yún)^(qū)和業(yè)務(wù)出口區(qū)域等進(jìn)行安全隔離，并部署適當(dāng)?shù)姆烙侄?，主要包括設(shè)置防火墻、WAF等措施。門(mén)戶網(wǎng)站、對(duì)外票務(wù)系統(tǒng)等外部業(yè)務(wù)系統(tǒng)需要重點(diǎn)保護(hù)，根據(jù)業(yè)務(wù)的特點(diǎn)部署具有針對(duì)性的防護(hù)手段，如B/S架構(gòu)的應(yīng)用對(duì)應(yīng)WEB應(yīng)用防火墻和網(wǎng)頁(yè)防篡改等技術(shù)手段，7×24小時(shí)的實(shí)時(shí)網(wǎng)站監(jiān)測(cè)服務(wù)，針對(duì)外部系統(tǒng)的高可用、可靠性進(jìn)行監(jiān)測(cè)，確保重要業(yè)務(wù)系統(tǒng)具有更高的安全等級(jí)和抗攻擊能力。對(duì)單位主機(jī)進(jìn)行全面的管控和病毒防護(hù)，使用桌面管控和殺毒軟件實(shí)現(xiàn)全面的惡意代碼防范[3]。在網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)部署網(wǎng)絡(luò)防病毒，阻斷病毒數(shù)據(jù)在區(qū)域間的傳播。2.2完善安全審計(jì)體系。建立信息安全審計(jì)系統(tǒng)是按一定規(guī)則，在不同層次獲取并分析各種記錄、日志、報(bào)告等信息資源，以如實(shí)反映系統(tǒng)安全情況和那里發(fā)生的所有事件，試圖從網(wǎng)絡(luò)或基于網(wǎng)絡(luò)向主機(jī)系統(tǒng)應(yīng)用系統(tǒng)或直接向主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)發(fā)起外部的、內(nèi)部的、內(nèi)外串聯(lián)的與濫用特權(quán)的入侵和攻擊，都將在安全審計(jì)系統(tǒng)中留下他的活動(dòng)記錄，如果安全審計(jì)系統(tǒng)能夠同時(shí)和實(shí)時(shí)告警與連接阻斷功能相結(jié)合或互動(dòng)，就會(huì)組成一個(gè)及時(shí)響應(yīng)、防審結(jié)合的縱深防御體系，將被動(dòng)事后審計(jì)與實(shí)時(shí)主動(dòng)防御結(jié)合起來(lái)，更有效地阻止入侵和攻擊，避免系統(tǒng)因此而產(chǎn)生不應(yīng)有的損失。對(duì)于單位審計(jì)體系目前規(guī)劃主要審計(jì)主體為業(yè)務(wù)服務(wù)器和核心網(wǎng)絡(luò)、安全設(shè)備。具體涉及日志審計(jì)、運(yùn)維審計(jì)、數(shù)據(jù)庫(kù)審計(jì)三個(gè)方面。2.3完善安全管理體系。除了技術(shù)措施外，建立健全安全管理體系也是極為重要的方面，這不但是等級(jí)保護(hù)標(biāo)準(zhǔn)中的要求，也是安全防護(hù)體系中不可或缺的重要組成部分。安全管理體系主要包括：安全管理制度；安全管理機(jī)構(gòu)；安全管理人員；安全建設(shè)管理；安全運(yùn)維管理。根據(jù)等級(jí)保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。2.4通過(guò)等保測(cè)評(píng)。通過(guò)一系列的安全加固手段，使中海博網(wǎng)絡(luò)達(dá)到等保2.0要求，確保網(wǎng)絡(luò)和信息系統(tǒng)安全穩(wěn)固。

3方案設(shè)計(jì)

3.1中海博局域網(wǎng)概述。中海博作為國(guó)家級(jí)的航海博物館，信息化網(wǎng)絡(luò)是所有網(wǎng)絡(luò)安全的重要體現(xiàn)，中海博內(nèi)網(wǎng)主要涵蓋保障博物館管理和運(yùn)營(yíng)業(yè)務(wù)正常開(kāi)展的平臺(tái)，如辦公OA系統(tǒng)，館藏系統(tǒng)，電子消費(fèi)系統(tǒng)，圖書(shū)館系統(tǒng)，內(nèi)部郵件系統(tǒng)，固定資產(chǎn)系統(tǒng)，財(cái)務(wù)管理系統(tǒng)，物資關(guān)系系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)，環(huán)境監(jiān)控系統(tǒng)，域控系統(tǒng)。中海博外網(wǎng)主要涵蓋館內(nèi)對(duì)外服務(wù)資源的對(duì)外服務(wù)，如官方網(wǎng)站信息，網(wǎng)上訂票、信息查詢及講解預(yù)約等業(yè)務(wù)。3.2中海博局域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析。如果在網(wǎng)絡(luò)系統(tǒng)運(yùn)行中使用內(nèi)外網(wǎng)合并的形式，將會(huì)給工作人員的日常工作帶來(lái)較大便利，同時(shí)也會(huì)同步帶來(lái)安全防護(hù)問(wèn)題，由于內(nèi)網(wǎng)系統(tǒng)不再處于封閉式的狀態(tài)，博物館的管理和業(yè)務(wù)信息等將會(huì)直接出現(xiàn)被泄露或者入侵風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)不僅包括信息和數(shù)據(jù)層面，還包過(guò)設(shè)備設(shè)施的物理層和系統(tǒng)運(yùn)行層面。由于博物館系統(tǒng)數(shù)據(jù)的特殊性，如果一旦出現(xiàn)數(shù)據(jù)信息泄露或者應(yīng)用層等被破壞的情形，其所造成的社會(huì)效益損失將無(wú)法估量。3.3中海博局域網(wǎng)方案邏輯拓?fù)浣Y(jié)構(gòu)。3.4中海博局域網(wǎng)設(shè)計(jì)概述。中海博局域網(wǎng)總體規(guī)劃方案根據(jù)等保2.0建設(shè)標(biāo)準(zhǔn)，將整體拓?fù)浣Y(jié)構(gòu)規(guī)劃為核心業(yè)務(wù)區(qū)、安全管理區(qū)、安全運(yùn)維區(qū)、核心交換區(qū)、DMZ區(qū)域、終端接入?yún)^(qū)和業(yè)務(wù)出口區(qū)，七個(gè)區(qū)域。各個(gè)區(qū)域之間采用必要的安全手段進(jìn)行安全隔離?？傮w的網(wǎng)絡(luò)設(shè)計(jì)如下：核心業(yè)務(wù)區(qū)：作為核心業(yè)務(wù)的部署環(huán)境，該區(qū)域部署單位最核心的應(yīng)用和數(shù)據(jù)，如：館藏、檢索、票務(wù)、域控和內(nèi)部郵箱等系統(tǒng)。需要部署高級(jí)別的安全防御。安全管理區(qū)：專(zhuān)門(mén)部署安全設(shè)備和統(tǒng)一管理安全策略的區(qū)域，本次涉及的數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)、網(wǎng)頁(yè)防篡改服務(wù)器端，以及原有的IBMS、環(huán)境監(jiān)控機(jī)建議部署在此區(qū)域進(jìn)行統(tǒng)一的管理和控制。安全運(yùn)維區(qū)域：安全運(yùn)維區(qū)域作為唯一的運(yùn)維通道，專(zhuān)門(mén)部署僅做運(yùn)維操作的終端以及堡壘機(jī)等必要的運(yùn)維工具。網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)等資產(chǎn)的運(yùn)維工作全部通過(guò)此區(qū)域終端對(duì)接堡壘機(jī)進(jìn)行操作。核心交換區(qū)：網(wǎng)絡(luò)核心層，主要做業(yè)務(wù)交換，需要保證設(shè)備和線路的冗余架構(gòu)。DMZ區(qū)域：對(duì)外業(yè)務(wù)區(qū)，部署需要開(kāi)放互聯(lián)網(wǎng)或者需要連接互聯(lián)網(wǎng)的對(duì)外業(yè)務(wù)，包括郵件系統(tǒng)、網(wǎng)站、域名服務(wù)器、業(yè)務(wù)前置機(jī)等。終端接入?yún)^(qū)：主要部署包括內(nèi)部辦公人員網(wǎng)絡(luò)在內(nèi)的接入網(wǎng)。業(yè)務(wù)出口區(qū)：互聯(lián)網(wǎng)邊界，互聯(lián)網(wǎng)業(yè)務(wù)的區(qū)域。中海博局域網(wǎng)整體訪問(wèn)邏輯根據(jù)實(shí)際業(yè)務(wù)類(lèi)型進(jìn)行設(shè)置，在邏輯設(shè)置中主要有如下幾個(gè)方面要求：對(duì)于內(nèi)部用戶，主要是通過(guò)核心交換機(jī)，通過(guò)防火墻、IDS的安全過(guò)濾訪問(wèn)核心業(yè)務(wù)。核心業(yè)務(wù)原則上不對(duì)外開(kāi)放和訪問(wèn)，需要和互聯(lián)網(wǎng)對(duì)接的業(yè)務(wù)在DMZ區(qū)域部署前置機(jī)，開(kāi)放前置機(jī)對(duì)外。內(nèi)部業(yè)務(wù)通過(guò)防火墻開(kāi)放權(quán)限，和前置機(jī)對(duì)接。核心業(yè)務(wù)必須要訪問(wèn)互聯(lián)網(wǎng)的，通過(guò)防火墻單獨(dú)開(kāi)放權(quán)限。安全產(chǎn)品僅對(duì)運(yùn)維區(qū)域開(kāi)放，接入?yún)^(qū)無(wú)法訪問(wèn)。所有設(shè)備管理權(quán)限僅對(duì)運(yùn)維區(qū)堡壘機(jī)開(kāi)放，堡壘機(jī)僅允許區(qū)域內(nèi)運(yùn)維終端登錄。在區(qū)域隔離設(shè)計(jì)方面是在核心業(yè)務(wù)區(qū)域邊界部署2臺(tái)下一代防火墻（目前已有1臺(tái)，存在單點(diǎn)故障問(wèn)題，且需要明確相應(yīng)的安全模塊完整），實(shí)現(xiàn)核心業(yè)務(wù)區(qū)域邊界的網(wǎng)絡(luò)訪問(wèn)控制。并通過(guò)核心業(yè)務(wù)防火墻隔離核心交換區(qū)、安全管理區(qū)和安全運(yùn)維區(qū)。對(duì)于核心交換機(jī)區(qū)、出口區(qū)域、DMZ區(qū)域通過(guò)原有防火墻進(jìn)行隔離，建議完善防病毒模塊。3.5中海博局域網(wǎng)方案安全管理方案。信息技術(shù)部根據(jù)等保2.0對(duì)網(wǎng)絡(luò)信息安全的要求，從安全責(zé)任制、技術(shù)防范措施、操作管理規(guī)程、應(yīng)急預(yù)案和信息安全報(bào)告制度等方面建立相應(yīng)的制度，做到有法可依，有法必依。根據(jù)測(cè)評(píng)年度要求，定期對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，對(duì)網(wǎng)絡(luò)信息安全相關(guān)制度每年進(jìn)行適當(dāng)修訂。加強(qiáng)對(duì)全體館員的網(wǎng)絡(luò)安全教育，通過(guò)定期培訓(xùn)技能和法律知識(shí)培訓(xùn)，普及基本的操作技能，通過(guò)網(wǎng)絡(luò)安全主題宣傳，印刷網(wǎng)絡(luò)安全彩頁(yè)知識(shí)宣傳頁(yè)分發(fā)到各部門(mén)，召集員工收看網(wǎng)絡(luò)安全宣傳視頻，各部門(mén)落實(shí)專(zhuān)人為網(wǎng)絡(luò)安全員，每年定期培訓(xùn)，針對(duì)網(wǎng)絡(luò)個(gè)人信息保護(hù)、密碼安全、公共WIFI安全、數(shù)據(jù)安全、移動(dòng)介質(zhì)安全、防范勒索軟件等相關(guān)網(wǎng)絡(luò)安全知識(shí)進(jìn)行講解，通過(guò)定期的安全意識(shí)考核，采用線上答題、訪談、抽查等方式進(jìn)行安全意識(shí)考核，對(duì)不達(dá)標(biāo)或者存在重大安全意識(shí)問(wèn)題的員工進(jìn)行針對(duì)性的安全培訓(xùn)。以此幫助員工增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范能力，降低內(nèi)外網(wǎng)融合后的風(fēng)險(xiǎn)。

4結(jié)束語(yǔ)

局域網(wǎng)安全建設(shè)已經(jīng)成為網(wǎng)絡(luò)信息系統(tǒng)管理的重要方面，對(duì)于管理機(jī)構(gòu)的要求也不斷提升，在實(shí)際運(yùn)行過(guò)程中，各個(gè)部門(mén)的人員都需要根據(jù)自身情況積極參與進(jìn)來(lái)，通過(guò)技能培訓(xùn)提升自身網(wǎng)絡(luò)技術(shù)應(yīng)用水平，切實(shí)加強(qiáng)對(duì)網(wǎng)絡(luò)安全技術(shù)的重視程度，以此為局域網(wǎng)安全運(yùn)行奠定堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)：

[1]宋晨媛.計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)的安全建設(shè)核心探索[J].計(jì)算機(jī)產(chǎn)品與流通,2018(12):33.

[2]李章平.虛擬局域網(wǎng)的建設(shè)與安全策略研究[J].南方農(nóng)機(jī),2018,49(1):138,141.

[3]邢志玲.關(guān)于建設(shè)安全計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(3):20-21.

作者:申繼平 單位:上海中國(guó)航海博物館