局域网安全建设要点探析

摘要：局域网在社会生产生活管理中所起到的作用不断得以提升，但是由于网络系统运行的特殊性，使得局域网安全管理的重要性也不断提高。本文以上海中国航海博物馆为例，在阐述项目背景和项目实施必要性的基础上，对项目建设内容进行深入分析，对中海博局域网网络安全建设方案内容进行分析，以期为同类型局域网安全建设和管理提供理论指导。

关键词：局域网；网络安全；要点

互联网技术的应用给现代社会发展起到了重要的促进作用，但是在实际运行中由于多方面因素的影响，使得网络运行中常会出现安全防护问题，造成数据损坏或丢失，以此给企业带来较大经济损失，甚至会造成严重的后果。因此在局域网建设和运行中，必须依赖于一定的安全防护对策，强化网络安全防护水平，以此确保信息防护安全，保障企事业单位工作正常运转。

1项目概述

1.1项目背景。近年来，随着博物馆信息化建设步伐的加快，上海中国航海博物馆（下简称“中海博”）基于各业务信息系统的大数据交换和共享的需求也日益增长。博物馆网络信息安全防范需要综合计算机网络信息管理各个层面、各个环节的不同要素，围绕“做好内部网络环境的治理、阻止外界入侵”，不断加强对网络信息安全方面的研究，并制定出科学的防护策略，进而使其防护手段能够全面适应当前博物馆计算机网络技术的发展需求。现阶段信息安全形势严峻，网络攻击、信息泄露、勒索病毒等安全威胁层出不穷。特别是一些境外敌对势力，常常在重大节日或关键会议期间，对国内的机关和企事业单位发起集中攻击[1]。同时行业各监管单位也对下属机构开展相关的安全检查工作，以帮助发现自身安全问题，督促整改。中海博在建设信息化平台的过程中，始终对信息和网络安全保持高度重视，积极开展信息系统安全工作，保证核心业务系统基本的安全。但是随着行业安全形势变得越来越严峻，监管要求的加强，《信息安全技术网络安全等级保护基本要求》（以下简称：等保2.0）的提出，以及新业务对互联网的开放程度加强。目前整体业务系统依然不能满足要求，需要进一步完善和加固。1.2项目实施的必要性。网络安全管理对于我国信息安全具有重要的保障作用，在博物馆等大型公共场所运行中，必须强化对这方面工作的重视程度。中海博除内部工作人员使用的办公网络外，还有包括电子消费系统、藏品管理系统等业务系统以及展厅内大量终端、WiFi基站等都需要使用网络系统进行接入。如果网络系统受到攻击，必然会对日常工作造成极为严重影响[2]。中海博虽已建立了基础网络系统，也具备了防火墙等最为基础的信息安全设备。但随着智慧博物馆的建设，无线网络的加入、日渐增多的应用层业务系统，以及因为观众的诉求和需要，内外网融合等情况，也产生了较大的网络安全隐患。网络的安全性会直接影响到博物馆整个信息化系统的安全性，所以，提供安全的网络运行环境至关重要。

2项目建设内容

2.1完善安全防御体系。通过安全建设保障单位业务系统安全、稳定、高效运行；通过统一的安全规划，对单位进行安全区域的划分，对每个区域包括：核心业务区、安全管理区、安全运维区、核心交换区、DMZ区域、终端接入区和业务出口区域等进行安全隔离，并部署适当的防御手段，主要包括设置防火墙、WAF等措施。门户网站、对外票务系统等外部业务系统需要重点保护，根据业务的特点部署具有针对性的防护手段，如B/S架构的应用对应WEB应用防火墙和网页防篡改等技术手段，7×24小时的实时网站监测服务，针对外部系统的高可用、可靠性进行监测，确保重要业务系统具有更高的安全等级和抗攻击能力。对单位主机进行全面的管控和病毒防护，使用桌面管控和杀毒软件实现全面的恶意代码防范[3]。在网络的关键节点部署网络防病毒，阻断病毒数据在区域间的传播。2.2完善安全审计体系。建立信息安全审计系统是按一定规则，在不同层次获取并分析各种记录、日志、报告等信息资源，以如实反映系统安全情况和那里发生的所有事件，试图从网络或基于网络向主机系统应用系统或直接向主机系统、应用系统发起外部的、内部的、内外串联的与滥用特权的入侵和攻击，都将在安全审计系统中留下他的活动记录，如果安全审计系统能够同时和实时告警与连接阻断功能相结合或互动，就会组成一个及时响应、防审结合的纵深防御体系，将被动事后审计与实时主动防御结合起来，更有效地阻止入侵和攻击，避免系统因此而产生不应有的损失。对于单位审计体系目前规划主要审计主体为业务服务器和核心网络、安全设备。具体涉及日志审计、运维审计、数据库审计三个方面。2.3完善安全管理体系。除了技术措施外，建立健全安全管理体系也是极为重要的方面，这不但是等级保护标准中的要求，也是安全防护体系中不可或缺的重要组成部分。安全管理体系主要包括：安全管理制度；安全管理机构；安全管理人员；安全建设管理；安全运维管理。根据等级保护的要求在上述方面建立一系列的管理制度与操作规范，并明确执行。2.4通过等保测评。通过一系列的安全加固手段，使中海博网络达到等保2.0要求，确保网络和信息系统安全稳固。

3方案设计

3.1中海博局域网概述。中海博作为部级的航海博物馆，信息化网络是所有网络安全的重要体现，中海博内网主要涵盖保障博物馆管理和运营业务正常开展的平台，如办公OA系统，馆藏系统，电子消费系统，图书馆系统，内部邮件系统，固定资产系统，财务管理系统，物资关系系统，数据库系统，环境监控系统，域控系统。中海博外网主要涵盖馆内对外服务资源的对外服务，如官方网站信息，网上订票、信息查询及讲解预约等业务。3.2中海博局域网网络安全风险分析。如果在网络系统运行中使用内外网合并的形式，将会给工作人员的日常工作带来较大便利，同时也会同步带来安全防护问题，由于内网系统不再处于封闭式的状态，博物馆的管理和业务信息等将会直接出现被泄露或者入侵风险，这些风险不仅包括信息和数据层面，还包过设备设施的物理层和系统运行层面。由于博物馆系统数据的特殊性，如果一旦出现数据信息泄露或者应用层等被破坏的情形，其所造成的社会效益损失将无法估量。3.3中海博局域网方案逻辑拓扑结构。3.4中海博局域网设计概述。中海博局域网总体规划方案根据等保2.0建设标准，将整体拓扑结构规划为核心业务区、安全管理区、安全运维区、核心交换区、DMZ区域、终端接入区和业务出口区，七个区域。各个区域之间采用必要的安全手段进行安全隔离。总体的网络设计如下：核心业务区：作为核心业务的部署环境，该区域部署单位最核心的应用和数据，如：馆藏、检索、票务、域控和内部邮箱等系统。需要部署高级别的安全防御。安全管理区：专门部署安全设备和统一管理安全策略的区域，本次涉及的数据库审计、日志审计、网页防篡改服务器端，以及原有的IBMS、环境监控机建议部署在此区域进行统一的管理和控制。安全运维区域：安全运维区域作为唯一的运维通道，专门部署仅做运维操作的终端以及堡垒机等必要的运维工具。网络设备、安全设备、服务器、数据库等资产的运维工作全部通过此区域终端对接堡垒机进行操作。核心交换区：网络核心层，主要做业务交换，需要保证设备和线路的冗余架构。DMZ区域：对外业务区，部署需要开放互联网或者需要连接互联网的对外业务，包括邮件系统、网站、域名服务器、业务前置机等。终端接入区：主要部署包括内部办公人员网络在内的接入网。业务出口区：互联网边界，互联网业务的区域。中海博局域网整体访问逻辑根据实际业务类型进行设置，在逻辑设置中主要有如下几个方面要求：对于内部用户，主要是通过核心交换机，通过防火墙、IDS的安全过滤访问核心业务。核心业务原则上不对外开放和访问，需要和互联网对接的业务在DMZ区域部署前置机，开放前置机对外。内部业务通过防火墙开放权限，和前置机对接。核心业务必须要访问互联网的，通过防火墙单独开放权限。安全产品仅对运维区域开放，接入区无法访问。所有设备管理权限仅对运维区堡垒机开放，堡垒机仅允许区域内运维终端登录。在区域隔离设计方面是在核心业务区域边界部署2台下一代防火墙（目前已有1台，存在单点故障问题，且需要明确相应的安全模块完整），实现核心业务区域边界的网络访问控制。并通过核心业务防火墙隔离核心交换区、安全管理区和安全运维区。对于核心交换机区、出口区域、DMZ区域通过原有防火墙进行隔离，建议完善防病毒模块。3.5中海博局域网方案安全管理方案。信息技术部根据等保2.0对网络信息安全的要求，从安全责任制、技术防范措施、操作管理规程、应急预案和信息安全报告制度等方面建立相应的制度，做到有法可依，有法必依。根据测评年度要求，定期对信息系统进行等级保护测评，对网络信息安全相关制度每年进行适当修订。加强对全体馆员的网络安全教育，通过定期培训技能和法律知识培训，普及基本的操作技能，通过网络安全主题宣传，印刷网络安全彩页知识宣传页分发到各部门，召集员工收看网络安全宣传视频，各部门落实专人为网络安全员，每年定期培训，针对网络个人信息保护、密码安全、公共WIFI安全、数据安全、移动介质安全、防范勒索软件等相关网络安全知识进行讲解，通过定期的安全意识考核，采用线上答题、访谈、抽查等方式进行安全意识考核，对不达标或者存在重大安全意识问题的员工进行针对性的安全培训。以此帮助员工增强网络安全意识，提升网络安全风险防范能力，降低内外网融合后的风险。

4结束语

局域网安全建设已经成为网络信息系统管理的重要方面，对于管理机构的要求也不断提升，在实际运行过程中，各个部门的人员都需要根据自身情况积极参与进来，通过技能培训提升自身网络技术应用水平，切实加强对网络安全技术的重视程度，以此为局域网安全运行奠定坚实的基础。

参考文献：

[1]宋晨媛.计算机局域网网络的安全建设核心探索[J].计算机产品与流通,2018(12):33.

[2]李章平.虚拟局域网的建设与安全策略研究[J].南方农机,2018,49(1):138,141.

[3]邢志玲.关于建设安全计算机局域网网络分析[J].网络安全技术与应用,2017(3):20-21.

作者:申继平 单位:上海中国航海博物馆