一种局域网安全管理的方法.pdf

服 务 实战指南 一种局域网安全管理的方法 刘志光 (广东电网公司茂名供电局，广东 茂名 525000) 摘 要：局域网的安全管理是目前许多安全问题的焦点，作者将局域网的安全管理分为局域网出入口管理、局域网内 部管理、数据的保护三个方面。并从这三个方面进行阐述和解释，解释了如何从这三个方面将局域网的安全管理性能 提高到一个新的档次。 关键词：安全管理；互联网审计；数据保护 地保证局域网内部的安全；同时，也可以控制局域网内部 1 引言 用户访问互联网。 以互联网为代表的全球性信息化浪潮日益高涨，信息 在局域网到互联网的连接处部署互联网管理产品，对 网络技术正日益普及和广泛应用。应用层次正在深入，应 整个内部网络客户机与互联网的交互行为及内容进行审计 用领域从传统的、小型业务系统逐渐向大型、关键业务系 和管理。如网页浏览、收发邮件、聊天、音视频、游戏等。 统扩展，典型的如行政部门业务系统、金融业务系统、企 互联网管理系统可以并联在局域网出口处的交换机上 业商务系统等。伴随网络的普及，很多企业和组织内部建 面，不会影响出入口的网络流量和性能。互联网管理系统 立起自己相对独立的内部局域网，内部局域网的使用用户 主要包含以下几个部分：策略配置、访问审计、隔离区等。 很有限，而互联网所具有的开放性、国际性和自由性在增 策略配置程序提供管理策略设置接口，可以定义哪些协议 加应用自由度的同时，也存在着太多的风险：恶意网站、 可以通过出入口，哪些协议不可以通过出入口。同时可以 网上欺诈、网络病毒等无时无刻不在困扰着互联网用户， 对流入流出的数据流进行基于关键字的过滤；访问审计用 而局域网内部用户，却利用有限的网络资源做工作以外的 于记录数据的流入、流出的情况；隔离区是用于保存危害 事情，如网上开店、炒股、聊天、进行网游等。这些对互 数据的区域，保存周期为 60 天，出入口管理系统可以将 联网的访问又导致局域网内部问题的发生，如何有效地保 系统认为会对局域网内部造成危害的数据置入隔离区，管 护局域网内部的安全，如何有效地保证局域网用户能够合 理员可以手动将这些数据恢复成安全的数据。 理正确地使用互联网，同时尽量减少来自开放的互联网给 互联网管理系统的设置可以采用两种方式：第一种是 我们带来的危害，是我们应该密切关注的一个重点问题。 满足必需的要求，只容许用户访问使用一定范围内的协议 笔者通过若干次的实践，认为提高对局域网的管理， 访问必需的互联网资源；第二种也可以采用不容许的方式， 应该包含局域网出入口管理、局域网内部管理、数据的保 记录可能带来危害的互联网资源的信息，不容许内部用户 护三个方面。下面就我们在某信息系统的实践进行讲解， 访问这些资源。 说明如何从这三个方面提高对局域网的安全管理程度。 3 局域网内部管理 2 局域网出入口管理 局域网内部的安全管理用于建立完善的监控机制，实 局域网内部和互联网都有接口，是局域网内资源和互 现对网络环境中网络设备、安全设备及服务器的实时监 联网资源进行交互的必经之路。随着这些信息的不断流入、 控；提供对终端主机的全面远程安全管理，提供对关键业 流出，这种方式给局域网内部造成巨大的安全风险。或者 务系统运行状态及其他相关指标的实时监控。 风险本身就来源于局域网内部，但是必须依赖于