下载掌阅APP,畅读海量书库
立即打开
本节给出几种有保密要求的网络应用场景。
(1)互联网上特定客户端,通过互联网与“安全的”局域网交互。
(2)建立内部级、涉密级信息系统。
【本节的重点是防范来自互联网的攻击和局域网的安全防护】
欲建立局域网,首先,要根据局域网的安全需求来设计满足安全需求的网络系统架构;其次,根据业务需求来设计满足业务需求的系统功能。
在设计网络系统架构时,要划分好各种安全域,如公共域、信息敏感域、企业核心域、普通办公域、核心办公域、监控域、运维域、日志审计域、应急处置域等,在此基础上,再设计、制定、实施各种网络安全防护措施,做好网络安全防护。
经过策划给出满足一定安全需要的网络架构和安全防护措施,如图2-22所示。
图2-22 日志审计系统与运行网分离
由图2-22可知,该网络系统中有安全设备区、公共办公区、安全管理区、服务器区、核心服务器区、核心办公区、日志审计网、堡垒机及必要的网络设备。下面简要地对其进行介绍。
安全设备区中的安全设备主要用于防护来自互联网的攻击、对网络数据进行安全过滤、对接入网络的互联网用户进行安全认证、对网络系统进行安全检测等。
公共办公区是网络系统中处理公共事务的区域。
安全管理区是网络系统中用于对系统进行日常维护、监控系统运行、事件应急处置等的工作区域。
服务器区是网络系统中提供普通对外服务的区域,其存储的是普通的数据。
核心服务器区和核心办公区是网络系统中处理企业敏感数据的区域,通过双向网闸或单向网闸与前端的普通工作区域网络分离。核心区域的日志系统要单独建立。
日志审计网是记录网络系统中所有用户行为的区域。为了提高日志审记网的安全性、可靠性,可以将其独立组网,即所有网络中的安全设备日志、登录记录、行为记录、操作记录等都通过其特殊的端口或经单向网闸导入日志审计系统,从而保证网络系统日志的真实性和完整性。
在普通的网络中也可加入无线局域网,如图2-23所示。
图2-23 在网络中加入无线局域网
在网络中加入无线局域网后,在本地办公区域附近的用户可以使用Wi-Fi登入办公网络。要注意Wi-Fi设备的功率,要控制好Wi-Fi的范围,做好Wi-Fi区域的安全防护。
除了无线局域网,也可以采用无线路由桥接的方式连接网络,如图2-24所示。
图2-24 以无线路由桥接的方式连接网络
此外,还可选择其他不同的上网方式,如图2-25所示。
图2-25 采用不同的上网方式
巧妙地利用热点或Wi-Fi来截获先进的智能手机或智能设备的传输数据信息或流量,可以实现对智能手机或智能设备的无损安全检查。
我们要根据局域网不同的用途,选用不同的安全防护方案,采取不同的安全防护策略。比如,选用不同的安全设备,采取不同的安全配置等。具体请参见第4章。
【本节的重点是局域网之间的安全防护】
我们先来看图2-26所示的网络结构。
图2-26 通过专线连接局域网
本方案是通过VPDN或PSDN数据专线,将两个或多个局域网连接起来,以此来保证局域网之间的传输安全;各局域网的数据实行数据属地管理。如果有中心局或总局,那么各中心局向总局上报信息,总局统筹管理,指导各中心局的工作。
网络终端用户可以临时通过数据专线,经安全认证后登入网络系统;移动用户也可以使用4G或5G的专用物联网卡临时通过数据专线,经安全认证后登入网络系统。(由无线通信接入网络系统,会给网络系统带来一定的安全隐患。)
【本节的重点是局域网内部的安全防护】
对隔离的网络来说,有时也有不同安全级别要求,其网络连接方案如图2-27所示。
图2-27 两个网络通过单向网闸连接
如以企业、行业、组织、行政区域、国家部委等为单位,建立独立的网络系统,与国际互联网物理隔离,一般能很好地保证网络系统的安全性。
使用堡垒机对独立的局域网进行安全防护是比较有效的技术手段。独立的局域网的安全性很大程度上取决于安全管理。
一般分级保护网络中不允许有无线设备,不允许连接互联网。
对独立的局域网来说,病毒并不是不能入侵(对隔离网络的入侵参见5.3节),因此,对局域网也要采取严格的安全防护措施,不能掉以轻心。