基于局域网的全局安全设计探究分析

摘要：一系列的组合设计在局域网内信息安全中得以进行和实施，这主要包含的内容有GSN全局安全设计工作流程、GSN硬软件组成部件、GSN全局安全设计功能使用、GSN全局安全设计的典型部署模式。网络安全的监控、检测、防御和处理需要从身份、主机和网络等多个角度进行。

关键词：局域网；全局安全；设计探究

中图分类号：TP393.1 文献标识码：A 文章编号：1007-9599 （2012） 15-0000-02

随着我国信息技术的不断发展，现阶段网络的运用在各行各业都有所体现。但是当前，完成了基础网络的构架，上线了各种应用和业务，但是网络攻击和破坏的行为也成为了影响网络安全的重要因素，网络的安全建设就显得尤为重要。

1 基于局域网的全局安全设计的必要性

网络的管理者会经常会到网络安全遭遇到各种木马、病毒的攻击，这使他们明白网络安全的重要性。在现实生活中，超过七成以上的网络安全事故是来自于局域网的内部。例如灰鸽子、熊猫烧香、ARP欺骗这些被我们所熟知的网络病毒和木马就是在局域网内进行的扩散和传播，从而对网络安全造成了危害。

对于上述出现的问题，一些企业单位采用的方法就是投入大量的资金，用来采购和安装一些安全的软件和设备。例如防毒墙、防火墙、资产管理软件、服务器、防病毒软件等。企事业单位主要是运用这些软件和设备来进行网络的安全的维护和管理，虽然这些软件在抵御外部攻击方面有着良好的效果，但是其也有着明显的缺点，就是对内网的控制和防护的不够。有效的安全措施是NAC（网络访问控制），其采用的方式是通过主机健康性保障、身份验证、网络安全性保证等多个方面来对内网用户的有效管理。这一系列措施的采用，从而保证了内网用户的身份的合法性，网络通信的安全和上网主机的安全，同时也保证了用户网络访问行为的健康化。简而言之，就是让正确的人能够使用健康的主机，从而安全地访问网络。

全局安全网络GSN（Global Security Network）要实现全局的安全，在设计的过程中就要注意将软硬件能够融合成一体，硬件和软件联动。结合网络领域和计算机领域，从而达到全局安全的目的。

2 GSN的组成

全局安全网络GSN（Global Security Network）主要是由身份策略管理中心IPC（Identification Policy Center）、安全管理平台SMP（Security Management Platform）、安全事故解析器SEP（Security Event Parser）、安全客户认证客户端SU（Supplicant）、入侵检测系统IDS（Intrusion Detection System）、安全智能交换机组成的。

身份策略管理中心IPC（Identification Policy Center）中包含有全部用户的主机信息、身份信息、软件信息、网络信息等其他多种信息，个性化的安全策略的制定，可以保证整个系统高度统一的安全策略。安全管理平台SMP（Security Management Platform）是身份策略管理中心IPC（Identification Policy Center）的分支机构，身份策略管理中心IPC（Identification Policy Center）将管理权下放给安全管理平台SMP服务器，分支机构就实现对信息的自行管理，总部只是通过身份策略管理中心IPC对信息进行收集和同步的工作。

安全管理平台SMP（Security Management Platform）对全局安全网络GSN的组成部分有着统领的作用，用户的身份信息都存在安全管理平台SMP上，为了保证用户身份的合法性，所以在用户进入网络之前，用经过安全管理平台SMP服务器的认证。安全客户认证客户端SU（Supplicant）和安全管理平台SMP（Security Management Platform）的联动从获取入网PC（Personal Computer）的安全状况，从而将对用的安全修补策略通过安全客户认证客户端SU下发到PC上，从而实现主机完整性的管理。入侵检测系统IDS（Intrusion Detection System）和安全管理平台SMP（Security Management Platform）的联动可以有效地处理发起攻击的攻击源，修复被攻击的对象，有效地管理网络攻击问题。同时其余安全智能交换机和安全网关的配合，可有效地防止ARP的攻击。

安全事故的分析、收集和上报是安全事故解析器SEP（Security Event Parser）的主要作用。它直接接口于IDS入侵检测设备，大量的安全事件库预置在安全事故解析器SEP上，这样就可以实现准确地分析IDS设备反馈的安全事件，并决定是否上报安全管理平台SMP（Security Management Platform）。

安全客户认证客户端SU（Supplicant）和安全管理平台SMP配合检查主机的完成性和用户的身份验证，下发安全策略。在发生安全事件的时候，对安全管理平台SMP发来的处理策略的接收。配合安全管理平台SMP和安全网关，可以实现主机端防范APR病毒。

入侵检测系统IDS（Intrusion Detection System）主要是由控制台、日志服务器、时间收集器和传感器组成的。传感器对网络安全事故的检测主要是通过镜像口碰经过交换机的数据流量来实现的。当检测到安全事故，事件收集器就会收到传感器发来的时间，控制台也会收到传感器上报的事件，并对其处理。安全管理平台SMP和入侵检测系统IDS的联动就可以实现安全管理平台SMP在最短的时间内获得遭受攻击用户的MAC和IP信息，通过与安全管理平台SMP的联动找出攻击的元凶，相应的策略经过客户端进行下发。

安全智能交换机上的ACL、802.1X等相关的功能可以将PC安全、用户行为、用户身份等元素通过网络连接起来，实现全局安全网络GSN的“联动”“强制”效果。其将网络的安全因素排除之外的主要方式就是通过对安全管理平台SMP命令的执行。

3 GSN全局安全设计功能

全局安全网络GSN主要是从身份管理体系、Windows补丁的强制更新、三重立体的ARP防御体系的建立、对黑白名单的严格控制、联动的网络通信防护体系的建立。

身份管理体系中，全局安全网络GSN采用的是Radius协议和802.1X协议为基础的身份验证体系，对用户访问网络的身份的控制主要就是全局安全网络GSN和身份管理体系的联动来实现的。全局安全网络GSN为了保证用户身份的合法性，主要是通过严格的MAC、交换机端口、交换机IP、IP、用户名和密码这六元素的绑定措施得以实现的。

Windows补丁的强制更新主要是通过微软WSUS服务器和全局安全网络GSN的联动实现的，除了后台自助自动对Windows补丁的强制更新无需客户参与以外，Windows补丁的下载、安装、检测的过程也是同样的。

对于现在的ARP横行的现象，就必须建立强有力的防御体系。全局安全网络GSN通过介入设备、网关设备和后台软件的联动实现。

全局安全网络GSN的重要功能就是对软件的控制，全局安全网络GSN通过对软件的安装、后台服务、进程管理和注册表项的管理实现了对软件的强制安装、使用和对违禁软件的禁用功能。这就保证了网络安全和提高办公效率的实现。

联动的网络通信防护体系的建立主要是通过SEP安全事件解析器、安全管理平台SMP和IDS入侵检测设备的联动得以实现的，主要功能就是要检测网络安全事件，并对其进行分析和处理，身份验证的辅助，从事对网络安全事件的定位，对时间进行自动通知和处理。

4 结束语：

本文主要介绍了基于局域网的全局安全设计的必要性；全局安全网络GSN主要是由身份策略管理中心IPC、安全管理平台SMP、安全事故解析器SEP、安全客户认证客户端SU、入侵检测系统IDS、安全智能交换机组成的。全局安全网络GSN主要是从身份管理体系、Windows补丁的强制更新、三重立体的ARP防御体系的建立、对黑白名单的严格控制、联动的网络通信防护体系的建立。

参考文献：

[1]刘彪.一种基于局域网的全局安全设计[J].计算机安全，2010，09.

[2]孙晓妮.浅论网络信息的安全管理[J].黑龙江科技信息，2009，33.

[3]张田.计算机网络安全相关问题分析[J].中小企业管理与科技（上旬刊），2011，08.

[4]王秋华，章坚武，骆懿.网络安全体系结构的设计与实现[J].杭州电子科技大学学报，2005，05.

[5]张俊峰，梁容，赵海燕，李爱民.网络安全系统的设计与实现[J].网络安全技术与应用，2008，01.

[6]王莹，孙厚娟，韩宇亮.档案信息安全初探[J].潍坊教育学院学报，2007，04.