時間:2023-09-26 09:49:52
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇企業網絡安全評估范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
1.1物理層邊界限制模糊
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標、使用主體、性質等因素,合理劃分企業邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系,構建企業網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業網絡安全問題轉化為小區域的、簡單的安全防護問題,有效控制企業網絡系統風險,提高網絡安全;第二,合理劃分企業網絡安全域,優化網絡架構,實現企業網絡安全設計、規劃和入網;第三,明確企業網絡各個區域的安全防護難點和重點,加大安全設備投入量,提高企業網絡安全設備的利用率;第四,加強企業網絡運行維護,合理部署企業網絡的審計設備,提供全面的網絡審核和檢查依據,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域?;A保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展,企業網絡面臨的安全威脅也不斷發生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態防護?;谌肭謾z測的動態防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業網絡的入侵威脅,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞,可利用備份恢復機制,及時恢復企業網絡設置,確保企業網絡的安全運行。通過動態安全防護策略,利用動態反饋機制,提高企業網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限。企業網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業網絡中的應用層、數據層、系統層、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護、操作系統安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統,避免用戶的違規操作和越權操作。又例如,由于網絡環境比較復雜,可在企業網絡的應用層、數據層和系統層,設置網絡監控和檢測模塊,保護企業網絡的服務器,防止權限濫用和誤操作。
3.結語
關鍵詞:企業網絡安全;網絡防御體系;動態安全模型;系統檢測
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2010) 07-0000-01
Related Issues of Enterprise Network in Defense Depth System
Lian Qiang
(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)
Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.
Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing
一、引言
網絡安全體系結構是從系統的、整體的角度來考慮網絡安全問題。參照權威的信息安全標準,圍繞企業網絡特點,以先進的網絡安全理論為指導的,是解決企業網絡安全體系問題的必不可少的手段[1,2]。本文正是基于這個思路,力爭站在一個統攬全局的層次上,摒棄企業網絡的實現細節,抽象網絡安全需求,建立一個完善的企業網絡安全模型與體系。
二、企業網絡動態安全模型
針對一個具體的網絡系統,網絡活動、網絡的系統管理甚至網絡體系結構都可能是一個動態的、不斷變化的過程,所以,在考慮網絡的安全性時,應從被監控網絡或系統安全運行的角度,根據實際情況對網絡(或系統)實施系統的安全配置。也就是說,網絡安全應是一個從網絡運行的角度考慮其安全性的動態過程。
這里提出的可自適應網絡安全模型P2DR就是這樣一個動態的安全模型。其中,安全策略用以描述系統的安全需求以及如何組織各種安全機制來實現系統的安全需求。從基于時間的角度及普遍意義上講,P2DR模型概括了信息網絡安全的各個方面。我們需要根據模型做出自己的定義和闡述,使其符合企業網絡安全防御體系的需要。
(1)
公式中Pt表示系統為了保護安全目標而設置各種保護后的防護時間,也可認為是黑客攻擊系統所花的時間。Dt表示從攻擊開始,系統能夠檢測到攻擊行為指導所花的時間。Rt為發現攻擊后,系統能做出足夠響應將系統調整到正常狀態的時間。如果系統能滿足上述公式,即:防護時間Pt大于檢測時間Dt加上響應時間Rt,
則認為系統是安全的,因為它在攻擊造成危害前就對攻擊做出了響應并做出了處理。
(2) ,if
公式中Et表示系統的暴露時間,假定系統的防護時間Pt為0,即系統突然遭到破壞,則希望系統能快速檢測到并迅速調整到正常狀態,系統的檢測時間Dt和響應時間置之和就是系統的暴露時間Et。該時間越小,系統安全性越好。由此,我們可以得出動態網絡安全的新概念:及時的檢測和響應就是安全。
三、基P2DR模型的企業安全防御體系
根據前面敘述的P2DR動態網絡安全模型,針對企業的網絡系統,我們可以在對網絡系統進行安全評估的基礎上制定具體的系統安全策略,借助現有各種網絡安全技術和工具,設立多道的安全防線來集成各種可靠的安全機制從而建立完善的多層安全防御體系,以求能夠有效地抵御來自系統內外的入侵攻擊,達到企業網絡系統安全的目的。
(一)以安全策略為中心
企業規程應該簡明扼要。規程不應包含技術實施的詳細內容,因為這些內容經常更改。設計安全策略時應認真制訂計劃,以確保所有與安全有關的問題都得到充分重視。
(二)系統預警
預警是防患于未然,因此有效的預警措施對企業網絡安全十分重要。對安全漏洞的掃描是系統預警的重要方面。所謂漏洞掃描是指利用掃描程序(scanner)自動檢測遠端或本地主機安全脆弱點。在網絡管理員的手里,掃描程序可以使一些煩瑣的安全審計工作得以簡化。我們可以將常用的攻擊方法集成到漏洞掃描程序中,輸出統一格式的結果,這樣就可以對系統的抗攻擊能力有較為清楚的了解。
(三)系統防護
系繞防護包括系統論證、訪問控制、加密傳輸、數據完整性檢查等。防火墻作為一種傳統的網絡安全產品,其主要功能就是實施訪問控制策略。訪問控制策略規定了網絡不同部分允許的數據流向,還會制定哪些類型的傳輸是允許的,其它的傳輸都將被阻塞。加密傳輸也很重要。由于Internet上數據的時文傳輸,維修Internet造成了很大的顧慮。隨著全球經濟一體化趨勢的發展,加密是網絡防御體系中日益重要的一塊,在Internet上構筑虛擬專用網(VPN)是解決加密傳輸的一種普遍實用的方法。
(四)系統檢測
檢測包括入侵檢測、網絡審計和病毒檢測,入侵檢測和網絡審計的功能有很大的重復性,它們可以互為補究。其數據源也可以一次采集,重復利用。入侵檢測作為一種動態的監控、預防或抵御系統入侵行為的安全機制,是對傳統計算機機制的一種擴充,它的開發應用增大了網絡與系統安全的保護縱深,這是因為:現有的各種安全機制都有自己的局限性。
四、結語
本文描述了企業網絡的組成與特點,指出了我國企業安全存在的問題。針對這些問題,說明了P2DR動態安全模型,并詳細闡述了基于P2DR模型的企業網絡安全防御體系,解釋了體系各部分的組成和功能。
參考文獻:
防火墻是網絡安全的基本防護設備,其安全性受到了越來越多人的重視,尤其是在當前科技迅猛發展的環境下,各企業也迅速的崛起,使得企業在網絡環境的推動下,也面領著嚴峻的信息安全挑戰。在這種環境下,人們對于防火墻的安全性要求也隨之提高。當前,企業的防火墻要實現安全設計,還需要對企業的網絡安全進行全方面的需求分析,通過針對性的設計,提高防火墻的實用性、功能性、安全性。
【關鍵詞】
防火墻;企業網絡安全設計;實現
1前言
計算機網絡技術的廣泛應用,為企業提供了更多的發展平臺與業務渠道,在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天,各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害,不僅嚴重威脅到企業的信息安全,而且給企業帶來較大的經濟損失,造成了企業形象的破壞。因此,才需要使用防火墻技術,通過防火墻網絡技術的安全設計,對各種病毒與網絡攻擊進行抵御,維護企業的信息安全,促進企業的健康穩定發展。
2防火墻的企業網絡安全設計原則
在企業防火墻的網絡安全設計中應該遵循一定的原則,即:全面、綜合性原則,也就是企業的網絡安全體系設計,應該從企業的整體出發,對各項信息威脅進行利弊權衡,進而制定出可行性的安全防護措施;簡易性原則,主要是對于網絡安全設計,既要保證其安全性,又要保證其操作簡便性,以免系統過于復雜而造成維護上的阻礙;多重保護原則能夠在建立多重的網絡安全機制,確保整個網絡環境安全;可擴充原則,主要是指在網絡運用過程中,要隨著新變化的出現,對于之前的網絡安全系統進行升級與擴充;靈活性原則,也就是防火墻的網絡安全設計方案,應該結合企業自身網絡現狀及安全需求,采用靈活、使用的方式進行設計;高效性原則,也就是防火墻的網絡安全設計應該確保投資與產出相符,通過安全性的設計解決方案,避免重復性的投資,讓企業投入最少的項目資金,獲得最大的收益,有效維護企業的安全[1]。
3防火墻的企業網絡安全設計
防火墻為服務器的中轉站,能夠避免計算機用戶與互聯網進行直接連接,并對客戶端的請求加以及時地接收,創建服務其的連接,并對服務器發出的信號相應加以接受,再通過系統將服務器響應信號發送出去,并反饋與客戶端。
3.1防火墻加密設計
防火墻的加密技術,是基于開放型的網絡信息采取的一種主動防范手段,通過對敏感數據的加密處理、加密傳輸,確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種,這種數據加密技術,主要是對明文的文件、數據等通過特定的某種算法加以處理,成為一段不可讀的代碼,維護數據信息的安全,以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密,其中硬件加密的效率較高,且安全系數較高,而軟件加密的成本相對來說較低,使用性與靈活性也較強,更換較為方便。
3.2入侵檢測設計
入侵主要指的是外部用戶對于主機系統資源的非授權使用,入侵行為能夠在一定程度上導致系統數據的損毀與丟失,對于企業的信息安全與網絡安全會造成較大的威脅,甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中,應該加強對入侵者檢測系統的重視,對于入侵腳本、程序自動命令等進行有效識別,通過敏感數據的訪問監測,對系統入侵者進行行為分析,加強預警機制,檢測入侵者的惡意活動,及時發現各種安全隱患并加以防護處理。
3.3身份認證設計
身份認證主要是對授權者的身份識別,通過將實體身份與證據的綁定,對實體如:用戶、應用程序、主機、進行等加以信息安全維護。通常,證據與實體身份間為一種對應的關系,主要由實體方向提供相應的證據,來證明自己的身份,而防火墻的身份認證則通相關的機制來對證據進行驗證,以確保實體身份與證據的一致性。通過身份認證,防火墻便能夠對非法用戶與合法用戶加以識別,進而對非法用戶進行訪問設置,維護主機系統的安全。
3.4狀態檢測設計
訪問狀態檢測,是控制技術的一種,其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問,是維護企業網絡安全的重要手段之一。防火墻的訪問控制,一般可分為兩種類型:①系統訪問控制;②網絡訪問控制。其中,網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問,以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制,主要是結合企業的實際管理需求,對不同的用戶賦予相應的主機資源操作、訪問權限。
3.5包過濾數據設計
數據包過濾型的防火墻主要是通過讀取相應的數據包,對一些信息數據進行分析,進而對該數據的安全性、可信度等加以判斷,并以判斷結果作為依據,來進行數據的處理。這在個過程中,若相關數據包不能得到防火墻的信任,便無法進入該網絡。所以,這種技術的實用性很強,能夠在網絡環境下,維護計算機網絡的安全,且操作便捷,成本較低。但需要注意的是,該技術只能依據一些基本的信息數據,來對信息安全性進行判斷,而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現,對用戶的定義內容進行過濾,在網絡層、數據鏈路層中截獲數據,并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全,需要對該種技術進行充分的利用,并適當融入網絡地址翻譯,對外部攻擊者造成干擾,維護網絡內部環境與外部環境的安全。
4企業網絡安全中的實現
4.1強化網絡安全管理
用將防火墻技術應用于企業的網絡安全中,還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析,對本企業存在的信息安全加以風險評估,熟悉掌握本企業網絡安全的薄弱環節,全民提高企業的信息安全。另外,企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握,對企業的未來業務發展加以合理的預測分析,進而制定出科學合理的網絡信息安全策略。同時,企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解,做好防止黑客入侵的措施。
4.2網絡安全需求分析
企業的網絡安全為動態過程,其設方案需要結合自身的實際狀況加以靈活設計,進而提高設計方案的適用性、安全性,維護企業整個網絡的安全。在對企業網絡需求進行分析時,還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中,對于系統使用頻繁,提供服務資源的數據庫與服務器,要在網絡環境下,確保其運行安全,以免疏導惡意攻擊與訪問;而對于網絡訪問設計應具有一定的可控性,具備相應的認證與授權功能,對用戶的身份加以識別,對敏感信息加以維護,以免企業的核心系統遭到攻擊[4];網絡資源要確保其適用性,能夠承載企業的辦公自動化系統及各項業務的運行使用,并保證網絡能夠不間斷地高效運行;同時,針對網絡管理,應該具有可操作性,在安全日志與審計上進行相關的信息記錄,以免企業信息系統管理人員的日后維護。
4.3網絡安全策略的制定
要實現企業的網絡安全,還需要對企業的實際網絡安全需求進行了解之后,針對不同的信息資源,制定出相關的安全策略,通過各種系統保密措施、信息訪問加密措施、身份認證措施等,對企業信息資源維護人員相關的職責加以申請與劃分,并對訪問審批流程加以明確。最后,還需要企業的信心管理人員對整個安全系統進行監控與審計,通過監控系統的安全漏洞檢查,對威脅信息系統安全的類型與來源進行初步判斷,通過深入分析,制定出完善是網絡安全防護策略[5]。
5結束語
在互聯網環境下,信息資源的存儲量巨大,運行較為高效,不僅為企業帶來了較大發展空間,也使企業的信心安全面臨巨大的威脅。因此,企業需要加強防火墻系統的建設,提高對網絡安全系統的認識,通過有效措施,加強防火墻的安全設計,構建一個相對穩定的網絡環境,維護企業的信息安全,讓企業在可靠的信息網絡環境開發更多的客戶資源,以尋得健康、穩定、持續的發展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻
[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術,2016(02):42~44.
[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用,2015(07):74+77.
[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護,2016(06):78~80.
關鍵詞:企業;網絡安全;管理;部署
中圖分類號:F224.33文獻標識碼:A文章編號:1672-3198(2008)03-0128-02
1 引言
隨著信息化進程的提速,越來越多地企業信息被披露于企業內外部網絡環境中,如何保護企業機密,保障企業信息安全,成為企業信息化發展過程中必然需要面臨和解決的問題。
對于企業信息網絡安全管理需要部署的內容,首先要明確企業的哪些資產需要保護,確定關鍵數據和相關業務支持技術資產的價值,然后在此基礎上,制定并實施安全策略,完成安全策略的責任分配,設立安全標準。
2 企業網絡信息安全需求分析
對企業網絡信息安全的網絡調查顯示:有超過85%的安全威脅來自企業內部;有16%來自內部未授權的訪問;有11%資料或網絡的破壞??梢钥闯觯簛碜杂谄髽I內部的安全威脅比來自于外部的威脅要大得多,必要的安全措施對企業是非常重要的。安全風險分析通常包括對系統資源的價值屬性的分析、資源面臨的威脅分析、系統的安全缺陷分析等等。分析的目標就是確定安全系統的建設環境,建立信息系統安全的基本策略。
2.1 企業信息網絡安全需求
企業對信息網絡安全方面的需求主要包含:
(1)業務系統與其它信息系統充分隔離。
(2)企業局域網與互聯的其它網絡充分隔離。
(3)全面的病毒防御體系,恢復已被病毒感染的設備及數據。
(4)關鍵業務數據必須進行備份,具有完善的災難恢復功能。
(5)管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估,并根據評估結果采用相應措施。
(6)關鍵業務數據和敏感數據在公網上的傳輸必須加密,防止非法獲取和篡改。
(7)加強內部人員操作的技術監控,采用強有力的認證系統,代替一些不安全的用戶名/口令系統授權模式。
(8)建立完善的入侵審計和監控措施,監視和記錄外部或者內部人員可能發起的攻擊。
(9)對整個信息系統進行安全審計,可預見管理和總擁有成本控制。
2.2 企業信息網絡安全內容
從企業整體考慮,它的信息網絡安全包括以下六個方面:
(1)企業信息網絡安全策略建設,它是安全系統執行的安全策略建設的依據。
(2)企業信息網絡管理體系建設,它是安全系統的安全控制策略和安全系統體系結構建設的依據。
(3)企業信息網絡資源管理體系建設,它是安全系統體系結構規劃的依據。
(4)企業信息網絡人員管理建設,它是保障安全系統可靠建設、維護和應用的前提。
(5)企業信息網絡工程管理體系建設,信息安全系統工程必須與它統一規劃和管理。
(6)企業信息網絡事務持續性保障規劃,它是信息安全事件處理和安全恢復系統建設的依據。
3 企業信息網絡安全架構
3.1 企業信息網絡安全系統設計
安全系統設計是在信息系統安全策略的基礎上,從安全策略的分析中抽象出安全系統及其服務。安全系統的設計如圖1所示。安全系統設計的目標是設計出系統安全防御體系,設計和部署體系中各種安全機制從而形成自動的安全防御、監察和反應體系,忠實地貫徹系統安全策略。
3.2 企業信息網絡安全系統組建
安全系統設計關心的是抽象定義的系統。具體系統組建是建立在設計基礎上的實現。通常系統功能組件的實現方式是軟件、硬件和固體等。安全系統組建的另一項重要內容是配制安全系統,并將安全系統與整個信息系統形成一體。
4 企業信息網絡安全工程的部署
信息系統安全是信息系統服務質量的要求,網絡安全系統應當融于信息網絡服務系統之中,其建設與維護應當與信息網絡系統的建設和維護保持一致,遵循系統工程的方法。網絡安全工程就是應用系統工程建設和維護網絡安全系統。
4.1 工程環節
系統工程總是與被建設的系統特性緊密結合,工程環節與系統生命周期保持同步。安全系統的生命周期也是基本如此,因而安全系統工程典型的基本環節包括信息系統安全需求分析、安全系統設計、安全系統組建、安全系統認證、系統安全運行維護和安全系統改造等,如圖2所示。
(1)安全的互聯網接入。
企業內部網絡的每位員工要隨時登錄互聯網,因此Internet接入平臺的安全是該企業信息系統安全的關鍵部分,可采用外部邊緣防火墻,其內部用戶登錄互聯網時經過內部防火墻,再由外部邊緣防火墻映射到互聯網。外部邊緣防火墻與內部防火墻之間形成了DMZ區。
(2)防火墻訪問控制。
外部邊緣防火墻提供PAT服務,配置IPSec加密協議實現VPN撥號連接以及端到端VPN連接,并通過擴展ACL對進出防火墻的流量進行嚴格的端口服務控制。
內部防火墻處于內部網絡與DMZ區之間,它允許內網所有主機能夠訪問DMZ區,但DMZ區進入內網的流量則進行嚴格的過濾。
(3)用戶認證系統。
用戶認證系統主要用于解決撥號和VPN接入的安全問題,它是從完善系統用戶認證、訪問控制和使用審計方面的功能來增強系統的安全性。
撥號用戶和VPN用戶身份認證在主域服務器上進行,用戶賬號集中在主域服務器上開設。系統中設置嚴格的用戶訪問策略和口令策略,強制用戶定期更改口令。同時配置VPN日志服務器,記錄所有VPN用戶的訪問,作為系統審計的依據。
(4)入侵檢測系統。
企業可在互聯網流量匯聚的交換機處部署入侵檢測系統,它可實時監控內網中發生的安全事件,使得管理員及時做出反應,并可記錄內部用戶對Internet的訪問,管理者可審計Internet接入平臺是否被濫用。
(5)網絡防病毒系統。
企業應全面地布置防病毒系統,包括客戶機、文件服務器、郵件服務器和OA服務器。
(6)VPN加密系統。
企業可建立虛擬專網VPN,主要為企業移動辦公的員工提供通過互聯網訪問企業內網OA系統,同時為企業內網用戶訪問公司的SAP系統提供VPN加密連接。
需要注意的是,由于VPN機制需要執行加密和解密過程,其傳輸效率將降低30%~40%,因此對于關鍵業務,如果有條件應該盡可能采用數據專線方式。
(7)網絡設備及服務器加固。
企業網絡管理員應定期對各種網絡設備和主機進行安全性掃描和滲透測試,及時發現漏洞并采取補救措施。安全性掃描主要是利用一些掃描工具,模擬黑客的方法和手段,以匿名身份接入網絡,對網絡設備和主機進行掃描并進行分析,目的是發現系統存在的各種漏洞。
根據安全掃描和滲透測試的結果,網絡管理員即可有針對性地進行系統加固,具體加固措施包括:關閉不必要的網絡端口;視網絡應用情況禁用ICMP、SNMP等協議;安裝最新系統安全補?。徊捎肧SH而不是Telnet進行遠程登錄;調整本地安全策略,禁用不需要的系統缺省服務;啟用系統安全審計日志。
(8)辦公電腦安全管理系統。
企業應加強對桌面電腦的安全管理。主要有:
①補丁管理:主要用于修復桌面電腦系統漏洞,避免蠕蟲病毒、黑客攻擊和木馬程序等。
②間諜軟件檢測:能夠自動檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。
③安全威脅分析:能夠自動檢測桌面電腦的配置風險,包括共享、口令、瀏覽器等安全問題,并自動進行修補或提出修改建議。
④應用程序阻止:用戶隨意安裝的游戲等應用程序可能導致系統紊亂、沖突,影響正常辦公。管理員可以通過遠程執行指令,阻止有關應用程序的運行。
⑤設備訪問控制:對用戶電腦的硬件采用適當的訪問控制策略,防止關鍵數據丟失和未授權訪問。
(9)數據備份系統。
企業應制定備份策略,定期對一些重要數據進行備份。
4.2 持續性計劃
(1)架構評估。
企業網絡信息安全管理架構的評估應由IT部門、相關責任部門以及終端用戶代表來共同參與,確保所有的部門都能納入安全框架中。
(2)系統安全運行管理。
要保障信息系統安全,就必須維護安全系統充分發揮作用的環境。這種環境包括安全系統的配置、系統人員的安全職責分工與培訓。
(3)安全系統改造。
信息系統安全的對抗性必然導致信息安全系統不斷改造。導致安全系統改造的因素可以歸結為4個方面:技術發展因素;系統環境因素;系統需求因素;安全事件因素。
(4)網絡安全制度建設及人員安全意識教育。
企業應當采取積極防御措施,主動防止非授權訪問操作,從客戶端操作平臺實施高等級防范,使不安全因素在源頭被控制。這對工作流程相對固定的重要信息系統顯得更為重要而可行。
需開展計算機安全意識教育和培訓,加強計算機安全檢查,以此提高最終用戶對計算機安全的重視程度。為各級機構的系統管理員提供信息系統安全方面的專業培訓,提高處理計算機系統安全問題的能力。
參考文獻
[1]趙迪,趙望達,劉靜.基于B/S架構的安全生產監督管理信息系統[J],中國公共安全(學術版),2006,(04).[2]周敏文,譚海文.淺析我國安全生產信息化建設的現狀與對策[J],露天采礦技術,2005,(06).
[3][美]Harold F.Tipton,Micki Krause著,張文,鄧芳玲,程向莉,吳娟等譯.信息安全管理手冊(卷III)(第四版)[M],北京:電子工業出版社,2004年6月,237-264.
關鍵詞:等級防護;電力企業;網絡安全建設
中圖分類號: F407 文獻標識碼: A 文章編號:
引言
信息化是一把“雙刃劍”,在提高企業工作效率、管理水平以及整體競爭能力的同時,也給企業帶來了一定的安全風險,并且伴隨著企業信息化水平的提高而逐漸增長。因此,提升企業的信息系統安全防護能力,使其滿足國家等級保護的規范性要求,已經成為現階段信息化工作的首要任務。對于電力企業的信息系統安全防護工作而言,應等級保護要求,將信息管理網絡劃分為信息內網與信息外網,并根據業務的重要性劃分出相應的二級保護系統與三級保護系統,對三級系統獨立成域,其余二級系統統一成域,并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。
1現階段電力企業網絡風險分析
1.1服務器區域缺少安全防護措施
大部分電力企業的服務器都是直接接入本單位的核心交換機,然而各網段網關都在核心交換機上,未能對服務器區域采取有效的安全防護措施。
1.2服務器區域和桌面終端區域之間的劃分不明確
因服務器和桌面終端的網關都在核心交換機上,不能實現對于域的有效劃分。
1.3網絡安全建設缺乏規劃
就現階段的電力企業網絡安全建設而言,普遍存在著缺乏整體安全設計與規劃的現狀,使整個網絡系統成為了若干個安全產品的堆砌物,從而使各個產品之間失去了相應的聯動,不僅在很大程度上降低了網絡的運營效率,還增加了網絡的復雜程度與維護難度。
1.4系統策略配置有待加強
在信息網絡中使用的操作系統大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統等,但在實際的網絡安裝調試過程中,往往只使用最寬松的配置,然而對于安全保密來說卻恰恰相反,要想確保系統的安全,必須遵循最小化原則,沒有必要的策略在網絡中一律不配置,即使有必要的,也應對其進行嚴格限制。
1.5缺乏相應的安全管理機制
對于一個好的電力企業網絡信息系統而言,安全與管理始終是分不開的。如果只有好的安全設備與系統而沒有完善的安全管理體系來確保安全管理方法的順利實施,很難實現電力企業網絡信息系統的安全運營。對于安全管理工作而言,其目的就是確保網絡的安全穩定運行,并且其自身應該具有良好的自我修復性,一旦發生黑客事件,能夠在最大程度上挽回損失。因此,在現階段的企業網絡安全建設工作過程中,應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。
2等級保護要求下電力企業網絡安全建設防護的具體措施
2.1突出保護重點
對于電力企業而言,其投入到信息網絡安全上的資源是一定的。從另外一種意義上講,當一些設備存在相應的安全隱患或者發生破壞之后,其所產生的后果并不嚴重,如果投入和其一樣重要的信息資源來保護它,顯然不滿足科學性的要求。因此,在保護工作過程中,應對需要保護的信息資產進行詳細梳理,以企業的整體利益為出發點,確定出重要的信息資產或系統,然后將有限的資源投入到對于這些重要信息資源的保護當中,在這些重要信息資源得到有效保護的同時,還可以使工作效率得到很大程度的提高。
2.2貫徹實施3層防護方案
在企業網絡安全建設過程中,應充分結合電力企業自身網絡化特點,積極貫徹落實安全域劃分、邊界安全防護、網絡環境安全防護的3層防護設計方案。在安全防護框架的基礎上,實行分級、分域與分層防護的總體策略,以充分實現國家等級防護的基本要求。
(1)分區分域。統一對直屬單位的安全域進行劃分,以充分實現對于不同安全等級、不同業務類型的獨立化與差異化防護。
(2)等級防護。遵循“二級系統統一成域,三級系統獨立成域”的劃分原則,并根據信息系統的定級情況,進行等級安全防護策略的具體設計。
(3)多層防護。在此項工作的開展過程中,應從邊界、網絡環境等多個方面進行安全防護策略的設計工作。
2.3加強安全域劃分
安全域是指在同一環境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統。加強對于安全域的劃分,可以實現以下目標:
(1)實現對復雜問題的分解。對于信息系統的安全域劃分而言,其目的是將一個復雜的安全問題分解成一定數量小區域的安全防護問題。安全區域劃分可以有效實現對于復雜系統的安全等級防護,是實現重點防護、分級防護的戰略防御理念。
(2)實現對于不同系統的差異防護?;A網絡服務、業務應用、日常辦公終端之間都存在著一定的差異,并且能夠根據不同的安全防護需求,實現對于不同特性系統的歸類劃分,從而明確各域邊界,對相應的防護措施進行分別考慮。
(3)有效防止安全問題的擴散。進行安全區域劃分,可以將其安全問題限定在其所在的安全域內,從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中,還應充分遵循區域劃分的原則,將直屬單位的網絡系統統一劃分為相應的二級服務器域與桌面終端域,并對其分別進行安全防護管理。在二級系統服務器域與桌面域間,采取橫向域間的安全防護措施,以實現域間的安全防護。
2.4加強對于網絡邊界安全的防護
對于電力企業的網絡邊界安全防護工作而言,其目的是使邊界避免來自外部的攻擊,并有效防止內部人員對外界進行攻擊。在安全事件發生之前,能夠通過對安全日志與入侵事件的分析,來發現攻擊企圖,在事件發生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。
(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻,以實現對于網絡邊界安全的防護。
(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中,應根據網絡邊界的數據流制定出相應的訪問控制矩陣,并依此在邊界網絡訪問控制設備上設定相應的訪問控制規則。
2.5加強對于網絡環境的安全防護
(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包,并通過相應的特征分析、異常統計分析等方法,及時發現并處理網絡攻擊與異常安全事件。在此過程中,設置相應的入侵檢測系統,能夠及時發現病毒、蠕蟲、惡意代碼攻擊等威脅,能夠有效提高處理安全問題的效率,從而為安全問題的取證提供有力依據。
(2)強化網絡設備安全加固。安全加固是指在確保業務處理正常進行的情況下,對初始配置進行相應的優化,從而提高網絡系統的自身抗攻擊性。因此,在經過相應的安全評估之后,應及時發現其中隱藏的安全問題,對重要的網絡設備進行必要的安全加固。
(3)強化日志審計配置。在此項工作的開展過程中,應根據國家二級等級保護要求,對服務器、安全設備、網絡設備等開啟審計功能,并對這些設備進行日志的集中搜索,對事件進行定期分析,以有效實現對于信息系統、安全設備、網絡設備的日志記錄與分析工作。
結語
綜上所述,對于現階段電力企業信息網絡而言,網絡安全建設是一個綜合性的課題,涉及到技術、使用、管理等許多方面,并受到諸多因素的影響。在電力企業網絡安全建設過程中,應加強對于安全防護管理體系的完善與創新,以嚴格的管理制度與高素質管理人才,實現對于信息系統的精細化、準確化管理,從而切實促進企業網絡安全建設的健康、穩步發展。
參考文獻:
[1]張蓓,馮梅,靖小偉,劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010(4).
關鍵詞:當前網絡;安全評估;防護體系構建
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 21-0000-02
網絡技術發展猶如一把雙刃劍,在為人類社會經濟發展帶來便捷的同時,也造成了一定的妨礙,尤其是網絡具有開放共享、聯接形式多樣、終端分布不均以及易受侵襲的特性,使得網絡安全始終存在一定的隱患。步入信息時代,企業對網絡的依賴程度逐漸加深,日常辦公活動甚至是經濟運營都需要通過網絡才能實現。而隨著網絡技術的不斷進步,妨礙網絡安全的因素也在不斷增多,對企業所造成的危害也越來越大。應對當前企業計算機網絡安全問題進行深入分析,構建并完善有效的網絡安全體系,為維護企業利益、促進企業發展做出積極的努力。
1 網絡安全的內涵及其特征
網絡安全是指網絡系統的軟件、硬件以及系統中的數據受到充分保護,不因任何原因而遭受到破壞、更改和泄露,計算機系統得以維持連續、可靠、有效地運行,網絡服務不中斷。在安全狀態下,計算機網絡系統具有可靠、可用、可控、保密等特征。從狹義來說,網絡安全就是維護存儲在網絡上的信息安全;從廣義來說,凡是與網絡信息的完整性、保密性、真實性和可控性的相關理論和技術都是網絡安全問題。因此,網絡安全是一門涉及到網絡技術、通信技術、計算機技術、密碼技術、信息安全技術等多種學科的綜合性科學。歷史實踐證明,科學技術的進步將會為人類社會生活中的各個領域都帶來重大影響?,F代計算機及網絡技術的快速發展,尤其是Internet的出現,使得信息的最廣泛交換和共享成為現實。但伴隨著信息共享所帶來的巨大益處,信息在網絡上存儲、傳輸的同時,也可能受到竊取、篡改和毀壞,甚至可能會導致無法估量的損失。
2 企業計算機網絡所面臨的威脅
當前,大多數企業都實現了辦公自動化、網絡化,這是提高辦公效率、擴大企業經營范圍的重要手段。但也正是因為對計算機網絡的過分依賴,容易因為一些主客觀因素對計算機網絡造成妨礙,并給企業造成無法估計的損失。
2.1 網絡管理制度不完善
網絡管理制度不完善是妨礙企業網絡安全諸多因素中破壞力最強的?!皼]有規矩,不成方圓?!敝贫染褪且幘?。當前,一些企業的網絡管理制度不完善,尚未形成規范的管理體系,存在著網絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題,使企業相關人員不能采取有效措施防范網絡威脅,也給一些攻擊者接觸并獲取企業信息提供很大的便利。
2.2 網絡建設規劃不合理
網絡建設規劃不合理是企業網絡安全中存在的普遍問題。企業在成立初期對網絡建設并不是十分重視,但隨著企業的發展與擴大,對網絡應用的日益頻繁與依賴,企業未能對網絡建設進行合理規劃的弊端也就會日益凸顯,如,企業所接入的網絡寬帶的承載能力不足,企業內部網絡計算機的聯接方式不夠科學,等等。
2.3 網絡設施設備的落后
網絡設施設備與時展相比始終是落后。這是因為計算機和網絡技術是發展更新最為迅速的科學技術,即便企業在網絡設施設備方面投入了大筆資金,在一定時間之后,企業的網絡設施設備仍是落后或相對落后的,尤其是一些企業對于設施設備的更新和維護不夠重視,這一問題會更加突出。
2.4 網絡操作系統自身存在漏洞
操作系統是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網絡環境中的操作系統不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患,一旦這些為網絡黑客所了解,就會給其進行網絡攻擊提供便利。
3 網絡安全防護體系的構建策略
如前所述,企業網絡安全問題所面臨的形勢十分嚴峻,構建企業網絡安全防護體系已經刻不容緩。要結合企業計算機網絡的具體情況,構建具有監測、預警、防御和維護功能的安全防護體系,切實保障企業的信息安全。
3.1 完善企業計算機網絡制度
制度的建立和完善是企業網絡安全體系的重要前提。要結合企業網絡使用要求制定合理的管理流程和使用制度,強化企業人員的網絡安全意識,明確網絡安全管護責任,及時更新并維護網絡設施設備,提高網絡設施的應用水平。如果有必要,企業應聘請專門的信息技術人才,并為其提供學習和培訓的機會,同時,還要為企業員工提供網絡安全的講座和培訓,引導企業人員在使用網絡時主動維護網絡安全,避免網絡安全問題的出現。
3.2 配置有效的防火墻
防火墻是用于保障網絡信息安全的設備或軟件,防火墻技術是網絡安全防御體系的重要構成。防火墻技術主要通過既定的網絡安全規則,監視計算機網絡的運行狀態,對網絡間傳輸的數據包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網站或個人登錄或訪問企業計算機,從而防止計算機網絡信息泄露,保護計算機網絡安全。
3.2 采用有效的病毒檢測技術
計算機病毒是指編制或在計算機原有程序中插入的能夠破壞系統運行或破壞數據,并具有自我復制能力的計算機指令或程序代碼。病毒是對網絡造成最大威脅的因素,要采用一些有效的病毒檢測及反應技術,及時檢測到病毒并對其進行刪除。
3.3 其他網絡安全技術
其他的網絡安全技術包括密碼更改、網絡加密技術和IP 隱藏技術等。密碼更改是網絡用戶應具備的一項安全意識,要定期或不定期對自己的賬戶密碼進行修改,設置密碼保護問題,以預防密碼泄露;機密技術是指通過將存儲在計算機網絡上的重要信息改變為密文來防止被竊取和泄露;IP隱藏技術是隱藏用戶計算機的IP地址,避免網絡黑客采取特殊的網絡探測手段獲取用戶IP來確定攻擊目標,以上都是確保網絡安全的重要手段。
計算機及網絡技術的進步推動了信息時代的發展進程,在人類社會的各個領域都引起了一系列影響深刻的革命。但伴隨著網絡規模的逐步擴大和更加開放,網絡所面臨的安全威脅和風險也變得更加嚴重和復雜,企業計算機網絡受到威脅行為日益增多。為了保障企業計算機網絡安全,必須強化信息應用安全意識,及時了解網絡中出現的安全問題,規范計算機網絡使用行為,加強網絡基礎設施建設,提高設備設施應用水平,構建起有效的網絡安全防護體系,維護企業的網絡安全和合法權益。
參考文獻:
[1](美)Michael·Erbschloe著,常曉波等譯.信息戰一如何戰勝計算機攻擊[M].北京:清華大學出版社,2002.
[2]姚顧波,劉煥金等著.黑客終結——網絡安全完全解決方案[M].北京:電子工業出版社,2003.
關鍵詞:企業;網絡;系統;安全;虛擬化;信息化
一、 企業網的組成和所面臨的安全威脅
(一) 企業網的組成
企業網一般由兩個大的功能區域組成:企業內網和企業外部接入網。我們可以邏輯上把這兩大區域進一步劃分成若干個模塊,企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。企業外部接入網包括外網接入模塊和遠程接入模塊兩個部分。不同模塊實現不同的功能,各自的安全需要也有所不同, 需要實施相應的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補充。典型的大型企業網絡架構如下圖:
(二) 企業網面臨的安全威脅
1. 來自內部用戶的安全威脅
大多數威脅來自于內部網絡, 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。
2. 來自外部網絡的安全威脅
隨著信息技術的不斷發展,企業總部與分支以及合作伙伴之間的聯網需求越來越迫切。它們之間不可避免的需要通過網絡交換信息及共享資源。同時, 企業網還為內部合法員工提供了上互聯網的途徑, 互聯網用戶可以訪問企業對外提供的公共服務器上的信息,由于信息資源的共享同時也給企業網的內、外網安全帶來了一系列的挑戰。
二、 企業內網的安全設計
企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應的安全措施, 以及與其它模塊之間的關系。
(一) 管理模塊
管理模塊的主要功能是實現企業網絡的所有設備和服務器的安全管理。所面臨最主要的安全威脅有未授權接入、口令攻擊、中間人攻擊等,為了消除以上管理模塊面臨的安全威脅,應采取以下的安全措施:
1. 管理數據流和生產網數據流需有效的安全隔離,包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內管理也要做到使用IPSec、SSH等加密傳輸。
2. 采用強力的認證授權技術對管理信息進行認證和授權,可以通過采用AAA認證和雙因素認證技術, 保證只有合法的用戶才能管理相應設備, 并能夠防止密碼泄漏和對密碼竊聽。
3. 采用完善的安全審計技術對整個網絡(或重要網絡部分)的運行進行記錄和分析,可以通過對記錄的日志數據進行分析、比較,找出發生的網絡安全問題的原因,并為今后網絡整改提供依據。
4. 部署網絡入侵檢測系統,從而能夠對流入和流出管理模塊的數據流進行實時的分析并及時發現可能的入侵行為。
由于管理模塊全網可達, 且能夠對全網的所有設備和服務器進行管理,所以它的安全防護策略應該是全網最嚴格的。
(二) 核心模塊
核心模塊的主要功能是快速轉發。所面臨主要安全威脅是分組竊聽、功能區域劃分模糊和如何實現快速故障隔離。當多種應用流量運行在核心模塊時,如何防止不同應用流量被竊聽篡改、如何對不同應用區域進行分類保護、如何在核心模塊故障發生時進行有效快速的故障隔離成了當務之急。
核心模塊的主要設備是三層交換機, 三層交換架構是消除分組竊聽威脅的有效手段,而核心三層交換機的虛擬化技術則可以解決核心功能區域的精細劃分、實現有效快速的隔離故障,提高系統的可用性,防止級聯式的服務中斷。通過核心交換機的虛擬化技術還可實現交換機控制和管理平面的虛擬化,在三層交換機上配置相應的安全策略,為多個應用或部門的流量提供安全的網絡分區,讓每個應用或部門可以獨立管理和維護其各自的配置。
(三) 分布層模塊
分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權訪問、欺騙、病毒和特洛伊木馬的應用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應采取以下的安全措施:
1. 針對二層網絡的安全威脅,利用網絡設備本身的二層網絡安全性能,進行二層網絡安全策略的部署,如二層VLAN劃分、DHCP窺探保護、動態ARP檢查、IP源地址保護等安全策略。
2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務器上保密信息的機會,利用設備包過濾技術,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。
3. 通過RFC2827過濾可有效防止源地址欺騙。
4. 部署防病毒系統,防止各個工作站感染病毒和特洛伊木馬的應用。
5. 部署網絡準入控制系統,通過在網絡中部署網絡準入控制系統,可以實現最大限度減少內部網絡安全威脅,降低病毒和蠕蟲造成的停機時間。
根據網絡規模和性能要求的不同, 核心層和分布層可以結合起來合二為一, 從而達到減少硬件設備,達到減少投資與節能等目的。
(四) 服務器模塊
服務器模塊的主要目標是向最終用戶和設備提供應用服務。所面臨的主要安全威脅有未授權訪問、應用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應采取以下的安全措施:
1. 使用基于主機和網絡的IDS/IPS系統。
2. 在交換機上配置私有VLAN,實現對服務器的訪問限制, 限制對關健服務器的隨意訪問。
3. 對服務器及時打上最新的補丁程序。
4. 對服務器區域(DMZ區域)進行不同安全級別劃分,通過對不同應用的服務器進行安全級別的劃分,并通過防火墻模塊進行DMZ邏輯區域的隔離,可以實現服務器故障的快速隔離和服務器間訪問的有效控制。
5. 針對企業較為重要的郵件應用服務器,可以單獨部署電子郵件安全產品,從而減少與垃圾郵件、病毒和其它各種威脅有關的宕機,以求減輕技術人員的負擔。
像分布層模塊一樣, 根據公司規模、應用性能及需求的不同, 服務器模塊可以與核心模塊相結合。
(五) 邊界接入模塊
邊界接入模塊的目標是在網絡邊緣集中來自各個接入網模塊的連接,信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似,都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網功能區域來執行附加安全功能。像服務器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結合起來。
在邊界接入模塊比較常見的安全措施為應用流量觀察分析和安全網關。應用流量觀察分析是通過部署流量控制設備,使用其二至七層強大的應用分析能力,能夠第一時間獲得核心模塊和接入網模塊之間應用流量能見度,并以此為基礎在企業網絡中部署相應的安全策略(比如限制病毒端口號、限制特定內網IP地址、限制特定MAC地址)。安全網關是通過采用專用的安全網關技術,實現核心模塊和外網接入網模塊之間的Web內容過濾,Web病毒掃描,間諜軟件防御,HTTPS安全控制,防機密數據外泄等等安全功能。
三、 企業接入網的安全設計
企業接入網由外網接入模塊和遠程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應的安全措施。
(一) 外網接入模塊
大多企業網雖然都是專網,但是不可避免要和外網連接。外網包括企業分支網絡、第三方接入網絡和互聯網。所面臨的主要安全威脅有未授權接入、應用層攻擊、病毒和特洛伊木馬、拒絕服務攻擊等。主要防御措施有:
1. 在外網接入模塊和外網之間部署防火墻。防火墻應分為兩組防護, 一組用于企業網與分支機構網絡的連接, 另一組用于企業網與互聯網的連接。防火墻為內網的網絡資源提供保護,從而確保只有合法信息流穿過防火墻。部署在企業網與互聯網的連接上的防火墻時可以使用目前先進的“云火墻”技術,該技術可以持續收集互聯網上已知威脅的詳細信息,實現企業到互聯網的網絡安全。
2. 使用防火墻的虛擬化技術,將單一防火墻設備邏輯劃分為多個虛擬防火墻,每個防火墻有自己的策略且分別進行管理,可以實現不同區域模塊之間的安全控制和設備資源的高效利用。
3. 部署IDS/IPS入侵檢測/防御系統,有條件的情況下, 在防火墻的內網區、外網區和DMZ區域都要部署入侵檢測/防御系統, 以實時檢測來自外網的入侵行為。
4. 建立統一的應用服務器用于與其它分支網絡構建統一接入平臺,應用服務器作為所有應用服務的, 通過進行更嚴格的應用數據流檢查和過濾,有利于外網接入模塊的標準化和可擴展性的提升。
5. 在與互聯網連接的企業網絡邊緣部署路由器,并通過在路由器入口進行數據流的過濾,路由器對大多數攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應丟棄‘碎片’的數據包。對于過濾造成的合法數據包丟棄相比這些數據包帶來的安全風險是值得的。
(二) 遠程接入模塊
遠程接入模塊的主要目標有三個:從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權接入和中間人攻擊等。此模塊的核心要求是擁有三個獨立外部用戶服務驗證和端接,對于此模塊來說信息流的來源是來自于企業網絡外的不可信源, 因此要為這三種服務的每一種提供一個防火墻上的獨立接口。
1. 遠程接入VPN,遠程接入VPN推薦使用IPSec協議。此服務的安全管理是通過將所有IPSec的安全參數從中央站點推向遠程用戶實現的。
2. 撥號接入用戶,AAA和一次性口令服務器可用來驗證和提供口令。
3. 站點間VPN,與站點間連接相關的IP信息流在傳輸模式下由配置成GRE隧道來實現。
以上來自三種服務的信息流應集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內口或外口部署IDS/IPS系統, 以檢測可能的攻擊行為。
四、 模塊之間的相互關系
采用模塊化設計時, 不是簡單地將網絡安全設計分解成各個孤立的模塊, 各模塊之間緊密聯系,其安全防護措施也直接影響到其它模塊的安全。
管理模塊是整個網絡安全體系的核心、位于其它所有模塊的最頂層。網絡安全體系的建立, 應該首先建立管理模塊的安全結構。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結構的基礎和前提。
核心模塊、服務器模塊和分布層模塊構成企業網絡的內部網絡。這三個模塊主要防范來自企業網內部的安全威脅:分布層模塊提供了針對內部發起攻擊的第一道防線;核心模塊的主要目標是線速的轉發數據流, 其安全性主要依賴于核心模塊交換設備本身的安全設置以及分布層模塊的安全防護;服務器模塊往往會成為內部攻擊的主要目標, 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴格的安全管理是極為重要的。
邊界接入模塊是連接企業內網和外部接入網的橋梁和紐帶。邊界接入模塊在外部接入網安全措施的基礎上, 為企業內網提供附加的安全功能。
外部接入網為企業內網提供了第一道安全防線, 也是外網接入企業網內網統一的接入平臺。
模塊化的設計將復雜的大型網絡劃分為幾個相對簡單的模塊, 以模塊為基本單位構筑整個網絡的安全體系結構。使用模塊化的網絡安全設計能夠很容易實現單個模塊的安全功能,并實現模塊與模塊間的安全關系,從而在整個企業網絡中形成分層次的縱深防御體系。還能夠使設計者進行逐個模塊的安全風險評估和實施安全, 而非試圖在一個階段就完成整個體系結構。
參考文獻:
[1] 崔國慶. 計算機網絡安全技術與防護的研究?. 電腦知識與技術,2009年9月.