論企業(yè)計算機網(wǎng)絡(luò)的安全性設(shè)計
21世紀以來����,隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展����,我們邁入了以網(wǎng)絡(luò)為核心的信息時代�����。許多企業(yè)都構(gòu)建了企業(yè)網(wǎng)絡(luò)運營平臺����,企業(yè)經(jīng)營�、生產(chǎn)與管理對計算機網(wǎng)絡(luò)的依賴性日益增強。網(wǎng)絡(luò)規(guī)模的不斷增大����, 網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜都對網(wǎng)絡(luò)安全提出了更高的要求。網(wǎng)絡(luò)安全應(yīng)從整體上考慮���,全面覆蓋網(wǎng)絡(luò)系統(tǒng)的各個方面�����,針對網(wǎng)絡(luò)�、系統(tǒng)����、應(yīng)用、數(shù)據(jù)做全面的防范����。
目前�,大多數(shù)企業(yè)都建設(shè)了以辦公系統(tǒng)(OA)為中心�,集成公文流轉(zhuǎn)、即時消息����、門戶網(wǎng)站、業(yè)務(wù)應(yīng)用的辦公系統(tǒng)�����,這些系統(tǒng)均以網(wǎng)絡(luò)平臺為支撐�,采用B/S模式運行,并且各系統(tǒng)對于安全性要求不同��。安全可靠性不同的多種應(yīng)用���,運行在同一個網(wǎng)絡(luò)中���,給黑客、病毒攻擊提供了方便之門�����,給企業(yè)的網(wǎng)絡(luò)安全造成了極大的威脅�����。
在一定的資金支持下, 網(wǎng)絡(luò)管理都要在網(wǎng)絡(luò)安全程度和建設(shè)成本之間作出取舍��,充分使用現(xiàn)有的成熟技術(shù)����,并且盡可能地發(fā)揮管理的功效��,提高企業(yè)網(wǎng)絡(luò)安全��,為業(yè)務(wù)系統(tǒng)的安全���、穩(wěn)定運行保駕護航��。我們可以采用了以下技術(shù)和策略提高網(wǎng)絡(luò)的安全性�����。
一����、網(wǎng)絡(luò)安全隔離
網(wǎng)絡(luò)隔離有兩種方式:物理隔離和邏輯隔離�����。將網(wǎng)絡(luò)進行隔離后,為了能夠滿足網(wǎng)絡(luò)內(nèi)授權(quán)用戶對相關(guān)子網(wǎng)資源的訪問���,保證各業(yè)務(wù)不受影響����,在各子網(wǎng)之間應(yīng)采取不同的訪問策略�����。物理隔離是最安全的網(wǎng)絡(luò)隔離方式�,但是它的建設(shè)成本非常大,要求在網(wǎng)絡(luò)設(shè)備�����、計算機終端�����、網(wǎng)絡(luò)線路上都進行重復(fù)性投資���,花費很大�����,除涉密的計算機信息系統(tǒng)必須實行物理隔離外�����,其它系統(tǒng)以邏輯隔離方式為主����。
考慮企業(yè)的應(yīng)用情況����,針對不同業(yè)務(wù)的不同需求,劃分不同的虛擬子網(wǎng)(VLAN)進行邏輯隔離����。例如:為財務(wù)、人力�、工程各部門的客戶端劃分單獨的VLAN,通過將不同用戶或資源劃分到不同的VLAN中��,利用路由器或者防火墻對VLAN間的訪問進行控制�����。
二、網(wǎng)絡(luò)安全準入與訪問控制
企業(yè)在信息資源共享的同時也要阻止非授權(quán)用戶對企業(yè)敏感信息的訪問����,訪問控制的目的是為了保護企業(yè)在信息系統(tǒng)中存儲和處理信息的安全,它是計算機網(wǎng)絡(luò)信息安全最重要的核心策略之一��,是通過準入策略準許或限制用戶����、組、角色對信息資源的訪問能力和范圍的一種方法�����。
(一)網(wǎng)絡(luò)邊界安全設(shè)計���。企業(yè)一般有大量業(yè)務(wù)數(shù)據(jù)流運行于Internet網(wǎng)絡(luò)��,在企業(yè)內(nèi)外網(wǎng)絡(luò)的邊界處�,部署網(wǎng)絡(luò)防火墻實現(xiàn)私有地址和公有地址的相互映射和轉(zhuǎn)換����,屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)�,并按照最小需求原則配置訪問策略����,以防范來自外部的威脅與攻擊。
(二)內(nèi)部網(wǎng)絡(luò)用戶準入��。采用DHCP服務(wù)器做地址綁定����,用戶_IP地址與MAC地址做一對一保留,防止網(wǎng)絡(luò)接入的隨意性���,并在交換機設(shè)置DHCP Snooping�、動態(tài)ARP檢測防止用戶任意修改IP����,保證地址獲取的合法性�����。對于重要的業(yè)務(wù)系統(tǒng)服務(wù)器��,還可以在交換機上采取MAC地址+IP地址+交換機端口進行綁定�����,可以有效的阻止ARP等病毒的攻擊。
(三)分支機構(gòu)及移動辦公用戶的準入��。外部用戶訪問企業(yè)內(nèi)網(wǎng)��,應(yīng)在基于VPN的撥號接入之上�,建立AAA認證服務(wù)器,一方面方便用戶經(jīng)常更換口令���,另一方面可以實施更加嚴格的安全策略��,并且對這些策略的實施予以監(jiān)視�。
為了方便用戶對資源的訪問和管理網(wǎng)絡(luò)�����,有必要建立一個統(tǒng)一的安全認證及授權(quán)系統(tǒng)�,統(tǒng)一的帳號管理有助于確保安全策略的實施及管理。
三�����、主機與系統(tǒng)平臺安全
網(wǎng)絡(luò)是病毒傳播最好最快的途徑之一�。在網(wǎng)絡(luò)環(huán)境下���,計算機病毒有不可估量的威脅性和破壞力,它使得網(wǎng)絡(luò)癱瘓����、機密信息泄漏、重要業(yè)務(wù)系統(tǒng)不能提供正常服務(wù)�����,嚴重影響網(wǎng)絡(luò)安全���,造成不良的社會影響��。計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)�,在企業(yè)網(wǎng)中應(yīng)建立一套網(wǎng)絡(luò)版的防病毒系統(tǒng)���,它能構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系,支持對網(wǎng)絡(luò)����、服務(wù)器、工作站的實時病毒監(jiān)控�;能夠在中心控制臺向多個目標分發(fā)布及安裝新版殺毒軟件�,并監(jiān)視多個目標的病毒防治情況�����;支持多種平臺的病毒防范�����;能夠識別廣泛的已知和未知病毒����,支持廣泛的病毒處理選項;支持病毒主機隔離�����;提供對病毒特征信息和檢測引擎的定期在線更新服務(wù)��;支持日志記錄功能����;支持多種方式的告警功能(聲音、圖像���、電子郵件等)等���。
其次���,為了彌補防病毒軟件被動防范的不足,可采用兩種策略提高網(wǎng)絡(luò)主動防范的能力����。
(一)在網(wǎng)絡(luò)邊界防火墻上配置嚴格的安全策略, 強制關(guān)閉常見病毒攻擊的服務(wù)端口��,防止病毒入侵���。在核心層和匯聚層交換機上�,依據(jù)業(yè)務(wù)數(shù)據(jù)流流向建立一系列的訪問控制列表���,服務(wù)器只向必須訪問它的客戶端開放����,其它客戶端一概被策略拒絕訪問����。
(二)由于企業(yè)中大多數(shù)計算機安裝Windows系列的操作系統(tǒng)����,所以在網(wǎng)絡(luò)中建設(shè)一套Windows補丁分發(fā)系統(tǒng)�,利用微軟的WSUS服務(wù)器進行強聯(lián)動����,輔以行之有效的用戶端保護措施,幫助客戶機高效��、安全的完成Windows補丁更新�,解決為Windows系統(tǒng)自動安裝系統(tǒng)補丁程序的問題,進一步提高了計算機安全性�,當(dāng)然也提高了網(wǎng)絡(luò)的安全性。
四��、網(wǎng)絡(luò)安全監(jiān)測與審計
(一)網(wǎng)絡(luò)管理系統(tǒng)�����。利用網(wǎng)絡(luò)管理系統(tǒng)軟件����,實現(xiàn)對網(wǎng)絡(luò)管理信息的收集、整理����、預(yù)警�����,以視圖方式實時監(jiān)控各種網(wǎng)絡(luò)設(shè)備運行狀態(tài)���。網(wǎng)絡(luò)管理一般包括網(wǎng)絡(luò)性能管理,配置管理����,安全管理,計費管理和故障管理等五大管理功能���。建立針對全網(wǎng)絡(luò)的管理平臺����,對網(wǎng)絡(luò)�、計算機系統(tǒng)、數(shù)據(jù)庫�����、應(yīng)用程序等進行統(tǒng)一監(jiān)管理�����,把網(wǎng)絡(luò)系統(tǒng)平臺由原先的被動管理轉(zhuǎn)向主動監(jiān)控,被動處理故障變?yōu)橹鲃庸收项A(yù)警���。
(二)網(wǎng)絡(luò)入侵檢測。作為防火墻功能的有效補充�,入侵檢測/防御系統(tǒng)(IDS/IPS)可實時監(jiān)控網(wǎng)絡(luò)傳輸,主動檢測可疑行為�,分析網(wǎng)絡(luò)外部入侵信號和內(nèi)部非法活動,在系統(tǒng)遭受危害前發(fā)出報警�����,對攻擊作出及時的響應(yīng)����,并提供相應(yīng)的補救措施,最大限度地保障網(wǎng)絡(luò)安全���。
(三)網(wǎng)絡(luò)安全審計���。將網(wǎng)絡(luò)安全審計系統(tǒng)布署在企業(yè)網(wǎng)絡(luò)中,能夠監(jiān)控���、審查����、追溯內(nèi)部人員操作行為,防止企業(yè)機密資料泄露����,統(tǒng)計網(wǎng)絡(luò)系統(tǒng)的實際使用狀況,幫助管理者及時發(fā)現(xiàn)潛在的漏洞和威脅��,為企業(yè)的網(wǎng)絡(luò)提供保障���,使企業(yè)的網(wǎng)絡(luò)資源發(fā)揮應(yīng)有的經(jīng)濟效益�����。
五����、企業(yè)網(wǎng)絡(luò)安全管理制度保障
管理是企業(yè)網(wǎng)絡(luò)安全的核心����,技術(shù)是企業(yè)安全管理的保證。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面�����。只有完整的規(guī)章制度、行為準則并和安全技術(shù)手段結(jié)合�, 網(wǎng)絡(luò)系統(tǒng)的安全才會得到最大限度的保障。只有制定合理有效的網(wǎng)絡(luò)管理制度來約束員工��,這樣才能最大限度的保證企業(yè)網(wǎng)絡(luò)平穩(wěn)正常的運轉(zhuǎn)����,例如禁止員工濫用計算機����,禁止利用工作時間隨意下載軟件,隨意執(zhí)行安裝操作�����,禁止使用IM工具聊天等���。最終制度通過網(wǎng)絡(luò)管理平臺得以具體體現(xiàn)��,管理平臺使得制度被嚴格的執(zhí)行起來��。
六��、結(jié)束語
本文從分析企業(yè)網(wǎng)絡(luò)安全形勢入手�,指出當(dāng)前網(wǎng)絡(luò)安全存在的問題,然后提出了一套較詳細的解決方案����,涵蓋了各個方面,從技術(shù)手段的改進��,到規(guī)章制度的完善�����;從單機系統(tǒng)的安全加固����,到整體網(wǎng)絡(luò)的安全審計。本文從技術(shù)手段上��、可操作性上都易于實現(xiàn)�、易于部署, 為企業(yè)提供了實用的網(wǎng)絡(luò)安全性設(shè)計�。