21世紀以來,隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,我們邁入了以網(wǎng)絡(luò)為核心的信息時代。許多企業(yè)都構(gòu)建了企業(yè)網(wǎng)絡(luò)運營平臺,企業(yè)經(jīng)營、生產(chǎn)與管理對計算機網(wǎng)絡(luò)的依賴性日益增強。網(wǎng)絡(luò)規(guī)模的不斷增大, 網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜都對網(wǎng)絡(luò)安全提出了更高的要求。網(wǎng)絡(luò)安全應(yīng)從整體上考慮,全面覆蓋網(wǎng)絡(luò)系統(tǒng)的各個方面,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。
目前,大多數(shù)企業(yè)都建設(shè)了以辦公系統(tǒng)(OA)為中心,集成公文流轉(zhuǎn)、即時消息、門戶網(wǎng)站、業(yè)務(wù)應(yīng)用的辦公系統(tǒng),這些系統(tǒng)均以網(wǎng)絡(luò)平臺為支撐,采用B/S模式運行,并且各系統(tǒng)對于安全性要求不同。安全可靠性不同的多種應(yīng)用,運行在同一個網(wǎng)絡(luò)中,給黑客、病毒攻擊提供了方便之門,給企業(yè)的網(wǎng)絡(luò)安全造成了極大的威脅。
在一定的資金支持下, 網(wǎng)絡(luò)管理都要在網(wǎng)絡(luò)安全程度和建設(shè)成本之間作出取舍,充分使用現(xiàn)有的成熟技術(shù),并且盡可能地發(fā)揮管理的功效,提高企業(yè)網(wǎng)絡(luò)安全,為業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運行保駕護航。我們可以采用了以下技術(shù)和策略提高網(wǎng)絡(luò)的安全性。
一、網(wǎng)絡(luò)安全隔離
網(wǎng)絡(luò)隔離有兩種方式:物理隔離和邏輯隔離。將網(wǎng)絡(luò)進行隔離后,為了能夠滿足網(wǎng)絡(luò)內(nèi)授權(quán)用戶對相關(guān)子網(wǎng)資源的訪問,保證各業(yè)務(wù)不受影響,在各子網(wǎng)之間應(yīng)采取不同的訪問策略。物理隔離是最安全的網(wǎng)絡(luò)隔離方式,但是它的建設(shè)成本非常大,要求在網(wǎng)絡(luò)設(shè)備、計算機終端、網(wǎng)絡(luò)線路上都進行重復(fù)性投資,花費很大,除涉密的計算機信息系統(tǒng)必須實行物理隔離外,其它系統(tǒng)以邏輯隔離方式為主。
考慮企業(yè)的應(yīng)用情況,針對不同業(yè)務(wù)的不同需求,劃分不同的虛擬子網(wǎng)(VLAN)進行邏輯隔離。例如:為財務(wù)、人力、工程各部門的客戶端劃分單獨的VLAN,通過將不同用戶或資源劃分到不同的VLAN中,利用路由器或者防火墻對VLAN間的訪問進行控制。
二、網(wǎng)絡(luò)安全準入與訪問控制
企業(yè)在信息資源共享的同時也要阻止非授權(quán)用戶對企業(yè)敏感信息的訪問,訪問控制的目的是為了保護企業(yè)在信息系統(tǒng)中存儲和處理信息的安全,它是計算機網(wǎng)絡(luò)信息安全最重要的核心策略之一,是通過準入策略準許或限制用戶、組、角色對信息資源的訪問能力和范圍的一種方法。
(一)網(wǎng)絡(luò)邊界安全設(shè)計。企業(yè)一般有大量業(yè)務(wù)數(shù)據(jù)流運行于Internet網(wǎng)絡(luò),在企業(yè)內(nèi)外網(wǎng)絡(luò)的邊界處,部署網(wǎng)絡(luò)防火墻實現(xiàn)私有地址和公有地址的相互映射和轉(zhuǎn)換,屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),并按照最小需求原則配置訪問策略,以防范來自外部的威脅與攻擊。
(二)內(nèi)部網(wǎng)絡(luò)用戶準入。采用DHCP服務(wù)器做地址綁定,用戶_IP地址與MAC地址做一對一保留,防止網(wǎng)絡(luò)接入的隨意性,并在交換機設(shè)置DHCP Snooping、動態(tài)ARP檢測防止用戶任意修改IP,保證地址獲取的合法性。對于重要的業(yè)務(wù)系統(tǒng)服務(wù)器,還可以在交換機上采取MAC地址+IP地址+交換機端口進行綁定,可以有效的阻止ARP等病毒的攻擊。
(三)分支機構(gòu)及移動辦公用戶的準入。外部用戶訪問企業(yè)內(nèi)網(wǎng),應(yīng)在基于VPN的撥號接入之上,建立AAA認證服務(wù)器,一方面方便用戶經(jīng)常更換口令,另一方面可以實施更加嚴格的安全策略,并且對這些策略的實施予以監(jiān)視。
為了方便用戶對資源的訪問和管理網(wǎng)絡(luò),有必要建立一個統(tǒng)一的安全認證及授權(quán)系統(tǒng),統(tǒng)一的帳號管理有助于確保安全策略的實施及管理。
三、主機與系統(tǒng)平臺安全
網(wǎng)絡(luò)是病毒傳播最好最快的途徑之一。在網(wǎng)絡(luò)環(huán)境下,計算機病毒有不可估量的威脅性和破壞力,它使得網(wǎng)絡(luò)癱瘓、機密信息泄漏、重要業(yè)務(wù)系統(tǒng)不能提供正常服務(wù),嚴重影響網(wǎng)絡(luò)安全,造成不良的社會影響。計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán),在企業(yè)網(wǎng)中應(yīng)建立一套網(wǎng)絡(luò)版的防病毒系統(tǒng),它能構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系,支持對網(wǎng)絡(luò)、服務(wù)器、工作站的實時病毒監(jiān)控;能夠在中心控制臺向多個目標分發(fā)布及安裝新版殺毒軟件,并監(jiān)視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,支持廣泛的病毒處理選項;支持病毒主機隔離;提供對病毒特征信息和檢測引擎的定期在線更新服務(wù);支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
其次,為了彌補防病毒軟件被動防范的不足,可采用兩種策略提高網(wǎng)絡(luò)主動防范的能力。
(一)在網(wǎng)絡(luò)邊界防火墻上配置嚴格的安全策略, 強制關(guān)閉常見病毒攻擊的服務(wù)端口,防止病毒入侵。在核心層和匯聚層交換機上,依據(jù)業(yè)務(wù)數(shù)據(jù)流流向建立一系列的訪問控制列表,服務(wù)器只向必須訪問它的客戶端開放,其它客戶端一概被策略拒絕訪問。
(二)由于企業(yè)中大多數(shù)計算機安裝Windows系列的操作系統(tǒng),所以在網(wǎng)絡(luò)中建設(shè)一套Windows補丁分發(fā)系統(tǒng),利用微軟的WSUS服務(wù)器進行強聯(lián)動,輔以行之有效的用戶端保護措施,幫助客戶機高效、安全的完成Windows補丁更新,解決為Windows系統(tǒng)自動安裝系統(tǒng)補丁程序的問題,進一步提高了計算機安全性,當(dāng)然也提高了網(wǎng)絡(luò)的安全性。
四、網(wǎng)絡(luò)安全監(jiān)測與審計
(一)網(wǎng)絡(luò)管理系統(tǒng)。利用網(wǎng)絡(luò)管理系統(tǒng)軟件,實現(xiàn)對網(wǎng)絡(luò)管理信息的收集、整理、預(yù)警,以視圖方式實時監(jiān)控各種網(wǎng)絡(luò)設(shè)備運行狀態(tài)。網(wǎng)絡(luò)管理一般包括網(wǎng)絡(luò)性能管理,配置管理,安全管理,計費管理和故障管理等五大管理功能。建立針對全網(wǎng)絡(luò)的管理平臺,對網(wǎng)絡(luò)、計算機系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等進行統(tǒng)一監(jiān)管理,把網(wǎng)絡(luò)系統(tǒng)平臺由原先的被動管理轉(zhuǎn)向主動監(jiān)控,被動處理故障變?yōu)橹鲃庸收项A(yù)警。
(二)網(wǎng)絡(luò)入侵檢測。作為防火墻功能的有效補充,入侵檢測/防御系統(tǒng)(IDS/IPS)可實時監(jiān)控網(wǎng)絡(luò)傳輸,主動檢測可疑行為,分析網(wǎng)絡(luò)外部入侵信號和內(nèi)部非法活動,在系統(tǒng)遭受危害前發(fā)出報警,對攻擊作出及時的響應(yīng),并提供相應(yīng)的補救措施,最大限度地保障網(wǎng)絡(luò)安全。
(三)網(wǎng)絡(luò)安全審計。將網(wǎng)絡(luò)安全審計系統(tǒng)布署在企業(yè)網(wǎng)絡(luò)中,能夠監(jiān)控、審查、追溯內(nèi)部人員操作行為,防止企業(yè)機密資料泄露,統(tǒng)計網(wǎng)絡(luò)系統(tǒng)的實際使用狀況,幫助管理者及時發(fā)現(xiàn)潛在的漏洞和威脅,為企業(yè)的網(wǎng)絡(luò)提供保障,使企業(yè)的網(wǎng)絡(luò)資源發(fā)揮應(yīng)有的經(jīng)濟效益。
五、企業(yè)網(wǎng)絡(luò)安全管理制度保障
管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是企業(yè)安全管理的保證。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面。只有完整的規(guī)章制度、行為準則并和安全技術(shù)手段結(jié)合, 網(wǎng)絡(luò)系統(tǒng)的安全才會得到最大限度的保障。只有制定合理有效的網(wǎng)絡(luò)管理制度來約束員工,這樣才能最大限度的保證企業(yè)網(wǎng)絡(luò)平穩(wěn)正常的運轉(zhuǎn),例如禁止員工濫用計算機,禁止利用工作時間隨意下載軟件,隨意執(zhí)行安裝操作,禁止使用IM工具聊天等。最終制度通過網(wǎng)絡(luò)管理平臺得以具體體現(xiàn),管理平臺使得制度被嚴格的執(zhí)行起來。
六、結(jié)束語
本文從分析企業(yè)網(wǎng)絡(luò)安全形勢入手,指出當(dāng)前網(wǎng)絡(luò)安全存在的問題,然后提出了一套較詳細的解決方案,涵蓋了各個方面,從技術(shù)手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全審計。本文從技術(shù)手段上、可操作性上都易于實現(xiàn)、易于部署, 為企業(yè)提供了實用的網(wǎng)絡(luò)安全性設(shè)計。