一、概述
網絡的最大價值,在于信息化的應用。由于企業信息化與企業生產經營已經逐漸成為一個共同的載體,企業對網絡安全保護的要求日益提高。當前利用結構化的觀點和方法來看待企業網絡安全系統是主流思想,通過各層的弱點及攻擊的可能性對各層進行分析及防護,對可能發生的攻擊事件或漏洞做到事前防護,合理地利用各種硬件設備,通過完善的管理手段來建設一個穩定、安全、可靠的企業信息網絡平臺。
二、企業網絡安全架構
企業網絡管理的核心是網絡應用,如何架構一個安全、可靠的網絡環境是網絡管理的一大課題。在網絡安全隱患無處不在的今天,安全需求格外重要。當企業在架構網絡前,應當全面的分析相應網絡中可能存在的安全隱患,以及網絡應用中必要的安全需求。
1、網絡安全威脅
從目前的企業網絡使用情況及日后的應用發展來看,主要存在以下幾種安全威脅.(1)、病毒感染。病毒感染是危害面最廣的安全隱患,威脅整體網絡運行。組建企業網絡時選擇部署整個網絡系統的病毒防御系統。(2)、黑客入侵和攻擊。黑客攻擊的危害性很大,入侵途徑和攻擊方式多樣化,難以預防。目前防御措施主要是通過部署防火墻系統、入侵檢測系統、網絡隔離技術等防御黑客攻擊,還應輔以系統漏洞和補丁升級系統。(3)、非法訪問。非法用戶訪問企業網絡時可能攜帶、放置病毒或其它惡意程序,也可能刪除服務器系統文件和數據以及竊取企業機密信息等。防御措施除了防火墻系統、入侵檢測系統和網絡隔離技術外,還應注意在網絡管理中引入安全機制,如對關鍵部門劃分子網隔離保護,對重要的數據和文件進行加密以及對于需要進行遠程訪問的用戶,注意權限配置工作。(4)、數據損壞或丟失。網絡數據對于企業來說是非常重要的。數據的備份是一切安全措施中最徹底有效,也是最后一項保護措施。
2、網絡架構概念
企業網絡安全是系統結構本身的安全,應利用結構化的觀點和方法來看待企業安全系統。全方位的、整體的信息安全防范體系應是分層次的,不同層次反映了不同的安全問題。根據搭建網絡的應用現狀和結構,從物理層安全、系統層安全、網絡層安全、應用層安全及安全管理五個方面來考慮網絡的安全架構。
三、學院網絡安全系統分析
結合本學院網絡建設的實際情況,在此對分層架構安全體系進行具體闡述并對網絡層的安全進行重點研究。
1、物理層安全
物理層的安全主要就是對設備和鏈路及其物理環境的安全保護。這里著重考慮學院信息中心的建設。信息中心作為學院的數據中心,承載所有的應用服務器的運行,所以信息中心的安全是最基礎的安全保障。信息中心的建設除了要保證溫度、濕度、防雷、防火以及不問斷供電以外,還應注重信息中心的綜合布線布局,做好整體規劃及標記,力爭布線的簡潔、有序,便于日后維護及故障排查。
2、系統層安全
主要包括操作系統安全和應用系統安全。系統層的安全,主要考慮操作系統的漏洞補丁。利用內網架設的補丁升級中心(WSUS),對于徼軟發布的系統補丁,進行補丁下載和安裝,提高操作系統的安全性,有效降低系統的安全風險。我們還可以采用綠盟的極光遠程安全評估系統掃描出整個網絡中所有設備上的漏洞,并且與wsus服務聯動,僅在綠盟的設備上就可以對這些漏洞進行修補。對于應用系統服務器來說,除了加強登陸的身份認證權限,還應該盡量開放最少的端口,保證服務器的正常使用。
3、網絡層安全
網絡層安全是我們考慮最多,也是防范要求最多的一個層面。這里從以下幾個方面進行闡述:
(1)確定安全域的劃分
安全域的劃分就是制定安全邊界。根據資源位置進行劃分的目標是將同一網絡安全等級的資源,根據對學院的重要性、面臨的外來攻擊風險、內在的運行風險不同,劃分成多個網絡安全區域。劃分的原則是將同一網絡安全層次內客戶端之間的連接控制在相同的安全域內,盡量消除不同安全層次之間的聯系,實施相互邏輯或物理隔離。
從目前情況分析,學院內部的財務處和人事處因業務及數據的保密性和敏感度,需要阻止任何的外部訪問。所以這兩個位置與網絡中其它處室在邏輯上應是隔離狀態。這里主要使用交換機利用vlan對各個不同的功能區域進行劃分。除了保證物理位置及邏輯位置的隔離以外,劃分vlan的另一個好處就是減小廣播包的數量,控制網絡流量,避免廣播風暴的產生。在實際工作中曾經遇到財務處網段被其他網段訪問的安全問題。此問題涉及財務的機密文件和重要報表數據,所以問題較嚴重。在這之前財務處是被獨立劃分為一個網段,與其它網段用ACL列表進行隔離。但是在客戶端統一納入學院域之后,之前做的ACL列表不起任何作用。經分析,我們發現在域內PC之間的通訊協議發生了變化,于是將所有的TCP、UDP協議進行攔截,只對部分可以互訪的終端服務器進行允許控制。對于需要外網進行訪問的服務器,比如web服務器、ftp服務器、郵件服務器等需要把它們分離出來,不需要進入內網進行保護。其它服務器則放置于內網保護區域內,獨立劃分為一個vlan。[page] (2)攻擊阻斷
這里主要采用防火墻、入侵防護、防病毒系統進行外部阻斷。
首先,為了保護內部網絡,在Internet出口部署防火墻,將內部網絡與因特網隔離,只在內部網與外部網之間設立唯一的通道,將攻擊危險阻斷在外,并限制網絡互訪從而保護企業內部網絡。另外,利用防火墻的端口,設置LAN區、SSN區以及外網區。LAN區是不對外開放區,所有的客戶端及需要保護的服務器放置在這個區域里。SSN區域里放置需要外部訪問的服務器,如web服務器、ftp服務器及郵件服務器。由于防火墻處于網關的位置,不可能對進出攻擊做出太多判斷,否則會嚴重影響網絡性能。所以這里需要部署入侵保護系統(Ips)作為防火墻的有力補充。將Ips串聯在主干線路中,是網絡安全的第二道屏障,可構成完整的網絡安全解決方案。除此之外,我們還可以進行恰當的設置,使防火墻、lps聯動起來。當Ips檢測到入侵和攻擊后,會通過聯動接口部件,將入侵特征和事件報告給防火墻,防火墻接到入侵信息后會動態地修改自己的安全訪問控制策略,在下一次防火墻不需要Ips也可以將入侵流量屏蔽掉。
這樣防火墻和Ips聯動起來后,防火墻的訪問控制規則和Ips的規則鏈會隨著網絡安全狀況的變化而不斷調整,這樣不僅能提高安全性,而且不必要的訪問控制規則和規則鏈會被及時地刪除掉,對網絡性能造成的影響也會降到最低。防病毒系統應該是網絡安全的第三道屏障。在網絡技術日新月異的今天,即使網絡部署了防火墻和入侵保護系統后,仍然會存在漏洞。學院網絡應該建立立體防毒體系,就是指在網絡的邊界處部署硬件防毒墻,然后再在整個網絡內部部署網絡版殺毒軟件。這樣防病毒系統不僅部署在每一個客戶端上,能夠對源于內部網絡的攻擊或者是防火墻無法隔離的攻擊行為、惡意代碼進行阻攔,而且防病毒系統也部署在服務器上和網絡邊界處。這樣從邊界到內部,整個網絡進行立體地防護,極大地提高了全網的防毒能力,是防火墻及入侵保護系統的有力補充。
(3)遠程接入控制
對于學院的三個分院以及外出辦公人員,需要通過Internet訪問學院本部,這里考慮vpn(虛擬私有網絡)技術來實現。
現有vpn技術有Ipsecvpn以及sslvpn。從學院目前網絡使用情況并考慮日后發展狀況,將以IPsecvpn作為點對點連結,再配以sslvpn的遠程訪問方案。在交通分院、建設分院、衛生分院三地之間架設防火墻,利用防火墻的網關對網關的Ipsecvpn滿足三地辦公的需要,再選購sslvpn來滿足移動辦公人員訪問學院內網高安全性及可靠性的需求。我們目前一直使用天融信防火墻自帶的ipsecvpn。除了因為網絡問題帶來的故障以外,可以說vpn功能基本達到了我們的需求。但是對于它的移動vpn,因為客戶端的產品型號、操作系統及應用軟件的差異,有必要另選用一套sslvpn滿足移動辦公訪問學院內網的需求。
(4)身份認證
對于不同的應用,訪問者的操作權限應該通過身份認證系統來實現。身份認證有利于保證被訪問資源的安全,也是對遠程接入安全控制的有益補充。
4、應用層安全
主要包括網頁防篡改、數據庫的漏洞修補、數據的完整性檢驗以及數據的備份和恢復。這里將注意力大部分集中在數據庫的安全上。主要的工作應該是登陸的身份驗證管理、數據庫的使用權限管理和數據庫中對象的使用權限管理。對于網頁防篡改可以在web服務器前部署web應用防火墻。對于數據庫來說,為了提高用戶訪問數據庫的速度和數據庫中數據的安全性,我們可以采取磁盤陣列來代替普通的存儲設備,極大地擴展了存儲容量,在性能和安全性上也有了大幅度的提高。考慮到以后我們的應用不斷增多,數據量不斷加大,為了保證性能和安全性,我們可以著手建設SAN或NAS,甚至可以做異地容災備份,即使發生自然災害,我們也可以在最短的時間內恢復我們的數據和我們的應用。
5、網絡安全管理體系的建立
實現網絡安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性,才能保證安全控制措施有效地發揮其效能,從而確保實現預期的安全目標。因此,建立有組織的安全管理體系是網絡安全的核心。其過程如下:
(1)、安全需求分析。明確目前及未來幾年的安全需求,即我們需要建設什么樣的網絡,網絡狀況如何,未來發展如何等等,有針對性地構建適用的安全體系結構,從而有效地保證網絡系統的安全;(2)、制定安全策略。根據不同部門的應用及安全需求,分別制定部門的計算機網絡安全策略,做到資源最優化:(3)、外部支持。通過專業的安全服務機構的支持,將使網絡安全體系更加完善,并可以得到更新的安全資訊,為計算機網絡安全提供預警。定期進行巡檢,保證所有網絡設備和安全系統的運轉正常,提早發現隱患,將網絡故障對學院整體的影Ⅱ向降至最低。
6、計算機網絡安全管理
安全管理是計算機網絡安全的重要環節之一,也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網絡有序地運行,這是獲取安全的一個重要條件。安全管理是構建安全架構的核心。網絡安全所要達到的目的是保證網絡應用在需要時可以被隨時使用。在安全方面,我們倡導“三分技術,七分管理”,指的是通過管理手段和技術手段來實現更高的安全性。信息安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理措施的另外一個方面,就是加強網絡安全宣傳,提高學院職工對網絡安全的認識和保護網絡安全的自覺性,從每個網絡用戶開始進行“主動防護”,防止“病從口入”。
四、總結
任何一種單一的技術或產品都無法滿足我們對網絡安全的要求,只有將技術和管理有機的結合起來,合理分析需求,按照體系架構進行安全方案的部署,從控制網絡安全建設、運行和維護的全過程入手,才能提高整個網絡的安全水平。
京公網安備 11010502049343號