企业网络安全评估精品(七篇)
时间:2023-09-26 09:49:52
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇企业网络安全评估范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
篇(1)
1.1物理层边界限制模糊
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
1.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.构建企业网络安全防护体系
2.1企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。
2.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3基于入侵检测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
3.结语
篇(2)
关键词:企业网络安全;网络防御体系;动态安全模型;系统检测
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 07-0000-01
Related Issues of Enterprise Network in Defense Depth System
Lian Qiang
(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)
Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.
Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing
一、引言
网络安全体系结构是从系统的、整体的角度来考虑网络安全问题。参照权威的信息安全标准,围绕企业网络特点,以先进的网络安全理论为指导的,是解决企业网络安全体系问题的必不可少的手段[1,2]。本文正是基于这个思路,力争站在一个统揽全局的层次上,摒弃企业网络的实现细节,抽象网络安全需求,建立一个完善的企业网络安全模型与体系。
二、企业网络动态安全模型
针对一个具体的网络系统,网络活动、网络的系统管理甚至网络体系结构都可能是一个动态的、不断变化的过程,所以,在考虑网络的安全性时,应从被监控网络或系统安全运行的角度,根据实际情况对网络(或系统)实施系统的安全配置。也就是说,网络安全应是一个从网络运行的角度考虑其安全性的动态过程。
这里提出的可自适应网络安全模型P2DR就是这样一个动态的安全模型。其中,安全策略用以描述系统的安全需求以及如何组织各种安全机制来实现系统的安全需求。从基于时间的角度及普遍意义上讲,P2DR模型概括了信息网络安全的各个方面。我们需要根据模型做出自己的定义和阐述,使其符合企业网络安全防御体系的需要。
(1)
公式中Pt表示系统为了保护安全目标而设置各种保护后的防护时间,也可认为是黑客攻击系统所花的时间。Dt表示从攻击开始,系统能够检测到攻击行为指导所花的时间。Rt为发现攻击后,系统能做出足够响应将系统调整到正常状态的时间。如果系统能满足上述公式,即:防护时间Pt大于检测时间Dt加上响应时间Rt,
则认为系统是安全的,因为它在攻击造成危害前就对攻击做出了响应并做出了处理。
(2) ,if
公式中Et表示系统的暴露时间,假定系统的防护时间Pt为0,即系统突然遭到破坏,则希望系统能快速检测到并迅速调整到正常状态,系统的检测时间Dt和响应时间置之和就是系统的暴露时间Et。该时间越小,系统安全性越好。由此,我们可以得出动态网络安全的新概念:及时的检测和响应就是安全。
三、基P2DR模型的企业安全防御体系
根据前面叙述的P2DR动态网络安全模型,针对企业的网络系统,我们可以在对网络系统进行安全评估的基础上制定具体的系统安全策略,借助现有各种网络安全技术和工具,设立多道的安全防线来集成各种可靠的安全机制从而建立完善的多层安全防御体系,以求能够有效地抵御来自系统内外的入侵攻击,达到企业网络系统安全的目的。
(一)以安全策略为中心
企业规程应该简明扼要。规程不应包含技术实施的详细内容,因为这些内容经常更改。设计安全策略时应认真制订计划,以确保所有与安全有关的问题都得到充分重视。
(二)系统预警
预警是防患于未然,因此有效的预警措施对企业网络安全十分重要。对安全漏洞的扫描是系统预警的重要方面。所谓漏洞扫描是指利用扫描程序(scanner)自动检测远端或本地主机安全脆弱点。在网络管理员的手里,扫描程序可以使一些烦琐的安全审计工作得以简化。我们可以将常用的攻击方法集成到漏洞扫描程序中,输出统一格式的结果,这样就可以对系统的抗攻击能力有较为清楚的了解。
(三)系统防护
系绕防护包括系统论证、访问控制、加密传输、数据完整性检查等。防火墙作为一种传统的网络安全产品,其主要功能就是实施访问控制策略。访问控制策略规定了网络不同部分允许的数据流向,还会制定哪些类型的传输是允许的,其它的传输都将被阻塞。加密传输也很重要。由于Internet上数据的时文传输,维修Internet造成了很大的顾虑。随着全球经济一体化趋势的发展,加密是网络防御体系中日益重要的一块,在Internet上构筑虚拟专用网(VPN)是解决加密传输的一种普遍实用的方法。
(四)系统检测
检测包括入侵检测、网络审计和病毒检测,入侵检测和网络审计的功能有很大的重复性,它们可以互为补究。其数据源也可以一次采集,重复利用。入侵检测作为一种动态的监控、预防或抵御系统入侵行为的安全机制,是对传统计算机机制的一种扩充,它的开发应用增大了网络与系统安全的保护纵深,这是因为:现有的各种安全机制都有自己的局限性。
四、结语
本文描述了企业网络的组成与特点,指出了我国企业安全存在的问题。针对这些问题,说明了P2DR动态安全模型,并详细阐述了基于P2DR模型的企业网络安全防御体系,解释了体系各部分的组成和功能。
参考文献:
篇(3)
防火墙是网络安全的基本防护设备,其安全性受到了越来越多人的重视,尤其是在当前科技迅猛发展的环境下,各企业也迅速的崛起,使得企业在网络环境的推动下,也面领着严峻的信息安全挑战。在这种环境下,人们对于防火墙的安全性要求也随之提高。当前,企业的防火墙要实现安全设计,还需要对企业的网络安全进行全方面的需求分析,通过针对性的设计,提高防火墙的实用性、功能性、安全性。
【关键词】
防火墙;企业网络安全设计;实现
1前言
计算机网络技术的广泛应用,为企业提供了更多的发展平台与业务渠道,在一定程度上推动了企业的快速发展。但在网络技术不断普及的今天,各种恶意攻击、网络病毒、系统破坏也对企业的网络安全造成了较大的伤害,不仅严重威胁到企业的信息安全,而且给企业带来较大的经济损失,造成了企业形象的破坏。因此,才需要使用防火墙技术,通过防火墙网络技术的安全设计,对各种病毒与网络攻击进行抵御,维护企业的信息安全,促进企业的健康稳定发展。
2防火墙的企业网络安全设计原则
在企业防火墙的网络安全设计中应该遵循一定的原则,即:全面、综合性原则,也就是企业的网络安全体系设计,应该从企业的整体出发,对各项信息威胁进行利弊权衡,进而制定出可行性的安全防护措施;简易性原则,主要是对于网络安全设计,既要保证其安全性,又要保证其操作简便性,以免系统过于复杂而造成维护上的阻碍;多重保护原则能够在建立多重的网络安全机制,确保整个网络环境安全;可扩充原则,主要是指在网络运用过程中,要随着新变化的出现,对于之前的网络安全系统进行升级与扩充;灵活性原则,也就是防火墙的网络安全设计方案,应该结合企业自身网络现状及安全需求,采用灵活、使用的方式进行设计;高效性原则,也就是防火墙的网络安全设计应该确保投资与产出相符,通过安全性的设计解决方案,避免重复性的投资,让企业投入最少的项目资金,获得最大的收益,有效维护企业的安全[1]。
3防火墙的企业网络安全设计
防火墙为服务器的中转站,能够避免计算机用户与互联网进行直接连接,并对客户端的请求加以及时地接收,创建服务其的连接,并对服务器发出的信号相应加以接受,再通过系统将服务器响应信号发送出去,并反馈与客户端。
3.1防火墙加密设计
防火墙的加密技术,是基于开放型的网络信息采取的一种主动防范手段,通过对敏感数据的加密处理、加密传输,确保企业信息的安全。当前的防火墙加密技术主要有非对称秘钥与对称秘钥两种,这种数据加密技术,主要是对明文的文件、数据等通过特定的某种算法加以处理,成为一段不可读的代码,维护数据信息的安全,以免企业的机密信息收到外界的攻击[2]。当前的防火墙加密手段也可分为硬件加密与软件加密,其中硬件加密的效率较高,且安全系数较高,而软件加密的成本相对来说较低,使用性与灵活性也较强,更换较为方便。
3.2入侵检测设计
入侵主要指的是外部用户对于主机系统资源的非授权使用,入侵行为能够在一定程度上导致系统数据的损毁与丢失,对于企业的信息安全与网络安全会造成较大的威胁,甚至导致系统拒绝合法用户的使用与服务。在防火墙的企业网络安全设计中,应该加强对入侵者检测系统的重视,对于入侵脚本、程序自动命令等进行有效识别,通过敏感数据的访问监测,对系统入侵者进行行为分析,加强预警机制,检测入侵者的恶意活动,及时发现各种安全隐患并加以防护处理。
3.3身份认证设计
身份认证主要是对授权者的身份识别,通过将实体身份与证据的绑定,对实体如:用户、应用程序、主机、进行等加以信息安全维护。通常,证据与实体身份间为一种对应的关系,主要由实体方向提供相应的证据,来证明自己的身份,而防火墙的身份认证则通相关的机制来对证据进行验证,以确保实体身份与证据的一致性。通过身份认证,防火墙便能够对非法用户与合法用户加以识别,进而对非法用户进行访问设置,维护主机系统的安全。
3.4状态检测设计
访问状态检测,是控制技术的一种,其关键性的任务就是确保企业的网络资源不受非法使用与非法访问,是维护企业网络安全的重要手段之一。防火墙的访问控制,一般可分为两种类型:①系统访问控制;②网络访问控制。其中,网络访问控制主要是限制外部计算机对于主机网络服务系统的访问,以及控制网络内部用户与外部计算机的访问。而系统访问控制,主要是结合企业的实际管理需求,对不同的用户赋予相应的主机资源操作、访问权限。
3.5包过滤数据设计
数据包过滤型的防火墙主要是通过读取相应的数据包,对一些信息数据进行分析,进而对该数据的安全性、可信度等加以判断,并以判断结果作为依据,来进行数据的处理。这在个过程中,若相关数据包不能得到防火墙的信任,便无法进入该网络。所以,这种技术的实用性很强,能够在网络环境下,维护计算机网络的安全,且操作便捷,成本较低。但需要注意的是,该技术只能依据一些基本的信息数据,来对信息安全性进行判断,而对于应用程序、邮件病毒等不能起到抵制的作用。包过滤防火墙通常需要在路由器上实现,对用户的定义内容进行过滤,在网络层、数据链路层中截获数据,并运用一定的规则来确定是否丢弃或转发各数据包。要确保企业的网络安全,需要对该种技术进行充分的利用,并适当融入网络地址翻译,对外部攻击者造成干扰,维护网络内部环境与外部环境的安全。
4企业网络安全中的实现
4.1强化网络安全管理
用将防火墙技术应用于企业的网络安全中,还需要企业的信息管理人员对于本企业的实际业务、工作流程、信息传输等进行深入的分析,对本企业存在的信息安全加以风险评估,熟悉掌握本企业网络安全的薄弱环节,全民提高企业的信息安全。另外,企业信息管理人员还需要对企业的网络平台架构进行明确掌握,对企业的未来业务发展加以合理的预测分析,进而制定出科学合理的网络信息安全策略。同时,企业信息管理人员还需要对黑客攻击方式与攻击手段进行了解,做好防止黑客入侵的措施。
4.2网络安全需求分析
企业的网络安全为动态过程,其设方案需要结合自身的实际状况加以灵活设计,进而提高设计方案的适用性、安全性,维护企业整个网络的安全。在对企业网络需求进行分析时,还需要注重企业的应用系统、网络访问系统、网络资源、网络管理实际[3]。在应用系统安全性设计中,对于系统使用频繁,提供服务资源的数据库与服务器,要在网络环境下,确保其运行安全,以免疏导恶意攻击与访问;而对于网络访问设计应具有一定的可控性,具备相应的认证与授权功能,对用户的身份加以识别,对敏感信息加以维护,以免企业的核心系统遭到攻击[4];网络资源要确保其适用性,能够承载企业的办公自动化系统及各项业务的运行使用,并保证网络能够不间断地高效运行;同时,针对网络管理,应该具有可操作性,在安全日志与审计上进行相关的信息记录,以免企业信息系统管理人员的日后维护。
4.3网络安全策略的制定
要实现企业的网络安全,还需要对企业的实际网络安全需求进行了解之后,针对不同的信息资源,制定出相关的安全策略,通过各种系统保密措施、信息访问加密措施、身份认证措施等,对企业信息资源维护人员相关的职责加以申请与划分,并对访问审批流程加以明确。最后,还需要企业的信心管理人员对整个安全系统进行监控与审计,通过监控系统的安全漏洞检查,对威胁信息系统安全的类型与来源进行初步判断,通过深入分析,制定出完善是网络安全防护策略[5]。
5结束语
在互联网环境下,信息资源的存储量巨大,运行较为高效,不仅为企业带来了较大发展空间,也使企业的信心安全面临巨大的威胁。因此,企业需要加强防火墙系统的建设,提高对网络安全系统的认识,通过有效措施,加强防火墙的安全设计,构建一个相对稳定的网络环境,维护企业的信息安全,让企业在可靠的信息网络环境开发更多的客户资源,以寻得健康、稳定、持续的发展。
作者:黄河锋 单位:桂林自来水公司
参考文献
[1]马小雨.防火墙和IDS联动技术在网络安全管理中的有效应用[J].现代电子技术,2016(02):42~44.
[2]范沁春.企业网络安全管理平台的设计与实现[J].网络安全技术与应用,2015(07):74+77.
[3]秦艳丽.试谈防火墙构建安全网络[J].电脑编程技巧与维护,2016(06):78~80.
篇(4)
关键词:企业;网络安全;管理;部署
中图分类号:F224.33文献标识码:A文章编号:1672-3198(2008)03-0128-02
1 引言
随着信息化进程的提速,越来越多地企业信息被披露于企业内外部网络环境中,如何保护企业机密,保障企业信息安全,成为企业信息化发展过程中必然需要面临和解决的问题。
对于企业信息网络安全管理需要部署的内容,首先要明确企业的哪些资产需要保护,确定关键数据和相关业务支持技术资产的价值,然后在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准。
2 企业网络信息安全需求分析
对企业网络信息安全的网络调查显示:有超过85%的安全威胁来自企业内部;有16%来自内部未授权的访问;有11%资料或网络的破坏。可以看出:来自于企业内部的安全威胁比来自于外部的威胁要大得多,必要的安全措施对企业是非常重要的。安全风险分析通常包括对系统资源的价值属性的分析、资源面临的威胁分析、系统的安全缺陷分析等等。分析的目标就是确定安全系统的建设环境,建立信息系统安全的基本策略。
2.1 企业信息网络安全需求
企业对信息网络安全方面的需求主要包含:
(1)业务系统与其它信息系统充分隔离。
(2)企业局域网与互联的其它网络充分隔离。
(3)全面的病毒防御体系,恢复已被病毒感染的设备及数据。
(4)关键业务数据必须进行备份,具有完善的灾难恢复功能。
(5)管理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估,并根据评估结果采用相应措施。
(6)关键业务数据和敏感数据在公网上的传输必须加密,防止非法获取和篡改。
(7)加强内部人员操作的技术监控,采用强有力的认证系统,代替一些不安全的用户名/口令系统授权模式。
(8)建立完善的入侵审计和监控措施,监视和记录外部或者内部人员可能发起的攻击。
(9)对整个信息系统进行安全审计,可预见管理和总拥有成本控制。
2.2 企业信息网络安全内容
从企业整体考虑,它的信息网络安全包括以下六个方面:
(1)企业信息网络安全策略建设,它是安全系统执行的安全策略建设的依据。
(2)企业信息网络管理体系建设,它是安全系统的安全控制策略和安全系统体系结构建设的依据。
(3)企业信息网络资源管理体系建设,它是安全系统体系结构规划的依据。
(4)企业信息网络人员管理建设,它是保障安全系统可靠建设、维护和应用的前提。
(5)企业信息网络工程管理体系建设,信息安全系统工程必须与它统一规划和管理。
(6)企业信息网络事务持续性保障规划,它是信息安全事件处理和安全恢复系统建设的依据。
3 企业信息网络安全架构
3.1 企业信息网络安全系统设计
安全系统设计是在信息系统安全策略的基础上,从安全策略的分析中抽象出安全系统及其服务。安全系统的设计如图1所示。安全系统设计的目标是设计出系统安全防御体系,设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系,忠实地贯彻系统安全策略。
3.2 企业信息网络安全系统组建
安全系统设计关心的是抽象定义的系统。具体系统组建是建立在设计基础上的实现。通常系统功能组件的实现方式是软件、硬件和固体等。安全系统组建的另一项重要内容是配制安全系统,并将安全系统与整个信息系统形成一体。
4 企业信息网络安全工程的部署
信息系统安全是信息系统服务质量的要求,网络安全系统应当融于信息网络服务系统之中,其建设与维护应当与信息网络系统的建设和维护保持一致,遵循系统工程的方法。网络安全工程就是应用系统工程建设和维护网络安全系统。
4.1 工程环节
系统工程总是与被建设的系统特性紧密结合,工程环节与系统生命周期保持同步。安全系统的生命周期也是基本如此,因而安全系统工程典型的基本环节包括信息系统安全需求分析、安全系统设计、安全系统组建、安全系统认证、系统安全运行维护和安全系统改造等,如图2所示。
(1)安全的互联网接入。
企业内部网络的每位员工要随时登录互联网,因此Internet接入平台的安全是该企业信息系统安全的关键部分,可采用外部边缘防火墙,其内部用户登录互联网时经过内部防火墙,再由外部边缘防火墙映射到互联网。外部边缘防火墙与内部防火墙之间形成了DMZ区。
(2)防火墙访问控制。
外部边缘防火墙提供PAT服务,配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接,并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。
内部防火墙处于内部网络与DMZ区之间,它允许内网所有主机能够访问DMZ区,但DMZ区进入内网的流量则进行严格的过滤。
(3)用户认证系统。
用户认证系统主要用于解决拨号和VPN接入的安全问题,它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。
拨号用户和VPN用户身份认证在主域服务器上进行,用户账号集中在主域服务器上开设。系统中设置严格的用户访问策略和口令策略,强制用户定期更改口令。同时配置VPN日志服务器,记录所有VPN用户的访问,作为系统审计的依据。
(4)入侵检测系统。
企业可在互联网流量汇聚的交换机处部署入侵检测系统,它可实时监控内网中发生的安全事件,使得管理员及时做出反应,并可记录内部用户对Internet的访问,管理者可审计Internet接入平台是否被滥用。
(5)网络防病毒系统。
企业应全面地布置防病毒系统,包括客户机、文件服务器、邮件服务器和OA服务器。
(6)VPN加密系统。
企业可建立虚拟专网VPN,主要为企业移动办公的员工提供通过互联网访问企业内网OA系统,同时为企业内网用户访问公司的SAP系统提供VPN加密连接。
需要注意的是,由于VPN机制需要执行加密和解密过程,其传输效率将降低30%~40%,因此对于关键业务,如果有条件应该尽可能采用数据专线方式。
(7)网络设备及服务器加固。
企业网络管理员应定期对各种网络设备和主机进行安全性扫描和渗透测试,及时发现漏洞并采取补救措施。安全性扫描主要是利用一些扫描工具,模拟黑客的方法和手段,以匿名身份接入网络,对网络设备和主机进行扫描并进行分析,目的是发现系统存在的各种漏洞。
根据安全扫描和渗透测试的结果,网络管理员即可有针对性地进行系统加固,具体加固措施包括:关闭不必要的网络端口;视网络应用情况禁用ICMP、SNMP等协议;安装最新系统安全补丁;采用SSH而不是Telnet进行远程登录;调整本地安全策略,禁用不需要的系统缺省服务;启用系统安全审计日志。
(8)办公电脑安全管理系统。
企业应加强对桌面电脑的安全管理。主要有:
①补丁管理:主要用于修复桌面电脑系统漏洞,避免蠕虫病毒、黑客攻击和木马程序等。
②间谍软件检测:能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。
③安全威胁分析:能够自动检测桌面电脑的配置风险,包括共享、口令、浏览器等安全问题,并自动进行修补或提出修改建议。
④应用程序阻止:用户随意安装的游戏等应用程序可能导致系统紊乱、冲突,影响正常办公。管理员可以通过远程执行指令,阻止有关应用程序的运行。
⑤设备访问控制:对用户电脑的硬件采用适当的访问控制策略,防止关键数据丢失和未授权访问。
(9)数据备份系统。
企业应制定备份策略,定期对一些重要数据进行备份。
4.2 持续性计划
(1)架构评估。
企业网络信息安全管理架构的评估应由IT部门、相关责任部门以及终端用户代表来共同参与,确保所有的部门都能纳入安全框架中。
(2)系统安全运行管理。
要保障信息系统安全,就必须维护安全系统充分发挥作用的环境。这种环境包括安全系统的配置、系统人员的安全职责分工与培训。
(3)安全系统改造。
信息系统安全的对抗性必然导致信息安全系统不断改造。导致安全系统改造的因素可以归结为4个方面:技术发展因素;系统环境因素;系统需求因素;安全事件因素。
(4)网络安全制度建设及人员安全意识教育。
企业应当采取积极防御措施,主动防止非授权访问操作,从客户端操作平台实施高等级防范,使不安全因素在源头被控制。这对工作流程相对固定的重要信息系统显得更为重要而可行。
需开展计算机安全意识教育和培训,加强计算机安全检查,以此提高最终用户对计算机安全的重视程度。为各级机构的系统管理员提供信息系统安全方面的专业培训,提高处理计算机系统安全问题的能力。
参考文献
[1]赵迪,赵望达,刘静.基于B/S架构的安全生产监督管理信息系统[J],中国公共安全(学术版),2006,(04).[2]周敏文,谭海文.浅析我国安全生产信息化建设的现状与对策[J],露天采矿技术,2005,(06).
[3][美]Harold F.Tipton,Micki Krause著,张文,邓芳玲,程向莉,吴娟等译.信息安全管理手册(卷III)(第四版)[M],北京:电子工业出版社,2004年6月,237-264.
篇(5)
关键词:等级防护;电力企业;网络安全建设
中图分类号: F407 文献标识码: A 文章编号:
引言
信息化是一把“双刃剑”,在提高企业工作效率、管理水平以及整体竞争能力的同时,也给企业带来了一定的安全风险,并且伴随着企业信息化水平的提高而逐渐增长。因此,提升企业的信息系统安全防护能力,使其满足国家等级保护的规范性要求,已经成为现阶段信息化工作的首要任务。对于电力企业的信息系统安全防护工作而言,应等级保护要求,将信息管理网络划分为信息内网与信息外网,并根据业务的重要性划分出相应的二级保护系统与三级保护系统,对三级系统独立成域,其余二级系统统一成域,并从边界安全、主机安全、网络安全、应用安全等方面对不同的安全域对防护要求进行明确划分。
1现阶段电力企业网络风险分析
1.1服务器区域缺少安全防护措施
大部分电力企业的服务器都是直接接入本单位的核心交换机,然而各网段网关都在核心交换机上,未能对服务器区域采取有效的安全防护措施。
1.2服务器区域和桌面终端区域之间的划分不明确
因服务器和桌面终端的网关都在核心交换机上,不能实现对于域的有效划分。
1.3网络安全建设缺乏规划
就现阶段的电力企业网络安全建设而言,普遍存在着缺乏整体安全设计与规划的现状,使整个网络系统成为了若干个安全产品的堆砌物,从而使各个产品之间失去了相应的联动,不仅在很大程度上降低了网络的运营效率,还增加了网络的复杂程度与维护难度。
1.4系统策略配置有待加强
在信息网络中使用的操作系统大都含有相应的安全机制、用户与目录权限设置以及适当的安全策略系统等,但在实际的网络安装调试过程中,往往只使用最宽松的配置,然而对于安全保密来说却恰恰相反,要想确保系统的安全,必须遵循最小化原则,没有必要的策略在网络中一律不配置,即使有必要的,也应对其进行严格限制。
1.5缺乏相应的安全管理机制
对于一个好的电力企业网络信息系统而言,安全与管理始终是分不开的。如果只有好的安全设备与系统而没有完善的安全管理体系来确保安全管理方法的顺利实施,很难实现电力企业网络信息系统的安全运营。对于安全管理工作而言,其目的就是确保网络的安全稳定运行,并且其自身应该具有良好的自我修复性,一旦发生黑客事件,能够在最大程度上挽回损失。因此,在现阶段的企业网络安全建设工作过程中,应当制订出完善的安全检测、人员管理、口令管理、策略管理、日志管理等管理方法。
2等级保护要求下电力企业网络安全建设防护的具体措施
2.1突出保护重点
对于电力企业而言,其投入到信息网络安全上的资源是一定的。从另外一种意义上讲,当一些设备存在相应的安全隐患或者发生破坏之后,其所产生的后果并不严重,如果投入和其一样重要的信息资源来保护它,显然不满足科学性的要求。因此,在保护工作过程中,应对需要保护的信息资产进行详细梳理,以企业的整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中,在这些重要信息资源得到有效保护的同时,还可以使工作效率得到很大程度的提高。
2.2贯彻实施3层防护方案
在企业网络安全建设过程中,应充分结合电力企业自身网络化特点,积极贯彻落实安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。在安全防护框架的基础上,实行分级、分域与分层防护的总体策略,以充分实现国家等级防护的基本要求。
(1)分区分域。统一对直属单位的安全域进行划分,以充分实现对于不同安全等级、不同业务类型的独立化与差异化防护。
(2)等级防护。遵循“二级系统统一成域,三级系统独立成域”的划分原则,并根据信息系统的定级情况,进行等级安全防护策略的具体设计。
(3)多层防护。在此项工作的开展过程中,应从边界、网络环境等多个方面进行安全防护策略的设计工作。
2.3加强安全域划分
安全域是指在同一环境内具有一致安全防护需求、相互信任且具有相同安全访问控制与边界控制的系统。加强对于安全域的划分,可以实现以下目标:
(1)实现对复杂问题的分解。对于信息系统的安全域划分而言,其目的是将一个复杂的安全问题分解成一定数量小区域的安全防护问题。安全区域划分可以有效实现对于复杂系统的安全等级防护,是实现重点防护、分级防护的战略防御理念。
(2)实现对于不同系统的差异防护。基础网络服务、业务应用、日常办公终端之间都存在着一定的差异,并且能够根据不同的安全防护需求,实现对于不同特性系统的归类划分,从而明确各域边界,对相应的防护措施进行分别考虑。
(3)有效防止安全问题的扩散。进行安全区域划分,可以将其安全问题限定在其所在的安全域内,从而有效阻止其向其他安全域的扩散。在此项工作的开展过程中,还应充分遵循区域划分的原则,将直属单位的网络系统统一划分为相应的二级服务器域与桌面终端域,并对其分别进行安全防护管理。在二级系统服务器域与桌面域间,采取横向域间的安全防护措施,以实现域间的安全防护。
2.4加强对于网络边界安全的防护
对于电力企业的网络边界安全防护工作而言,其目的是使边界避免来自外部的攻击,并有效防止内部人员对外界进行攻击。在安全事件发生之前,能够通过对安全日志与入侵事件的分析,来发现攻击企图,在事件发生之后可以通过对入侵事件记录的分析来进行相应的审查追踪。
(1)加强对于纵向边界的防护。在网络出口与上级单位连接处设立防火墙,以实现对于网络边界安全的防护。
(2)加强对于域间横向边界的防护。此项防护是针对各安全区域通信数据流传输保护所制定出的安全防护措施。在该项工作的开展过程中,应根据网络边界的数据流制定出相应的访问控制矩阵,并依此在边界网络访问控制设备上设定相应的访问控制规则。
2.5加强对于网络环境的安全防护
(1)加强边界入侵检测。以网络嗅探的方式可以截获通过网络传输的数据包,并通过相应的特征分析、异常统计分析等方法,及时发现并处理网络攻击与异常安全事件。在此过程中,设置相应的入侵检测系统,能够及时发现病毒、蠕虫、恶意代码攻击等威胁,能够有效提高处理安全问题的效率,从而为安全问题的取证提供有力依据。
(2)强化网络设备安全加固。安全加固是指在确保业务处理正常进行的情况下,对初始配置进行相应的优化,从而提高网络系统的自身抗攻击性。因此,在经过相应的安全评估之后,应及时发现其中隐藏的安全问题,对重要的网络设备进行必要的安全加固。
(3)强化日志审计配置。在此项工作的开展过程中,应根据国家二级等级保护要求,对服务器、安全设备、网络设备等开启审计功能,并对这些设备进行日志的集中搜索,对事件进行定期分析,以有效实现对于信息系统、安全设备、网络设备的日志记录与分析工作。
结语
综上所述,对于现阶段电力企业信息网络而言,网络安全建设是一个综合性的课题,涉及到技术、使用、管理等许多方面,并受到诸多因素的影响。在电力企业网络安全建设过程中,应加强对于安全防护管理体系的完善与创新,以严格的管理制度与高素质管理人才,实现对于信息系统的精细化、准确化管理,从而切实促进企业网络安全建设的健康、稳步发展。
参考文献:
[1]张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).
篇(6)
关键词:当前网络;安全评估;防护体系构建
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-02
网络技术发展犹如一把双刃剑,在为人类社会经济发展带来便捷的同时,也造成了一定的妨碍,尤其是网络具有开放共享、联接形式多样、终端分布不均以及易受侵袭的特性,使得网络安全始终存在一定的隐患。步入信息时代,企业对网络的依赖程度逐渐加深,日常办公活动甚至是经济运营都需要通过网络才能实现。而随着网络技术的不断进步,妨碍网络安全的因素也在不断增多,对企业所造成的危害也越来越大。应对当前企业计算机网络安全问题进行深入分析,构建并完善有效的网络安全体系,为维护企业利益、促进企业发展做出积极的努力。
1 网络安全的内涵及其特征
网络安全是指网络系统的软件、硬件以及系统中的数据受到充分保护,不因任何原因而遭受到破坏、更改和泄露,计算机系统得以维持连续、可靠、有效地运行,网络服务不中断。在安全状态下,计算机网络系统具有可靠、可用、可控、保密等特征。从狭义来说,网络安全就是维护存储在网络上的信息安全;从广义来说,凡是与网络信息的完整性、保密性、真实性和可控性的相关理论和技术都是网络安全问题。因此,网络安全是一门涉及到网络技术、通信技术、计算机技术、密码技术、信息安全技术等多种学科的综合性科学。历史实践证明,科学技术的进步将会为人类社会生活中的各个领域都带来重大影响。现代计算机及网络技术的快速发展,尤其是Internet的出现,使得信息的最广泛交换和共享成为现实。但伴随着信息共享所带来的巨大益处,信息在网络上存储、传输的同时,也可能受到窃取、篡改和毁坏,甚至可能会导致无法估量的损失。
2 企业计算机网络所面临的威胁
当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。
2.1 网络管理制度不完善
网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。
2.2 网络建设规划不合理
网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。
2.3 网络设施设备的落后
网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。
2.4 网络操作系统自身存在漏洞
操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。
3 网络安全防护体系的构建策略
如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。
3.1 完善企业计算机网络制度
制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。
3.2 配置有效的防火墙
防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。
3.2 采用有效的病毒检测技术
计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。
3.3 其他网络安全技术
其他的网络安全技术包括密码更改、网络加密技术和IP 隐藏技术等。密码更改是网络用户应具备的一项安全意识,要定期或不定期对自己的账户密码进行修改,设置密码保护问题,以预防密码泄露;机密技术是指通过将存储在计算机网络上的重要信息改变为密文来防止被窃取和泄露;IP隐藏技术是隐藏用户计算机的IP地址,避免网络黑客采取特殊的网络探测手段获取用户IP来确定攻击目标,以上都是确保网络安全的重要手段。
计算机及网络技术的进步推动了信息时代的发展进程,在人类社会的各个领域都引起了一系列影响深刻的革命。但伴随着网络规模的逐步扩大和更加开放,网络所面临的安全威胁和风险也变得更加严重和复杂,企业计算机网络受到威胁行为日益增多。为了保障企业计算机网络安全,必须强化信息应用安全意识,及时了解网络中出现的安全问题,规范计算机网络使用行为,加强网络基础设施建设,提高设备设施应用水平,构建起有效的网络安全防护体系,维护企业的网络安全和合法权益。
参考文献:
[1](美)Michael·Erbschloe著,常晓波等译.信息战一如何战胜计算机攻击[M].北京:清华大学出版社,2002.
[2]姚顾波,刘焕金等著.黑客终结——网络安全完全解决方案[M].北京:电子工业出版社,2003.
篇(7)
关键词:企业;网络;系统;安全;虚拟化;信息化
一、 企业网的组成和所面临的安全威胁
(一) 企业网的组成
企业网一般由两个大的功能区域组成:企业内网和企业外部接入网。我们可以逻辑上把这两大区域进一步划分成若干个模块,企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。企业外部接入网包括外网接入模块和远程接入模块两个部分。不同模块实现不同的功能,各自的安全需要也有所不同, 需要实施相应的安全策略。模块与模块之间的安全策略相互影响、相互作用并互为补充。典型的大型企业网络架构如下图:
(二) 企业网面临的安全威胁
1. 来自内部用户的安全威胁
大多数威胁来自于内部网络, 如缺乏安全意识的员工、心怀不满的员工、公司间谍等都是这类攻击的来源。
2. 来自外部网络的安全威胁
随着信息技术的不断发展,企业总部与分支以及合作伙伴之间的联网需求越来越迫切。它们之间不可避免的需要通过网络交换信息及共享资源。同时, 企业网还为内部合法员工提供了上互联网的途径, 互联网用户可以访问企业对外提供的公共服务器上的信息,由于信息资源的共享同时也给企业网的内、外网安全带来了一系列的挑战。
二、 企业内网的安全设计
企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。下面分别分析各个模块的功能, 及面临的安全威胁和相对应的安全措施, 以及与其它模块之间的关系。
(一) 管理模块
管理模块的主要功能是实现企业网络的所有设备和服务器的安全管理。所面临最主要的安全威胁有未授权接入、口令攻击、中间人攻击等,为了消除以上管理模块面临的安全威胁,应采取以下的安全措施:
1. 管理数据流和生产网数据流需有效的安全隔离,包括尽可能使用安全性高的带外管理, 在不能使用带外管理的情况下,带内管理也要做到使用IPSec、SSH等加密传输。
2. 采用强力的认证授权技术对管理信息进行认证和授权,可以通过采用AAA认证和双因素认证技术, 保证只有合法的用户才能管理相应设备, 并能够防止密码泄漏和对密码窃听。
3. 采用完善的安全审计技术对整个网络(或重要网络部分)的运行进行记录和分析,可以通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并为今后网络整改提供依据。
4. 部署网络入侵检测系统,从而能够对流入和流出管理模块的数据流进行实时的分析并及时发现可能的入侵行为。
由于管理模块全网可达, 且能够对全网的所有设备和服务器进行管理,所以它的安全防护策略应该是全网最严格的。
(二) 核心模块
核心模块的主要功能是快速转发。所面临主要安全威胁是分组窃听、功能区域划分模糊和如何实现快速故障隔离。当多种应用流量运行在核心模块时,如何防止不同应用流量被窃听篡改、如何对不同应用区域进行分类保护、如何在核心模块故障发生时进行有效快速的故障隔离成了当务之急。
核心模块的主要设备是三层交换机, 三层交换架构是消除分组窃听威胁的有效手段,而核心三层交换机的虚拟化技术则可以解决核心功能区域的精细划分、实现有效快速的隔离故障,提高系统的可用性,防止级联式的服务中断。通过核心交换机的虚拟化技术还可实现交换机控制和管理平面的虚拟化,在三层交换机上配置相应的安全策略,为多个应用或部门的流量提供安全的网络分区,让每个应用或部门可以独立管理和维护其各自的配置。
(三) 分布层模块
分布层模块主要提供包括路由、QoS和访问控制。所面临的主要安全威胁有未授权访问、欺骗、病毒和特洛伊木马的应用。为了消除以上分布层模块面临的安全威胁, 分布层模块应采取以下的安全措施:
1. 针对二层网络的安全威胁,利用网络设备本身的二层网络安全性能,进行二层网络安全策略的部署,如二层VLAN划分、DHCP窥探保护、动态ARP检查、IP源地址保护等安全策略。
2. 通过在分布层使用访问控制, 可以减少一个部门访问另一部门服务器上保密信息的机会,利用设备包过滤技术,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
3. 通过RFC2827过滤可有效防止源地址欺骗。
4. 部署防病毒系统,防止各个工作站感染病毒和特洛伊木马的应用。
5. 部署网络准入控制系统,通过在网络中部署网络准入控制系统,可以实现最大限度减少内部网络安全威胁,降低病毒和蠕虫造成的停机时间。
根据网络规模和性能要求的不同, 核心层和分布层可以结合起来合二为一, 从而达到减少硬件设备,达到减少投资与节能等目的。
(四) 服务器模块
服务器模块的主要目标是向最终用户和设备提供应用服务。所面临的主要安全威胁有未授权访问、应用层攻击、IP欺骗、分组窃听和端口重定向等。为了消除以上安全威胁,应采取以下的安全措施:
1. 使用基于主机和网络的IDS/IPS系统。
2. 在交换机上配置私有VLAN,实现对服务器的访问限制, 限制对关健服务器的随意访问。
3. 对服务器及时打上最新的补丁程序。
4. 对服务器区域(DMZ区域)进行不同安全级别划分,通过对不同应用的服务器进行安全级别的划分,并通过防火墙模块进行DMZ逻辑区域的隔离,可以实现服务器故障的快速隔离和服务器间访问的有效控制。
5. 针对企业较为重要的邮件应用服务器,可以单独部署电子邮件安全产品,从而减少与垃圾邮件、病毒和其它各种威胁有关的宕机,以求减轻技术人员的负担。
像分布层模块一样, 根据公司规模、应用性能及需求的不同, 服务器模块可以与核心模块相结合。
(五) 边界接入模块
边界接入模块的目标是在网络边缘集中来自各个接入网模块的连接,信息流从边界接入模块过滤后路 由至至核心。边界接入模块在整体功能方面和分布层模块有些类似,都采用接入控制来过滤信息流,但边界接入模块在一定程度上依赖整个接入网功能区域来执行附加安全功能。像服务器和分布层模块一样,如果性能要求不高, 边界接入模块可与核心模块结合起来。
在边界接入模块比较常见的安全措施为应用流量观察分析和安全网关。应用流量观察分析是通过部署流量控制设备,使用其二至七层强大的应用分析能力,能够第一时间获得核心模块和接入网模块之间应用流量能见度,并以此为基础在企业网络中部署相应的安全策略(比如限制病毒端口号、限制特定内网IP地址、限制特定MAC地址)。安全网关是通过采用专用的安全网关技术,实现核心模块和外网接入网模块之间的Web内容过滤,Web病毒扫描,间谍软件防御,HTTPS安全控制,防机密数据外泄等等安全功能。
三、 企业接入网的安全设计
企业接入网由外网接入模块和远程接入模块两个部分组成。以下分别阐述各个模块的功能、面临的安全威胁和相应的安全措施。
(一) 外网接入模块
大多企业网虽然都是专网,但是不可避免要和外网连接。外网包括企业分支网络、第三方接入网络和互联网。所面临的主要安全威胁有未授权接入、应用层攻击、病毒和特洛伊木马、拒绝服务攻击等。主要防御措施有:
1. 在外网接入模块和外网之间部署防火墙。防火墙应分为两组防护, 一组用于企业网与分支机构网络的连接, 另一组用于企业网与互联网的连接。防火墙为内网的网络资源提供保护,从而确保只有合法信息流穿过防火墙。部署在企业网与互联网的连接上的防火墙时可以使用目前先进的“云火墙”技术,该技术可以持续收集互联网上已知威胁的详细信息,实现企业到互联网的网络安全。
2. 使用防火墙的虚拟化技术,将单一防火墙设备逻辑划分为多个虚拟防火墙,每个防火墙有自己的策略且分别进行管理,可以实现不同区域模块之间的安全控制和设备资源的高效利用。
3. 部署IDS/IPS入侵检测/防御系统,有条件的情况下, 在防火墙的内网区、外网区和DMZ区域都要部署入侵检测/防御系统, 以实时检测来自外网的入侵行为。
4. 建立统一的应用服务器用于与其它分支网络构建统一接入平台,应用服务器作为所有应用服务的, 通过进行更严格的应用数据流检查和过滤,有利于外网接入模块的标准化和可扩展性的提升。
5. 在与互联网连接的企业网络边缘部署路由器,并通过在路由器入口进行数据流的过滤,路由器对大多数攻击提供了过滤器,同时进行RFC1918和RFC2827过滤, 作为对过滤的验证, 路由器还应丢弃‘碎片’的数据包。对于过滤造成的合法数据包丢弃相比这些数据包带来的安全风险是值得的。
(二) 远程接入模块
远程接入模块的主要目标有三个:从远程用户端接VPN信息流、为从远程站点VPN信息流提供一个集线器以及拨号用户。远程接入模块面临的主要安全威胁有口令攻击、未授权接入和中间人攻击等。此模块的核心要求是拥有三个独立外部用户服务验证和端接,对于此模块来说信息流的来源是来自于企业网络外的不可信源, 因此要为这三种服务的每一种提供一个防火墙上的独立接口。
1. 远程接入VPN,远程接入VPN推荐使用IPSec协议。此服务的安全管理是通过将所有IPSec的安全参数从中央站点推向远程用户实现的。
2. 拨号接入用户,AAA和一次性口令服务器可用来验证和提供口令。
3. 站点间VPN,与站点间连接相关的IP信息流在传输模式下由配置成GRE隧道来实现。
以上来自三种服务的信息流应集中接入到防火墙的一个专用接口上。条件允许时在防火墙的内口或外口部署IDS/IPS系统, 以检测可能的攻击行为。
四、 模块之间的相互关系
采用模块化设计时, 不是简单地将网络安全设计分解成各个孤立的模块, 各模块之间紧密联系,其安全防护措施也直接影响到其它模块的安全。
管理模块是整个网络安全体系的核心、位于其它所有模块的最顶层。网络安全体系的建立, 应该首先建立管理模块的安全结构。它相对于其它模块有着很大的独立性, 但它是建立其它模块安全结构的基础和前提。
核心模块、服务器模块和分布层模块构成企业网络的内部网络。这三个模块主要防范来自企业网内部的安全威胁:分布层模块提供了针对内部发起攻击的第一道防线;核心模块的主要目标是线速的转发数据流, 其安全性主要依赖于核心模块交换设备本身的安全设置以及分布层模块的安全防护;服务器模块往往会成为内部攻击的主要目标, 安全性除了自身的安全措施和分布层模块的安全防护外, 严格的安全管理是极为重要的。
边界接入模块是连接企业内网和外部接入网的桥梁和纽带。边界接入模块在外部接入网安全措施的基础上, 为企业内网提供附加的安全功能。
外部接入网为企业内网提供了第一道安全防线, 也是外网接入企业网内网统一的接入平台。
模块化的设计将复杂的大型网络划分为几个相对简单的模块, 以模块为基本单位构筑整个网络的安全体系结构。使用模块化的网络安全设计能够很容易实现单个模块的安全功能,并实现模块与模块间的安全关系,从而在整个企业网络中形成分层次的纵深防御体系。还能够使设计者进行逐个模块的安全风险评估和实施安全, 而非试图在一个阶段就完成整个体系结构。
参考文献:
[1] 崔国庆. 计算机网络安全技术与防护的研究?. 电脑知识与技术,2009年9月.
