一、概述

網(wǎng)絡(luò)的最大價值，在于信息化的應(yīng)用。由于企業(yè)信息化與企業(yè)生產(chǎn)經(jīng)營已經(jīng)逐漸成為一個共同的載體，企業(yè)對網(wǎng)絡(luò)安全保護的要求日益提高。當前利用結(jié)構(gòu)化的觀點和方法來看待企業(yè)網(wǎng)絡(luò)安全系統(tǒng)是主流思想，通過各層的弱點及攻擊的可能性對各層進行分析及防護，對可能發(fā)生的攻擊事件或漏洞做到事前防護，合理地利用各種硬件設(shè)備，通過完善的管理手段來建設(shè)一個穩(wěn)定、安全、可靠的企業(yè)信息網(wǎng)絡(luò)平臺。

二、企業(yè)網(wǎng)絡(luò)安全架構(gòu)

企業(yè)網(wǎng)絡(luò)管理的核心是網(wǎng)絡(luò)應(yīng)用，如何架構(gòu)一個安全、可靠的網(wǎng)絡(luò)環(huán)境是網(wǎng)絡(luò)管理的一大課題。在網(wǎng)絡(luò)安全隱患無處不在的今天，安全需求格外重要。當企業(yè)在架構(gòu)網(wǎng)絡(luò)前，應(yīng)當全面的分析相應(yīng)網(wǎng)絡(luò)中可能存在的安全隱患，以及網(wǎng)絡(luò)應(yīng)用中必要的安全需求。

1、網(wǎng)絡(luò)安全威脅

從目前的企業(yè)網(wǎng)絡(luò)使用情況及日后的應(yīng)用發(fā)展來看，主要存在以下幾種安全威脅．(1)、病毒感染。病毒感染是危害面最廣的安全隱患，威脅整體網(wǎng)絡(luò)運行。組建企業(yè)網(wǎng)絡(luò)時選擇部署整個網(wǎng)絡(luò)系統(tǒng)的病毒防御系統(tǒng)。(2)、黑客入侵和攻擊。黑客攻擊的危害性很大，入侵途徑和攻擊方式多樣化，難以預(yù)防。目前防御措施主要是通過部署防火墻系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離技術(shù)等防御黑客攻擊，還應(yīng)輔以系統(tǒng)漏洞和補丁升級系統(tǒng)。(3)、非法訪問。非法用戶訪問企業(yè)網(wǎng)絡(luò)時可能攜帶、放置病毒或其它惡意程序，也可能刪除服務(wù)器系統(tǒng)文件和數(shù)據(jù)以及竊取企業(yè)機密信息等。防御措施除了防火墻系統(tǒng)、入侵檢測系統(tǒng)和網(wǎng)絡(luò)隔離技術(shù)外，還應(yīng)注意在網(wǎng)絡(luò)管理中引入安全機制，如對關(guān)鍵部門劃分子網(wǎng)隔離保護，對重要的數(shù)據(jù)和文件進行加密以及對于需要進行遠程訪問的用戶，注意權(quán)限配置工作。(4)、數(shù)據(jù)損壞或丟失。網(wǎng)絡(luò)數(shù)據(jù)對于企業(yè)來說是非常重要的。數(shù)據(jù)的備份是一切安全措施中最徹底有效，也是最后一項保護措施。

2、網(wǎng)絡(luò)架構(gòu)概念

企業(yè)網(wǎng)絡(luò)安全是系統(tǒng)結(jié)構(gòu)本身的安全，應(yīng)利用結(jié)構(gòu)化的觀點和方法來看待企業(yè)安全系統(tǒng)。全方位的、整體的信息安全防范體系應(yīng)是分層次的，不同層次反映了不同的安全問題。根據(jù)搭建網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和結(jié)構(gòu)，從物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全及安全管理五個方面來考慮網(wǎng)絡(luò)的安全架構(gòu)。

三、學(xué)院網(wǎng)絡(luò)安全系統(tǒng)分析

結(jié)合本學(xué)院網(wǎng)絡(luò)建設(shè)的實際情況，在此對分層架構(gòu)安全體系進行具體闡述并對網(wǎng)絡(luò)層的安全進行重點研究。

1、物理層安全

物理層的安全主要就是對設(shè)備和鏈路及其物理環(huán)境的安全保護。這里著重考慮學(xué)院信息中心的建設(shè)。信息中心作為學(xué)院的數(shù)據(jù)中心，承載所有的應(yīng)用服務(wù)器的運行，所以信息中心的安全是最基礎(chǔ)的安全保障。信息中心的建設(shè)除了要保證溫度、濕度、防雷、防火以及不問斷供電以外，還應(yīng)注重信息中心的綜合布線布局，做好整體規(guī)劃及標記，力爭布線的簡潔、有序，便于日后維護及故障排查。

2、系統(tǒng)層安全

主要包括操作系統(tǒng)安全和應(yīng)用系統(tǒng)安全。系統(tǒng)層的安全，主要考慮操作系統(tǒng)的漏洞補丁。利用內(nèi)網(wǎng)架設(shè)的補丁升級中心(WSUS)，對于徼軟發(fā)布的系統(tǒng)補丁，進行補丁下載和安裝，提高操作系統(tǒng)的安全性，有效降低系統(tǒng)的安全風(fēng)險。我們還可以采用綠盟的極光遠程安全評估系統(tǒng)掃描出整個網(wǎng)絡(luò)中所有設(shè)備上的漏洞，并且與wsus服務(wù)聯(lián)動，僅在綠盟的設(shè)備上就可以對這些漏洞進行修補。對于應(yīng)用系統(tǒng)服務(wù)器來說，除了加強登陸的身份認證權(quán)限，還應(yīng)該盡量開放最少的端口，保證服務(wù)器的正常使用。

3、網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全是我們考慮最多，也是防范要求最多的一個層面。這里從以下幾個方面進行闡述：

(1)確定安全域的劃分

安全域的劃分就是制定安全邊界。根據(jù)資源位置進行劃分的目標是將同一網(wǎng)絡(luò)安全等級的資源，根據(jù)對學(xué)院的重要性、面臨的外來攻擊風(fēng)險、內(nèi)在的運行風(fēng)險不同，劃分成多個網(wǎng)絡(luò)安全區(qū)域。劃分的原則是將同一網(wǎng)絡(luò)安全層次內(nèi)客戶端之間的連接控制在相同的安全域內(nèi)，盡量消除不同安全層次之間的聯(lián)系，實施相互邏輯或物理隔離。

從目前情況分析，學(xué)院內(nèi)部的財務(wù)處和人事處因業(yè)務(wù)及數(shù)據(jù)的保密性和敏感度，需要阻止任何的外部訪問。所以這兩個位置與網(wǎng)絡(luò)中其它處室在邏輯上應(yīng)是隔離狀態(tài)。這里主要使用交換機利用vlan對各個不同的功能區(qū)域進行劃分。除了保證物理位置及邏輯位置的隔離以外，劃分vlan的另一個好處就是減小廣播包的數(shù)量，控制網(wǎng)絡(luò)流量，避免廣播風(fēng)暴的產(chǎn)生。在實際工作中曾經(jīng)遇到財務(wù)處網(wǎng)段被其他網(wǎng)段訪問的安全問題。此問題涉及財務(wù)的機密文件和重要報表數(shù)據(jù)，所以問題較嚴重。在這之前財務(wù)處是被獨立劃分為一個網(wǎng)段，與其它網(wǎng)段用ACL列表進行隔離。但是在客戶端統(tǒng)一納入學(xué)院域之后，之前做的ACL列表不起任何作用。經(jīng)分析，我們發(fā)現(xiàn)在域內(nèi)PC之間的通訊協(xié)議發(fā)生了變化，于是將所有的TCP、UDP協(xié)議進行攔截，只對部分可以互訪的終端服務(wù)器進行允許控制。對于需要外網(wǎng)進行訪問的服務(wù)器，比如web服務(wù)器、ftp服務(wù)器、郵件服務(wù)器等需要把它們分離出來，不需要進入內(nèi)網(wǎng)進行保護。其它服務(wù)器則放置于內(nèi)網(wǎng)保護區(qū)域內(nèi)，獨立劃分為一個vlan。

(2)攻擊阻斷

這里主要采用防火墻、入侵防護、防病毒系統(tǒng)進行外部阻斷。

首先，為了保護內(nèi)部網(wǎng)絡(luò)，在Internet出口部署防火墻，將內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)隔離，只在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，將攻擊危險阻斷在外，并限制網(wǎng)絡(luò)互訪從而保護企業(yè)內(nèi)部網(wǎng)絡(luò)。另外，利用防火墻的端口，設(shè)置LAN區(qū)、SSN區(qū)以及外網(wǎng)區(qū)。LAN區(qū)是不對外開放區(qū)，所有的客戶端及需要保護的服務(wù)器放置在這個區(qū)域里。SSN區(qū)域里放置需要外部訪問的服務(wù)器，如web服務(wù)器、ftp服務(wù)器及郵件服務(wù)器。由于防火墻處于網(wǎng)關(guān)的位置，不可能對進出攻擊做出太多判斷，否則會嚴重影響網(wǎng)絡(luò)性能。所以這里需要部署入侵保護系統(tǒng)(Ips)作為防火墻的有力補充。將Ips串聯(lián)在主干線路中，是網(wǎng)絡(luò)安全的第二道屏障，可構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。除此之外，我們還可以進行恰當?shù)脑O(shè)置，使防火墻、lps聯(lián)動起來。當Ips檢測到入侵和攻擊后，會通過聯(lián)動接口部件，將入侵特征和事件報告給防火墻，防火墻接到入侵信息后會動態(tài)地修改自己的安全訪問控制策略，在下一次防火墻不需要Ips也可以將入侵流量屏蔽掉。

這樣防火墻和Ips聯(lián)動起來后，防火墻的訪問控制規(guī)則和Ips的規(guī)則鏈會隨著網(wǎng)絡(luò)安全狀況的變化而不斷調(diào)整，這樣不僅能提高安全性，而且不必要的訪問控制規(guī)則和規(guī)則鏈會被及時地刪除掉，對網(wǎng)絡(luò)性能造成的影響也會降到最低。防病毒系統(tǒng)應(yīng)該是網(wǎng)絡(luò)安全的第三道屏障。在網(wǎng)絡(luò)技術(shù)日新月異的今天，即使網(wǎng)絡(luò)部署了防火墻和入侵保護系統(tǒng)后，仍然會存在漏洞。學(xué)院網(wǎng)絡(luò)應(yīng)該建立立體防毒體系，就是指在網(wǎng)絡(luò)的邊界處部署硬件防毒墻，然后再在整個網(wǎng)絡(luò)內(nèi)部部署網(wǎng)絡(luò)版殺毒軟件。這樣防病毒系統(tǒng)不僅部署在每一個客戶端上，能夠?qū)υ从趦?nèi)部網(wǎng)絡(luò)的攻擊或者是防火墻無法隔離的攻擊行為、惡意代碼進行阻攔，而且防病毒系統(tǒng)也部署在服務(wù)器上和網(wǎng)絡(luò)邊界處。這樣從邊界到內(nèi)部，整個網(wǎng)絡(luò)進行立體地防護，極大地提高了全網(wǎng)的防毒能力，是防火墻及入侵保護系統(tǒng)的有力補充。

(3)遠程接入控制

對于學(xué)院的三個分院以及外出辦公人員，需要通過Internet訪問學(xué)院本部，這里考慮vpn(虛擬私有網(wǎng)絡(luò))技術(shù)來實現(xiàn)。

現(xiàn)有vpn技術(shù)有Ipsecvpn以及sslvpn。從學(xué)院目前網(wǎng)絡(luò)使用情況并考慮日后發(fā)展狀況，將以IPsecvpn作為點對點連結(jié)，再配以sslvpn的遠程訪問方案。在交通分院、建設(shè)分院、衛(wèi)生分院三地之間架設(shè)防火墻，利用防火墻的網(wǎng)關(guān)對網(wǎng)關(guān)的Ipsecvpn滿足三地辦公的需要，再選購sslvpn來滿足移動辦公人員訪問學(xué)院內(nèi)網(wǎng)高安全性及可靠性的需求。我們目前一直使用天融信防火墻自帶的ipsecvpn。除了因為網(wǎng)絡(luò)問題帶來的故障以外，可以說vpn功能基本達到了我們的需求。但是對于它的移動vpn，因為客戶端的產(chǎn)品型號、操作系統(tǒng)及應(yīng)用軟件的差異，有必要另選用一套sslvpn滿足移動辦公訪問學(xué)院內(nèi)網(wǎng)的需求。

(4)身份認證

對于不同的應(yīng)用，訪問者的操作權(quán)限應(yīng)該通過身份認證系統(tǒng)來實現(xiàn)。身份認證有利于保證被訪問資源的安全，也是對遠程接入安全控制的有益補充。

4、應(yīng)用層安全

主要包括網(wǎng)頁防篡改、數(shù)據(jù)庫的漏洞修補、數(shù)據(jù)的完整性檢驗以及數(shù)據(jù)的備份和恢復(fù)。這里將注意力大部分集中在數(shù)據(jù)庫的安全上。主要的工作應(yīng)該是登陸的身份驗證管理、數(shù)據(jù)庫的使用權(quán)限管理和數(shù)據(jù)庫中對象的使用權(quán)限管理。對于網(wǎng)頁防篡改可以在web服務(wù)器前部署web應(yīng)用防火墻。對于數(shù)據(jù)庫來說，為了提高用戶訪問數(shù)據(jù)庫的速度和數(shù)據(jù)庫中數(shù)據(jù)的安全性，我們可以采取磁盤陣列來代替普通的存儲設(shè)備，極大地擴展了存儲容量，在性能和安全性上也有了大幅度的提高。考慮到以后我們的應(yīng)用不斷增多，數(shù)據(jù)量不斷加大，為了保證性能和安全性，我們可以著手建設(shè)SAN或NAS，甚至可以做異地容災(zāi)備份，即使發(fā)生自然災(zāi)害，我們也可以在最短的時間內(nèi)恢復(fù)我們的數(shù)據(jù)和我們的應(yīng)用。

5、網(wǎng)絡(luò)安全管理體系的建立

實現(xiàn)網(wǎng)絡(luò)安全的過程是復(fù)雜的。這個復(fù)雜的過程需要嚴格有效的管理才能保證整個過程的有效性，才能保證安全控制措施有效地發(fā)揮其效能，從而確保實現(xiàn)預(yù)期的安全目標。因此，建立有組織的安全管理體系是網(wǎng)絡(luò)安全的核心。其過程如下：

(1)、安全需求分析。明確目前及未來幾年的安全需求，即我們需要建設(shè)什么樣的網(wǎng)絡(luò)，網(wǎng)絡(luò)狀況如何，未來發(fā)展如何等等，有針對性地構(gòu)建適用的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全；(2)、制定安全策略。根據(jù)不同部門的應(yīng)用及安全需求，分別制定部門的計算機網(wǎng)絡(luò)安全策略，做到資源最優(yōu)化：(3)、外部支持。通過專業(yè)的安全服務(wù)機構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到更新的安全資訊，為計算機網(wǎng)絡(luò)安全提供預(yù)警。定期進行巡檢，保證所有網(wǎng)絡(luò)設(shè)備和安全系統(tǒng)的運轉(zhuǎn)正常，提早發(fā)現(xiàn)隱患，將網(wǎng)絡(luò)故障對學(xué)院整體的影Ⅱ向降至最低。

6、計算機網(wǎng)絡(luò)安全管理

安全管理是計算機網(wǎng)絡(luò)安全的重要環(huán)節(jié)之一，也是計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過恰當?shù)墓芾砘顒?，?guī)范組織的各項業(yè)務(wù)活動，使網(wǎng)絡(luò)有序地運行，這是獲取安全的一個重要條件。安全管理是構(gòu)建安全架構(gòu)的核心。網(wǎng)絡(luò)安全所要達到的目的是保證網(wǎng)絡(luò)應(yīng)用在需要時可以被隨時使用。在安全方面，我們倡導(dǎo)“三分技術(shù)，七分管理”，指的是通過管理手段和技術(shù)手段來實現(xiàn)更高的安全性。信息安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理措施的另外一個方面，就是加強網(wǎng)絡(luò)安全宣傳，提高學(xué)院職工對網(wǎng)絡(luò)安全的認識和保護網(wǎng)絡(luò)安全的自覺性，從每個網(wǎng)絡(luò)用戶開始進行“主動防護”，防止“病從口入”。

四、總結(jié)

任何一種單一的技術(shù)或產(chǎn)品都無法滿足我們對網(wǎng)絡(luò)安全的要求，只有將技術(shù)和管理有機的結(jié)合起來，合理分析需求，按照體系架構(gòu)進行安全方案的部署，從控制網(wǎng)絡(luò)安全建設(shè)、運行和維護的全過程入手，才能提高整個網(wǎng)絡(luò)的安全水平。

【編輯推薦】

1. 2011回顧：新環(huán)境下網(wǎng)絡(luò)安全令人堪憂
2. IPv6網(wǎng)絡(luò)安全淺析
3. 網(wǎng)絡(luò)安全之密碼抵御網(wǎng)絡(luò)犯罪的第一道防線
4. 抵御高級持續(xù)性威脅 保護你的網(wǎng)絡(luò)安全