时间:2023-09-15 17:31:24
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇小型企业网络安全解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词] 企业网络信息安全信息保障
计算机网络的多样性、终端分布不均匀性和网络的开放性、互连性使联入网络的计算机系统很容易受到黑客、恶意软件和非法授权的入侵和攻击,信息系统中的存储数据暴露无遗,从而使用户信息资源的安全和保密受到严重威胁。目前互联网使用TCP/IP协议的设计原则,只实现简单的互联功能,所有复杂的数据处理都留给终端承担,这是互联网成功的因素,但它也暴露出数据在网上传输的机密性受到威胁,任何人都可以通过监听的方法去获得经过自己网络传输的数据。在目前不断发生互联网安全事故的时候,对互联网的安全状况进行研究与分析已迫在眉睫。
一、 国外企业信息安全现状
调查显示,欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右,而日韩两国则是8%。从国际范围来看,美国等西方国家网络基础设施的建设比中国完善,网络安全建设的起步时间也比中国早,因此发生的网络攻击、盗窃和犯罪问题也比国内严重,这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视,但纵观全世界范围,企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度。
国外信息安全现状具有两个特点:
(1)各行业的企业越来越认识到IT安全的重要性,并且意识到安全的必要性,并且把它作为企业的一项重要工作之一。
(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长,而且各项指标均明显高于国内水平。
二、 国内企业网络信息安全现状分析
2005年全国各行业受众对网络安全技术的应用状况数据显示,在各类网络安全技术使用中,“防火墙”的使用率最高(占76.5%),其次为“防病毒软件”的应用(占53.1%)。2005年较2004年相比加大了其他网络安全技术的投入,“物理隔离”、“路由器ACL”等技术已经得到了应用。防火墙的使用比例较高主要是因为它价格比较便宜、易安装,并可在线升级等特点。值得注意的是,2005年企事业单位对“使用用户名和密码登陆系统”、“业务网和互联网进行物理隔离”等措施非常重视。其他防范措施的使用也比2004年都提高了一定的比例,对网络安全和信息的保护意识也越来越高。生物识别技术、虚拟专用网络及数字签名证书的使用率较低,有相当一部分人不清楚这些技术,还需要一些时间才能得到市场的认可。
根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。另外,企业经营者对于安全问题经常会抱有侥幸的心理,加上缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设情况参差不齐,普遍处于不容乐观的状况。
三、 企业网络信息系统安全对策分析
“三分技术,七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的。以往传统的网络安全解决方案是某一种信息安全产品的某一方面的应用方案,只能应对网络中存在的某一方面的信息安全问题。中国企业网络的信息安全建设中经常存在这样一种不正常的现象,就是企业的整体安全意识普遍不强,信息安全措施单一,无法抵御综合的安全攻击。随着上述网络安全问题的日益突显,国内网络的安全需求也日益提高,这种单一的解决方案就成为了信息安全建设发展的瓶颈。因此应对企业网络做到全方位的立体防护,立体化的解决方案才能真正解决企业网络的安全问题,立体化是未来企业网络安全解决方案的趋势,而信息保障这一思想就是这一趋势的体现。信息保障是最近几年西方一些计算机科学及信息安全专家提出的与信息安全有关的新概念,也是信息安全领域一个最新的发展方向。
信息保障是信息安全发展的新阶段,用保障(Assurance)来取代平时我们用的安全一词,不仅仅是体现了信息安全理论发展到了一个新阶段,更是信息安全理念的一种提升与转变。人们开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念。
所以一个全方位的企业网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,增加了恶意攻击的难度,并增加审核信息的数量,同时利用这些审核信息还可以跟踪入侵者。
参考文献:
[1]付正:安全――我们共同的责任[J].计算机世界,2006,(19)
[2]李理:解剖您身边的安全[N].中国计算机报,2006-4-13
关键词:中小型企业;信息网络安全;网络安全架构
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
1、中小型企业网络安全问题的研究背景
随着企业信息化的推广和计算机网络的成熟和扩大,企业的发展越来越离不开网络,而伴随着企业对网络的依赖性与日俱增,企业网络的安全性问题越来越严重,大量的入侵、蠕虫、木马、后门、拒绝服务、垃圾邮件、系统漏洞、间谍软件等花样繁多的安全隐患开始一一呈现在企业面前。近些年来频繁出现在媒体报道中的网络安全案例无疑是为我们敲响了警钟,在信息网络越来越发达的今天,企业要发展就必须重视自身网络的安全问题。网络安全不仅关系到企业的发展,甚至关乎到了企业的存亡。
2 、中小型企业网络安全的主要问题
2.1什么是网络安全
网络安全的一个通用定义:网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的或是恶意的原因而遭受到破坏、更改和泄露。系统能够连续、可靠地正常运行,网络服务不被中断。网络安全从本质上说就是网络上的信息安全。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性的相关技术和理论,都是网络安全主要研究的领域。
2.2网络安全架构的基本功能
网络信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性又被称为网络安全目标,对于任何一个企业网络来讲,都应该实现这五个网络安全基本目标,这就需要企业的网络应用架构具备防御、监测、应急、恢复等基本功能。
2.3中小型企业的主要网络安全问题
中小型企业主要的网络安全问题主要体现在3个方面.
1、木马和病毒
计算机木马和病毒是最常见的一类安全问题。木马和病毒会严重破坏企业业务的连续性和有效性,某些木马和病毒甚至能在片刻之间感染整个办公场所从而导致企业业务彻底瘫痪。与此同时,公司员工也可能通过访问恶意网站、下载未知的资料或者打开含有病毒代码的电子邮件附件等方式,在不经意间将病毒和木马带入企业网络并进行传播,进而给企业造成巨大的经济损失。由此可见,网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。这里提到的每一点,包括网络的边界位置以及内部网络环境。
2、信息窃取
信息窃取是企业面临的一个重大问题,也可以说是企业最急需解决的问题。网络黑客通过入侵企业网络盗取企业信息和企业的客户信息而牟利。解决这一问题,仅仅靠在网络边缘位置加强防范还远远不够,因为黑客可能会伙同公司内部人员(如员工或承包商)一起作案。信息窃取会对中小型企业的发展造成严重影响,它不仅会破坏中小型企业赖以生存的企业商誉和客户关系。还会令企业陷入面临负面报道、政府罚金和法律诉讼等问题的困境。
3、业务有效性
计算机木马和病毒并不是威胁业务有效性的唯一因素。随着企业发展与网络越来越密不可分,网络开始以破坏公司网站和电子商务运行为威胁条件,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击占用企业网络的大量带宽,使其无法正常处理用户的服务请求。而这一现象的结果是灾难性的:数据和订单丢失,客户请求被拒绝……同时,当被攻击的消息公之于众后,企业的声誉也会随之受到影响。
3如何打造安全的中小型企业网络架构
通过对中小型企业网络存在的安全问题的分析,同时考虑到中小型企业资金有限的情况,我认为打造一个安全的中小型企业网络架构应遵循以下的过程:首先要建立企业自己的网络安全策略;其次根据企业现有网络环境对企业可能存在的网络隐患进行网络安全风险评估,确定企业需要保护的重点;最后选择合适的设备。
3.1建立网络安全策略
一个企业的网络绝不能简简单单的就定义为安全或者是不安全,每个企业在建立网络安全体系的第一步应该是定义安全策略,该策略不会去指导如何获得安全,而是将企业需要的应用清单罗列出来,再针对不同的信息级别给予安全等级定义。针对不同的信息安全级别和信息流的走向来给予不同的安全策略,企业需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。对关键数据的防护要采取包括“进不来、出不去、读不懂、改不了、走不脱”的五不原则。
“五不原则”:
1.“进不来”——可用性: 授权实体有权访问数据,让非法的用户不能够进入企业网。
2.“出不去”——可控性: 控制授权范围内的信息流向及操作方式,让企业网内的商业机密不被泄密。
3.“读不懂”——机密性: 信息不暴露给未授权实体或进程,让未被授权的人拿到信息也看不懂。
4.“改不了”——完整性: 保证数据不被未授权修改。
5.“走不脱”——可审查性:对出现的安全问题提供依据与手段。
在“五不原则”的基础上,再针对企业网络内的不同环节采取不同的策略。
3.2 信息安全等级划分
根据我国《信息安全等级保护管理办法》,我国所有的企业都必须对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。具体划分情况如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
因此,中小型企业在构建企业信息网络安全架构之前,都应该根据《信息安全等级保护管理办法》,经由相关部门确定企业的信息安全等级,并依据界定的企业信息安全等级对企业可能存在的网络安全问题进行网络安全风险评估。
3.3 网络安全风险评估
根据国家信息安全保护管理办法,网络安全风险是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整想、可控性和可用性等安全属性进行科学评价的过程。
网络安全风险评估对企业的网络安全意义重大。首先,网络安全风险评估是网络安全的基础工作,它有利于网络安全的规划和设计以及明确网络安全的保障需求;另外,网络安全风险评估有利于网络的安全防护,使得企业能够对自己的网络做到突出防护重点,分级保护。
3.4确定企业需要保护的重点
针对不同的企业,其需要保护的网络设备和节点是不同的。但是企业信息网络中需要保护的重点在大体上是相同的,我认为主要包括以下几点:
1.要着重保护服务器、存储的安全,较轻保护单机安全。
企业的运作中,信息是灵魂,一般来说,大量有用的信息都保存在服务器或者存储设备上。在实际工作中,企业应该要求员工把相关的资料存储在企业服务器中。企业可以对服务器采取统一的安全策略,如果管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。所以在安全管理中,企业应该把管理的重心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。在投资上也应着重考虑企业服务器的防护。
2.边界防护是重点。
当然着重保护服务器、存储设备的安全并不是说整体的防护并不需要,相反的边界防护是网络防护的重点。网络边界是企业网络与其他网络的分界线,对网络边界进行安全防护,首先必须明确到底哪些网络边界需要防护,这可以通过网络安全风险评估来确定。网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,VPN技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。
3.“”保护。
企业还要注意到,对于某些极其重要的部门,要将其划为,例如一些研发部门。类似的部门一旦发生网络安全事件,往往很难估量损失。在这些区域可以采用虚拟局域网技术或者干脆做到物理隔离。
4.终端计算机的防护。
最后作者还是要提到终端计算机的防护,虽然对比服务器、存储和边界防护,终端计算机的安全级别相对较低,但最基本的病毒防护,和策略审计是必不可少的。
3.5选择合适的网络安全设备
企业应该根据自身的需求和实际情况选择适合的网络安全设备,并不是越贵越好,或者是越先进越好。在这里作者重点介绍一下边界防护产品——防火墙的性能参数的实际应用。
作为网络安全重要的一环,防火墙是在任何整体网络安全建设中都是不能缺少的主角之一,并且几乎所有的网络安全公司都会推出自己品牌的防火墙。在防火墙的参数中,最常看到的是并发连接数、网络吞吐量两个指标.
并发连接数:是指防火墙或服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。由于计算机用户访问页面中有可能包含较多的其他页面的连接,按每个台计算机发生20个并发连接数计算(很多文章中提到一个经验数据是15,但这个数值在集中办公的地方往往会出现不足),假设企业中的计算机用户为500人,这个企业需要的防火墙的并发连接数是:20*500*3/4=7500,也就是说在其他指标符合的情况下,购买一台并发连接数在10000~15000之间的防火墙就已经足够了,如果再规范了终端用户的浏览限制,甚至可以更低。
网络吞吐量:是指在没有帧丢失的情况下,设备能够接受的最大速率。随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于企业更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,才是真正的100M防火墙。
从实际情况来看,中小型企业由于企业规模和人数的原因,一般选择百兆防火墙就已经足够了。
3.6投资回报率
在之前作者曾提到的中小企业的网络特点中资金少是最重要的一个问题。不论企业如何做安全策略以及划分保护重点,最终都要落实到一个实际问题上——企业网络安全的投资资金。这里就涉及到了一个名词——投资回报率。在网络安全的投资上,是看不到任何产出的,那么网络安全的投资回报率该如何计算呢?
首先,企业要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%—30%的员工会违反企业的使用策略,作者在此选择25%作为计算安全投资回报率的暴光值。那么,一个拥有100名员工的企业就有100x 25% = 25名违反者。
下一步,必需确定一个因素——当发现单一事件时将损失多少人民币。可以将它称为预期单一损失(single loss expectancy (SLE))。由于公司中的100个员工都有可能会违反公司的使用规定,因此,可以用这100个员工的平均小时工资作为每小时造成工作站停机的预期单一最小损失值。例如,作者在此可以用每小时10元人民币作为预期单一最小损失值。然后,企业需要确定在一周的工作时间之内,处理25名违规员工带来的影响需要花费多少时间。这个时间可以用每周总工作量40小时乘以暴光值25%可以得出为10小时。这样,就可以按下列公式来计算单一预期损失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企业要确定这样的事情在一年中可能会发生多少次。可以叫它为预期年均损失(annualized loss expectancy (ALE))。这样的损失事件可能每一个星期都会发生,一年有52周,如果除去我国的春节和十一黄金周的两个假期,这意味着一个企业在一年中可能会发生50次这样的事件,可以将它称之为年发生率(annual rate of occurrence (ARO))。预期的年均损失(ALE)就等于年发生率(ARO)乘以预期单一损失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
这就是说,该公司在没有使用安全技术防范措施的情况下,内部员工的违规网络操作行为可能会给公司每年造成12.5万元人民币的损失。从这里就可以知道,如果公司只需要花费10000元人民币来实施一个具体的网络行为监控解决方案,就可能让企业每年减少12.5万元人民币的损失,这个安全防范方案当然是值得去做的。
当然,事实却并不是这么简单的。这是由于安全并不是某种安全技术就可以解决的,安全防范是一个持续过程,其中必然会牵扯到人力和管理成本等因素。而且,任何一种安全技术或安全解决方案并不能保证绝对的安全,因为这是不可能完成的任务。
就拿本例来说,实施这个网络行为监控方案之后,能够将企业内部员工的违规行为,也就是暴光值(EV)降低到2%就已经相当不错了。而这,需要在此安全防范方案实施一段时间之后,例如半年或一年,企业才可能知道实施此安全方案后的最终效果,也就是此次安全投资的具体投资回报率是多少。
有数据表明在国外,安全投入一般占企业基础投入的5%~20%,在国内一般很少超过2%,而网络安全事件不论在国内外都层出不穷,企业可能在安全方面投入了很多,但是仍然频频发生网络安全事故。很多企业的高层管理者对于这个问题都比较头疼。其实网络安全理论中著名的木桶理论,很好的解释了这种现象。企业在信息安全方面的预算不够进而导致了投资报酬不成比例,另外很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素。缺乏系统的、科学的管理体系的支持,也是导致这种结果产生的原因。
关键词:无线网络;数据安全;思考
1 无线网络安全问题的表现
1.1 插入攻击 插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2 漫游攻击者 攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3 欺诈性接入点 所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4 双面恶魔攻击 这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5 窃取网络资源 有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6 对无线通信的劫持和监视 正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2 保障无线网络安全的技术方法
2.1 隐藏ssid ssid,即service set identifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被ap无线接入点广播出去的,客户端只有收到这个参数或者手动设定与ap相同的ssid才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到ssid的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏ssid适用于一般soho环境当作简单口令安全方式。
2.2 mac地址过滤 顾名思义,这种方式就是通过对ap的设定,将指定的无线网卡的物理地址(mac地址)输入到ap中。而ap对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的mac地址信息,仍可以通过各种方法适用假冒的mac地址登陆网络,一般soho,小型企业工作室可以采用该安全手段。
2.3 wep加密 wep是wired equivalent privacy的简称,所有经过wifi认证的设备都支持该安全协定。采用64位或128位加密密钥的rc4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和ap上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于soho、中小型企业的安全加密。
2.4 ap隔离 类似于有线网络的vlan,将所有的无线客户端设备完全隔离,使之只能访问ap连接的固定网络。该方法用于对酒店和机场等公共热点hot spot的架设,让接入的无线客户端保持隔离,提供安全的internet接入。
2.5 802.1x协议 802.1x协议由ieee定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了ppp协议定义的扩展认证协议eap。作为扩展认证协议,eap可以采用md5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6 wpa wpa即wi-fi protected access的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。wpa率先使用802.11i中的加密技术-tkip (temporal key integrity protocol),这项技术可大幅解决802.11原先使用wep所隐藏的安全问题。很多客户端和ap并不支持wpa协议,而且tkip加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7 wpa2 wpa2与wpa后向兼容,支持更高级的aes加密,能够更好地解决无线网络的安全问题。由于部分ap和大多数移动客户端不支持此协议,尽管微软已经提供最新的wpa2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及soho用户。
2.8 02.11i ieee 正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术aes(advanced encryption standard)与tkip,以及认证协议ieee802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
3 结语
关键词:企业网络; 信息网络; 网络设计; 网络建设; 网络安全
中图分类号:TP303 文献标识码:A 文章编号:16727800(2013)009000103
作者简介:洪光华(1983-),男,江西省烟草公司上饶市公司高级工程师、网络规划设计师,研究方向为物流自动化、信息管理、网络规划设计。
0引言
企业信息网络为员工提供快速交换访问、企业资源计划(ERP)、客户资源管理(CRM)、项目管理(PM)、办公协同(IOA)、电子邮件、互联网访问、远程接入VPN、视频会议、IP电话等,能提高生产效率,降低生产成本。企业信息网络是一个复杂的环境,牵涉到多种介质、多种协议,并且还能与某组织中心办公室外部的网络互联。设计精良并仔细安装的网络能减少随着网络环境的发展带来的问题,包括速率升级、设备更换、网络冗余防范、访问控制的设计-实施-变更,保障网络连续运行。正确设计和维护网络对企业正常运作非常重要。一个设计和维护水平都较差的网络,会在与对手的竞争中面临许多危险。
1企业信息网络基本特点
设计一个复杂系统最困难的地方就是决定从哪里开始,也就是对于最基本的企业信息网络而言所应该有的最基本的立足点和设计原则:①快速收敛,网络必须在最短的时间内找到源和目的之间的可用路径;②确定的路径,分组报文在网络中经过的路径在某种程度上应该是静止的。如果网络中的路由经常发生变化,那么用户通过网络使用应用程序和服务时就难以稳定;③确定的错误恢复,当链接或设备失效,应当存在已知的错误恢复备份,这有助于排除疑难问题。更重要的是,在网络出错的情况下,能创造一个稳定的环境;④规模和吞吐量具有扩展性,当网络需要的服务和信息逐渐增长时,网络会越来越大,需要更大的容量。网络应该有足够的设计,以便允许网络中设备数目和设备连接链路容量的增长;⑤集中存储,企业信息网络必须能支持公共的文件和应用程序存储区域。即提供一种环境,在这种环境下能以更低的代价支持这些服务;⑥更高效的信息传输,按照流量的二八原则,在当前,与早期的网络相比,传输模式明显不同,如今的网络设计必须基于如下假设,即20%的流量在局域网络内部进行,剩下的80%到达局域网络外的主机;⑦具有异种网络兼容性,支持多种协议。企业信息网络(EIN)必须支持多种不同类型的网络协议,比如:IP、Novell IPX、Apple APPLETALK以及DECnet、VINES等,虽然当前网络主要为纯IP网络,但不能排除某些传统应用程序和主机需要其他类型的网络协议,并且在纯IP网络中,网络也必须支持高层协议;⑧组播支持,现有的网络必须支持组播。组播是一种能使用户以更有效的方式进行传输和接收网络视频信息的机制。
在单个网络中把所有必须的功能都集成以满足需求是十分困难的,而通过拓扑层以及构建块等将网络功能组件化,可以对网络功能进行修改重组,进而满足特定的网络设计要求。
2企业信息网络建设要求
尽管每个企业信息网络都有其独有的特性,但所有的企业信息网络还是具有共同的基本要求:①可靠性和可用性:企业信息网络应当24小时全年可靠可用,故障发生时可以被迅速隔离,且故障的修复对于最终用户应当透明;②响应性:企业信息网络应为各种业务应用和协议提供质量保证(QoS),并不影响桌面计算机的响应;③高效性:企业信息网络可以优化资源,尤其是带宽的使用,减少额外数据流开销,比如不必要的广播、服务定位和路由更新,应当使数据吞吐率在不增加硬件成本或不添加广域网服务的前提下得到提高;④可适应性:一个适应性强的企业信息网络利用层次化、开放式的结构可以容纳完全不同的协议、应用、硬件技术,从而实现不同业务程序的运行;⑤可访问性和安全性:一个可访问的企业信息网络允许通过多种方式连接,实现全业务接入,保持业务随时可以访问,同时网络的策略还能维护网络的完整性。
3层次化设计企业信息网络
通过划分层次,可以将复杂的问题分解,是企业信息网络设计中基本的设计思想。可以分别从网络的结构方式对网络规模、网络功能、网络拓扑、网络构建块、网络地址划分层次。
(1)网络规模。对于企业信息网络而言可划分为:LAN(Local Area Network),微小型企业及工作组规模,一个房间到一栋建筑,由单个组织拥有和管理;CAN(Campus Area Network),多个局域网的集合,由坐落在固定区域内的一栋或多栋建筑物组成,也是由单个组织拥有和管理,或每一处由组织的一部分拥有和管理。
(2)网络功能。企业信息网络的主要建设集中在OSI模型的2~4层,第二层交换在数据链路层进行,第三层交换在网络层进行,访问控制在二、三、四层实现,均可以使用软件或硬件的方式实现,在复杂的网络结构中,由于功能的硬件实现比软件迅速,一般在此使用多层交换机、路由器。
(3)网络流量的规划设计。网络通常与用户数和个人需求同步增长。这意味着用户的网络设计必须能够处理连接数目的增长,也能处理网络内部链路带宽。①利用桥接避免冲突,一般通过网桥/交换机提供端到端的双向带宽独占的通信模式;②对广播域进行分割,实现方式为划分VLAN或使用三层交换机、路由器。一个好的原则是一个广播域内不应超过240台设备,避免广播风暴;③流量可管理,企业信息网络应当使流量处于可管理的状态,使用纯交换技术,并对网络进行逻辑地址的划分,减少广播流量,制定流量的策略规划。
(4)网络服务规划设计。企业信息网络的应用是由连接在一起的服务所组成的,且连接的方式能提供高效的通信流。其服务可分为3类:本地服务、远程服务、企业服务,企业信息网络应当有效容纳这些服务,并有效规划。①本地服务,是同一个本地工作组可以访问的网络服务(例如:网络打印服务、工作组文件共享等)。这些服务流量的特征是保持在同一个广播域内,在第二层进行数据交换,不应出现在网络主干之上,即不进行三层路由;②远程服务,用户主动发起的,在其广播域之外的服务,例如文件应用程序、远程控制、IP电话、视频会议、互联网访问等,这些服务会跨越广播域,通信过程由第三层路由器转发;③企业服务,网络内所有用户都可以访问(例如企业级中央存储、企业级业务应用包,含ERP、PM、CRM、MIS、EMAIL以及内部网服务),这些服务一般都放置在接近网络逻辑中心的地方,以允许所有用户平等访问。依据企业服务的规模,这些服务可能在同一个广播域分组,也可能不分组。
(5)网络拓扑。解决任何系统设计的第一种方法是确定系统的主要模块。为了满足企业信息网络设计需求,数据报文服务和用户连接在一起,从而为用户优化带宽,确保可靠性和公正性。可以使用三层网络设计体系,模块化设计各层网络拓扑结构。①接入层(访问层):接入层模块处理用户对网络的访问。通常,接入层由第二层交换机组成,虽然集线器也能代替交换机共享以太网段的带宽。在接入层使用交换式还是共享式第二层网络取决于用户的需求和开销。虚拟局域网(VLAN)可以配置成把用户按功能分组而不是按地理位置分组。在外层,接入层在用户和企业信息网络之间提供高密度的端口和廉价的访问,也能够通过广域网技术,例如ADSL、ISDN、DDN等,让远程场点访问网络;②集散层(分发层):集散层是核心和接入层的边界。从逻辑角度上说,集散层的主要作用是把工作组中的用户聚合在一起,用来提供广播域之间的链接、VLAN间的路由选择及安全性。一般处理企业信息网络的第三层路由功能,主要实施措施有以下几项:路由协议的部署、访问策略的设置、为进入核心层的数据提供过滤功能、提供多种网络类型的数据接入转换以及防火墙的部署;③核心层:核心层和集散层模块一般绑定在一起,作为网络的主干存在。在这一层不会设置任何策略及路由选择。核心层最大的设计需求是获得尽可能快的转发速度和链路冗余保障可靠性。
(6)按分割网络构建模块:按照设备群和拓扑结构,在层次化企业信息网络实施过程中需要进一步把网络分割成网络构建块(交换块、核心块)。
交换块:由一组具有二层和三层功能的交换机组(一组连接访问设备的分发设备)作为交换块,其可以跨越接入层和集散层。
核心块:作为整个网络的集合点用来连接多个交换块,具有足够的处理能力和带宽处理主干上的大量通信流,尽可能提高速度和减小延迟,通过核心层设备进行桥接,使转发速率得到最大化,把路由选择留给集散层。
(7)科学合理规划网络地址分配方案。企业信息网络需要一种能够易于扩展的编址方案,以适用于网络的扩展需求。通过对可扩展型网络编址系统的认真计划和部署,可以避免在为企业添加新节点和新的网络时,现存的地址可能需要被重新分配,膨胀的路由表使路由器陷入困境。网络地址规划时可以适时考虑结合子网划分可变长度子网掩码(VLSM)、路由归纳、网络地址转换(NAT)、无编号IP地址、动态主机分配协议(DHCP)。
4部门级交换式以太网建设
对于部门、小型公司的所需网络技术确定将要连接的设备数,通常要保证解决方案允许一定程度的增长。①确定将要连接的设备数,部署交换设备,让所有用户与之相连,这样构成的网络就能满足要求。由于设备的数量少,以及交换机的使用,冲突和广播流量不予考虑;②将来它可能投资购买本地文件服务器提供存储和备份,并对远程连接有实际需求,那么在网络增长时,只需要将添购的设备连入交换机,并在交换机上外联一部小型路由器,使之通过配置广域网接口,利用广域网与远端连接,并建立一条广域网冗余链路,配置为热备份路由。由于外联网络的单一性,在客户端指定路由器为默认网关,在交换块边界路由设置,即可实现接入层与集散层的结构设计,扩展简便。
企业VLAN、VLAN间路由:
(1)VLAN将物理上的设备组和用户组通过逻辑的方式重新划分,为控制和减少网络管理开支提供有效的方法,并控制广播活动,支持工作组和网络的安全性。
(2)增加、移动或改变用户的位置。公司重组和人员流动带来的新的终端地址和集线器以及路由器的重新配置,成为网络管理中最大开销之一。VLAN用户位置的改变只简单将用户的终端插接到相应VLAN端口并简单配置即可,路由器配制不做任何修改。
(3)控制广播活动,通过应用及广播的数量确定VLAN的数目,使受广播活动影响的用户减少,通过VLAN将防火墙技术从路由器扩展到交换,大大减少广播流量,为用户流量释放带宽,弥补网络易受广播风暴影响的弱点。
(4)VLAN将网络划分为多个广播域是提高安全性的一个经济实惠和便于管理的技术,它可以限制VLAN网络用户的数目,拒绝用户在VLAN应用认证之前的连接,以及可以将空闲的端口配置到默认的低层服务的VLAN。
在企业信息网络中可以通过路由器低成本实现VLAN间的通信,高效实现则可利用交换机路由模块进行交换。
5业务扩展:WAN接入的设计、企业路由
随着使用IP协议和Web的应用软件不断增长,在企业信息网络中必须处理复杂的广域网,而广域网有复杂的环境,包括多种介质、多种协议以及其他网络的互联,通信发生在不同地域之间,信息传递需经过一条或多条广域网链路,特点是相对较低的通信流量、高延迟和高差错率,由于租用性质,广域网的设计需要将带宽的花费和效率优化处理。利用广域网技术和路由器连接多个企业事业部网络以支持新的业务开展,应当着重于通信流量的最佳化、提供多条冗余的路由、灾难恢复需要的后备拨号业务。
在企业使用的事务中,利用广域网的流量包含:语音、传真、事务数据(SNA)、客户机/服务器数据、信息传递、文件传输、批量数据、网络管理、视频会议。通过收集需求,确定应使用的广域网线路。
路由部署:企业信息网络拓扑结构主要为星型结构,在接入层与集散层间是平面的物理结构,冗余一般以二层交换VTP为主,链路状态稳定,带宽等资源基本相当,可以在内部信息网络中使用静态路由以及开销小的路由,进行手工指定或简单配置。
在网络的外部接口进行路由配置的时候,可以依据距离矢量或链路状态决定使用何种协议,并依照外部接口的数量进行负载均衡与热备份,外部接口在规模较大,结构复杂的情况下可以使用OSPF协议,一般可使用IGRP协议,进行路由热备份时应在其先配置按需拨号。
6网络安全:防火墙和ACL应用
在企业信息网络中,应尽可能保证业务数据的流通和优先性,必须设法拒绝不希望的访问连接,同时保障允许的访问连接正常、响应迅速、稳定,而通过设置密码、回叫信号设备以及硬件保密装置可以帮助做到这些,但这些缺乏基本的通信流量过滤的灵活性和特定的控制手段。在信息网络管理中,需要作出的策略往往是对用户、服务、数据流向、前端应用和数据流量进行灵活控制。
(1)使用路由器阻止特定通信流量。路由器提供基本的通信流量过滤能力,可将其作为安全解决方案的一部分,通过访问控制列表(Access Control List,ACL)实现企业信息网络基本安全需求。
ACL是一系列允许和拒绝陈述句的集合,通过条件筛选和逻辑判断,对数据包的协议或上层协议(网络层以上)进行控制。这些指令列表由类似于源地址、目的地址、端口号等特定指示条件决定路由器接收或拒绝数据包。
通过ACL部署,可以做到:限制网络流量,提高网络性能,提供对特定类型数据的优先级;提供对通信流量的控制手段,限定或简化路由更新、限制某网段;提供网络访问的基本安全手段,基于筛选条件的安全认证;在路由接口处决定通信流量类型的过滤、筛选。
(2)部署企业防火墙,进一步保障企业信息安全。网络边界可部署多功能防火墙,实现高层协议应用的控制、过滤和攻击防范。专业防火墙能够在ACL列表过滤的基础上更精准地对网络用户和桌面计算机进行数据流量、数据安全控制。
通过路由和NAT功能提供可控的互联网访问、映射企业内部服务器;开放特定服务器特定端口;对内网用户访问过程进行恶意代码检测,也可对用户收发的邮件中存在的病毒进行过滤。
通过IPSEC VPN功能,能够实现分部的安全互连,作为专线链路的补充和备份,防止专线链路故障导致异地部门的业务应用无法进行的情况发生。
通过上网行为管理功能改善网络使用规范。对URL分类过滤,规范内网用户网页访问行为。行为审计功能,则记录内网用户访问的网页地址、BBS发表的言论内容、收发的邮件内容及其他上网行为。通过应用控制功能,保证用户的网络应用同实际业务的相关性,确保工作效率。
