时间:2023-09-20 16:56:40
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全整体解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
8月6日,卡巴斯基实验室正式在中国了企业级新品卡巴斯基开放空间安全解决方案。卡巴斯基产品经理高 玮认为,该方案不仅提供给用户网络安全产品,更主要的是还会给用户传达网络安全重要的理念―网络安全需要从整体考虑。
卡巴斯基开放空间安全解决方案是为不同规模的企业网络设计的,可跨越办公空间的限制,为远程及移动用户提供一个完整的解决方案。在沟通日益自由和开放的今天,卡巴斯基开放空间安全解决方案能够为用户提供周全的保护,包括防御病毒、黑客、间谍软件和垃圾邮件等的攻击。
如果企业已经采取了某些安全防护措施,如用于网关保护、邮件保护的硬件产品,这种情况下,是否还需要该解决方案?如果需要,会不会因为功能重复而造成浪费?该解决方案会不会对网关性能造成影响?
对此,高 玮表示,卡巴斯基开放空间安全解决方案是一个整体的网络安全解决方案,它具有很强的灵活性和适应性。用户如果已经使用了网关保护或邮件保护等产品,开放空间安全解决方案仍适合他们,用户只需要根据自己的需要来选择相应的子方案就可以了,不会降低网关性能,甚至在一定程度上,还可提升网关性能。
卡巴斯基开放空间安全解决方案保护范围可涵盖各种网络结构。根据不同的网络状况,可提供四种安全保护子方案(如图所示)。其中卡巴斯基整体空间安全解决方案的功能最为完备,它包括卡巴斯基手机版、反病毒Windows工作站、反病毒Linux工作站、反病毒Windows服务器、反病毒Linux文件服务器、反病毒Novell Netware、反病毒Samba服务器、反病毒Microsoft Exchange、反病毒Linux邮件服务器、反病毒Lotus/Domino、邮件网关、反垃圾邮件、反病毒Check Point FireWall-1、反病毒Microsoft ISA Server、反病毒服务器、管理工具等组件。它能够为各种规模、复杂程度不同的企业网络提供全面的安全保护,对所有进出网络节点的数据进行全面控制,以抵御各种类型的网络攻击。
对于卡巴斯基开放空间安全解决方案的分级标准和升级问题,高 玮是这样解释的:卡巴斯基是按照需求分级的。比如,大部分的中小企业只对工作站和文件服务器有保护的需求,卡巴斯基就可为这些用户提供保护工作站和文件服务器的中小企业空间安全解决方案。如果某些中小企业还需要更进一步的保护,它可以选择更高级别的解决方案。
通过卡巴斯基开放空间安全解决方案的全面保护,可以为所有网络节点和平台提供安全防护,防御所有类型的网络威胁,并快速做出响应,满足对企业网进行综合保护的要求。同时,该方案还可以为移动通信设备提供全面的安全保护。无论是在办公室、家中或旅行途中,均可随时随地保护笔记本电脑的安全,让其免受恶意威胁的困扰。它的移动安全保护技术还可以为外部返回的计算机和访客计算机提供保护。
同时,卡巴斯基开放空间安全解决方案可兼容第三方的解决方案、高效利用网络资源,并具有强大的集中管理工具,能最大程度减轻管理员的工作量,并提高其工作效率,而且,直观、快速地反映企业当前的安全状况及突发事件,为管理者的决策提出宝贵意见。
信息技术的发展为人类的进步提供了强大的动力。人们在享受信息技术带来的巨大成就时,也会受到相应的安全威胁。“斯诺登事件”的曝光,让人们突然发现,无论是企业、组织抑或是个体,几乎都是裸地暴露在互联网上。“震网”的曝光,让那些已经实现物理隔离的工业控制系统管理者也感到阵阵寒意。信息安全越来越受到重视,在我国已经上升到国家安全的层面。
随着越来越多传统的安全产品和安全技术被广泛应用,网络安全级别也得到了相应提升。但是,新型安全事件日益增多,因此造成的经济损失也呈上升之势。其中,很重要的一个原因是传统的安全产品侧重于边界接口的防御和终端安全的防护,而缺乏对网络内部的整体安全管理。另外,私接设备、私改IP、私搭乱建对网络安全管理也是一种困扰。
北京艾科网信科技有限公司(以下简称艾科网信)提供创新的ID网络安全管理系统可彻底解决上述安全难题。
在此严峻的网络安全形势下,艾科网信董事长宁辉表示:“8年前,我本着对网络安全事业的热忱与一行人员创立艾科网信。多年来,艾科网信为各领域提供了大量的网络安全解决方案。作为国内一家专业的网络安全服务提供商,艾科网信将竭尽所能,为中国的网络安全事业尽一份力,致力为用户提供更加优质的网络安全系统。”
艾科网信成立于2007年,秉承“诚信、合作、共赢”的企业宗旨,着力于“创新更安全”的研究方向,结合中国实际的网络情况和安全态势,创新地提出了实名制网络管理解决方案,实现了用户、IP、终端的有机关联,为管理和审计提供了新的模式。艾科网信还提出了“内网规范管理”的理念,以实名管理为基础,实现按人、按角色规划安全策略,结合信息技术等级保护的相关技术标准,开创性地研发出实名制准入控制系统。在“震网”事件之后,针对网络和工业控制系统的可视化技术成了艾科网信发展的重点。艾科网信把接入网络中的所有设备均纳入管理员的管理视野,并能准确地告知管理员这些设备的位置,哪些设备有异常等,在第一时间为管理员有效地洞悉网络整体安全情况提供相关的数据和视图。
为了更好地为客户提供优秀的网络安全管理解决方案和优质的技术服务,艾科网信在广州、上海、宁波、成都设立了办事处,并建设了覆盖全国的渠道和机构,其强大的研发团队、精良的销售体系和完善的售后保障解除了用户的后顾之忧。
艾科网信还可为多个行业提供专用解决方案,如政府部门网络准入解决方案、电力行业信息网解决方案、电信运营商统一IP管理解决方案、金融行业统一认证解决方案、大型企业网络可视化和准入控制解决方案、医疗行业防非法统方和网络准入解决方案,并得到了政府行业、电力行业,像国家电网和南方电网,以及电信运营商等用户的认可。
【关键词】网络安全;防火墙;VPN;VLAN
一、引言
随着电力施工企业信息化发展的不断深入,企业对信息系统的依赖程度越来越高,信息与网络安全直接影响到企业生产、经营及管理活动,甚至直接影响企业未来发展。企业网络规模的扩大、信息接入点增多、分布范围广,使信息接入点管控难度大。企业信息与网络安全面临各类威胁,笔者以构建某电力施工企业信息与网络安全体系为例,从信息安全管理、技术实施方面进行阐述与分析,建立一套比较完整信息化安全保障体系,保障业务应用的正常运行。
二、企业网络安全威胁问题分析
1.企业网络通信设备存的安全漏洞威胁,网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息,利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。
2.非法入侵用户对网络系统的知识结构非常清楚,包括企业外部人员、企业内部熟悉网络技术的工作人员,利用内部网络进行恶意操作。非法用户入侵企业内部网络主要采用非法授权访问对企业内部网络进行恶意操作,以达到窃取商业机密的目的;独占网络资源的方式,非业务数据流(如P2P文件传输与即时通讯等)消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪,对内部网络系统造成损坏。
3.恶意病毒程序和代码包括计算机病毒、蠕虫、间谍软件、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。病毒感染可能造成网络通信阻塞、文件系统破坏,系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装,并把截获的机密信息发送给第三者。
4.随着企业信息化平台、一体化系统投入运行,大量重要数据和机密信息都需要通过内部局域网和广域网来传输,信息被非法截取、篡改而造成数据混乱和信息错误的几率加大;当非法入侵者以不正当的手段获得系统授权后。可以对企业内部网络的信息资源执行非法操作,包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等,甚至窃取用户的个人隐私信息,阻止合法用户的正常使用,造成破坏和损失。保护信息资源,保证信息的传递成为企业信息安全中重要的一环。
三、企业信息与网络安全策略
结合电力施工企业业务广范围大特点,提出一套侧重网络准入控制的信息安全解决方案,保障企业网络信息安全。
1.远程接入VPN安全解决方案
施工企业拥有多个项目部,地域范围广,项目部、出差人员安全访问企业信息系统是企业信息化的要求,确保网络连接间保密性是必要的。采用SSL VPN安全网关旁路部署在网络内部,通过设置用户级别、权限来屏蔽非授权用户的访问。访问内部网络资源的移动、项目用户先到SSL VPN上进行认证,根据认证结果分配相应权限,实现对内部资源的访问控制。
2.边界安全解决方案
在系统互联网出口部署防火墙(集成防病毒和网络安全监控模块)和IPS设备,同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。边界防护建立以防火墙为核心,邮件、WEB网关设备、IDS及IPS等设备为辅的边界防护体系。
(1)通过防火墙在网络边界建立网络通信监控系统,监测、限制、更改跨越防火墙的数据流以及对外屏蔽网络内部的信息、结构和运行状况,控制非法访问、增强网络信息保密性、记录和统计网络数据并对非法入侵报警提示等,达到保障计算机网络安全的目的。
(2)在防火墙上开启防病毒模块,可以在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害,改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。
(3)以入侵防御系统IPS应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御安全威胁,通过在线部署,IPS可以检测并直接阻断恶意流量。
(4)将上网行为管理设备置于核心交换机与防火墙之间。通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控,在上网行为管理设备上设置不同的策略,阻挡P2P应用,释放网络带宽,有效地解决了内部网络与互联网之间的安全使用和管理问题。
3.内网安全解决方案
内网安全是网络安全建设的重点,由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,也是安全建设的难点。
(1)主要利用构建虚拟局域网VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,将信任网段与不信任网段划分在不同的VLAN段内,实现内部一个网段与另一个网段的物理隔离,防止影响一个网段的安全事故透过整个网络传播,限制局部网络安全问题对全局网络造成的影响。
(2)建立企业门户系统,用户的访问控制部署统一的用户认证服务,实现单点登录功能,统一存储所有应用系统的用户认证信息,而授权等操作则由各应用系统完成,即统一存储、分布授权。
(3)系统软件部署安全、漏洞更新,定期对系统进行安全更新、漏洞扫描,自动更新Windows操作系统和Office、Exchange Server以及SQL Server等安全、漏洞补丁。安装网络版的防病毒软件,定期更新最新病毒定义文件,制定统一的策略,客户端定期从病毒服务器下载安装新的病毒定义文件,有效减少了病毒的影响;配置邮件安全网关系统,为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒和实现邮件内容过滤等功能,有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击。
4.数据中心安全解决方案
作为数据交换最频繁、资源最密集的地方,数据中心出现任何安全防护上的疏漏必将导致不可估量的损失,因此数据中心安全解决方案十分重要。
(1)构建网络链接从链路层到应用层的多层防御体系。由交换机提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDoS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。
(2)建立数据备份和异地容灾方案,建立了完善的数据备份体系,保证数据崩溃时能够实现数据的完全恢复。同时在异地建立一个备份站点,通过网络以异步的方式,把主站点的数据备份到备份站点,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。
5.安全信息管理与培训
(1)网络管理是计算机网络安全重要组成部分,在组织架构上,应采用虚拟团队的模式,成立了相关信息安全管理小组。从决策、监督和具体执行三个层面为网络信息安全工作提供保障。建立规范严谨的管理制度,制定相应的规范、配套制度能保证规范执行到位,保障了网络信息安全工作的“有章可循,有据可查”。主要涉及:安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等。
(2)人员素质的高低对信息安全方面至关重要;提高人员素质的前提就是加强培训,特别加强是对专业信息人员的培训工作。
四、结束语
该企业信息与网络安全体系建设以技术、管理的安全理念为核心,从组织架构的建设、安全制度的制定、先进安全技术的应用三个层面,构建一个多层次、全方位网络防护体系。在统一的安全策略基础上,利用安全产品间的分工协作,并针对局部关键问题点进行安全部署,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中管理,达到提升网络对安全威胁的整体防御能力。
参考文献
【关键词】:信息安全 ;问题;解决方案
【引言】:在中小企业的信息管理系统中存在大量的信息和文件材料,其中有对企业发展至关重要的文件材料,一旦这些信息材料在通过网络传送时被不法分子和竞争对手窃听、泄密、篡改或伪造,将会严重威胁中小企业的发展,所以,提出中小企业信息安全问题的解决方案具有重要意义。
1. 中小企业信息安全存在的问题
1.1信息安全管理意识不强。
相对大型企业来说,中小企业信息资产方面的积累相对较为薄弱,并且很多时候这种积累并非企业的有意识行为,所以在正常的信息化应用情况下,往往会忽视对自己信息资产的保护,而只有在信息资产受到破坏,形成了实际的经济和附加损失的情况下,才会开始意识和重视这信息安全问题。
1.2信息安全管理水平较低信息安全风险较大。
目前的中小企业管理层人员虽然已经认识到了信息化的重要性,但却没有认识到企业信息化管理是需要在企业管理念上进行根本变革才能实现的。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化”走向了徒有其表的误区,信息安全也没有得到足够重视。
1.3人才短缺专业人员匮乏。
中小企业一般很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此,在这种人才短缺的情况下,自然影响到企业信息化的进程。主要表现为:企业一般没有自己的信息化建设人才队伍。信息技术专业人员的知识结构也不能达到要求,掌握技术的不懂管理,懂管理的又不会技术,而且信息安全往往没有专业人员进行管理。
1.4资金短缺。
中小企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金,一般要优先投入到直接促进公司业绩增长的方向,而无形中就造成了信息资产所面临的巨大风险;特别是在当今越来越多的企业业务与互联网有密切的联系,甚至一些企业的业务完全建立在互联网之上,以平均不到企业总收入1%的信息安全投入,怎么能保障这些业务的正常运行?尽可能使投入比例接近常规,至少应该使企业核心信息资产的安全得到保证,从实际情况来讲,在良好的安全理念指导下,进行细致的规划和评估,通过适当的投入也是可以达到较好的整体效果,因为在中小企业的应用情境下,信息安全防御广度是相对容易控制的;设计出体现其规律和特点的真正适合中小企业的信息安全产品,才能从根本上满足中小企业信息安全需求。
1.5中小企业的信息伦理意识不强。
由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中员工的信息安全意识往往相对比较落后,对于互联网上存在的威胁往往缺乏足够的重视,而企业的管理层对于网络的使用也没有很好的管理手段。
2.中小企业信息安全问题的解决措施
2.1从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
2.1.1提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.2.2要求中小企业在上网的过程中要做到“一做三不要”
首先将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护,其次不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切,同时不在网上的任何场合下随意透露自己企业的任何安全信息,最后不要启动系统资源共享功能,要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会【1】。
2.2从网络安全角度考虑
2.2.1从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.2.2要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有P网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患【2】。
2.2.3企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
2.2.4内部网络系统的密码要定期修改。动态的密码有助于防止黑客的攻击以及来自内部人员的泄密。
2.2.5要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。
2.2.6同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度【3】。
小结
综上所述,我国中小企业的信息安全问题日益突出。由于受到管理水平、资金、技术、 意识等几方面的制约,中小企业完全依靠自己解决所有信息化安全问题是不现实的,它们很难使用大企业中那种复杂的信息安全系统,因此迫切需要适合中小企业自身情况的综合解决措施。
【参考文献】:
【1】 杨江;周小玲; 基于企业的危机信息管理[J];科技情报开发与经济;2009年32期
防火墙是网络安全的基本防护设备,其安全性受到了越来越多人的重视,尤其是在当前科技迅猛发展的环境下,各企业也迅速的崛起,使得企业在网络环境的推动下,也面领着严峻的信息安全挑战。在这种环境下,人们对于防火墙的安全性要求也随之提高。当前,企业的防火墙要实现安全设计,还需要对企业的网络安全进行全方面的需求分析,通过针对性的设计,提高防火墙的实用性、功能性、安全性。
【关键词】
防火墙;企业网络安全设计;实现
1前言
计算机网络技术的广泛应用,为企业提供了更多的发展平台与业务渠道,在一定程度上推动了企业的快速发展。但在网络技术不断普及的今天,各种恶意攻击、网络病毒、系统破坏也对企业的网络安全造成了较大的伤害,不仅严重威胁到企业的信息安全,而且给企业带来较大的经济损失,造成了企业形象的破坏。因此,才需要使用防火墙技术,通过防火墙网络技术的安全设计,对各种病毒与网络攻击进行抵御,维护企业的信息安全,促进企业的健康稳定发展。
2防火墙的企业网络安全设计原则
在企业防火墙的网络安全设计中应该遵循一定的原则,即:全面、综合性原则,也就是企业的网络安全体系设计,应该从企业的整体出发,对各项信息威胁进行利弊权衡,进而制定出可行性的安全防护措施;简易性原则,主要是对于网络安全设计,既要保证其安全性,又要保证其操作简便性,以免系统过于复杂而造成维护上的阻碍;多重保护原则能够在建立多重的网络安全机制,确保整个网络环境安全;可扩充原则,主要是指在网络运用过程中,要随着新变化的出现,对于之前的网络安全系统进行升级与扩充;灵活性原则,也就是防火墙的网络安全设计方案,应该结合企业自身网络现状及安全需求,采用灵活、使用的方式进行设计;高效性原则,也就是防火墙的网络安全设计应该确保投资与产出相符,通过安全性的设计解决方案,避免重复性的投资,让企业投入最少的项目资金,获得最大的收益,有效维护企业的安全[1]。
3防火墙的企业网络安全设计
防火墙为服务器的中转站,能够避免计算机用户与互联网进行直接连接,并对客户端的请求加以及时地接收,创建服务其的连接,并对服务器发出的信号相应加以接受,再通过系统将服务器响应信号发送出去,并反馈与客户端。
3.1防火墙加密设计
防火墙的加密技术,是基于开放型的网络信息采取的一种主动防范手段,通过对敏感数据的加密处理、加密传输,确保企业信息的安全。当前的防火墙加密技术主要有非对称秘钥与对称秘钥两种,这种数据加密技术,主要是对明文的文件、数据等通过特定的某种算法加以处理,成为一段不可读的代码,维护数据信息的安全,以免企业的机密信息收到外界的攻击[2]。当前的防火墙加密手段也可分为硬件加密与软件加密,其中硬件加密的效率较高,且安全系数较高,而软件加密的成本相对来说较低,使用性与灵活性也较强,更换较为方便。
3.2入侵检测设计
入侵主要指的是外部用户对于主机系统资源的非授权使用,入侵行为能够在一定程度上导致系统数据的损毁与丢失,对于企业的信息安全与网络安全会造成较大的威胁,甚至导致系统拒绝合法用户的使用与服务。在防火墙的企业网络安全设计中,应该加强对入侵者检测系统的重视,对于入侵脚本、程序自动命令等进行有效识别,通过敏感数据的访问监测,对系统入侵者进行行为分析,加强预警机制,检测入侵者的恶意活动,及时发现各种安全隐患并加以防护处理。
3.3身份认证设计
身份认证主要是对授权者的身份识别,通过将实体身份与证据的绑定,对实体如:用户、应用程序、主机、进行等加以信息安全维护。通常,证据与实体身份间为一种对应的关系,主要由实体方向提供相应的证据,来证明自己的身份,而防火墙的身份认证则通相关的机制来对证据进行验证,以确保实体身份与证据的一致性。通过身份认证,防火墙便能够对非法用户与合法用户加以识别,进而对非法用户进行访问设置,维护主机系统的安全。
3.4状态检测设计
访问状态检测,是控制技术的一种,其关键性的任务就是确保企业的网络资源不受非法使用与非法访问,是维护企业网络安全的重要手段之一。防火墙的访问控制,一般可分为两种类型:①系统访问控制;②网络访问控制。其中,网络访问控制主要是限制外部计算机对于主机网络服务系统的访问,以及控制网络内部用户与外部计算机的访问。而系统访问控制,主要是结合企业的实际管理需求,对不同的用户赋予相应的主机资源操作、访问权限。
3.5包过滤数据设计
数据包过滤型的防火墙主要是通过读取相应的数据包,对一些信息数据进行分析,进而对该数据的安全性、可信度等加以判断,并以判断结果作为依据,来进行数据的处理。这在个过程中,若相关数据包不能得到防火墙的信任,便无法进入该网络。所以,这种技术的实用性很强,能够在网络环境下,维护计算机网络的安全,且操作便捷,成本较低。但需要注意的是,该技术只能依据一些基本的信息数据,来对信息安全性进行判断,而对于应用程序、邮件病毒等不能起到抵制的作用。包过滤防火墙通常需要在路由器上实现,对用户的定义内容进行过滤,在网络层、数据链路层中截获数据,并运用一定的规则来确定是否丢弃或转发各数据包。要确保企业的网络安全,需要对该种技术进行充分的利用,并适当融入网络地址翻译,对外部攻击者造成干扰,维护网络内部环境与外部环境的安全。
4企业网络安全中的实现
4.1强化网络安全管理
用将防火墙技术应用于企业的网络安全中,还需要企业的信息管理人员对于本企业的实际业务、工作流程、信息传输等进行深入的分析,对本企业存在的信息安全加以风险评估,熟悉掌握本企业网络安全的薄弱环节,全民提高企业的信息安全。另外,企业信息管理人员还需要对企业的网络平台架构进行明确掌握,对企业的未来业务发展加以合理的预测分析,进而制定出科学合理的网络信息安全策略。同时,企业信息管理人员还需要对黑客攻击方式与攻击手段进行了解,做好防止黑客入侵的措施。
4.2网络安全需求分析
企业的网络安全为动态过程,其设方案需要结合自身的实际状况加以灵活设计,进而提高设计方案的适用性、安全性,维护企业整个网络的安全。在对企业网络需求进行分析时,还需要注重企业的应用系统、网络访问系统、网络资源、网络管理实际[3]。在应用系统安全性设计中,对于系统使用频繁,提供服务资源的数据库与服务器,要在网络环境下,确保其运行安全,以免疏导恶意攻击与访问;而对于网络访问设计应具有一定的可控性,具备相应的认证与授权功能,对用户的身份加以识别,对敏感信息加以维护,以免企业的核心系统遭到攻击[4];网络资源要确保其适用性,能够承载企业的办公自动化系统及各项业务的运行使用,并保证网络能够不间断地高效运行;同时,针对网络管理,应该具有可操作性,在安全日志与审计上进行相关的信息记录,以免企业信息系统管理人员的日后维护。
4.3网络安全策略的制定
要实现企业的网络安全,还需要对企业的实际网络安全需求进行了解之后,针对不同的信息资源,制定出相关的安全策略,通过各种系统保密措施、信息访问加密措施、身份认证措施等,对企业信息资源维护人员相关的职责加以申请与划分,并对访问审批流程加以明确。最后,还需要企业的信心管理人员对整个安全系统进行监控与审计,通过监控系统的安全漏洞检查,对威胁信息系统安全的类型与来源进行初步判断,通过深入分析,制定出完善是网络安全防护策略[5]。
5结束语
在互联网环境下,信息资源的存储量巨大,运行较为高效,不仅为企业带来了较大发展空间,也使企业的信心安全面临巨大的威胁。因此,企业需要加强防火墙系统的建设,提高对网络安全系统的认识,通过有效措施,加强防火墙的安全设计,构建一个相对稳定的网络环境,维护企业的信息安全,让企业在可靠的信息网络环境开发更多的客户资源,以寻得健康、稳定、持续的发展。
作者:黄河锋 单位:桂林自来水公司
参考文献
[1]马小雨.防火墙和IDS联动技术在网络安全管理中的有效应用[J].现代电子技术,2016(02):42~44.
[2]范沁春.企业网络安全管理平台的设计与实现[J].网络安全技术与应用,2015(07):74+77.
[3]秦艳丽.试谈防火墙构建安全网络[J].电脑编程技巧与维护,2016(06):78~80.
关键词:网络安全 入侵检测 数据备份
一、引言
Internet的发展,正在引发一场人类文明的根本变革,网络已成为一个国家最为关键的政治,经济,军资源,成为国家实力的新象征同时,网络的发展也在不断改变人们的工作,生活方式,使信息的获取,传递,处理和利用更加高效,迅速,随着科学技术不断发展,网络已经成为人们生活的一个组成部分虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。因而,解决网络安全问题刻不容缓,我们必须从网络安全可能存在的危机入手,分析并提出整体的网络安全解决方案
二、网络安全风险分析
1.网络结构的安全风险分析
企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息,假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
2.操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
3.应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等
4.管理的安全分析
管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。
三、网络安全解决方案
1.网络结构的安全
网络结构布局的合理与否,也影响着网络的安全性对银行系统业务网,办公网,与外单位互联的接口网络之间必须按各自的应用范围,安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统,所以必须从两个方面入手,一是加强|力问控制:在内部局网内可以通过交换机划分VLAN功能来实现;或是通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制:也可以配备应用层的访问控制软件系统,针对局域网具体的应用进行更细致的访问控制。二是作好安全检测工作:在局域网络的共享网络设备上配备入侵检测系统,实时分析进出网络数据流,对网络违规事件跟踪,实时报警,阻断连接并做日志。
2.操作系统的安全
对操作系统必须进行安全配置,打上最新的补丁,还要利用相应的扫描软件对其进行安全性扫描评估,检测其存在的安全漏洞,分析系统的安全性,提出补救措施,管理人员应用时必须加强身份认证机制及认证强度尽量采用安全性较高的网络操作系统并进行必要的安全配置,关闭一些起不常用却存在安全隐患的应用,对一些关键文件使用权限进行严格限制,加强口令字的使用,及时给系统打补丁,系统内部的相互调用不对外公开。
3.应用的安全
要确保计算机网络应用的安全,主要从以下几个方面作好安全防范工作:一要配备防病毒系统,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护;二作好数据备份工作,最安全的,最保险的方法是对重要数据信息进行安全备份,如果遇到系统受损时,可以利用灾难恢复系统进行快速恢复;三是对数据进行加密传输,保护数据在传输过程中不被泄露,保证用户数据的机密性,数据加密的方法有从链路层加密,网络层加密及应用层加密;四是进行信息鉴别,为了保证数据的完整性,就必须采用信息鉴别技术,VPN设备便能实现这样的功能,数据源身份认证也是信息鉴别的一种手段,它可以确认信息的来源的可靠性,结合传输加密技术,我们可以选择VPN设备,实现保护数据的机密性,完整性,真实性,可靠性。
4.管理的安全
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现,因国这些必须在电信部门系统内根据自身的应用与安全需求,制定安全管理制度并严格按执行,并通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防范外部入侵的安全技术。
关键词:网络安全;802.1X协议;企业内网;安全接入控制
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2013)23-0157-03
目前,国内的大中型企业均已完成了企业内部网络和信息系统的建设,但各类来访人员终端接入公司内部网络时,普遍处于不可控状态;另外,企业在金融资本市场上需要遵守某些国际的规则和法案(如SOX法案404条款)。企业成立内控部门,力求企业生产运营过程各环节的可追溯、可审计。因此,需要通过对于终端接入的认证管理,实现终端接入的可控和可审计,满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究,提出解决方案。
1 802.1X协议及解决方案
1.1 什么是802.1X
IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议,802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。
在802.1X出现之前,企业网上有线LAN应用都没有直接控制到端口的方法,也不需要控制到端口,但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1.2 802.1X认证体系结构
802.1X的认证体系分为三部分结构:Supplicant System客户端(PC/网络设备)、Authenticator System认证系统、Authentication Server System认证服务器。
基于以太网端口认证的802.1X协议有如下特点:IEEE802.1X协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
1.3 802.1X解决方案
1.3.1 Cisco NAC。思科与防病毒厂商(包括趋势、McAfee等)合作的安全网络接入控制(下称NAC)方案,可实现基于用户身份的认证,也可对客户端防病毒安全状态进行评估,对不满足条件(预先制定的策略)的用户,对其接入网络的能力和范围实现控制,从而提高全网整体的安全防护能力;采用思科网络安全接入控制方案(NAC),可以有效地解决SOX法案要求局域网接入认证的内控要求。
NAC是由思科公司倡导的跨业界合作的整套安全解决方案,自2003年11月提出后获得防病毒厂商的广泛支持。目前,包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商,都已成为思科NAC合作伙伴。
1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统(以下简称终端安全系统)是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全,对终端的安全状况进行检测,并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动,限制不符合安全要求的终端的上网。
1.3.3 局域网准入方案比较。
实施方法比较:
(1)协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证,即无客户端方式,为用户提供另外一种选择。
身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台;华为只能以用户名/密码方式进行身份认证,思科除了采用用户名/密码方式外,还可以采用证书方式管理用户身份。
管理方式方面。都采取集中式控制和管理方式。策略控制和应用由策略服务器(通常是RADIUS服务器)和第三方的软件产品(病毒库管理,系统补丁等)协作进行;用户资料和准入策略由统一的管理平台负责。
(2)协作厂商比较。NAC是由思科公司倡导的跨业界合作的整套安全解决方案,于2003年11月提出。其主旨是向已获授权的合作伙伴提供协议和技术信息,以便合作伙伴开发和销售支持NAC网络、策略服务器及客户端应用。NAC方案支持的厂商包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商。
EAD方案,于2005年底在媒体上逐步推出。EAD方案目前支持的厂商主要有瑞星、江民、金山三家厂商。
(3)对现网设备利旧的支持。思科NAC方案和华为EAD方案虽然在业务控制流程和功能组件上类似,都是基于对802.1X和EAP协议的开发,但目前并不兼容。
NAC方案:由于目前大型企业数据网络设备中主要采用的是思科的接入设备和策略控制服务器,采用思科NAC方案可以充分利用现有的网络设备和策略控制设备。
EAD方案:如果采用华为EAD方案,现在思科的接入设备将全部更换,并且需要配置新的策略控制设备。
(4)与现网设备的兼容性。
NAC方案:思科方案与现网设备不存在兼容性问题。
EAD方案:由于华为EAD方案必须采用华为的二层交换机,与现网思科的交换机互联,很容易出现由于生成树协议配置不当而引起广播风暴。
2 接入控制技术的实际应用
2.1 企业内部网络现状
浙江某运营商DCN网络是企业的运行支撑网络,为各个专业网管系统和企业应用系统提供了统一的数据通信平台,目前网络已经覆盖到各交换母局和大的营业网点。
当前存在的问题如下:(1)移动办公和远程维护的需求强烈,但缺乏安全的接入手段,因此只能小范围试用。(2)内网多出口现象严重,绕开统一出口直接访问公网,造成病毒严重,严重威胁内网安全。(3)缺乏安全的内网无线接入手段。(4)内网缺乏统一的安全策略规范和控制机制。(5)没有接入控制机制,内网接入随意,基本没有保护,对第三方人员和企业内部员工不健康的终端均无限制手段,严重威胁企业信息安全。
2.2 工程实施内容及建设方案
2.2.1 工程建设需求:(1)满足远程接入需求,实现用户在外网时能够安全接入DCN网络;(2)满足用户通过统一入口VPN方式接入DCN网络后,能够访问各类内网应用系统;(3)用户在外网接入内网时,应首先通过入口的Radius认证和动态口令认证;(4)终端在局域网通过有线或无线方式接入时,对终端安全性进行检测,认证后准许进入网络。
2.2.2 工程建设方案。
工程组网:Internet统一出入口通过一台Juniper ISG2000防火墙DCN的出口网关设备,完成省公司员工访问Internet的访问控制和安全防护;两台SA4000设备部署在防火墙的DMZ区,连接在DMZ交换机上,采用A/P的高可用方式部署,防火墙映射一个公网地址到SA集群的浮动地址上。防火墙实现基本DOS保护、策略过滤,SA设备则实现SSL VPN,进行应用层保护过滤和接入。部署一套Juniper SBR radius软件,作为DCN网络AAA认证服务器,用于实现对内部各系统的集中身份认证和授权。该系统能够与原有的目录服务器结合,降低部署的复杂度。
终端安全检查策略:Juniper SA 4000设备在用户接入前通过预先设定的策略检查用户终端的安全状况,包括补丁、杀毒软件安装或更新情况。根据DCN的终端安全要求设定终端安全检查策略,一般建议检查是否安装有杀毒软件,不符合条件的拒绝登录或提示后登录。
接入方式:由于SA 4000设备具有Core、SAM和NC三种接入方式,三种方式获得的权限各不相同,对于每个用户组(Role),需要选择其能够使用的接入方式。
资源策略设置:在每种接入方式下,可以设定Role能够访问的资源,类似于防火墙的ACL(访问控制列表)。根据不同Role的实际需要,设定不同的访问权限,保证每个用户能够访问到其必须访问的资源,同时不获得超出其工作需要的权限。
局域网内,通过部署Cisco的NAC方案实现无线和有线接入时基于802.1X的终端认证和健康性检查。企业可以根据不同的安全策略对终端安全状况进行检测,内容包括终端补丁安装情况、终端防病毒软件安装以及版本更新情况、病毒代码库的更新情况、个人防火墙的配置情况、屏幕保护的配置情况等,并保护企业重要信息资源不被外来终端访问,阻止外来终端或者未纳入终端管理系统的终端接入到企业网络。通过企业目录服务集成,提供统一身份认证,统一授权的基础,确保用户信息在各系统中的
同步。
2.3 工程实施效果
工程实施效果见表1。
3 结语
企业信息化建设过程中,较多关注于信息系统建设,对于信息化基础的网络安全,关注不够全面,本文重点关注于之前企业安全管理薄弱的网络接入控制技术,并结合业界解决方案,应用于实际工程。
参考文献
[1] 宁宇鹏,薛静锋.信息安全-理论、实践与应用[M].
[2] 马燕,曹周湛,等.信息安全法规与标准[M].北京:机械工业出版社.
[3] 高海英.VPN技术[M].北京:机械工业出版社.
企业内网安全和企业网站安全防护刻不容缓。
《瑞星2010中国企业安全报告》中的数据表明,蠕虫病毒引发的网络瘫痪以及用户资料和商业秘密被窃取等,已经成为严重威胁政企用户业务安全的至为重要的问题。对于政府机构、金融类企业等容易遭到攻击的目标来说,瑞星防毒墙、瑞星网络安全预警系统与杀毒软件软硬结合,能够提供更专业、更便于管理的立体化防病毒安全保护体系。
安全情况分析
河南工商行政管理部门的网络结构比较复杂,省级作为核心网,其下属部门又划分为多个子网。在河南工商行政管理部门的网络中,信息系统的应用也比较复杂,涉及众多应用服务器、数据库服务器、普通计算机和各种网络设备。根据初步统计,河南工商行政管理部门内部网络中大约有数万台终端。
河南工商行政管理部门内部核心网络的管理涉及众多服务器和客户端的管理以及多部门、多系统之间的协调,如果不对这些设备、系统加以控制,那么病毒可能引发相当严重的安全问题。病毒一旦发作,给河南工商行政管理部门带来的损失将是不可估量的。如果在信息被破坏后再进行杀毒等工作,那么已经造成的各种损失也将难以挽回。
因此,为了保障整个网络的安全,河南工商行政管理部门的网络应该采用省级集中管理、各部门及各市级分级管理的方式。在网络计算机病毒的防范上,应以“主动防御+传统杀毒”相结合的方式,配合网关防毒墙,形成立体防毒体系。河南工商行政管理部门应在病毒可能传播的各个渠道中都设置监控,再结合定时病毒扫描和自动更新,这样才能保证整个网络系统的安全。
河南工商行政管理部门的网络与下级单位的网络相连,其上运行着包括Web、FTP、电子邮件、DNS等各种应用。在保障应用系统的安全性方面,河南工商行政管理部门主要考虑的是应用系统与系统层和网络层的安全服务无缝连接。黑客往往会抓住一些应用服务的缺陷或弱点进行攻击。比如,黑客通常会针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、作为索引的Web页、有缺陷的浏览器进行攻击,有时甚至会利用Oracle、 SAP、 Peoplesoft 缺省账户进行攻击。
解决方案
上述分析表明,工商信息网络需要使用专门的安全产品,在网关处进行病毒防护,同时在入侵检测、内容过滤、本地主机病毒监控等各方面进行全方位、立体化的保护。因此,河南工商行政管理部门使用了瑞星防毒墙,并与原有的瑞星网络版杀毒软件进行联动,在工商行政管理部门的网络中构筑了综合立体安全防护体系。这种安全防护体系具有很高的性价比。
瑞星防毒墙是一个集防火墙、网关防病毒、入侵检测、VPN(虚拟专用网)等多项功能于一身的综合安全网关。它超越了传统防毒墙仅能在网络层进行粗粒度的包过滤的安全层级,能够从网络层到应用层为河南工商行政管理的本部网络出口提供全方位的安全保护。
关键词:计算机信息化 网络 安全 中小企业 管理 防范
1 概述
网络安全伴随着计算机网络的出现已经成为了一个伴随每个网络用户永恒的问题。黑客们长期以来不断的分析系统和应用系统,以更多的发现系统存在的漏洞,并通过编写相应的脚本对其加以利用。安全厂商面对这些不断发展安全威胁,也不断的推出了新的安全防范技术和产品,如:防火墙、入侵检测防御系统、杀毒软件、反间谍软件以及过滤内容和垃圾邮件等产品。此后,各个网络用户跟随着安全厂商的步伐不断的将这些安全产品叠加到自身的网络结构、服务器和工作站上。但与此同时需要网络用户解决的还有很多问题,如:为了充分发挥他们的作用,如何建立一个有效的安全防范策略以及如何妥善管理这些设备并且如何计算安全防范的投资回报率等。
我们必须承认,中小企业在网络安全方面的认识、投入和实施的案值相对以前的防范措施都有了很大的进步。但是相比以前,是否目前的中小企业网络就更加安全呢?但是针对这个问题,由于网络威胁随着计算机的网络发展而不断的出现,并且相对以前的攻击手段更具有危险性,因此,不可能有一个非常肯定的答案。并且从经济利益角度出发是目前黑客攻击的一个重大目标,从而使得中小企业成为黑客们攻击的目标之一。即相对以前而言,目前中小企业面临的安全风险更高。由于中小企业的网络正朝着WEB应用和SOA架构的应用方向发展,从而使得网络相对以前更加复杂。因此,目前的计算机网络仅有C/S和B/S结构。网络结构的复杂性也增加了安全防范的复杂性和难度。因此,目前最需要解决的问题就是如何构建信息安全管理方案帮助中小企业更好的解决安全检测、识别和安全防范等。
2 影响企业网络安全的主要因素
企业网络由局域网和广域网组成,人和自然因素是影响网络安全的主要因素。雷击、水灾以及火灾和地震等因素属于自然因素,而人为因素包括误操作删除数据的无意和故意破坏之分。人为故意破坏分为计算机病毒、黑客入侵、网络窃听以及制造大量垃圾邮件等。
斯诺登泄密风暴揭发香港网络保安不堪一击,风暴过后复归平静,香港中小企业计算机保安水平低问题依旧。专家指出,黑客近年喜以“僵尸”手法入侵盗取资料,有公司员工误开恶性电邮附件,计算机变成“僵尸”控亦懵然不知,最终令全公司计算机受感染。
香港警方坦言黑客难捉,科技罪案破案率不足20%。有中小企代表称,公司计算机保安水平十年来毫无寸进,原因在于不觉数据被偷是致命伤,有闲钱不会优先投放改进计算机系统。学者指出,问题根本在人身上,“并非门锁不够先进,而是你不懂把门好好关上!”
中小企业大多不重视网络安全,而“僵尸网络”是近年渐趋普遍的入侵方式,黑客在电邮附件中暗藏恶性软件,公司内部有人不慎开启,即令计算机受感染成为“僵尸计算机”,“中招”计算机自动将IP地址传回黑客的控制中心,令其用作监测用户的网上银行活动。黑客趁用户登入时,伺机改写网页样式,骗取用户输入敏感数据,或改变交易的细节,例如改变交易金额,或将金额过数予第三者。
计算机之所以让黑客有机可乘,往往由于同事疏于防范胡乱下载附件,令“僵尸”程序或病毒有机可乘,甚至连累全公司被感染而不自知。今年6月,香港计算机保安事故协调中心曾参与全球捉“僵尸”行动,与警方连手捣破两个在港境内控制中心,根据经验,香港受感染的“僵尸”计算机介乎200至700部之间。前六个月处理的622宗保安事故中,超过一半来自僵尸网络及黑客入侵,数字较去年同期增加94%。有专家建议,除防毒软件及联网防火墙外,公司应该为员工各自安装个人防火墙,避免同事计算机在公司Local LAN(局部区域网络)内互相攻击。
3 中小企业应当建设一个整体网络安全管理方案
只要给企业一个构建安全管理方案的通用处理步骤和流程,每个企业都能为自己建立一个安全管理方案,因此,企业设计一个网络安全管理方案并不困难。但是需要注意的是,建立的安全管理方案除了适合目前和以后的发展外,还应当适合企业最关心的投资回报率问题。
目前很多中小企业针对安全投资回报率的问题,不知道如何确定防火墙、UTM、IDS/IPS和内容过滤以及监控系统等开支具体有多大。由于大部分的企业对于购买的设备适应什么样的网络结构、具体功能是否满足现在和以后的需求、目前企业存在哪些问题以及企业需要什么功能的产品等都不了解,只是简单将最新产品以及功能最多的产品链接到自己的网络,认为这样就可以起到安全防护的效果了,网络安全问题便可以高枕无忧,因此在安全方面的投资,很多中小企业虽然常亮红灯,但是却得不到相应的安全防范效果。实际上,使用恰当的技术以持续不断的应用到某个具体的对象上是安全防范的关键因素,安全防范作为一个具体的过程,而不是某种技术就能解决的。
安全管理涉及的方面很多,如配置管理、变更控制、业务连续性和灾难恢复计划、网络安全、人力资源以及合理使用等。有些中小企业也许自己不能构建一个全面的安全管理方案,但是为了达到与安全管理方案相同的效果,我们可以使用一种叫做信息安全和事件管理的现成产品。
但是SIEM产品目前只能解决中小企业安全防范过程中许多问题的一小部分,甚至通过它中小企业根本取得不了任何安全防范效果。目前大部分的SIEM产品都是建立在关系型数据库上,由于关系型数据库不具有每天记录上百万条甚至是上十亿条安全事件的能力,因此,很大程度上严重影响了他们在当今企业环境中应用时的可扩展性。由于购买现成的SIEM产品需要额外花费企业很多费用,这对于处于危机时期的中小企业而言无疑成为一个不小的负担。但是中小企业在完成网络安全防范任务的时候,无论是使用自己制定的安全管理方案,还是使用现成的STEM产品,都能让企业在安全防范过程中不再感到迷惑,并且更加容易实现安全管理的目标。
4 企业信息安全新形势
网络信息安全工作始终是通信行业最为关键的工作之一,具有长期性、复杂性和艰巨性的特点。2010年3G及宽带网络蓬勃发展,三网融合开始实施操作,云计算和物联网产业方兴未艾,需求的个性化、数字的海量化、业务的复杂化给通信行业网络信息安全带来了新的更大的挑战,行业中企业要进一步提高对网络信息安全重要性的认识,发展与管理并重,加强部门协调配合,加强网络基础管理工作,加强网络信息安全保障能力建设,特别是要加快网络信息安全关键基础产业的研发应用和产业化,通过核心技术掌握自主知识产权,加快发展自主可控的信息安全产业,建设新时期通信行业网络安全、信息安全长城。
从国际国内出现的安全现象出发,应对多种复杂的安全新问题,应该借助于RFID等物联网新技术,并通过极主动地建立网络与信息安全的保障体系,技术和管理并重,加强立法建设、政策制订、技术研究、标准制订、队伍建设、人才培养、市场服务、宣传教育等多方面的工作,通过产业链各方的紧密合作共同构造一个全方位多层次的网络与信息安全环境,来共同改善全球的网络与信息安全问题。
5 结束语
计算机网络安全作为企业的一项十分重要的工作,应当引起高度的重视。在进行网络计算机操作之前,必须随时做好网络安全方面的防范工作。我们应当看到,动态的企业网络安全随着病毒、安全技术以及黑客站点的每日剧增,网络安全动态的不断更新,对网络管理人员来讲是一个巨大的挑战。相信做一个好的信息安全解决方案是企业办公网络应用的完美选择。
参考文献:
[1]宋钰,何小利,何先波,王伟黎.基于SNMP协议的入侵检测系统[J].河北理工大学学报(自然科学版),2010(01).
[2]王步飞,颜景润,任玉灿.现代信息技术与温室环境因子控制[J].考试(教研版),2010(01).
[3]郭锡泉,罗伟其,姚国祥.多级反馈的网络安全态势感知系统[J].信息安全与通信保密,2010(01).
[4]鄢喜爱,杨金民,常卫东.基于蜜罐技术的计算机动态取证系统研究[J].微电子学与计算机,2010(01).
我们在去年看到众多端点安全产品进入市场,它们试图消除企业网络面临的非常严重的威胁。那么企业的IT管理人员该如何评估这种产品呢?本文就提供了一份路线图,并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。
一、哪几个部分最重要?
端点安全对不同的人来说意味着不同意思。为了便于讨论,我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同,也许现在想实施其中一两个部分,打算将来时机成熟时再升级到其余几个部分。
策略定义: 你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略,而且能够轻松修改。
用户检测: 不管你的用户是在本地总部还是从远地连接到企业网络,你的系统都应当能够检测到他们。这包括每个客户端上使用或者无的操作。
健康评估:你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下,应当在访问网络之前进行扫描,不过你的系统也应当允许登录之后进行其他检查。
策略执行:你的策略确定了应当保护哪些网络资源,包括交换机、虚拟专用网(VPN)和服务器等等。视策略而定,你应当能够隔离资源或者完全拒绝访问网络。
采取补救:如果客户端不符合策略,接下来会怎样?理想的系统会启动反病毒特征更新、给操作系统打上补丁,或者采取其他措施。记住:目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数IT管理人员希望最先看到实施的方面,却也是大多数解决方案最薄弱的方面。问题在于,补救起来很棘手,而且需要依赖许多单个的软件和硬件正常工作。
目前正在开发中的有三种总体架构方法:微软的网络访问保护(NAP)、思科的网络准入控制(NAC)以及可信计算组织的可信网络连接(TNC)。
思科的NAC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向Windows客户端和Linux客户端的交换机及路由器中,从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分,因为思科并不提供一切。思科架构的强项在于执行和检测,补救是它的弱项。
TNC一开始是这种概念:使用Radius和802.1x等开放标准对特定的网络客户端进行验证,那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。TNC专注于提供能够协同工作的解决方案,所以难怪其强项在于策略定义,弱项在于健康评估。
NAP还没有真正实施到微软的任何产品中,第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救,弱项在于执行,对另外两种架构起到了很好的补充作用。最初,NAP会单单支持Windows XP和Vista客户端,把其他市场让给另外两种架构。
建议:
不是每个端点解决方案都能够有效地提供五个方面,大多数的强项在于健康评估或者策略执行等一、两个方面,在其他方面比较弱。认真阅读说明书,确定你最初关注的重心。
二、现有的安全和网络基础设施是什么?
下一步就是了解你现有的安全产品组合是什么,端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备,或者不想购买功能与现有设备重复的端点产品,这取决于你何时购买了防火墙、入侵预防设备和验证服务器。
有些产品(如Vernier)自身随带入侵检测和预防系统或者虚拟专用网络网关,这些是端点安全解决方案的必要部分;而另一些产品(如Lockdown Networks)可与现有的IPS、IDS和VPN产品协同工作。如果你准备选购这些产品,这可能是好消息,但要认识到:你的端点安全只能保护远程用户在使用的机器,却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户,你需要实施802.1x验证之类的机制。
思科的NAC假定你使用的所有思科产品都是最新版本:如果不是,那么就要考虑其他架构,除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器,那么支持另外两种架构的产品更有意义。
建议:
如果你没有VPN,或者正在考虑实施VPN,那么Juniper和F5(其次是思科和Aventail)提供的SSL VPN具有相当可靠的端点健康扫描功能。至于已经有企业IPsec VPN的用户,比较适合实施端点安全解决方案,假定你在所有的本地机器上也能够运行这些安全IPsec协议。大多数端点产品支持这种方法。
如果你已经有了切实可行的VPN而现在又不想改动,不妨考虑自身随带802.1x验证服务的产品解决方案,譬如赛门铁克或者Infoexpress的方案。你需要加强验证机制,以便处理下面提到的端点健康评估工具。
如果你需要升级交换机,Nevis和Consentry都提供各自集成了端点安全功能的48端换机。
三、要保护网络上的哪些部分?
接下来要确定你想把端点安全设备放在网络上的哪个部位,想保护企业计算资源的哪些部分。显然,网络上所要保护的部分越多,项目成本就会变得越高。有些设备应直接放在企业防火墙后面,保护整个网络。另一些设备放在分布交换机后面或者关键服务器前面比较好,或者部署用来保护某些子网或者部门级网络。
TNC架构似乎是三者当中最灵活的,适用于最广泛的部署及保护场景。NAP旨在保护微软服务器,而NAC是为思科网络交换机和路由器设计的。
有些设备(如Vernier、Consentry和Nevis Networks)采用嵌入式工作方式,这意味着位于这种设备后面的任何网络资源都会得到保护;只有健康的网络客户机才能通过进而访问这些资源。另一些设备(如Mirage、Forescout和AEP Networks)采用带外工作方式,通常经由网络跨接端口连接起来,监控某个子网上的所有网络流量;一旦用户通过活动目录或者VPN登录成功通过验证,它们就会把自己嵌入到网络数据流中。想知道把这些设备放在何处,就要知道每个设备能够处理通过它的相对吞吐量。有些解决方案比较有限,无法处理较大网络的较高吞吐量。
建议:
对于吞吐量需求较高的大型网络,不妨考虑Juniper的端点解决方案,它适用于75 Mbps到30 GBps的多种吞吐量。
如果无法确定使用嵌入式还是带外式,那么StillSecure和赛门铁克提供的产品能够与这两种方式兼容。
四、管理所有桌面系统吗?
下一个问题是你将如何管理及部署桌面系统上的保护软件。如果访问企业网络的员工比例较高(譬如说10%以上),合作伙伴或者承包商使用自己的计算机,或者远程员工不来总部办公室上班,那么你无法轻松接触外面的这些PC。如果你分发软件更新版,牢牢控制桌面PC,就能够更轻松地安装软件,进行健康评估,采取纠正措施。
每种设备都有可能使用三种基本类型的中的一种:
“胖”,也就是每个端点PC上永久安装的可执行文件。
按需,只有PC连接到网络时才存在,通常通过浏览器会话或者网络登录过程的一部分来提供。
无解决方案,不在端点上安装任何软件,但能够与PC上已有的软件协同运行。
问题在于,使用哪一种软件来处理实际工作,要看具体是哪一种浏览器版本和操作系统。有些需要初始的管理员权限才能安装到端点上。虽然大多数产品支持Firefox和IE浏览器版本,但也有一些例外,如果你使用的不是Windows操作系统更是如此。
微软的NAP在这方面的功能最弱,如果你仍在运行Windows XP之前的版本,功能将更弱。微软已承诺为Windows XP SP2和Vista推出支持其网络访问保护系统的。如果你使用的Windows版本比较旧,就要寻求第三方供应商。NAC和TNC都旨在更广泛地支持Windows、Mac和Linux等端点操作系统客户端。
有些厂商提供多个,不过有不同的功能及对操作系统的支持。譬如说,Nevis Networks为Windows提供的Active X控件可以执行健康评估。对于非Windows客户机,Nevis只能使用无连接,进行最基本的身份控制。
建议:
如果你需要Mac OS支持“胖”,不妨考虑AEP、Infoexpress和Lockdown Networks的解决方案。赛门铁克的按需可运行在Mac OS和Linux上,但“胖”只能运行在Windows 2000和XP上。赛门铁克和Consentry承诺今年晚些时支持Mac OS和Linux。
Lockdown和Mirage Networks更进了一步:两家公司都把端点放在了各自的专用虚拟局域网(VLAN)上,因而能够确保有风险的设备与其他设备隔离开来。
想获得完全无的方法,不妨考虑Forescout和Vernier。
五、非PC端点需要管理吗?
想弄清楚使用哪种,一方面要知道你的网络上还有什么,需要管理什么。“胖”无法管理企业网络上运行自身操作系统的非PC设备,譬如打印服务器、网络摄像机和PDA等。这些设备大多有IP地址,运行各自的操作系统,不容易由端点设备来管理。
处理非PC端点的最合适的架构就是TNC方案,它能够兼容类别最广泛的设备。NAC会在网络层实施支持非PC端点的功能;至于微软的NAP,你需要指定策略才能处理这些设备。
大多数厂商提供这种功能:把MAC或者IP地址加入白名单或者对它们进行预验证,那样它们仍可以连接到网络上完成任务。不过,把这些设备加入白名单只是临时解决方案,因为其中一些设备一旦被感染,安全就会受到危及,进而对网络造成危害。Forescout和Mirage Networks都能检测到来自这些专门设备的流量模式出现的变化,并且能够隔离设备。
建议:
你网络上的非PC端点数量可能比你想像的多得多,可能无法轻易把它们隔离到单一VLAN或者网段。要进行认真的现场勘查,确定这些端点与任何计划中的解决方案有着怎样的关系。
六、在何处制订及执行安全策略?
众所周知,任何端点解决方案都会影响到众多计算设备:客户机、服务器、网络交换机和连接基础设施以及网络上的应用软件。为了把这一切结合起来,你需要作出决定:存放端点策略的集中存储库放在何处;在整个网络上如何管理、改变及执行存储库。这可能是集中存放用户和验证数据的同一个物理场地,也有可能是全新的安全设备。
TNC倾向于使用802.1x验证协议作为存储库,不过这是其架构的可选部分,而不是必需要求。NAC比NAP更注重执行功能,至少目前是这样。
建议:
最自然的起步就是使用微软的活动目录作为这样一个策略存储库;而且,微软的NAP确实是为这种目的而设计的,最终会在今年晚些时候添加Longhorn服务器及另外几个产品。不过改造你自己的活动目录可能会很困难或者不可能,这看你是如何进行设置的。
另一个解决办法就是使用第三方厂商来完成这项任务,譬如Lockdown、Trusted Network Technologies或者Consentry,不过这可能需要时间来学会如何部署这些解决方案和进行合理配置。
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
关键词:网络安全;网络隔离;访问控制;网络管理;安全审计
中图分类号:TP393.098 文献标识码:A文章编号:1007-9599(2012)01-0000-02
The Security Design of Computer Network for Enterprise
Yang Yan
(China Railway No.5 Engineering Group Co.,Ltd,Mechanization Engineering Co., Ltd.,Hengyang421002,China)
Abstract:Network security ensure the normal operation of the enterprise network premise,enterprise network security is receiving more and more attention.This paper,from the network security separate, network security access and access control,host and system platform security, network security monitoring and audit,enterprise network security management system protection aspects,and puts forward how to make full use of the limited funds,mature technology,weigh the safety and efficiency,network all directions and meticulous planning design,make enterprise network safety effectively strengthen and improve.
Keywords:Network security;Isolation;Access control;Network management;
Security audit
21世纪以来,随着计算机网络技术的飞速发展,我们迈入了以网络为核心的信息时代。许多企业都构建了企业网络运营平台,企业经营、生产与管理对计算机网络的依赖性日益增强。网络规模的不断增大,网络结构的日益复杂都对网络安全提出了更高的要求。网络安全应从整体上考虑,全面覆盖网络系统的各个方面,针对网络、系统、应用、数据做全面的防范。
目前,大多数企业都建设了以办公系统(OA)为中心,集成公文流转、即时消息、门户网站、业务应用的办公系统,这些系统均以网络平台为支撑,采用B/S模式运行,并且各系统对于安全性要求不同。安全可靠性不同的多种应用,运行在同一个网络中,给黑客、病毒攻击提供了方便之门,给企业的网络安全造成了极大的威胁。
在一定的资金支持下,网络管理都要在网络安全程度和建设成本之间作出取舍,充分使用现有的成熟技术,并且尽可能地发挥管理的功效,提高企业网络安全,为业务系统的安全、稳定运行保驾护航。我们可以采用了以下技术和策略提高网络的安全性。
一、网络安全隔离
网络隔离有两种方式:物理隔离和逻辑隔离。将网络进行隔离后,为了能够满足网络内授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间应采取不同的访问策略。
物理隔离是最安全的网络隔离方式,但是它的建设成本非常大,要求在网络设备、计算机终端、网络线路上都进行重复性投资,花费很大,除的计算机信息系统必须实行物理隔离外,其它系统以逻辑隔离方式为主。
考虑企业的应用情况,针对不同业务的不同需求,划分不同的虚拟子网(VLAN)进行逻辑隔离。例如:为财务、人力、工程各部门的客户端划分单独的VLAN,通过将不同用户或资源划分到不同的VLAN中,利用路由器或者防火墙对VLAN间的访问进行控制。
二、网络安全准入与访问控制
企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问,访问控制的目的是为了保护企业在信息系统中存储和处理信息的安全,它是计算机网络信息安全最重要的核心策略之一,是通过准入策略准许或限制用户、组、角色对信息资源的访问能力和范围的一种方法。
(一)网络边界安全设计。企业一般有大量业务数据流运行于Internet网络,在企业内外网络的边界处,部署网络防火墙,实现私有地址和公有地址的相互映射和转换,屏蔽内部网络结构,并按照最小需求原则配置访问策略,以防范来自外部的威胁与攻击。
(二)内部网络用户准入。采用DHCP服务器做地址绑定,用户IP地址与MAC地址做一对一保留,防止网络接入的随意性,并在交换机设置DHCP Snooping、动态ARP检测防止用户任意修改IP,保证地址获取的合法性。对于重要的业务系统服务器,还可以在交换机上采取MAC地址+IP地址+交换机端口进行绑定,可以有效的阻止ARP等病毒的攻击。
(三)分支机构及移动办公用户的准入。外部用户访问企业内网,应在基于VPN的拨号接入之上,建立AAA认证服务器,一方面方便用户经常更换口令,另一方面可以实施更加严格的安全策略,并且对这些策略的实施予以监视。
为了方便用户对资源的访问和管理网络,有必要建立一个统一的安全认证及授权系统,统一的帐号管理有助于确保安全策略的实施及管理。
三、主机与系统平台安全
网络是病毒传播最好最快的途径之一。在网络环境下,计算机病毒有不可估量的威胁性和破坏力,它使得网络瘫痪、机密信息泄漏、重要业务系统不能提供正常服务,严重影响网络安全,造成不良的社会影响。计算机病毒的防范是网络安全性建设中重要的一环,在企业网中应建立一套网络版的防病毒系统,它能构造全网统一的防病毒体系,支持对网络、服务器、工作站的实时病毒监控;能够在中心控制台向多个目标分及安装新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,支持广泛的病毒处理选项;支持病毒主机隔离;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。
其次,为了弥补防病毒软件被动防范的不足,可采用两种策略提高网络主动防范的能力。
(一)在网络边界防火墙上配置严格的安全策略,强制关闭常见病毒攻击的服务端口,防止病毒入侵。在核心层和汇聚层交换机上,依据业务数据流流向建立一系列的访问控制列表,服务器只向必须访问它的客户端开放,其它客户端一概被策略拒绝访问。
(二)由于企业中大多数计算机安装Windows系列的操作系统,所以在网络中建设一套Windows补丁分发系统,利用微软的WSUS服务器进行强联动,辅以行之有效的用户端保护措施,帮助客户机高效、安全的完成Windows补丁更新,解决为Windows系统自动安装系统补丁程序的问题,进一步提高了计算机安全性,当然也提高了网络的安全性。
四、网络安全监测与审计
(一)网络管理系统。利用网络管理系统软件,实现对网络管理信息的收集、整理、预警,以视图方式实时监控各种网络设备运行状态。网络管理一般包括网络性能管理,配置管理,安全管理,计费管理和故障管理等五大管理功能。建立针对全网络的管理平台,对网络、计算机系统、数据库、应用程序等进行统一监管理,把网络系统平台由原先的被动管理转向主动监控,被动处理故障变为主动故障预警。
(二)网络入侵检测。作为防火墙功能的有效补充,入侵检测/防御系统(IDS/IPS)可实时监控网络传输,主动检测可疑行为,分析网络外部入侵信号和内部非法活动,在系统遭受危害前发出报警,对攻击作出及时的响应,并提供相应的补救措施,最大限度地保障网络安全。
(三)网络安全审计。将网络安全审计系统布署在企业网络中,能够监控、审查、追溯内部人员操作行为,防止企业机密资料泄露,统计网络系统的实际使用状况,帮助管理者及时发现潜在的漏洞和威胁,为企业的网络提供保障,使企业的网络资源发挥应有的经济效益。
五、企业网络安全管理制度保障
管理是企业网络安全的核心,技术是企业安全管理的保证。网络安全系统必须包括技术和管理两方面。只有完整的规章制度、行为准则并和安全技术手段结合,网络系统的安全才会得到最大限度的保障。只有制定合理有效的网络管理制度来约束员工,这样才能最大限度的保证企业网络平稳正常的运转,例如禁止员工滥用计算机,禁止利用工作时间随意下载软件,随意执行安装操作,禁止使用IM工具聊天等。最终制度通过网络管理平台得以具体体现,管理平台使得制度被严格的执行起来。
六、结束语
本文从分析企业网络安全形势入手,指出当前网络安全存在的问题,然后提出了一套较详细的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全审计。本文从技术手段上、可操作性上都易于实现、易于部署,为企业提供了实用的网络安全性设计。
参考文献:
