中国设备管理协会

论企业计算机网络的安全性设计

  21世纪以来,随着计算机网络技术的飞速发展,我们迈入了以网络为核心的信息时代。许多企业都构建了企业网络运营平台,企业经营、生产与管理对计算机网络的依赖性日益增强。网络规模的不断增大, 网络结构的日益复杂都对网络安全提出了更高的要求。网络安全应从整体上考虑,全面覆盖网络系统的各个方面,针对网络、系统、应用、数据做全面的防范。
  目前,大多数企业都建设了以办公系统(OA)为中心,集成公文流转、即时消息、门户网站、业务应用的办公系统,这些系统均以网络平台为支撑,采用B/S模式运行,并且各系统对于安全性要求不同。安全可靠性不同的多种应用,运行在同一个网络中,给黑客、病毒攻击提供了方便之门,给企业的网络安全造成了极大的威胁。
  在一定的资金支持下, 网络管理都要在网络安全程度和建设成本之间作出取舍,充分使用现有的成熟技术,并且尽可能地发挥管理的功效,提高企业网络安全,为业务系统的安全、稳定运行保驾护航。我们可以采用了以下技术和策略提高网络的安全性。
  一、网络安全隔离
  网络隔离有两种方式:物理隔离和逻辑隔离。将网络进行隔离后,为了能够满足网络内授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间应采取不同的访问策略。物理隔离是最安全的网络隔离方式,但是它的建设成本非常大,要求在网络设备、计算机终端、网络线路上都进行重复性投资,花费很大,除涉密的计算机信息系统必须实行物理隔离外,其它系统以逻辑隔离方式为主。
  考虑企业的应用情况,针对不同业务的不同需求,划分不同的虚拟子网(VLAN)进行逻辑隔离。例如:为财务、人力、工程各部门的客户端划分单独的VLAN,通过将不同用户或资源划分到不同的VLAN中,利用路由器或者防火墙对VLAN间的访问进行控制。
  二、网络安全准入与访问控制
  企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问,访问控制的目的是为了保护企业在信息系统中存储和处理信息的安全,它是计算机网络信息安全最重要的核心策略之一,是通过准入策略准许或限制用户、组、角色对信息资源的访问能力和范围的一种方法。
  (一)网络边界安全设计。企业一般有大量业务数据流运行于Internet网络,在企业内外网络的边界处,部署网络防火墙实现私有地址和公有地址的相互映射和转换,屏蔽内部网络结构,并按照最小需求原则配置访问策略,以防范来自外部的威胁与攻击。
  (二)内部网络用户准入。采用DHCP服务器做地址绑定,用户_IP地址与MAC地址做一对一保留,防止网络接入的随意性,并在交换机设置DHCP Snooping、动态ARP检测防止用户任意修改IP,保证地址获取的合法性。对于重要的业务系统服务器,还可以在交换机上采取MAC地址+IP地址+交换机端口进行绑定,可以有效的阻止ARP等病毒的攻击。
  (三)分支机构及移动办公用户的准入。外部用户访问企业内网,应在基于VPN的拨号接入之上,建立AAA认证服务器,一方面方便用户经常更换口令,另一方面可以实施更加严格的安全策略,并且对这些策略的实施予以监视。
  为了方便用户对资源的访问和管理网络,有必要建立一个统一的安全认证及授权系统,统一的帐号管理有助于确保安全策略的实施及管理。
  三、主机与系统平台安全
  网络是病毒传播最好最快的途径之一。在网络环境下,计算机病毒有不可估量的威胁性和破坏力,它使得网络瘫痪、机密信息泄漏、重要业务系统不能提供正常服务,严重影响网络安全,造成不良的社会影响。计算机病毒的防范是网络安全性建设中重要的一环,在企业网中应建立一套网络版的防病毒系统,它能构造全网统一的防病毒体系,支持对网络、服务器、工作站的实时病毒监控;能够在中心控制台向多个目标分发布及安装新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,支持广泛的病毒处理选项;支持病毒主机隔离;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。
  其次,为了弥补防病毒软件被动防范的不足,可采用两种策略提高网络主动防范的能力。
  (一)在网络边界防火墙上配置严格的安全策略, 强制关闭常见病毒攻击的服务端口,防止病毒入侵。在核心层和汇聚层交换机上,依据业务数据流流向建立一系列的访问控制列表,服务器只向必须访问它的客户端开放,其它客户端一概被策略拒绝访问。
  (二)由于企业中大多数计算机安装Windows系列的操作系统,所以在网络中建设一套Windows补丁分发系统,利用微软的WSUS服务器进行强联动,辅以行之有效的用户端保护措施,帮助客户机高效、安全的完成Windows补丁更新,解决为Windows系统自动安装系统补丁程序的问题,进一步提高了计算机安全性,当然也提高了网络的安全性。
  四、网络安全监测与审计
  (一)网络管理系统。利用网络管理系统软件,实现对网络管理信息的收集、整理、预警,以视图方式实时监控各种网络设备运行状态。网络管理一般包括网络性能管理,配置管理,安全管理,计费管理和故障管理等五大管理功能。建立针对全网络的管理平台,对网络、计算机系统、数据库、应用程序等进行统一监管理,把网络系统平台由原先的被动管理转向主动监控,被动处理故障变为主动故障预警。
  (二)网络入侵检测。作为防火墙功能的有效补充,入侵检测/防御系统(IDS/IPS)可实时监控网络传输,主动检测可疑行为,分析网络外部入侵信号和内部非法活动,在系统遭受危害前发出报警,对攻击作出及时的响应,并提供相应的补救措施,最大限度地保障网络安全。
  (三)网络安全审计。将网络安全审计系统布署在企业网络中,能够监控、审查、追溯内部人员操作行为,防止企业机密资料泄露,统计网络系统的实际使用状况,帮助管理者及时发现潜在的漏洞和威胁,为企业的网络提供保障,使企业的网络资源发挥应有的经济效益。
  五、企业网络安全管理制度保障
  管理是企业网络安全的核心,技术是企业安全管理的保证。网络安全系统必须包括技术和管理两方面。只有完整的规章制度、行为准则并和安全技术手段结合, 网络系统的安全才会得到最大限度的保障。只有制定合理有效的网络管理制度来约束员工,这样才能最大限度的保证企业网络平稳正常的运转,例如禁止员工滥用计算机,禁止利用工作时间随意下载软件,随意执行安装操作,禁止使用IM工具聊天等。最终制度通过网络管理平台得以具体体现,管理平台使得制度被严格的执行起来。
  六、结束语
  本文从分析企业网络安全形势入手,指出当前网络安全存在的问题,然后提出了一套较详细的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全审计。本文从技术手段上、可操作性上都易于实现、易于部署, 为企业提供了实用的网络安全性设计。

[字体:    ]