一、概述
网络的最大价值,在于信息化的应用。由于企业信息化与企业生产经营已经逐渐成为一个共同的载体,企业对网络安全保护的要求日益提高。当前利用结构化的观点和方法来看待企业网络安全系统是主流思想,通过各层的弱点及攻击的可能性对各层进行分析及防护,对可能发生的攻击事件或漏洞做到事前防护,合理地利用各种硬件设备,通过完善的管理手段来建设一个稳定、安全、可靠的企业信息网络平台。
二、企业网络安全架构
企业网络管理的核心是网络应用,如何架构一个安全、可靠的网络环境是网络管理的一大课题。在网络安全隐患无处不在的今天,安全需求格外重要。当企业在架构网络前,应当全面的分析相应网络中可能存在的安全隐患,以及网络应用中必要的安全需求。
1、网络安全威胁
从目前的企业网络使用情况及日后的应用发展来看,主要存在以下几种安全威胁.(1)、病毒感染。病毒感染是危害面最广的安全隐患,威胁整体网络运行。组建企业网络时选择部署整个网络系统的病毒防御系统。(2)、黑客入侵和攻击。黑客攻击的危害性很大,入侵途径和攻击方式多样化,难以预防。目前防御措施主要是通过部署防火墙系统、入侵检测系统、网络隔离技术等防御黑客攻击,还应辅以系统漏洞和补丁升级系统。(3)、非法访问。非法用户访问企业网络时可能携带、放置病毒或其它恶意程序,也可能删除服务器系统文件和数据以及窃取企业机密信息等。防御措施除了防火墙系统、入侵检测系统和网络隔离技术外,还应注意在网络管理中引入安全机制,如对关键部门划分子网隔离保护,对重要的数据和文件进行加密以及对于需要进行远程访问的用户,注意权限配置工作。(4)、数据损坏或丢失。网络数据对于企业来说是非常重要的。数据的备份是一切安全措施中最彻底有效,也是最后一项保护措施。
2、网络架构概念
企业网络安全是系统结构本身的安全,应利用结构化的观点和方法来看待企业安全系统。全方位的、整体的信息安全防范体系应是分层次的,不同层次反映了不同的安全问题。根据搭建网络的应用现状和结构,从物理层安全、系统层安全、网络层安全、应用层安全及安全管理五个方面来考虑网络的安全架构。
三、学院网络安全系统分析
结合本学院网络建设的实际情况,在此对分层架构安全体系进行具体阐述并对网络层的安全进行重点研究。
1、物理层安全
物理层的安全主要就是对设备和链路及其物理环境的安全保护。这里着重考虑学院信息中心的建设。信息中心作为学院的数据中心,承载所有的应用服务器的运行,所以信息中心的安全是最基础的安全保障。信息中心的建设除了要保证温度、湿度、防雷、防火以及不问断供电以外,还应注重信息中心的综合布线布局,做好整体规划及标记,力争布线的简洁、有序,便于日后维护及故障排查。
2、系统层安全
主要包括操作系统安全和应用系统安全。系统层的安全,主要考虑操作系统的漏洞补丁。利用内网架设的补丁升级中心(WSUS),对于徼软发布的系统补丁,进行补丁下载和安装,提高操作系统的安全性,有效降低系统的安全风险。我们还可以采用绿盟的极光远程安全评估系统扫描出整个网络中所有设备上的漏洞,并且与wsus服务联动,仅在绿盟的设备上就可以对这些漏洞进行修补。对于应用系统服务器来说,除了加强登陆的身份认证权限,还应该尽量开放最少的端口,保证服务器的正常使用。
3、网络层安全
网络层安全是我们考虑最多,也是防范要求最多的一个层面。这里从以下几个方面进行阐述:
(1)确定安全域的划分
安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源,根据对学院的重要性、面临的外来攻击风险、内在的运行风险不同,划分成多个网络安全区域。划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内,尽量消除不同安全层次之间的联系,实施相互逻辑或物理隔离。
从目前情况分析,学院内部的财务处和人事处因业务及数据的保密性和敏感度,需要阻止任何的外部访问。所以这两个位置与网络中其它处室在逻辑上应是隔离状态。这里主要使用交换机利用vlan对各个不同的功能区域进行划分。除了保证物理位置及逻辑位置的隔离以外,划分vlan的另一个好处就是减小广播包的数量,控制网络流量,避免广播风暴的产生。在实际工作中曾经遇到财务处网段被其他网段访问的安全问题。此问题涉及财务的机密文件和重要报表数据,所以问题较严重。在这之前财务处是被独立划分为一个网段,与其它网段用ACL列表进行隔离。但是在客户端统一纳入学院域之后,之前做的ACL列表不起任何作用。经分析,我们发现在域内PC之间的通讯协议发生了变化,于是将所有的TCP、UDP协议进行拦截,只对部分可以互访的终端服务器进行允许控制。对于需要外网进行访问的服务器,比如web服务器、ftp服务器、邮件服务器等需要把它们分离出来,不需要进入内网进行保护。其它服务器则放置于内网保护区域内,独立划分为一个vlan。
(责任编辑:)
