目前,大多数企业都建设了以办公系统(OA)为中心,集成公文流转、即时消息、门户网站、业务应用的办公系统,这些系统均以网络平台为支撑,采用B/S模式运行,并且各系统对于安全性要求不同。安全可靠性不同的多种应用,运行在同一个网络中,给黑客、病毒攻击提供了方便之门,给企业的网络安全造成了极大的威胁。
在一定的资金支持下,网络管理都要在网络安全程度和建设成本之间作出取舍,充分使用现有的成熟技术,并且尽可能地发挥管理的功效,提高企业网络安全,为业务系统的安全、稳定运行保驾护航。我们可以采用了以下技术和策略提高网络的安全性。
一、网络安全隔离
网络隔离有两种方式:物理隔离和逻辑隔离。将网络进行隔离后,为了能够满足网络内授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间应采取不同的访问策略。物理隔离是最安全的网络隔离方式,但是它的建设成本非常大,要求在网络设备、计算机终端、网络线路上都进行重复性投资,花费很大,除涉密的计算机信息系统必须实行物理隔离外,其它系统以逻辑隔离方式为主。
考虑企业的应用情况,针对不同业务的不同需求,划分不同的虚拟子网(VLAN)进行逻辑隔离。例如:为财务、人力、工程各部门的客户端划分单独的VLAN,通过将不同用户或资源划分到不同的VLAN中,利用路由器或者防火墙对VLAN间的访问进行控制。
二、网络安全准入与访问控制
企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问,访问控制的目的是为了保护企业在信息系统中存储和处理信息的安全,它是计算机网络信息安全最重要的核心策略之一,是通过准入策略准许或限制用户、组、角色对信息资源的访问能力和范围的一种方法。
(一)网络边界安全设计。企业一般有大量业务数据流运行于Internet网络,在企业内外网络的边界处,部署网络防火墙实现私有地址和公有地址的相互映射和转换,屏蔽内部网络结构,并按照最小需求原则配置访问策略,以防范来自外部的威胁与攻击。
(二)内部网络用户准入。采用DHCP服务器做地址绑定,用户_IP地址与MAC地址做一对一保留,防止网络接入的随意性,并在交换机设置DHCPSnooping、动态ARP检测防止用户任意修改IP,保证地址获取的合法性。对于重要的业务系统服务器,还可以在交换机上采取MAC地址+IP地址+交换机端口进行绑定,可以有效的阻止ARP等病毒的攻击。
(三)分支机构及移动办公用户的准入。外部用户访问企业内网,应在基于VPN的拨号接入之上,建立AAA认证服务器,一方面方便用户经常更换口令,另一方面可以实施更加严格的安全策略,并且对这些策略的实施予以监视。
为了方便用户对资源的访问和管理网络,有必要建立一个统一的安全认证及授权系统,统一的帐号管理有助于确保安全策略的实施及管理。
(责任编辑:管理员)
