時間:2023-09-20 16:56:40
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全整體解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
8月6日,卡巴斯基實驗室正式在中國了企業級新品卡巴斯基開放空間安全解決方案。卡巴斯基產品經理高 瑋認為,該方案不僅提供給用戶網絡安全產品,更主要的是還會給用戶傳達網絡安全重要的理念―網絡安全需要從整體考慮。
卡巴斯基開放空間安全解決方案是為不同規模的企業網絡設計的,可跨越辦公空間的限制,為遠程及移動用戶提供一個完整的解決方案。在溝通日益自由和開放的今天,卡巴斯基開放空間安全解決方案能夠為用戶提供周全的保護,包括防御病毒、黑客、間諜軟件和垃圾郵件等的攻擊。
如果企業已經采取了某些安全防護措施,如用于網關保護、郵件保護的硬件產品,這種情況下,是否還需要該解決方案?如果需要,會不會因為功能重復而造成浪費?該解決方案會不會對網關性能造成影響?
對此,高 瑋表示,卡巴斯基開放空間安全解決方案是一個整體的網絡安全解決方案,它具有很強的靈活性和適應性。用戶如果已經使用了網關保護或郵件保護等產品,開放空間安全解決方案仍適合他們,用戶只需要根據自己的需要來選擇相應的子方案就可以了,不會降低網關性能,甚至在一定程度上,還可提升網關性能。
卡巴斯基開放空間安全解決方案保護范圍可涵蓋各種網絡結構。根據不同的網絡狀況,可提供四種安全保護子方案(如圖所示)。其中卡巴斯基整體空間安全解決方案的功能最為完備,它包括卡巴斯基手機版、反病毒Windows工作站、反病毒Linux工作站、反病毒Windows服務器、反病毒Linux文件服務器、反病毒Novell Netware、反病毒Samba服務器、反病毒Microsoft Exchange、反病毒Linux郵件服務器、反病毒Lotus/Domino、郵件網關、反垃圾郵件、反病毒Check Point FireWall-1、反病毒Microsoft ISA Server、反病毒服務器、管理工具等組件。它能夠為各種規模、復雜程度不同的企業網絡提供全面的安全保護,對所有進出網絡節點的數據進行全面控制,以抵御各種類型的網絡攻擊。
對于卡巴斯基開放空間安全解決方案的分級標準和升級問題,高 瑋是這樣解釋的:卡巴斯基是按照需求分級的。比如,大部分的中小企業只對工作站和文件服務器有保護的需求,卡巴斯基就可為這些用戶提供保護工作站和文件服務器的中小企業空間安全解決方案。如果某些中小企業還需要更進一步的保護,它可以選擇更高級別的解決方案。
通過卡巴斯基開放空間安全解決方案的全面保護,可以為所有網絡節點和平臺提供安全防護,防御所有類型的網絡威脅,并快速做出響應,滿足對企業網進行綜合保護的要求。同時,該方案還可以為移動通信設備提供全面的安全保護。無論是在辦公室、家中或旅行途中,均可隨時隨地保護筆記本電腦的安全,讓其免受惡意威脅的困擾。它的移動安全保護技術還可以為外部返回的計算機和訪客計算機提供保護。
同時,卡巴斯基開放空間安全解決方案可兼容第三方的解決方案、高效利用網絡資源,并具有強大的集中管理工具,能最大程度減輕管理員的工作量,并提高其工作效率,而且,直觀、快速地反映企業當前的安全狀況及突發事件,為管理者的決策提出寶貴意見。
信息技術的發展為人類的進步提供了強大的動力。人們在享受信息技術帶來的巨大成就時,也會受到相應的安全威脅。“斯諾登事件”的曝光,讓人們突然發現,無論是企業、組織抑或是個體,幾乎都是裸地暴露在互聯網上。“震網”的曝光,讓那些已經實現物理隔離的工業控制系統管理者也感到陣陣寒意。信息安全越來越受到重視,在我國已經上升到國家安全的層面。
隨著越來越多傳統的安全產品和安全技術被廣泛應用,網絡安全級別也得到了相應提升。但是,新型安全事件日益增多,因此造成的經濟損失也呈上升之勢。其中,很重要的一個原因是傳統的安全產品側重于邊界接口的防御和終端安全的防護,而缺乏對網絡內部的整體安全管理。另外,私接設備、私改IP、私搭亂建對網絡安全管理也是一種困擾。
北京艾科網信科技有限公司(以下簡稱艾科網信)提供創新的ID網絡安全管理系統可徹底解決上述安全難題。
在此嚴峻的網絡安全形勢下,艾科網信董事長寧輝表示:“8年前,我本著對網絡安全事業的熱忱與一行人員創立艾科網信。多年來,艾科網信為各領域提供了大量的網絡安全解決方案。作為國內一家專業的網絡安全服務提供商,艾科網信將竭盡所能,為中國的網絡安全事業盡一份力,致力為用戶提供更加優質的網絡安全系統。”
艾科網信成立于2007年,秉承“誠信、合作、共贏”的企業宗旨,著力于“創新更安全”的研究方向,結合中國實際的網絡情況和安全態勢,創新地提出了實名制網絡管理解決方案,實現了用戶、IP、終端的有機關聯,為管理和審計提供了新的模式。艾科網信還提出了“內網規范管理”的理念,以實名管理為基礎,實現按人、按角色規劃安全策略,結合信息技術等級保護的相關技術標準,開創性地研發出實名制準入控制系統。在“震網”事件之后,針對網絡和工業控制系統的可視化技術成了艾科網信發展的重點。艾科網信把接入網絡中的所有設備均納入管理員的管理視野,并能準確地告知管理員這些設備的位置,哪些設備有異常等,在第一時間為管理員有效地洞悉網絡整體安全情況提供相關的數據和視圖。
為了更好地為客戶提供優秀的網絡安全管理解決方案和優質的技術服務,艾科網信在廣州、上海、寧波、成都設立了辦事處,并建設了覆蓋全國的渠道和機構,其強大的研發團隊、精良的銷售體系和完善的售后保障解除了用戶的后顧之憂。
艾科網信還可為多個行業提供專用解決方案,如政府部門網絡準入解決方案、電力行業信息網解決方案、電信運營商統一IP管理解決方案、金融行業統一認證解決方案、大型企業網絡可視化和準入控制解決方案、醫療行業防非法統方和網絡準入解決方案,并得到了政府行業、電力行業,像國家電網和南方電網,以及電信運營商等用戶的認可。
【關鍵詞】網絡安全;防火墻;VPN;VLAN
一、引言
隨著電力施工企業信息化發展的不斷深入,企業對信息系統的依賴程度越來越高,信息與網絡安全直接影響到企業生產、經營及管理活動,甚至直接影響企業未來發展。企業網絡規模的擴大、信息接入點增多、分布范圍廣,使信息接入點管控難度大。企業信息與網絡安全面臨各類威脅,筆者以構建某電力施工企業信息與網絡安全體系為例,從信息安全管理、技術實施方面進行闡述與分析,建立一套比較完整信息化安全保障體系,保障業務應用的正常運行。
二、企業網絡安全威脅問題分析
1.企業網絡通信設備存的安全漏洞威脅,網絡非法入侵者可以采用監聽數據、嗅探數據、截取數據等方式收集信息,利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。
2.非法入侵用戶對網絡系統的知識結構非常清楚,包括企業外部人員、企業內部熟悉網絡技術的工作人員,利用內部網絡進行惡意操作。非法用戶入侵企業內部網絡主要采用非法授權訪問對企業內部網絡進行惡意操作,以達到竊取商業機密的目的;獨占網絡資源的方式,非業務數據流(如P2P文件傳輸與即時通訊等)消耗了大量帶寬,輕則影響企業業務無法正常運作,重則致使企業IT系統癱瘓,對內部網絡系統造成損壞。
3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統。病毒感染可能造成網絡通信阻塞、文件系統破壞,系統無法提供服務甚至重要數據丟失。病毒的傳播非常迅速;蠕蟲是通過計算機網絡進行自我復制的惡意程序,泛濫時可以導致網絡阻塞和癱瘓;間諜軟件在用戶不知情的情況下進行非法安裝,并把截獲的機密信息發送給第三者。
4.隨著企業信息化平臺、一體化系統投入運行,大量重要數據和機密信息都需要通過內部局域網和廣域網來傳輸,信息被非法截取、篡改而造成數據混亂和信息錯誤的幾率加大;當非法入侵者以不正當的手段獲得系統授權后。可以對企業內部網絡的信息資源執行非法操作,包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等,甚至竊取用戶的個人隱私信息,阻止合法用戶的正常使用,造成破壞和損失。保護信息資源,保證信息的傳遞成為企業信息安全中重要的一環。
三、企業信息與網絡安全策略
結合電力施工企業業務廣范圍大特點,提出一套側重網絡準入控制的信息安全解決方案,保障企業網絡信息安全。
1.遠程接入VPN安全解決方案
施工企業擁有多個項目部,地域范圍廣,項目部、出差人員安全訪問企業信息系統是企業信息化的要求,確保網絡連接間保密性是必要的。采用SSL VPN安全網關旁路部署在網絡內部,通過設置用戶級別、權限來屏蔽非授權用戶的訪問。訪問內部網絡資源的移動、項目用戶先到SSL VPN上進行認證,根據認證結果分配相應權限,實現對內部資源的訪問控制。
2.邊界安全解決方案
在系統互聯網出口部署防火墻(集成防病毒和網絡安全監控模塊)和IPS設備,同時通過防火墻和IPS將企業內部網、數據中心、互聯網等安全區域分隔開,并通過制定相應的安全規則,以實現各區域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心,郵件、WEB網關設備、IDS及IPS等設備為輔的邊界防護體系。
(1)通過防火墻在網絡邊界建立網絡通信監控系統,監測、限制、更改跨越防火墻的數據流以及對外屏蔽網絡內部的信息、結構和運行狀況,控制非法訪問、增強網絡信息保密性、記錄和統計網絡數據并對非法入侵報警提示等,達到保障計算機網絡安全的目的。
(2)在防火墻上開啟防病毒模塊,可以在網關處阻止病毒、木馬等威脅的傳播,保護網絡內部用戶免受侵害,改變了原有被動等待病毒感染的防御模式,實現網絡病毒的主動防御,切斷病毒在網絡邊界傳遞的通道。
(3)以入侵防御系統IPS應用層安全設備,作為防火墻的重要補充,很好的解決了應用層防御安全威脅,通過在線部署,IPS可以檢測并直接阻斷惡意流量。
(4)將上網行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態、Web訪問內容、外發信息、網絡應用、帶寬占用情況等進行實時監控,在上網行為管理設備上設置不同的策略,阻擋P2P應用,釋放網絡帶寬,有效地解決了內部網絡與互聯網之間的安全使用和管理問題。
3.內網安全解決方案
內網安全是網絡安全建設的重點,由于內網節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,也是安全建設的難點。
(1)主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域,將信任網段與不信任網段劃分在不同的VLAN段內,實現內部一個網段與另一個網段的物理隔離,防止影響一個網段的安全事故透過整個網絡傳播,限制局部網絡安全問題對全局網絡造成的影響。
(2)建立企業門戶系統,用戶的訪問控制部署統一的用戶認證服務,實現單點登錄功能,統一存儲所有應用系統的用戶認證信息,而授權等操作則由各應用系統完成,即統一存儲、分布授權。
(3)系統軟件部署安全、漏洞更新,定期對系統進行安全更新、漏洞掃描,自動更新Windows操作系統和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網絡版的防病毒軟件,定期更新最新病毒定義文件,制定統一的策略,客戶端定期從病毒服務器下載安裝新的病毒定義文件,有效減少了病毒的影響;配置郵件安全網關系統,為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現郵件內容過濾等功能,有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊。
4.數據中心安全解決方案
作為數據交換最頻繁、資源最密集的地方,數據中心出現任何安全防護上的疏漏必將導致不可估量的損失,因此數據中心安全解決方案十分重要。
(1)構建網絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數據鏈路層的攻擊防御。數據中心網絡邊界安全定位在傳輸層與網絡層的安全上,通過防火墻可以把安全信任網絡和非安全網絡進行隔離,并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力,即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為,也可以對分布在網絡中的各種流量進行有效管理,從而達到對網絡應用層的保護。
(2)建立數據備份和異地容災方案,建立了完善的數據備份體系,保證數據崩潰時能夠實現數據的完全恢復。同時在異地建立一個備份站點,通過網絡以異步的方式,把主站點的數據備份到備份站點,利用地理上的分離來保證系統和數據對災難性事件的抵御能力。
5.安全信息管理與培訓
(1)網絡管理是計算機網絡安全重要組成部分,在組織架構上,應采用虛擬團隊的模式,成立了相關信息安全管理小組。從決策、監督和具體執行三個層面為網絡信息安全工作提供保障。建立規范嚴謹的管理制度,制定相應的規范、配套制度能保證規范執行到位,保障了網絡信息安全工作的“有章可循,有據可查”。主要涉及:安全策略管理、業務流程管理、應用軟件開發管理、操作系統管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規的執行等。
(2)人員素質的高低對信息安全方面至關重要;提高人員素質的前提就是加強培訓,特別加強是對專業信息人員的培訓工作。
四、結束語
該企業信息與網絡安全體系建設以技術、管理的安全理念為核心,從組織架構的建設、安全制度的制定、先進安全技術的應用三個層面,構建一個多層次、全方位網絡防護體系。在統一的安全策略基礎上,利用安全產品間的分工協作,并針對局部關鍵問題點進行安全部署,使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理,達到提升網絡對安全威脅的整體防御能力。
參考文獻
【關鍵詞】:信息安全 ;問題;解決方案
【引言】:在中小企業的信息管理系統中存在大量的信息和文件材料,其中有對企業發展至關重要的文件材料,一旦這些信息材料在通過網絡傳送時被不法分子和競爭對手竊聽、泄密、篡改或偽造,將會嚴重威脅中小企業的發展,所以,提出中小企業信息安全問題的解決方案具有重要意義。
1. 中小企業信息安全存在的問題
1.1信息安全管理意識不強。
相對大型企業來說,中小企業信息資產方面的積累相對較為薄弱,并且很多時候這種積累并非企業的有意識行為,所以在正常的信息化應用情況下,往往會忽視對自己信息資產的保護,而只有在信息資產受到破壞,形成了實際的經濟和附加損失的情況下,才會開始意識和重視這信息安全問題。
1.2信息安全管理水平較低信息安全風險較大。
目前的中小企業管理層人員雖然已經認識到了信息化的重要性,但卻沒有認識到企業信息化管理是需要在企業管理念上進行根本變革才能實現的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造,結果造成一種信息化的假象,致使“信息化”走向了徒有其表的誤區,信息安全也沒有得到足夠重視。
1.3人才短缺專業人員匱乏。
中小企業一般很難有足夠的吸引力留住信息化及信息安全這一領域的人才。因此,在這種人才短缺的情況下,自然影響到企業信息化的進程。主要表現為:企業一般沒有自己的信息化建設人才隊伍。信息技術專業人員的知識結構也不能達到要求,掌握技術的不懂管理,懂管理的又不會技術,而且信息安全往往沒有專業人員進行管理。
1.4資金短缺。
中小企業的資金狀況決定了其信息化投入遇到的限制相對較多。企業相對有限的資金,一般要優先投入到直接促進公司業績增長的方向,而無形中就造成了信息資產所面臨的巨大風險;特別是在當今越來越多的企業業務與互聯網有密切的聯系,甚至一些企業的業務完全建立在互聯網之上,以平均不到企業總收入1%的信息安全投入,怎么能保障這些業務的正常運行?盡可能使投入比例接近常規,至少應該使企業核心信息資產的安全得到保證,從實際情況來講,在良好的安全理念指導下,進行細致的規劃和評估,通過適當的投入也是可以達到較好的整體效果,因為在中小企業的應用情境下,信息安全防御廣度是相對容易控制的;設計出體現其規律和特點的真正適合中小企業的信息安全產品,才能從根本上滿足中小企業信息安全需求。
1.5中小企業的信息倫理意識不強。
由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候,企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中員工的信息安全意識往往相對比較落后,對于互聯網上存在的威脅往往缺乏足夠的重視,而企業的管理層對于網絡的使用也沒有很好的管理手段。
2.中小企業信息安全問題的解決措施
2.1從企業的自身情況考慮
要解決中小企業網絡信息安全問題,不能僅依靠企業的安全設施和網絡安全產品,而應該考慮如何提高企業自身的網絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現在以下兩個方面:
2.1.1提高安全認識
定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識,企業管理層要制定完整的信息安全策略并貫徹執行,對安全問題要做到預先考慮和防備。
2.2.2要求中小企業在上網的過程中要做到“一做三不要”
首先將存有重要數據的電腦堅決同網絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護,其次不要在自己的系統之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切,同時不在網上的任何場合下隨意透露自己企業的任何安全信息,最后不要啟動系統資源共享功能,要盡量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會【1】。
2.2從網絡安全角度考慮
2.2.1從網絡安全服務商的角度來說,服務商要重視中小企業對網絡安全解決方案的需要,充分考慮中小企業的現實狀況,仔細調查和分析中小企業的安全因素,開發出適合中小企業實際情況的網絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。
2.2.2要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業的網管人員要經常到有P網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患并及時更改,才能做到有備無患【2】。
2.2.3企業用戶最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。
2.2.4內部網絡系統的密碼要定期修改。動態的密碼有助于防止黑客的攻擊以及來自內部人員的泄密。
2.2.5要經常使用殺毒軟件來維護局域網系統不受病毒攻擊。現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能,可以不定期地在脫機的情況下進行檢查和清除。
2.2.6同其它企業進行聯合,共同抵制黑客的入侵,一旦被入侵要及時向有關部門匯報,并共同查找入侵來源,鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內,減少黑客入侵的機會。并擴大連接表,增加黑客填寫整個連接表的難度【3】。
小結
綜上所述,我國中小企業的信息安全問題日益突出。由于受到管理水平、資金、技術、 意識等幾方面的制約,中小企業完全依靠自己解決所有信息化安全問題是不現實的,它們很難使用大企業中那種復雜的信息安全系統,因此迫切需要適合中小企業自身情況的綜合解決措施。
【參考文獻】:
【1】 楊江;周小玲; 基于企業的危機信息管理[J];科技情報開發與經濟;2009年32期
防火墻是網絡安全的基本防護設備,其安全性受到了越來越多人的重視,尤其是在當前科技迅猛發展的環境下,各企業也迅速的崛起,使得企業在網絡環境的推動下,也面領著嚴峻的信息安全挑戰。在這種環境下,人們對于防火墻的安全性要求也隨之提高。當前,企業的防火墻要實現安全設計,還需要對企業的網絡安全進行全方面的需求分析,通過針對性的設計,提高防火墻的實用性、功能性、安全性。
【關鍵詞】
防火墻;企業網絡安全設計;實現
1前言
計算機網絡技術的廣泛應用,為企業提供了更多的發展平臺與業務渠道,在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天,各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害,不僅嚴重威脅到企業的信息安全,而且給企業帶來較大的經濟損失,造成了企業形象的破壞。因此,才需要使用防火墻技術,通過防火墻網絡技術的安全設計,對各種病毒與網絡攻擊進行抵御,維護企業的信息安全,促進企業的健康穩定發展。
2防火墻的企業網絡安全設計原則
在企業防火墻的網絡安全設計中應該遵循一定的原則,即:全面、綜合性原則,也就是企業的網絡安全體系設計,應該從企業的整體出發,對各項信息威脅進行利弊權衡,進而制定出可行性的安全防護措施;簡易性原則,主要是對于網絡安全設計,既要保證其安全性,又要保證其操作簡便性,以免系統過于復雜而造成維護上的阻礙;多重保護原則能夠在建立多重的網絡安全機制,確保整個網絡環境安全;可擴充原則,主要是指在網絡運用過程中,要隨著新變化的出現,對于之前的網絡安全系統進行升級與擴充;靈活性原則,也就是防火墻的網絡安全設計方案,應該結合企業自身網絡現狀及安全需求,采用靈活、使用的方式進行設計;高效性原則,也就是防火墻的網絡安全設計應該確保投資與產出相符,通過安全性的設計解決方案,避免重復性的投資,讓企業投入最少的項目資金,獲得最大的收益,有效維護企業的安全[1]。
3防火墻的企業網絡安全設計
防火墻為服務器的中轉站,能夠避免計算機用戶與互聯網進行直接連接,并對客戶端的請求加以及時地接收,創建服務其的連接,并對服務器發出的信號相應加以接受,再通過系統將服務器響應信號發送出去,并反饋與客戶端。
3.1防火墻加密設計
防火墻的加密技術,是基于開放型的網絡信息采取的一種主動防范手段,通過對敏感數據的加密處理、加密傳輸,確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種,這種數據加密技術,主要是對明文的文件、數據等通過特定的某種算法加以處理,成為一段不可讀的代碼,維護數據信息的安全,以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密,其中硬件加密的效率較高,且安全系數較高,而軟件加密的成本相對來說較低,使用性與靈活性也較強,更換較為方便。
3.2入侵檢測設計
入侵主要指的是外部用戶對于主機系統資源的非授權使用,入侵行為能夠在一定程度上導致系統數據的損毀與丟失,對于企業的信息安全與網絡安全會造成較大的威脅,甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中,應該加強對入侵者檢測系統的重視,對于入侵腳本、程序自動命令等進行有效識別,通過敏感數據的訪問監測,對系統入侵者進行行為分析,加強預警機制,檢測入侵者的惡意活動,及時發現各種安全隱患并加以防護處理。
3.3身份認證設計
身份認證主要是對授權者的身份識別,通過將實體身份與證據的綁定,對實體如:用戶、應用程序、主機、進行等加以信息安全維護。通常,證據與實體身份間為一種對應的關系,主要由實體方向提供相應的證據,來證明自己的身份,而防火墻的身份認證則通相關的機制來對證據進行驗證,以確保實體身份與證據的一致性。通過身份認證,防火墻便能夠對非法用戶與合法用戶加以識別,進而對非法用戶進行訪問設置,維護主機系統的安全。
3.4狀態檢測設計
訪問狀態檢測,是控制技術的一種,其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問,是維護企業網絡安全的重要手段之一。防火墻的訪問控制,一般可分為兩種類型:①系統訪問控制;②網絡訪問控制。其中,網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問,以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制,主要是結合企業的實際管理需求,對不同的用戶賦予相應的主機資源操作、訪問權限。
3.5包過濾數據設計
數據包過濾型的防火墻主要是通過讀取相應的數據包,對一些信息數據進行分析,進而對該數據的安全性、可信度等加以判斷,并以判斷結果作為依據,來進行數據的處理。這在個過程中,若相關數據包不能得到防火墻的信任,便無法進入該網絡。所以,這種技術的實用性很強,能夠在網絡環境下,維護計算機網絡的安全,且操作便捷,成本較低。但需要注意的是,該技術只能依據一些基本的信息數據,來對信息安全性進行判斷,而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現,對用戶的定義內容進行過濾,在網絡層、數據鏈路層中截獲數據,并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全,需要對該種技術進行充分的利用,并適當融入網絡地址翻譯,對外部攻擊者造成干擾,維護網絡內部環境與外部環境的安全。
4企業網絡安全中的實現
4.1強化網絡安全管理
用將防火墻技術應用于企業的網絡安全中,還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析,對本企業存在的信息安全加以風險評估,熟悉掌握本企業網絡安全的薄弱環節,全民提高企業的信息安全。另外,企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握,對企業的未來業務發展加以合理的預測分析,進而制定出科學合理的網絡信息安全策略。同時,企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解,做好防止黑客入侵的措施。
4.2網絡安全需求分析
企業的網絡安全為動態過程,其設方案需要結合自身的實際狀況加以靈活設計,進而提高設計方案的適用性、安全性,維護企業整個網絡的安全。在對企業網絡需求進行分析時,還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中,對于系統使用頻繁,提供服務資源的數據庫與服務器,要在網絡環境下,確保其運行安全,以免疏導惡意攻擊與訪問;而對于網絡訪問設計應具有一定的可控性,具備相應的認證與授權功能,對用戶的身份加以識別,對敏感信息加以維護,以免企業的核心系統遭到攻擊[4];網絡資源要確保其適用性,能夠承載企業的辦公自動化系統及各項業務的運行使用,并保證網絡能夠不間斷地高效運行;同時,針對網絡管理,應該具有可操作性,在安全日志與審計上進行相關的信息記錄,以免企業信息系統管理人員的日后維護。
4.3網絡安全策略的制定
要實現企業的網絡安全,還需要對企業的實際網絡安全需求進行了解之后,針對不同的信息資源,制定出相關的安全策略,通過各種系統保密措施、信息訪問加密措施、身份認證措施等,對企業信息資源維護人員相關的職責加以申請與劃分,并對訪問審批流程加以明確。最后,還需要企業的信心管理人員對整個安全系統進行監控與審計,通過監控系統的安全漏洞檢查,對威脅信息系統安全的類型與來源進行初步判斷,通過深入分析,制定出完善是網絡安全防護策略[5]。
5結束語
在互聯網環境下,信息資源的存儲量巨大,運行較為高效,不僅為企業帶來了較大發展空間,也使企業的信心安全面臨巨大的威脅。因此,企業需要加強防火墻系統的建設,提高對網絡安全系統的認識,通過有效措施,加強防火墻的安全設計,構建一個相對穩定的網絡環境,維護企業的信息安全,讓企業在可靠的信息網絡環境開發更多的客戶資源,以尋得健康、穩定、持續的發展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻
[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術,2016(02):42~44.
[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用,2015(07):74+77.
[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護,2016(06):78~80.
關鍵詞:網絡安全 入侵檢測 數據備份
一、引言
Internet的發展,正在引發一場人類文明的根本變革,網絡已成為一個國家最為關鍵的政治,經濟,軍資源,成為國家實力的新象征同時,網絡的發展也在不斷改變人們的工作,生活方式,使信息的獲取,傳遞,處理和利用更加高效,迅速,隨著科學技術不斷發展,網絡已經成為人們生活的一個組成部分雖然計算機網絡給人們帶來了巨大的便利,但互聯網是一個面向大眾的開放系統,對信息的保密和系統的安全考慮得并不完備,存在著安全隱患,網絡的安全形勢日趨嚴峻。因而,解決網絡安全問題刻不容緩,我們必須從網絡安全可能存在的危機入手,分析并提出整體的網絡安全解決方案
二、網絡安全風險分析
1.網絡結構的安全風險分析
企業網絡與外網有互連。基于網絡系統的范圍大、函蓋面廣,內部網絡將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網絡節點。網絡系統中辦公系統及員工主機上都有涉密信息,假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。
2.操作系統的安全風險分析
所謂系統安全通常是指操作系統的安全。操作系統的安裝以正常工作為目標,一般很少考慮其安全性,因此安裝通常都是以缺省選項進行設置。從安全角度考慮,其表現為裝了很多用不著的服務模塊,開放了很多不必開放的端口,其中可能隱含了安全風險。
3.應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等
4.管理的安全分析
管理方面的安全隱患包括:內部管理人員或員工圖方便省事,不設置用戶口令,或者設置的口令過短和過于簡單,導致很容易破解。責任不清,使用相同的用戶名、口令,導致權限管理混亂,信息泄密。把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。內部不滿的員工有的可能造成極大的安全風險。
三、網絡安全解決方案
1.網絡結構的安全
網絡結構布局的合理與否,也影響著網絡的安全性對銀行系統業務網,辦公網,與外單位互聯的接口網絡之間必須按各自的應用范圍,安全保密程度進行合理分布,以免局部安全性較低的網絡系統造成的威脅,傳播到整個網絡系統,所以必須從兩個方面入手,一是加強|力問控制:在內部局網內可以通過交換機劃分VLAN功能來實現;或是通過配備防火墻來實現內、外網或不同信任域之間的隔離與訪問控制:也可以配備應用層的訪問控制軟件系統,針對局域網具體的應用進行更細致的訪問控制。二是作好安全檢測工作:在局域網絡的共享網絡設備上配備入侵檢測系統,實時分析進出網絡數據流,對網絡違規事件跟蹤,實時報警,阻斷連接并做日志。
2.操作系統的安全
對操作系統必須進行安全配置,打上最新的補丁,還要利用相應的掃描軟件對其進行安全性掃描評估,檢測其存在的安全漏洞,分析系統的安全性,提出補救措施,管理人員應用時必須加強身份認證機制及認證強度盡量采用安全性較高的網絡操作系統并進行必要的安全配置,關閉一些起不常用卻存在安全隱患的應用,對一些關鍵文件使用權限進行嚴格限制,加強口令字的使用,及時給系統打補丁,系統內部的相互調用不對外公開。
3.應用的安全
要確保計算機網絡應用的安全,主要從以下幾個方面作好安全防范工作:一要配備防病毒系統,防止病毒入侵主機并擴散到全網,實現全網的病毒安全防護;二作好數據備份工作,最安全的,最保險的方法是對重要數據信息進行安全備份,如果遇到系統受損時,可以利用災難恢復系統進行快速恢復;三是對數據進行加密傳輸,保護數據在傳輸過程中不被泄露,保證用戶數據的機密性,數據加密的方法有從鏈路層加密,網絡層加密及應用層加密;四是進行信息鑒別,為了保證數據的完整性,就必須采用信息鑒別技術,VPN設備便能實現這樣的功能,數據源身份認證也是信息鑒別的一種手段,它可以確認信息的來源的可靠性,結合傳輸加密技術,我們可以選擇VPN設備,實現保護數據的機密性,完整性,真實性,可靠性。
4.管理的安全
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,并利用法律手段來實現,因國這些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度并嚴格按執行,并通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防范外部入侵的安全技術。
關鍵詞:網絡安全;802.1X協議;企業內網;安全接入控制
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-2374(2013)23-0157-03
目前,國內的大中型企業均已完成了企業內部網絡和信息系統的建設,但各類來訪人員終端接入公司內部網絡時,普遍處于不可控狀態;另外,企業在金融資本市場上需要遵守某些國際的規則和法案(如SOX法案404條款)。企業成立內控部門,力求企業生產運營過程各環節的可追溯、可審計。因此,需要通過對于終端接入的認證管理,實現終端接入的可控和可審計,滿足安全和內控要求。現有企業網絡還不能滿足上述需求。本文針對這些需求進行研究,提出解決方案。
1 802.1X協議及解決方案
1.1 什么是802.1X
IEEE 802.1X是IEEE制定關于用戶接入網絡的認證標準。它的全稱是“基于端口的網絡接入控制”。802.1X協議起源于802.11協議,802.1X協議的主要目的是為了解決無線局域網用戶的接入認證問題。
在802.1X出現之前,企業網上有線LAN應用都沒有直接控制到端口的方法,也不需要控制到端口,但是隨著無線LAN的應用以及LAN接入在電信網上大規模開展,有必要對端口加以控制,以實現用戶級的接入控制。802.1X就是IEEE為了解決基于端口的接入控制(Port-Based Access Control)而定義的一個標準。
1.2 802.1X認證體系結構
802.1X的認證體系分為三部分結構:Supplicant System客戶端(PC/網絡設備)、Authenticator System認證系統、Authentication Server System認證服務器。
基于以太網端口認證的802.1X協議有如下特點:IEEE802.1X協議為二層協議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本;借用了在RAS系統中常用的EAP(擴展認證協議),可以提供良好的擴展性和適應性,實現對傳統PPP認證架構的兼容;802.1X的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能,從而可以實現業務與認證的分離,由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制,業務報文直接承載在正常的二層報文上通過可控端口進行交換,通過認證之后的數據包是無需封裝的純數據包;可以使用現有的后臺認證系統降低部署的成本,并有豐富的業務支持;可以映射不同的用戶認證等級到不同的VLAN;可以使交換端口和無線LAN具有安全的認證接入功能。
1.3 802.1X解決方案
1.3.1 Cisco NAC。思科與防病毒廠商(包括趨勢、McAfee等)合作的安全網絡接入控制(下稱NAC)方案,可實現基于用戶身份的認證,也可對客戶端防病毒安全狀態進行評估,對不滿足條件(預先制定的策略)的用戶,對其接入網絡的能力和范圍實現控制,從而提高全網整體的安全防護能力;采用思科網絡安全接入控制方案(NAC),可以有效地解決SOX法案要求局域網接入認證的內控要求。
NAC是由思科公司倡導的跨業界合作的整套安全解決方案,自2003年11月提出后獲得防病毒廠商的廣泛支持。目前,包括國外軟件廠商:趨勢科技、McAfee、賽門鐵克、CA、IBM,國內軟件廠商:瑞星和金山等15家安全領域主要廠商,都已成為思科NAC合作伙伴。
1.3.2 華為 I3SAFE Numen。I3SAFE Numen終端安全系統(以下簡稱終端安全系統)是在I3SAFE Numen系統框架基礎上開發的針對企業、運營商的內部網絡終端安全防護產品。終端安全系統通過在每一臺終端上安裝安全,對終端的安全狀況進行檢測,并實時監控和采集用戶涉及主機安全的行為記錄。同時通過與接入設備的聯動,限制不符合安全要求的終端的上網。
1.3.3 局域網準入方案比較。
實施方法比較:
(1)協議方面。兩種方案都采用EAP協議、RADIUS協議和802.1X協議實現接入控制。但思科的方案還可以支持不采用客戶端的方式實現接入認證,即無客戶端方式,為用戶提供另外一種選擇。
身份認證管理方面。兩種方案在后臺都選擇了使用RADIUS服務器作為認證管理平臺;華為只能以用戶名/密碼方式進行身份認證,思科除了采用用戶名/密碼方式外,還可以采用證書方式管理用戶身份。
管理方式方面。都采取集中式控制和管理方式。策略控制和應用由策略服務器(通常是RADIUS服務器)和第三方的軟件產品(病毒庫管理,系統補丁等)協作進行;用戶資料和準入策略由統一的管理平臺負責。
(2)協作廠商比較。NAC是由思科公司倡導的跨業界合作的整套安全解決方案,于2003年11月提出。其主旨是向已獲授權的合作伙伴提供協議和技術信息,以便合作伙伴開發和銷售支持NAC網絡、策略服務器及客戶端應用。NAC方案支持的廠商包括國外軟件廠商:趨勢科技、McAfee、賽門鐵克、CA、IBM,國內軟件廠商:瑞星和金山等15家安全領域主要廠商。
EAD方案,于2005年底在媒體上逐步推出。EAD方案目前支持的廠商主要有瑞星、江民、金山三家廠商。
(3)對現網設備利舊的支持。思科NAC方案和華為EAD方案雖然在業務控制流程和功能組件上類似,都是基于對802.1X和EAP協議的開發,但目前并不兼容。
NAC方案:由于目前大型企業數據網絡設備中主要采用的是思科的接入設備和策略控制服務器,采用思科NAC方案可以充分利用現有的網絡設備和策略控制設備。
EAD方案:如果采用華為EAD方案,現在思科的接入設備將全部更換,并且需要配置新的策略控制設備。
(4)與現網設備的兼容性。
NAC方案:思科方案與現網設備不存在兼容性問題。
EAD方案:由于華為EAD方案必須采用華為的二層交換機,與現網思科的交換機互聯,很容易出現由于生成樹協議配置不當而引起廣播風暴。
2 接入控制技術的實際應用
2.1 企業內部網絡現狀
浙江某運營商DCN網絡是企業的運行支撐網絡,為各個專業網管系統和企業應用系統提供了統一的數據通信平臺,目前網絡已經覆蓋到各交換母局和大的營業網點。
當前存在的問題如下:(1)移動辦公和遠程維護的需求強烈,但缺乏安全的接入手段,因此只能小范圍試用。(2)內網多出口現象嚴重,繞開統一出口直接訪問公網,造成病毒嚴重,嚴重威脅內網安全。(3)缺乏安全的內網無線接入手段。(4)內網缺乏統一的安全策略規范和控制機制。(5)沒有接入控制機制,內網接入隨意,基本沒有保護,對第三方人員和企業內部員工不健康的終端均無限制手段,嚴重威脅企業信息安全。
2.2 工程實施內容及建設方案
2.2.1 工程建設需求:(1)滿足遠程接入需求,實現用戶在外網時能夠安全接入DCN網絡;(2)滿足用戶通過統一入口VPN方式接入DCN網絡后,能夠訪問各類內網應用系統;(3)用戶在外網接入內網時,應首先通過入口的Radius認證和動態口令認證;(4)終端在局域網通過有線或無線方式接入時,對終端安全性進行檢測,認證后準許進入網絡。
2.2.2 工程建設方案。
工程組網:Internet統一出入口通過一臺Juniper ISG2000防火墻DCN的出口網關設備,完成省公司員工訪問Internet的訪問控制和安全防護;兩臺SA4000設備部署在防火墻的DMZ區,連接在DMZ交換機上,采用A/P的高可用方式部署,防火墻映射一個公網地址到SA集群的浮動地址上。防火墻實現基本DOS保護、策略過濾,SA設備則實現SSL VPN,進行應用層保護過濾和接入。部署一套Juniper SBR radius軟件,作為DCN網絡AAA認證服務器,用于實現對內部各系統的集中身份認證和授權。該系統能夠與原有的目錄服務器結合,降低部署的復雜度。
終端安全檢查策略:Juniper SA 4000設備在用戶接入前通過預先設定的策略檢查用戶終端的安全狀況,包括補丁、殺毒軟件安裝或更新情況。根據DCN的終端安全要求設定終端安全檢查策略,一般建議檢查是否安裝有殺毒軟件,不符合條件的拒絕登錄或提示后登錄。
接入方式:由于SA 4000設備具有Core、SAM和NC三種接入方式,三種方式獲得的權限各不相同,對于每個用戶組(Role),需要選擇其能夠使用的接入方式。
資源策略設置:在每種接入方式下,可以設定Role能夠訪問的資源,類似于防火墻的ACL(訪問控制列表)。根據不同Role的實際需要,設定不同的訪問權限,保證每個用戶能夠訪問到其必須訪問的資源,同時不獲得超出其工作需要的權限。
局域網內,通過部署Cisco的NAC方案實現無線和有線接入時基于802.1X的終端認證和健康性檢查。企業可以根據不同的安全策略對終端安全狀況進行檢測,內容包括終端補丁安裝情況、終端防病毒軟件安裝以及版本更新情況、病毒代碼庫的更新情況、個人防火墻的配置情況、屏幕保護的配置情況等,并保護企業重要信息資源不被外來終端訪問,阻止外來終端或者未納入終端管理系統的終端接入到企業網絡。通過企業目錄服務集成,提供統一身份認證,統一授權的基礎,確保用戶信息在各系統中的
同步。
2.3 工程實施效果
工程實施效果見表1。
3 結語
企業信息化建設過程中,較多關注于信息系統建設,對于信息化基礎的網絡安全,關注不夠全面,本文重點關注于之前企業安全管理薄弱的網絡接入控制技術,并結合業界解決方案,應用于實際工程。
參考文獻
[1] 寧宇鵬,薛靜鋒.信息安全-理論、實踐與應用[M].
[2] 馬燕,曹周湛,等.信息安全法規與標準[M].北京:機械工業出版社.
[3] 高海英.VPN技術[M].北京:機械工業出版社.
企業內網安全和企業網站安全防護刻不容緩。
《瑞星2010中國企業安全報告》中的數據表明,蠕蟲病毒引發的網絡癱瘓以及用戶資料和商業秘密被竊取等,已經成為嚴重威脅政企用戶業務安全的至為重要的問題。對于政府機構、金融類企業等容易遭到攻擊的目標來說,瑞星防毒墻、瑞星網絡安全預警系統與殺毒軟件軟硬結合,能夠提供更專業、更便于管理的立體化防病毒安全保護體系。
安全情況分析
河南工商行政管理部門的網絡結構比較復雜,省級作為核心網,其下屬部門又劃分為多個子網。在河南工商行政管理部門的網絡中,信息系統的應用也比較復雜,涉及眾多應用服務器、數據庫服務器、普通計算機和各種網絡設備。根據初步統計,河南工商行政管理部門內部網絡中大約有數萬臺終端。
河南工商行政管理部門內部核心網絡的管理涉及眾多服務器和客戶端的管理以及多部門、多系統之間的協調,如果不對這些設備、系統加以控制,那么病毒可能引發相當嚴重的安全問題。病毒一旦發作,給河南工商行政管理部門帶來的損失將是不可估量的。如果在信息被破壞后再進行殺毒等工作,那么已經造成的各種損失也將難以挽回。
因此,為了保障整個網絡的安全,河南工商行政管理部門的網絡應該采用省級集中管理、各部門及各市級分級管理的方式。在網絡計算機病毒的防范上,應以“主動防御+傳統殺毒”相結合的方式,配合網關防毒墻,形成立體防毒體系。河南工商行政管理部門應在病毒可能傳播的各個渠道中都設置監控,再結合定時病毒掃描和自動更新,這樣才能保證整個網絡系統的安全。
河南工商行政管理部門的網絡與下級單位的網絡相連,其上運行著包括Web、FTP、電子郵件、DNS等各種應用。在保障應用系統的安全性方面,河南工商行政管理部門主要考慮的是應用系統與系統層和網絡層的安全服務無縫連接。黑客往往會抓住一些應用服務的缺陷或弱點進行攻擊。比如,黑客通常會針對錯誤的Web目錄結構、CGI腳本缺陷、Web服務器應用程序缺陷、作為索引的Web頁、有缺陷的瀏覽器進行攻擊,有時甚至會利用Oracle、 SAP、 Peoplesoft 缺省賬戶進行攻擊。
解決方案
上述分析表明,工商信息網絡需要使用專門的安全產品,在網關處進行病毒防護,同時在入侵檢測、內容過濾、本地主機病毒監控等各方面進行全方位、立體化的保護。因此,河南工商行政管理部門使用了瑞星防毒墻,并與原有的瑞星網絡版殺毒軟件進行聯動,在工商行政管理部門的網絡中構筑了綜合立體安全防護體系。這種安全防護體系具有很高的性價比。
瑞星防毒墻是一個集防火墻、網關防病毒、入侵檢測、VPN(虛擬專用網)等多項功能于一身的綜合安全網關。它超越了傳統防毒墻僅能在網絡層進行粗粒度的包過濾的安全層級,能夠從網絡層到應用層為河南工商行政管理的本部網絡出口提供全方位的安全保護。
關鍵詞:計算機信息化 網絡 安全 中小企業 管理 防范
1 概述
網絡安全伴隨著計算機網絡的出現已經成為了一個伴隨每個網絡用戶永恒的問題。黑客們長期以來不斷的分析系統和應用系統,以更多的發現系統存在的漏洞,并通過編寫相應的腳本對其加以利用。安全廠商面對這些不斷發展安全威脅,也不斷的推出了新的安全防范技術和產品,如:防火墻、入侵檢測防御系統、殺毒軟件、反間諜軟件以及過濾內容和垃圾郵件等產品。此后,各個網絡用戶跟隨著安全廠商的步伐不斷的將這些安全產品疊加到自身的網絡結構、服務器和工作站上。但與此同時需要網絡用戶解決的還有很多問題,如:為了充分發揮他們的作用,如何建立一個有效的安全防范策略以及如何妥善管理這些設備并且如何計算安全防范的投資回報率等。
我們必須承認,中小企業在網絡安全方面的認識、投入和實施的案值相對以前的防范措施都有了很大的進步。但是相比以前,是否目前的中小企業網絡就更加安全呢?但是針對這個問題,由于網絡威脅隨著計算機的網絡發展而不斷的出現,并且相對以前的攻擊手段更具有危險性,因此,不可能有一個非常肯定的答案。并且從經濟利益角度出發是目前黑客攻擊的一個重大目標,從而使得中小企業成為黑客們攻擊的目標之一。即相對以前而言,目前中小企業面臨的安全風險更高。由于中小企業的網絡正朝著WEB應用和SOA架構的應用方向發展,從而使得網絡相對以前更加復雜。因此,目前的計算機網絡僅有C/S和B/S結構。網絡結構的復雜性也增加了安全防范的復雜性和難度。因此,目前最需要解決的問題就是如何構建信息安全管理方案幫助中小企業更好的解決安全檢測、識別和安全防范等。
2 影響企業網絡安全的主要因素
企業網絡由局域網和廣域網組成,人和自然因素是影響網絡安全的主要因素。雷擊、水災以及火災和地震等因素屬于自然因素,而人為因素包括誤操作刪除數據的無意和故意破壞之分。人為故意破壞分為計算機病毒、黑客入侵、網絡竊聽以及制造大量垃圾郵件等。
斯諾登泄密風暴揭發香港網絡保安不堪一擊,風暴過后復歸平靜,香港中小企業計算機保安水平低問題依舊。專家指出,黑客近年喜以“僵尸”手法入侵盜取資料,有公司員工誤開惡性電郵附件,計算機變成“僵尸”控亦懵然不知,最終令全公司計算機受感染。
香港警方坦言黑客難捉,科技罪案破案率不足20%。有中小企代表稱,公司計算機保安水平十年來毫無寸進,原因在于不覺數據被偷是致命傷,有閑錢不會優先投放改進計算機系統。學者指出,問題根本在人身上,“并非門鎖不夠先進,而是你不懂把門好好關上!”
中小企業大多不重視網絡安全,而“僵尸網絡”是近年漸趨普遍的入侵方式,黑客在電郵附件中暗藏惡性軟件,公司內部有人不慎開啟,即令計算機受感染成為“僵尸計算機”,“中招”計算機自動將IP地址傳回黑客的控制中心,令其用作監測用戶的網上銀行活動。黑客趁用戶登入時,伺機改寫網頁樣式,騙取用戶輸入敏感數據,或改變交易的細節,例如改變交易金額,或將金額過數予第三者。
計算機之所以讓黑客有機可乘,往往由于同事疏于防范胡亂下載附件,令“僵尸”程序或病毒有機可乘,甚至連累全公司被感染而不自知。今年6月,香港計算機保安事故協調中心曾參與全球捉“僵尸”行動,與警方連手搗破兩個在港境內控制中心,根據經驗,香港受感染的“僵尸”計算機介乎200至700部之間。前六個月處理的622宗保安事故中,超過一半來自僵尸網絡及黑客入侵,數字較去年同期增加94%。有專家建議,除防毒軟件及聯網防火墻外,公司應該為員工各自安裝個人防火墻,避免同事計算機在公司Local LAN(局部區域網絡)內互相攻擊。
3 中小企業應當建設一個整體網絡安全管理方案
只要給企業一個構建安全管理方案的通用處理步驟和流程,每個企業都能為自己建立一個安全管理方案,因此,企業設計一個網絡安全管理方案并不困難。但是需要注意的是,建立的安全管理方案除了適合目前和以后的發展外,還應當適合企業最關心的投資回報率問題。
目前很多中小企業針對安全投資回報率的問題,不知道如何確定防火墻、UTM、IDS/IPS和內容過濾以及監控系統等開支具體有多大。由于大部分的企業對于購買的設備適應什么樣的網絡結構、具體功能是否滿足現在和以后的需求、目前企業存在哪些問題以及企業需要什么功能的產品等都不了解,只是簡單將最新產品以及功能最多的產品鏈接到自己的網絡,認為這樣就可以起到安全防護的效果了,網絡安全問題便可以高枕無憂,因此在安全方面的投資,很多中小企業雖然常亮紅燈,但是卻得不到相應的安全防范效果。實際上,使用恰當的技術以持續不斷的應用到某個具體的對象上是安全防范的關鍵因素,安全防范作為一個具體的過程,而不是某種技術就能解決的。
安全管理涉及的方面很多,如配置管理、變更控制、業務連續性和災難恢復計劃、網絡安全、人力資源以及合理使用等。有些中小企業也許自己不能構建一個全面的安全管理方案,但是為了達到與安全管理方案相同的效果,我們可以使用一種叫做信息安全和事件管理的現成產品。
但是SIEM產品目前只能解決中小企業安全防范過程中許多問題的一小部分,甚至通過它中小企業根本取得不了任何安全防范效果。目前大部分的SIEM產品都是建立在關系型數據庫上,由于關系型數據庫不具有每天記錄上百萬條甚至是上十億條安全事件的能力,因此,很大程度上嚴重影響了他們在當今企業環境中應用時的可擴展性。由于購買現成的SIEM產品需要額外花費企業很多費用,這對于處于危機時期的中小企業而言無疑成為一個不小的負擔。但是中小企業在完成網絡安全防范任務的時候,無論是使用自己制定的安全管理方案,還是使用現成的STEM產品,都能讓企業在安全防范過程中不再感到迷惑,并且更加容易實現安全管理的目標。
4 企業信息安全新形勢
網絡信息安全工作始終是通信行業最為關鍵的工作之一,具有長期性、復雜性和艱巨性的特點。2010年3G及寬帶網絡蓬勃發展,三網融合開始實施操作,云計算和物聯網產業方興未艾,需求的個性化、數字的海量化、業務的復雜化給通信行業網絡信息安全帶來了新的更大的挑戰,行業中企業要進一步提高對網絡信息安全重要性的認識,發展與管理并重,加強部門協調配合,加強網絡基礎管理工作,加強網絡信息安全保障能力建設,特別是要加快網絡信息安全關鍵基礎產業的研發應用和產業化,通過核心技術掌握自主知識產權,加快發展自主可控的信息安全產業,建設新時期通信行業網絡安全、信息安全長城。
從國際國內出現的安全現象出發,應對多種復雜的安全新問題,應該借助于RFID等物聯網新技術,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重,加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養、市場服務、宣傳教育等多方面的工作,通過產業鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環境,來共同改善全球的網絡與信息安全問題。
5 結束語
計算機網絡安全作為企業的一項十分重要的工作,應當引起高度的重視。在進行網絡計算機操作之前,必須隨時做好網絡安全方面的防范工作。我們應當看到,動態的企業網絡安全隨著病毒、安全技術以及黑客站點的每日劇增,網絡安全動態的不斷更新,對網絡管理人員來講是一個巨大的挑戰。相信做一個好的信息安全解決方案是企業辦公網絡應用的完美選擇。
參考文獻:
[1]宋鈺,何小利,何先波,王偉黎.基于SNMP協議的入侵檢測系統[J].河北理工大學學報(自然科學版),2010(01).
[2]王步飛,顏景潤,任玉燦.現代信息技術與溫室環境因子控制[J].考試(教研版),2010(01).
[3]郭錫泉,羅偉其,姚國祥.多級反饋的網絡安全態勢感知系統[J].信息安全與通信保密,2010(01).
[4]鄢喜愛,楊金民,常衛東.基于蜜罐技術的計算機動態取證系統研究[J].微電子學與計算機,2010(01).
我們在去年看到眾多端點安全產品進入市場,它們試圖消除企業網絡面臨的非常嚴重的威脅。那么企業的IT管理人員該如何評估這種產品呢?本文就提供了一份路線圖,并且介紹了對所有產品進行篩選的方法。以下是你在購買端點解決方案之前先要弄清楚的六個問題。
一、哪幾個部分最重要?
端點安全對不同的人來說意味著不同意思。為了便于討論,我們概述了端點解決方案應當包括的五個要素。你的需求可能有所不同,也許現在想實施其中一兩個部分,打算將來時機成熟時再升級到其余幾個部分。
策略定義: 你應當能夠為不同的用戶群、位置和機器群設定及維護各種安全策略,而且能夠輕松修改。
用戶檢測: 不管你的用戶是在本地總部還是從遠地連接到企業網絡,你的系統都應當能夠檢測到他們。這包括每個客戶端上使用或者無的操作。
健康評估:你的最終系統應當能夠掃描端點、確定符合策略的狀況。理想情況下,應當在訪問網絡之前進行掃描,不過你的系統也應當允許登錄之后進行其他檢查。
策略執行:你的策略確定了應當保護哪些網絡資源,包括交換機、虛擬專用網(VPN)和服務器等等。視策略而定,你應當能夠隔離資源或者完全拒絕訪問網絡。
采取補救:如果客戶端不符合策略,接下來會怎樣?理想的系統會啟動反病毒特征更新、給操作系統打上補丁,或者采取其他措施。記住:目的在于讓每個人最終都能安全地連接到網絡上。這恐怕是大多數IT管理人員希望最先看到實施的方面,卻也是大多數解決方案最薄弱的方面。問題在于,補救起來很棘手,而且需要依賴許多單個的軟件和硬件正常工作。
目前正在開發中的有三種總體架構方法:微軟的網絡訪問保護(NAP)、思科的網絡準入控制(NAC)以及可信計算組織的可信網絡連接(TNC)。
思科的NAC是三者當中離實際實施最接近的。它的工作方式是通過把模塊實施到面向Windows客戶端和Linux客戶端的交換機及路由器中,從而控制對網絡層的訪問。你需要混合搭配幾家廠商的產品才能涵蓋上述五個部分,因為思科并不提供一切。思科架構的強項在于執行和檢測,補救是它的弱項。
TNC一開始是這種概念:使用Radius和802.1x等開放標準對特定的網絡客戶端進行驗證,那樣它們不會被任何一家廠商的產品線或者客戶端操作系統所束縛。TNC專注于提供能夠協同工作的解決方案,所以難怪其強項在于策略定義,弱項在于健康評估。
NAP還沒有真正實施到微軟的任何產品中,第一個應用實例將是預計今年晚些時候問世的Longhorn服務器。該架構的強項在于補救,弱項在于執行,對另外兩種架構起到了很好的補充作用。最初,NAP會單單支持Windows XP和Vista客戶端,把其他市場讓給另外兩種架構。
建議:
不是每個端點解決方案都能夠有效地提供五個方面,大多數的強項在于健康評估或者策略執行等一、兩個方面,在其他方面比較弱。認真閱讀說明書,確定你最初關注的重心。
二、現有的安全和網絡基礎設施是什么?
下一步就是了解你現有的安全產品組合是什么,端點解決方案在什么地方會適合你現有的系統。你可能不想換掉任何舊設備,或者不想購買功能與現有設備重復的端點產品,這取決于你何時購買了防火墻、入侵預防設備和驗證服務器。
有些產品(如Vernier)自身隨帶入侵檢測和預防系統或者虛擬專用網絡網關,這些是端點安全解決方案的必要部分;而另一些產品(如Lockdown Networks)可與現有的IPS、IDS和VPN產品協同工作。如果你準備選購這些產品,這可能是好消息,但要認識到:你的端點安全只能保護遠程用戶在使用的機器,卻不能掃描任何本地網絡用戶的機器。為了同時保護本地用戶和遠程用戶,你需要實施802.1x驗證之類的機制。
思科的NAC假定你使用的所有思科產品都是最新版本:如果不是,那么就要考慮其他架構,除非你希望花錢進行全面升級。如果你花了大筆錢購買了思科以外的其他廠商的網絡交換機和路由器,那么支持另外兩種架構的產品更有意義。
建議:
如果你沒有VPN,或者正在考慮實施VPN,那么Juniper和F5(其次是思科和Aventail)提供的SSL VPN具有相當可靠的端點健康掃描功能。至于已經有企業IPsec VPN的用戶,比較適合實施端點安全解決方案,假定你在所有的本地機器上也能夠運行這些安全IPsec協議。大多數端點產品支持這種方法。
如果你已經有了切實可行的VPN而現在又不想改動,不妨考慮自身隨帶802.1x驗證服務的產品解決方案,譬如賽門鐵克或者Infoexpress的方案。你需要加強驗證機制,以便處理下面提到的端點健康評估工具。
如果你需要升級交換機,Nevis和Consentry都提供各自集成了端點安全功能的48端換機。
三、要保護網絡上的哪些部分?
接下來要確定你想把端點安全設備放在網絡上的哪個部位,想保護企業計算資源的哪些部分。顯然,網絡上所要保護的部分越多,項目成本就會變得越高。有些設備應直接放在企業防火墻后面,保護整個網絡。另一些設備放在分布交換機后面或者關鍵服務器前面比較好,或者部署用來保護某些子網或者部門級網絡。
TNC架構似乎是三者當中最靈活的,適用于最廣泛的部署及保護場景。NAP旨在保護微軟服務器,而NAC是為思科網絡交換機和路由器設計的。
有些設備(如Vernier、Consentry和Nevis Networks)采用嵌入式工作方式,這意味著位于這種設備后面的任何網絡資源都會得到保護;只有健康的網絡客戶機才能通過進而訪問這些資源。另一些設備(如Mirage、Forescout和AEP Networks)采用帶外工作方式,通常經由網絡跨接端口連接起來,監控某個子網上的所有網絡流量;一旦用戶通過活動目錄或者VPN登錄成功通過驗證,它們就會把自己嵌入到網絡數據流中。想知道把這些設備放在何處,就要知道每個設備能夠處理通過它的相對吞吐量。有些解決方案比較有限,無法處理較大網絡的較高吞吐量。
建議:
對于吞吐量需求較高的大型網絡,不妨考慮Juniper的端點解決方案,它適用于75 Mbps到30 GBps的多種吞吐量。
如果無法確定使用嵌入式還是帶外式,那么StillSecure和賽門鐵克提供的產品能夠與這兩種方式兼容。
四、管理所有桌面系統嗎?
下一個問題是你將如何管理及部署桌面系統上的保護軟件。如果訪問企業網絡的員工比例較高(譬如說10%以上),合作伙伴或者承包商使用自己的計算機,或者遠程員工不來總部辦公室上班,那么你無法輕松接觸外面的這些PC。如果你分發軟件更新版,牢牢控制桌面PC,就能夠更輕松地安裝軟件,進行健康評估,采取糾正措施。
每種設備都有可能使用三種基本類型的中的一種:
“胖”,也就是每個端點PC上永久安裝的可執行文件。
按需,只有PC連接到網絡時才存在,通常通過瀏覽器會話或者網絡登錄過程的一部分來提供。
無解決方案,不在端點上安裝任何軟件,但能夠與PC上已有的軟件協同運行。
問題在于,使用哪一種軟件來處理實際工作,要看具體是哪一種瀏覽器版本和操作系統。有些需要初始的管理員權限才能安裝到端點上。雖然大多數產品支持Firefox和IE瀏覽器版本,但也有一些例外,如果你使用的不是Windows操作系統更是如此。
微軟的NAP在這方面的功能最弱,如果你仍在運行Windows XP之前的版本,功能將更弱。微軟已承諾為Windows XP SP2和Vista推出支持其網絡訪問保護系統的。如果你使用的Windows版本比較舊,就要尋求第三方供應商。NAC和TNC都旨在更廣泛地支持Windows、Mac和Linux等端點操作系統客戶端。
有些廠商提供多個,不過有不同的功能及對操作系統的支持。譬如說,Nevis Networks為Windows提供的Active X控件可以執行健康評估。對于非Windows客戶機,Nevis只能使用無連接,進行最基本的身份控制。
建議:
如果你需要Mac OS支持“胖”,不妨考慮AEP、Infoexpress和Lockdown Networks的解決方案。賽門鐵克的按需可運行在Mac OS和Linux上,但“胖”只能運行在Windows 2000和XP上。賽門鐵克和Consentry承諾今年晚些時支持Mac OS和Linux。
Lockdown和Mirage Networks更進了一步:兩家公司都把端點放在了各自的專用虛擬局域網(VLAN)上,因而能夠確保有風險的設備與其他設備隔離開來。
想獲得完全無的方法,不妨考慮Forescout和Vernier。
五、非PC端點需要管理嗎?
想弄清楚使用哪種,一方面要知道你的網絡上還有什么,需要管理什么。“胖”無法管理企業網絡上運行自身操作系統的非PC設備,譬如打印服務器、網絡攝像機和PDA等。這些設備大多有IP地址,運行各自的操作系統,不容易由端點設備來管理。
處理非PC端點的最合適的架構就是TNC方案,它能夠兼容類別最廣泛的設備。NAC會在網絡層實施支持非PC端點的功能;至于微軟的NAP,你需要指定策略才能處理這些設備。
大多數廠商提供這種功能:把MAC或者IP地址加入白名單或者對它們進行預驗證,那樣它們仍可以連接到網絡上完成任務。不過,把這些設備加入白名單只是臨時解決方案,因為其中一些設備一旦被感染,安全就會受到危及,進而對網絡造成危害。Forescout和Mirage Networks都能檢測到來自這些專門設備的流量模式出現的變化,并且能夠隔離設備。
建議:
你網絡上的非PC端點數量可能比你想像的多得多,可能無法輕易把它們隔離到單一VLAN或者網段。要進行認真的現場勘查,確定這些端點與任何計劃中的解決方案有著怎樣的關系。
六、在何處制訂及執行安全策略?
眾所周知,任何端點解決方案都會影響到眾多計算設備:客戶機、服務器、網絡交換機和連接基礎設施以及網絡上的應用軟件。為了把這一切結合起來,你需要作出決定:存放端點策略的集中存儲庫放在何處;在整個網絡上如何管理、改變及執行存儲庫。這可能是集中存放用戶和驗證數據的同一個物理場地,也有可能是全新的安全設備。
TNC傾向于使用802.1x驗證協議作為存儲庫,不過這是其架構的可選部分,而不是必需要求。NAC比NAP更注重執行功能,至少目前是這樣。
建議:
最自然的起步就是使用微軟的活動目錄作為這樣一個策略存儲庫;而且,微軟的NAP確實是為這種目的而設計的,最終會在今年晚些時候添加Longhorn服務器及另外幾個產品。不過改造你自己的活動目錄可能會很困難或者不可能,這看你是如何進行設置的。
另一個解決辦法就是使用第三方廠商來完成這項任務,譬如Lockdown、Trusted Network Technologies或者Consentry,不過這可能需要時間來學會如何部署這些解決方案和進行合理配置。
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
關鍵詞:網絡安全;網絡隔離;訪問控制;網絡管理;安全審計
中圖分類號:TP393.098 文獻標識碼:A文章編號:1007-9599(2012)01-0000-02
The Security Design of Computer Network for Enterprise
Yang Yan
(China Railway No.5 Engineering Group Co.,Ltd,Mechanization Engineering Co., Ltd.,Hengyang421002,China)
Abstract:Network security ensure the normal operation of the enterprise network premise,enterprise network security is receiving more and more attention.This paper,from the network security separate, network security access and access control,host and system platform security, network security monitoring and audit,enterprise network security management system protection aspects,and puts forward how to make full use of the limited funds,mature technology,weigh the safety and efficiency,network all directions and meticulous planning design,make enterprise network safety effectively strengthen and improve.
Keywords:Network security;Isolation;Access control;Network management;
Security audit
21世紀以來,隨著計算機網絡技術的飛速發展,我們邁入了以網絡為核心的信息時代。許多企業都構建了企業網絡運營平臺,企業經營、生產與管理對計算機網絡的依賴性日益增強。網絡規模的不斷增大,網絡結構的日益復雜都對網絡安全提出了更高的要求。網絡安全應從整體上考慮,全面覆蓋網絡系統的各個方面,針對網絡、系統、應用、數據做全面的防范。
目前,大多數企業都建設了以辦公系統(OA)為中心,集成公文流轉、即時消息、門戶網站、業務應用的辦公系統,這些系統均以網絡平臺為支撐,采用B/S模式運行,并且各系統對于安全性要求不同。安全可靠性不同的多種應用,運行在同一個網絡中,給黑客、病毒攻擊提供了方便之門,給企業的網絡安全造成了極大的威脅。
在一定的資金支持下,網絡管理都要在網絡安全程度和建設成本之間作出取舍,充分使用現有的成熟技術,并且盡可能地發揮管理的功效,提高企業網絡安全,為業務系統的安全、穩定運行保駕護航。我們可以采用了以下技術和策略提高網絡的安全性。
一、網絡安全隔離
網絡隔離有兩種方式:物理隔離和邏輯隔離。將網絡進行隔離后,為了能夠滿足網絡內授權用戶對相關子網資源的訪問,保證各業務不受影響,在各子網之間應采取不同的訪問策略。
物理隔離是最安全的網絡隔離方式,但是它的建設成本非常大,要求在網絡設備、計算機終端、網絡線路上都進行重復性投資,花費很大,除的計算機信息系統必須實行物理隔離外,其它系統以邏輯隔離方式為主。
考慮企業的應用情況,針對不同業務的不同需求,劃分不同的虛擬子網(VLAN)進行邏輯隔離。例如:為財務、人力、工程各部門的客戶端劃分單獨的VLAN,通過將不同用戶或資源劃分到不同的VLAN中,利用路由器或者防火墻對VLAN間的訪問進行控制。
二、網絡安全準入與訪問控制
企業在信息資源共享的同時也要阻止非授權用戶對企業敏感信息的訪問,訪問控制的目的是為了保護企業在信息系統中存儲和處理信息的安全,它是計算機網絡信息安全最重要的核心策略之一,是通過準入策略準許或限制用戶、組、角色對信息資源的訪問能力和范圍的一種方法。
(一)網絡邊界安全設計。企業一般有大量業務數據流運行于Internet網絡,在企業內外網絡的邊界處,部署網絡防火墻,實現私有地址和公有地址的相互映射和轉換,屏蔽內部網絡結構,并按照最小需求原則配置訪問策略,以防范來自外部的威脅與攻擊。
(二)內部網絡用戶準入。采用DHCP服務器做地址綁定,用戶IP地址與MAC地址做一對一保留,防止網絡接入的隨意性,并在交換機設置DHCP Snooping、動態ARP檢測防止用戶任意修改IP,保證地址獲取的合法性。對于重要的業務系統服務器,還可以在交換機上采取MAC地址+IP地址+交換機端口進行綁定,可以有效的阻止ARP等病毒的攻擊。
(三)分支機構及移動辦公用戶的準入。外部用戶訪問企業內網,應在基于VPN的撥號接入之上,建立AAA認證服務器,一方面方便用戶經常更換口令,另一方面可以實施更加嚴格的安全策略,并且對這些策略的實施予以監視。
為了方便用戶對資源的訪問和管理網絡,有必要建立一個統一的安全認證及授權系統,統一的帳號管理有助于確保安全策略的實施及管理。
三、主機與系統平臺安全
網絡是病毒傳播最好最快的途徑之一。在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,它使得網絡癱瘓、機密信息泄漏、重要業務系統不能提供正常服務,嚴重影響網絡安全,造成不良的社會影響。計算機病毒的防范是網絡安全性建設中重要的一環,在企業網中應建立一套網絡版的防病毒系統,它能構造全網統一的防病毒體系,支持對網絡、服務器、工作站的實時病毒監控;能夠在中心控制臺向多個目標分及安裝新版殺毒軟件,并監視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,支持廣泛的病毒處理選項;支持病毒主機隔離;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
其次,為了彌補防病毒軟件被動防范的不足,可采用兩種策略提高網絡主動防范的能力。
(一)在網絡邊界防火墻上配置嚴格的安全策略,強制關閉常見病毒攻擊的服務端口,防止病毒入侵。在核心層和匯聚層交換機上,依據業務數據流流向建立一系列的訪問控制列表,服務器只向必須訪問它的客戶端開放,其它客戶端一概被策略拒絕訪問。
(二)由于企業中大多數計算機安裝Windows系列的操作系統,所以在網絡中建設一套Windows補丁分發系統,利用微軟的WSUS服務器進行強聯動,輔以行之有效的用戶端保護措施,幫助客戶機高效、安全的完成Windows補丁更新,解決為Windows系統自動安裝系統補丁程序的問題,進一步提高了計算機安全性,當然也提高了網絡的安全性。
四、網絡安全監測與審計
(一)網絡管理系統。利用網絡管理系統軟件,實現對網絡管理信息的收集、整理、預警,以視圖方式實時監控各種網絡設備運行狀態。網絡管理一般包括網絡性能管理,配置管理,安全管理,計費管理和故障管理等五大管理功能。建立針對全網絡的管理平臺,對網絡、計算機系統、數據庫、應用程序等進行統一監管理,把網絡系統平臺由原先的被動管理轉向主動監控,被動處理故障變為主動故障預警。
(二)網絡入侵檢測。作為防火墻功能的有效補充,入侵檢測/防御系統(IDS/IPS)可實時監控網絡傳輸,主動檢測可疑行為,分析網絡外部入侵信號和內部非法活動,在系統遭受危害前發出報警,對攻擊作出及時的響應,并提供相應的補救措施,最大限度地保障網絡安全。
(三)網絡安全審計。將網絡安全審計系統布署在企業網絡中,能夠監控、審查、追溯內部人員操作行為,防止企業機密資料泄露,統計網絡系統的實際使用狀況,幫助管理者及時發現潛在的漏洞和威脅,為企業的網絡提供保障,使企業的網絡資源發揮應有的經濟效益。
五、企業網絡安全管理制度保障
管理是企業網絡安全的核心,技術是企業安全管理的保證。網絡安全系統必須包括技術和管理兩方面。只有完整的規章制度、行為準則并和安全技術手段結合,網絡系統的安全才會得到最大限度的保障。只有制定合理有效的網絡管理制度來約束員工,這樣才能最大限度的保證企業網絡平穩正常的運轉,例如禁止員工濫用計算機,禁止利用工作時間隨意下載軟件,隨意執行安裝操作,禁止使用IM工具聊天等。最終制度通過網絡管理平臺得以具體體現,管理平臺使得制度被嚴格的執行起來。
六、結束語
本文從分析企業網絡安全形勢入手,指出當前網絡安全存在的問題,然后提出了一套較詳細的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全審計。本文從技術手段上、可操作性上都易于實現、易于部署,為企業提供了實用的網絡安全性設計。
參考文獻:
