一、概述

網(wǎng)絡(luò)的最大價(jià)值，在于信息化的應(yīng)用。由于企業(yè)信息化與企業(yè)生產(chǎn)經(jīng)營(yíng)已經(jīng)逐漸成為一個(gè)共同的載體，企業(yè)對(duì)網(wǎng)絡(luò)安全保護(hù)的要求日益提高。當(dāng)前利用結(jié)構(gòu)化的觀點(diǎn)和方法來(lái)看待企業(yè)網(wǎng)絡(luò)安全系統(tǒng)是主流思想，通過(guò)各層的弱點(diǎn)及攻擊的可能性對(duì)各層進(jìn)行分析及防護(hù)，對(duì)可能發(fā)生的攻擊事件或漏洞做到事前防護(hù)，合理地利用各種硬件設(shè)備，通過(guò)完善的管理手段來(lái)建設(shè)一個(gè)穩(wěn)定、安全、可靠的企業(yè)信息網(wǎng)絡(luò)平臺(tái)。

二、企業(yè)網(wǎng)絡(luò)安全架構(gòu)

企業(yè)網(wǎng)絡(luò)管理的核心是網(wǎng)絡(luò)應(yīng)用，如何架構(gòu)一個(gè)安全、可靠的網(wǎng)絡(luò)環(huán)境是網(wǎng)絡(luò)管理的一大課題。在網(wǎng)絡(luò)安全隱患無(wú)處不在的今天，安全需求格外重要。當(dāng)企業(yè)在架構(gòu)網(wǎng)絡(luò)前，應(yīng)當(dāng)全面的分析相應(yīng)網(wǎng)絡(luò)中可能存在的安全隱患，以及網(wǎng)絡(luò)應(yīng)用中必要的安全需求。

1、網(wǎng)絡(luò)安全威脅

從目前的企業(yè)網(wǎng)絡(luò)使用情況及日后的應(yīng)用發(fā)展來(lái)看，主要存在以下幾種安全威脅．(1)、病毒感染。病毒感染是危害面最廣的安全隱患，威脅整體網(wǎng)絡(luò)運(yùn)行。組建企業(yè)網(wǎng)絡(luò)時(shí)選擇部署整個(gè)網(wǎng)絡(luò)系統(tǒng)的病毒防御系統(tǒng)。(2)、黑客入侵和攻擊。黑客攻擊的危害性很大，入侵途徑和攻擊方式多樣化，難以預(yù)防。目前防御措施主要是通過(guò)部署防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)隔離技術(shù)等防御黑客攻擊，還應(yīng)輔以系統(tǒng)漏洞和補(bǔ)丁升級(jí)系統(tǒng)。(3)、非法訪問(wèn)。非法用戶訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)可能攜帶、放置病毒或其它惡意程序，也可能刪除服務(wù)器系統(tǒng)文件和數(shù)據(jù)以及竊取企業(yè)機(jī)密信息等。防御措施除了防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)隔離技術(shù)外，還應(yīng)注意在網(wǎng)絡(luò)管理中引入安全機(jī)制，如對(duì)關(guān)鍵部門劃分子網(wǎng)隔離保護(hù)，對(duì)重要的數(shù)據(jù)和文件進(jìn)行加密以及對(duì)于需要進(jìn)行遠(yuǎn)程訪問(wèn)的用戶，注意權(quán)限配置工作。(4)、數(shù)據(jù)損壞或丟失。網(wǎng)絡(luò)數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)是非常重要的。數(shù)據(jù)的備份是一切安全措施中最徹底有效，也是最后一項(xiàng)保護(hù)措施。

2、網(wǎng)絡(luò)架構(gòu)概念

企業(yè)網(wǎng)絡(luò)安全是系統(tǒng)結(jié)構(gòu)本身的安全，應(yīng)利用結(jié)構(gòu)化的觀點(diǎn)和方法來(lái)看待企業(yè)安全系統(tǒng)。全方位的、整體的信息安全防范體系應(yīng)是分層次的，不同層次反映了不同的安全問(wèn)題。根據(jù)搭建網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和結(jié)構(gòu)，從物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全及安全管理五個(gè)方面來(lái)考慮網(wǎng)絡(luò)的安全架構(gòu)。

三、學(xué)院網(wǎng)絡(luò)安全系統(tǒng)分析

結(jié)合本學(xué)院網(wǎng)絡(luò)建設(shè)的實(shí)際情況，在此對(duì)分層架構(gòu)安全體系進(jìn)行具體闡述并對(duì)網(wǎng)絡(luò)層的安全進(jìn)行重點(diǎn)研究。

1、物理層安全

物理層的安全主要就是對(duì)設(shè)備和鏈路及其物理環(huán)境的安全保護(hù)。這里著重考慮學(xué)院信息中心的建設(shè)。信息中心作為學(xué)院的數(shù)據(jù)中心，承載所有的應(yīng)用服務(wù)器的運(yùn)行，所以信息中心的安全是最基礎(chǔ)的安全保障。信息中心的建設(shè)除了要保證溫度、濕度、防雷、防火以及不問(wèn)斷供電以外，還應(yīng)注重信息中心的綜合布線布局，做好整體規(guī)劃及標(biāo)記，力爭(zhēng)布線的簡(jiǎn)潔、有序，便于日后維護(hù)及故障排查。

2、系統(tǒng)層安全

主要包括操作系統(tǒng)安全和應(yīng)用系統(tǒng)安全。系統(tǒng)層的安全，主要考慮操作系統(tǒng)的漏洞補(bǔ)丁。利用內(nèi)網(wǎng)架設(shè)的補(bǔ)丁升級(jí)中心(WSUS)，對(duì)于徼軟發(fā)布的系統(tǒng)補(bǔ)丁，進(jìn)行補(bǔ)丁下載和安裝，提高操作系統(tǒng)的安全性，有效降低系統(tǒng)的安全風(fēng)險(xiǎn)。我們還可以采用綠盟的極光遠(yuǎn)程安全評(píng)估系統(tǒng)掃描出整個(gè)網(wǎng)絡(luò)中所有設(shè)備上的漏洞，并且與wsus服務(wù)聯(lián)動(dòng)，僅在綠盟的設(shè)備上就可以對(duì)這些漏洞進(jìn)行修補(bǔ)。對(duì)于應(yīng)用系統(tǒng)服務(wù)器來(lái)說(shuō)，除了加強(qiáng)登陸的身份認(rèn)證權(quán)限，還應(yīng)該盡量開放最少的端口，保證服務(wù)器的正常使用。

3、網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全是我們考慮最多，也是防范要求最多的一個(gè)層面。這里從以下幾個(gè)方面進(jìn)行闡述：

(1)確定安全域的劃分

安全域的劃分就是制定安全邊界。根據(jù)資源位置進(jìn)行劃分的目標(biāo)是將同一網(wǎng)絡(luò)安全等級(jí)的資源，根據(jù)對(duì)學(xué)院的重要性、面臨的外來(lái)攻擊風(fēng)險(xiǎn)、內(nèi)在的運(yùn)行風(fēng)險(xiǎn)不同，劃分成多個(gè)網(wǎng)絡(luò)安全區(qū)域。劃分的原則是將同一網(wǎng)絡(luò)安全層次內(nèi)客戶端之間的連接控制在相同的安全域內(nèi)，盡量消除不同安全層次之間的聯(lián)系，實(shí)施相互邏輯或物理隔離。

從目前情況分析，學(xué)院內(nèi)部的財(cái)務(wù)處和人事處因業(yè)務(wù)及數(shù)據(jù)的保密性和敏感度，需要阻止任何的外部訪問(wèn)。所以這兩個(gè)位置與網(wǎng)絡(luò)中其它處室在邏輯上應(yīng)是隔離狀態(tài)。這里主要使用交換機(jī)利用vlan對(duì)各個(gè)不同的功能區(qū)域進(jìn)行劃分。除了保證物理位置及邏輯位置的隔離以外，劃分vlan的另一個(gè)好處就是減小廣播包的數(shù)量，控制網(wǎng)絡(luò)流量，避免廣播風(fēng)暴的產(chǎn)生。在實(shí)際工作中曾經(jīng)遇到財(cái)務(wù)處網(wǎng)段被其他網(wǎng)段訪問(wèn)的安全問(wèn)題。此問(wèn)題涉及財(cái)務(wù)的機(jī)密文件和重要報(bào)表數(shù)據(jù)，所以問(wèn)題較嚴(yán)重。在這之前財(cái)務(wù)處是被獨(dú)立劃分為一個(gè)網(wǎng)段，與其它網(wǎng)段用ACL列表進(jìn)行隔離。但是在客戶端統(tǒng)一納入學(xué)院域之后，之前做的ACL列表不起任何作用。經(jīng)分析，我們發(fā)現(xiàn)在域內(nèi)PC之間的通訊協(xié)議發(fā)生了變化，于是將所有的TCP、UDP協(xié)議進(jìn)行攔截，只對(duì)部分可以互訪的終端服務(wù)器進(jìn)行允許控制。對(duì)于需要外網(wǎng)進(jìn)行訪問(wèn)的服務(wù)器，比如web服務(wù)器、ftp服務(wù)器、郵件服務(wù)器等需要把它們分離出來(lái)，不需要進(jìn)入內(nèi)網(wǎng)進(jìn)行保護(hù)。其它服務(wù)器則放置于內(nèi)網(wǎng)保護(hù)區(qū)域內(nèi)，獨(dú)立劃分為一個(gè)vlan。

(2)攻擊阻斷

這里主要采用防火墻、入侵防護(hù)、防病毒系統(tǒng)進(jìn)行外部阻斷。

首先，為了保護(hù)內(nèi)部網(wǎng)絡(luò)，在Internet出口部署防火墻，將內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)隔離，只在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，將攻擊危險(xiǎn)阻斷在外，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。另外，利用防火墻的端口，設(shè)置LAN區(qū)、SSN區(qū)以及外網(wǎng)區(qū)。LAN區(qū)是不對(duì)外開放區(qū)，所有的客戶端及需要保護(hù)的服務(wù)器放置在這個(gè)區(qū)域里。SSN區(qū)域里放置需要外部訪問(wèn)的服務(wù)器，如web服務(wù)器、ftp服務(wù)器及郵件服務(wù)器。由于防火墻處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊做出太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。所以這里需要部署入侵保護(hù)系統(tǒng)(Ips)作為防火墻的有力補(bǔ)充。將Ips串聯(lián)在主干線路中，是網(wǎng)絡(luò)安全的第二道屏障，可構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。除此之外，我們還可以進(jìn)行恰當(dāng)?shù)脑O(shè)置，使防火墻、lps聯(lián)動(dòng)起來(lái)。當(dāng)Ips檢測(cè)到入侵和攻擊后，會(huì)通過(guò)聯(lián)動(dòng)接口部件，將入侵特征和事件報(bào)告給防火墻，防火墻接到入侵信息后會(huì)動(dòng)態(tài)地修改自己的安全訪問(wèn)控制策略，在下一次防火墻不需要Ips也可以將入侵流量屏蔽掉。

這樣防火墻和Ips聯(lián)動(dòng)起來(lái)后，防火墻的訪問(wèn)控制規(guī)則和Ips的規(guī)則鏈會(huì)隨著網(wǎng)絡(luò)安全狀況的變化而不斷調(diào)整，這樣不僅能提高安全性，而且不必要的訪問(wèn)控制規(guī)則和規(guī)則鏈會(huì)被及時(shí)地刪除掉，對(duì)網(wǎng)絡(luò)性能造成的影響也會(huì)降到最低。防病毒系統(tǒng)應(yīng)該是網(wǎng)絡(luò)安全的第三道屏障。在網(wǎng)絡(luò)技術(shù)日新月異的今天，即使網(wǎng)絡(luò)部署了防火墻和入侵保護(hù)系統(tǒng)后，仍然會(huì)存在漏洞。學(xué)院網(wǎng)絡(luò)應(yīng)該建立立體防毒體系，就是指在網(wǎng)絡(luò)的邊界處部署硬件防毒墻，然后再在整個(gè)網(wǎng)絡(luò)內(nèi)部部署網(wǎng)絡(luò)版殺毒軟件。這樣防病毒系統(tǒng)不僅部署在每一個(gè)客戶端上，能夠?qū)υ从趦?nèi)部網(wǎng)絡(luò)的攻擊或者是防火墻無(wú)法隔離的攻擊行為、惡意代碼進(jìn)行阻攔，而且防病毒系統(tǒng)也部署在服務(wù)器上和網(wǎng)絡(luò)邊界處。這樣從邊界到內(nèi)部，整個(gè)網(wǎng)絡(luò)進(jìn)行立體地防護(hù)，極大地提高了全網(wǎng)的防毒能力，是防火墻及入侵保護(hù)系統(tǒng)的有力補(bǔ)充。

(3)遠(yuǎn)程接入控制

對(duì)于學(xué)院的三個(gè)分院以及外出辦公人員，需要通過(guò)Internet訪問(wèn)學(xué)院本部，這里考慮vpn(虛擬私有網(wǎng)絡(luò))技術(shù)來(lái)實(shí)現(xiàn)。

現(xiàn)有vpn技術(shù)有Ipsecvpn以及sslvpn。從學(xué)院目前網(wǎng)絡(luò)使用情況并考慮日后發(fā)展?fàn)顩r，將以IPsecvpn作為點(diǎn)對(duì)點(diǎn)連結(jié)，再配以sslvpn的遠(yuǎn)程訪問(wèn)方案。在交通分院、建設(shè)分院、衛(wèi)生分院三地之間架設(shè)防火墻，利用防火墻的網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的Ipsecvpn滿足三地辦公的需要，再選購(gòu)sslvpn來(lái)滿足移動(dòng)辦公人員訪問(wèn)學(xué)院內(nèi)網(wǎng)高安全性及可靠性的需求。我們目前一直使用天融信防火墻自帶的ipsecvpn。除了因?yàn)榫W(wǎng)絡(luò)問(wèn)題帶來(lái)的故障以外，可以說(shuō)vpn功能基本達(dá)到了我們的需求。但是對(duì)于它的移動(dòng)vpn，因?yàn)榭蛻舳说漠a(chǎn)品型號(hào)、操作系統(tǒng)及應(yīng)用軟件的差異，有必要另選用一套sslvpn滿足移動(dòng)辦公訪問(wèn)學(xué)院內(nèi)網(wǎng)的需求。

(4)身份認(rèn)證

對(duì)于不同的應(yīng)用，訪問(wèn)者的操作權(quán)限應(yīng)該通過(guò)身份認(rèn)證系統(tǒng)來(lái)實(shí)現(xiàn)。身份認(rèn)證有利于保證被訪問(wèn)資源的安全，也是對(duì)遠(yuǎn)程接入安全控制的有益補(bǔ)充。

4、應(yīng)用層安全

主要包括網(wǎng)頁(yè)防篡改、數(shù)據(jù)庫(kù)的漏洞修補(bǔ)、數(shù)據(jù)的完整性檢驗(yàn)以及數(shù)據(jù)的備份和恢復(fù)。這里將注意力大部分集中在數(shù)據(jù)庫(kù)的安全上。主要的工作應(yīng)該是登陸的身份驗(yàn)證管理、數(shù)據(jù)庫(kù)的使用權(quán)限管理和數(shù)據(jù)庫(kù)中對(duì)象的使用權(quán)限管理。對(duì)于網(wǎng)頁(yè)防篡改可以在web服務(wù)器前部署web應(yīng)用防火墻。對(duì)于數(shù)據(jù)庫(kù)來(lái)說(shuō)，為了提高用戶訪問(wèn)數(shù)據(jù)庫(kù)的速度和數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全性，我們可以采取磁盤陣列來(lái)代替普通的存儲(chǔ)設(shè)備，極大地?cái)U(kuò)展了存儲(chǔ)容量，在性能和安全性上也有了大幅度的提高?？紤]到以后我們的應(yīng)用不斷增多，數(shù)據(jù)量不斷加大，為了保證性能和安全性，我們可以著手建設(shè)SAN或NAS，甚至可以做異地容災(zāi)備份，即使發(fā)生自然災(zāi)害，我們也可以在最短的時(shí)間內(nèi)恢復(fù)我們的數(shù)據(jù)和我們的應(yīng)用。

5、網(wǎng)絡(luò)安全管理體系的建立

實(shí)現(xiàn)網(wǎng)絡(luò)安全的過(guò)程是復(fù)雜的。這個(gè)復(fù)雜的過(guò)程需要嚴(yán)格有效的管理才能保證整個(gè)過(guò)程的有效性，才能保證安全控制措施有效地發(fā)揮其效能，從而確保實(shí)現(xiàn)預(yù)期的安全目標(biāo)。因此，建立有組織的安全管理體系是網(wǎng)絡(luò)安全的核心。其過(guò)程如下：

(1)、安全需求分析。明確目前及未來(lái)幾年的安全需求，即我們需要建設(shè)什么樣的網(wǎng)絡(luò)，網(wǎng)絡(luò)狀況如何，未來(lái)發(fā)展如何等等，有針對(duì)性地構(gòu)建適用的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全；(2)、制定安全策略。根據(jù)不同部門的應(yīng)用及安全需求，分別制定部門的計(jì)算機(jī)網(wǎng)絡(luò)安全策略，做到資源最優(yōu)化：(3)、外部支持。通過(guò)專業(yè)的安全服務(wù)機(jī)構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到更新的安全資訊，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供預(yù)警。定期進(jìn)行巡檢，保證所有網(wǎng)絡(luò)設(shè)備和安全系統(tǒng)的運(yùn)轉(zhuǎn)正常，提早發(fā)現(xiàn)隱患，將網(wǎng)絡(luò)故障對(duì)學(xué)院整體的影Ⅱ向降至最低。

6、計(jì)算機(jī)網(wǎng)絡(luò)安全管理

安全管理是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要環(huán)節(jié)之一，也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過(guò)恰當(dāng)?shù)墓芾砘顒?dòng)，規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng)，使網(wǎng)絡(luò)有序地運(yùn)行，這是獲取安全的一個(gè)重要條件。安全管理是構(gòu)建安全架構(gòu)的核心。網(wǎng)絡(luò)安全所要達(dá)到的目的是保證網(wǎng)絡(luò)應(yīng)用在需要時(shí)可以被隨時(shí)使用。在安全方面，我們倡導(dǎo)“三分技術(shù)，七分管理”，指的是通過(guò)管理手段和技術(shù)手段來(lái)實(shí)現(xiàn)更高的安全性。信息安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理措施的另外一個(gè)方面，就是加強(qiáng)網(wǎng)絡(luò)安全宣傳，提高學(xué)院職工對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和保護(hù)網(wǎng)絡(luò)安全的自覺性，從每個(gè)網(wǎng)絡(luò)用戶開始進(jìn)行“主動(dòng)防護(hù)”，防止“病從口入”。

四、總結(jié)

任何一種單一的技術(shù)或產(chǎn)品都無(wú)法滿足我們對(duì)網(wǎng)絡(luò)安全的要求，只有將技術(shù)和管理有機(jī)的結(jié)合起來(lái)，合理分析需求，按照體系架構(gòu)進(jìn)行安全方案的部署，從控制網(wǎng)絡(luò)安全建設(shè)、運(yùn)行和維護(hù)的全過(guò)程入手，才能提高整個(gè)網(wǎng)絡(luò)的安全水平。

【編輯推薦】

1. 2011回顧：新環(huán)境下網(wǎng)絡(luò)安全令人堪憂
2. IPv6網(wǎng)絡(luò)安全淺析
3. 網(wǎng)絡(luò)安全之密碼抵御網(wǎng)絡(luò)犯罪的第一道防線
4. 抵御高級(jí)持續(xù)性威脅 保護(hù)你的網(wǎng)絡(luò)安全