21世紀(jì)以來,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,我們邁入了以網(wǎng)絡(luò)為核心的信息時(shí)代。許多企業(yè)都構(gòu)建了企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái),企業(yè)經(jīng)營(yíng)、生產(chǎn)與管理對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性日益增強(qiáng)。網(wǎng)絡(luò)規(guī)模的不斷增大, 網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜都對(duì)網(wǎng)絡(luò)安全提出了更高的要求。網(wǎng)絡(luò)安全應(yīng)從整體上考慮,全面覆蓋網(wǎng)絡(luò)系統(tǒng)的各個(gè)方面,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。
目前,大多數(shù)企業(yè)都建設(shè)了以辦公系統(tǒng)(OA)與ERP為中心,集成公文流轉(zhuǎn)、即時(shí)消息、門戶網(wǎng)站、業(yè)務(wù)應(yīng)用的辦公系統(tǒng),這些系統(tǒng)均以網(wǎng)絡(luò)平臺(tái)為支撐,采用B/S模式運(yùn)行,并且各系統(tǒng)對(duì)于安全性要求不同。安全可靠性不同的多種應(yīng)用,運(yùn)行在同一個(gè)網(wǎng)絡(luò)中,給黑客、病毒攻擊提供了方便之門,給企業(yè)的網(wǎng)絡(luò)安全造成了極大的威脅。
在一定的資金支持下, 網(wǎng)絡(luò)管理都要在網(wǎng)絡(luò)安全程度和建設(shè)成本之間作出取舍,充分使用現(xiàn)有的成熟技術(shù),并且盡可能地發(fā)揮管理的功效,提高企業(yè)網(wǎng)絡(luò)安全,為業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行保駕護(hù)航。我們可以采用了以下技術(shù)和策略提高網(wǎng)絡(luò)的安全性。
一、網(wǎng)絡(luò)安全隔離
網(wǎng)絡(luò)隔離有兩種方式:物理隔離和邏輯隔離。將網(wǎng)絡(luò)進(jìn)行隔離后,為了能夠滿足網(wǎng)絡(luò)內(nèi)授權(quán)用戶對(duì)相關(guān)子網(wǎng)資源的訪問,保證各業(yè)務(wù)不受影響,在各子網(wǎng)之間應(yīng)采取不同的訪問策略。物理隔離是最安全的網(wǎng)絡(luò)隔離方式,但是它的建設(shè)成本非常大,要求在網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)終端、網(wǎng)絡(luò)線路上都進(jìn)行重復(fù)性投資,花費(fèi)很大,除涉密的計(jì)算機(jī)信息系統(tǒng)必須實(shí)行物理隔離外,其它系統(tǒng)以邏輯隔離方式為主。
考慮企業(yè)的應(yīng)用情況,針對(duì)不同業(yè)務(wù)的不同需求,劃分不同的虛擬子網(wǎng)(VLAN)進(jìn)行邏輯隔離。例如:為財(cái)務(wù)、人力、工程各部門的客戶端劃分單獨(dú)的VLAN,通過將不同用戶或資源劃分到不同的VLAN中,利用路由器或者防火墻對(duì)VLAN間的訪問進(jìn)行控制。
二、網(wǎng)絡(luò)安全準(zhǔn)入與訪問控制
企業(yè)在信息資源共享的同時(shí)也要阻止非授權(quán)用戶對(duì)企業(yè)敏感信息的訪問,訪問控制的目的是為了保護(hù)企業(yè)在信息系統(tǒng)中存儲(chǔ)和處理信息的安全,它是計(jì)算機(jī)網(wǎng)絡(luò)信息安全最重要的核心策略之一,是通過準(zhǔn)入策略準(zhǔn)許或限制用戶、組、角色對(duì)信息資源的訪問能力和范圍的一種方法。
(一)網(wǎng)絡(luò)邊界安全設(shè)計(jì)。企業(yè)一般有大量業(yè)務(wù)數(shù)據(jù)流運(yùn)行于Internet網(wǎng)絡(luò),在企業(yè)內(nèi)外網(wǎng)絡(luò)的邊界處,部署網(wǎng)絡(luò)防火墻實(shí)現(xiàn)私有地址和公有地址的相互映射和轉(zhuǎn)換,屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),并按照最小需求原則配置訪問策略,以防范來自外部的威脅與攻擊。
(二)內(nèi)部網(wǎng)絡(luò)用戶準(zhǔn)入。采用DHCP服務(wù)器做地址綁定,用戶_IP地址與MAC地址做一對(duì)一保留,防止網(wǎng)絡(luò)接入的隨意性,并在交換機(jī)設(shè)置DHCP Snooping、動(dòng)態(tài)ARP檢測(cè)防止用戶任意修改IP,保證地址獲取的合法性。對(duì)于重要的業(yè)務(wù)系統(tǒng)服務(wù)器,還可以在交換機(jī)上采取MAC地址+IP地址+交換機(jī)端口進(jìn)行綁定,可以有效的阻止ARP等病毒的攻擊。
(三)分支機(jī)構(gòu)及移動(dòng)辦公用戶的準(zhǔn)入。外部用戶訪問企業(yè)內(nèi)網(wǎng),應(yīng)在基于VPN的撥號(hào)接入之上,建立AAA認(rèn)證服務(wù)器,一方面方便用戶經(jīng)常更換口令,另一方面可以實(shí)施更加嚴(yán)格的安全策略,并且對(duì)這些策略的實(shí)施予以監(jiān)視。
為了方便用戶對(duì)資源的訪問和管理網(wǎng)絡(luò),有必要建立一個(gè)統(tǒng)一的安全認(rèn)證及授權(quán)系統(tǒng),統(tǒng)一的帳號(hào)管理有助于確保安全策略的實(shí)施及管理。
三、主機(jī)與系統(tǒng)平臺(tái)安全
網(wǎng)絡(luò)是病毒傳播最好最快的途徑之一。在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有不可估量的威脅性和破壞力,它使得網(wǎng)絡(luò)癱瘓、機(jī)密信息泄漏、重要業(yè)務(wù)系統(tǒng)不能提供正常服務(wù),嚴(yán)重影響網(wǎng)絡(luò)安全,造成不良的社會(huì)影響。計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán),在企業(yè)網(wǎng)中應(yīng)建立一套網(wǎng)絡(luò)版的防病毒系統(tǒng),它能構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系,支持對(duì)網(wǎng)絡(luò)、服務(wù)器、工作站的實(shí)時(shí)病毒監(jiān)控;能夠在中心控制臺(tái)向多個(gè)目標(biāo)分發(fā)布及安裝新版殺毒軟件,并監(jiān)視多個(gè)目標(biāo)的病毒防治情況;支持多種平臺(tái)的病毒防范;能夠識(shí)別廣泛的已知和未知病毒,支持廣泛的病毒處理選項(xiàng);支持病毒主機(jī)隔離;提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新服務(wù);支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
其次,為了彌補(bǔ)防病毒軟件被動(dòng)防范的不足,可采用兩種策略提高網(wǎng)絡(luò)主動(dòng)防范的能力。
(一)在網(wǎng)絡(luò)邊界防火墻上配置嚴(yán)格的安全策略, 強(qiáng)制關(guān)閉常見病毒攻擊的服務(wù)端口,防止病毒入侵。在核心層和匯聚層交換機(jī)上,依據(jù)業(yè)務(wù)數(shù)據(jù)流流向建立一系列的訪問控制列表,服務(wù)器只向必須訪問它的客戶端開放,其它客戶端一概被策略拒絕訪問。
(二)由于企業(yè)中大多數(shù)計(jì)算機(jī)安裝Windows系列的操作系統(tǒng),所以在網(wǎng)絡(luò)中建設(shè)一套Windows補(bǔ)丁分發(fā)系統(tǒng),利用微軟的WSUS服務(wù)器進(jìn)行強(qiáng)聯(lián)動(dòng),輔以行之有效的用戶端保護(hù)措施,幫助客戶機(jī)高效、安全的完成Windows補(bǔ)丁更新,解決為Windows系統(tǒng)自動(dòng)安裝系統(tǒng)補(bǔ)丁程序的問題,進(jìn)一步提高了計(jì)算機(jī)安全性,當(dāng)然也提高了網(wǎng)絡(luò)的安全性。
四、網(wǎng)絡(luò)安全監(jiān)測(cè)與審計(jì)
(一)網(wǎng)絡(luò)管理系統(tǒng)。利用網(wǎng)絡(luò)管理系統(tǒng)軟件,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)管理信息的收集、整理、預(yù)警,以視圖方式實(shí)時(shí)監(jiān)控各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)。網(wǎng)絡(luò)管理一般包括網(wǎng)絡(luò)性能管理,配置管理,安全管理,計(jì)費(fèi)管理和故障管理等五大管理功能。建立針對(duì)全網(wǎng)絡(luò)的管理平臺(tái),對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等進(jìn)行統(tǒng)一監(jiān)管理,把網(wǎng)絡(luò)系統(tǒng)平臺(tái)由原先的被動(dòng)管理轉(zhuǎn)向主動(dòng)監(jiān)控,被動(dòng)處理故障變?yōu)橹鲃?dòng)故障預(yù)警。
(二)網(wǎng)絡(luò)入侵檢測(cè)。作為防火墻功能的有效補(bǔ)充,入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)傳輸,主動(dòng)檢測(cè)可疑行為,分析網(wǎng)絡(luò)外部入侵信號(hào)和內(nèi)部非法活動(dòng),在系統(tǒng)遭受危害前發(fā)出報(bào)警,對(duì)攻擊作出及時(shí)的響應(yīng),并提供相應(yīng)的補(bǔ)救措施,最大限度地保障網(wǎng)絡(luò)安全。
(三)網(wǎng)絡(luò)安全審計(jì)。將網(wǎng)絡(luò)安全審計(jì)系統(tǒng)布署在企業(yè)網(wǎng)絡(luò)中,能夠監(jiān)控、審查、追溯內(nèi)部人員操作行為,防止企業(yè)機(jī)密資料泄露,統(tǒng)計(jì)網(wǎng)絡(luò)系統(tǒng)的實(shí)際使用狀況,幫助管理者及時(shí)發(fā)現(xiàn)潛在的漏洞和威脅,為企業(yè)的網(wǎng)絡(luò)提供保障,使企業(yè)的網(wǎng)絡(luò)資源發(fā)揮應(yīng)有的經(jīng)濟(jì)效益。
五、企業(yè)網(wǎng)絡(luò)安全管理制度保障
管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是企業(yè)安全管理的保證。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面。只有完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段結(jié)合, 網(wǎng)絡(luò)系統(tǒng)的安全才會(huì)得到最大限度的保障。只有制定合理有效的網(wǎng)絡(luò)管理制度來約束員工,這樣才能最大限度的保證企業(yè)網(wǎng)絡(luò)平穩(wěn)正常的運(yùn)轉(zhuǎn),例如禁止員工濫用計(jì)算機(jī),禁止利用工作時(shí)間隨意下載軟件,隨意執(zhí)行安裝操作,禁止使用IM工具聊天等。最終制度通過網(wǎng)絡(luò)管理平臺(tái)得以具體體現(xiàn),管理平臺(tái)使得制度被嚴(yán)格的執(zhí)行起來。
六、結(jié)束語
本文從分析企業(yè)網(wǎng)絡(luò)安全形勢(shì)入手,指出當(dāng)前網(wǎng)絡(luò)安全存在的問題,然后提出了一套較詳細(xì)的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全審計(jì)。本文從技術(shù)手段上、可操作性上都易于實(shí)現(xiàn)、易于部署, 為企業(yè)提供了實(shí)用的網(wǎng)絡(luò)安全性設(shè)計(jì)。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:論企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性設(shè)計(jì)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083952557.html