你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
当前位置: 首页 精选范文 企业网络安全体系建设

企业网络安全体系建设范文

发布时间:2023-10-09 17:42:08

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业网络安全体系建设范例,将为您的写作提供有力的支持和灵感!

企业网络安全体系建设

篇1

中图分类号:C29 文献标识码:A 文章编号:

前言

随着电力信息网的互联和完全溶进Internet,电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡,总体来看,存在以下薄弱环节。因此,必须采取更加科学有效的方法和思路,加快县级供电企业网络建设及网络安全建设的步伐。

1 县级供电企业信息网络安全防范体系概述

1.1 安全策略

总的来说,其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。

1.2 安全技术

从技术的层面上,则是通过采用包括建设安全的主机系统和安全的网络系统,同时配备适当的安全产品的方法来实现,其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。

1.3 安全培训

通过在线模拟考试功能和题库,实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理,并对培训结果进行在线统计分析。

2 县级供电企业信息网络整体安全建设

2.1 物理层安全建设

物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上,可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。

2.2 网络层安全建设

网络层安全建设所指的是网络方面的安全性建设,它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。

2.3 系统层安全建设

系统层安全建设所指的是在进行网络使用时,关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。

2.4 用户层安全建设

用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。

2.5 管理层安全建设

管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设,包括对Web服务、电子邮件系统、DNS等方面进行优化。此外,还包括病毒对系统的威胁。

2.6 数据层安全建设

首先应考虑对应用系统和数据进行备份和恢复措施,应用系统的安全涉及到数据库系统的安全,数据库系统的安全性很大程度上依赖于数据库管理系统,如果数据管理系统安全机制非常强大,则数据库系统的安全性就较好。

在以上的各个层面上,每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。

表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设

3 县级供电企业如何有效进行信息网络安全体系建设

(1)整合现有系统,实现生产实时信息与管理信息的集成,建立电网信息一体化平台。看似简单的数据交换和信息共享,由于没有统一的信息平台,形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统,搭建统一的运行平台,规范、整理、合并各种基础数据,逐步建立集中、统一、开放式中心数据库,实现各信息系统的无缝连接。对县级供电企业网络来讲,网络整体稳定性要求非常高,网络应该提供多种冗余备份的方式,确保业务的连续。在县局网络平台搭建好之后,这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程,只有以企业效益为核心,通过构建统一的信息化基础平台,部署企业一体化应用系统,才能适应县域经济发展,满足人民群众对电力的需要,才能提高企业的核心竞争力,才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革,实现机制创新、管理创新、技术创新,努力发挥信息化对企业可持续发展的支撑作用。

(2)运用现代网络技术,构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平,都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化,计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此,保障计算机网络信息系统安全、稳定运行至关重要,通常可以采取新的技术,如桌面安全管理系统等对终端行为进行管理,从而保证整个内网的可信任和可控制。目前,大部分病毒是通过计算机系统的漏洞来进行肆意的传播,为此,对于计算机系统的供应商而言,应该要对大部分的漏洞进行及时地提供相应的补丁系统,而对于使用者而言,则需要通过不断地更新服务的系统来进行对系统的更新。

(3)加强技术和应用培训,为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求,推行信息化建设不但要有“科技兴企、人才先行”的观念,而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为,对待信息化建设要有长远眼光,动态地考虑和评价信息化建设问题,不能只看到眼前利益,急于求成。

(4)加强信息制度和信息化安全建设,为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析,从而提出各个层面的安全保障,为此,信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候,需要从技术的层面以及管理的良好配合才得以实现,从而才能为县级供电企业信息化的建设提供根本性的保证。

4、结束语

电力企业的各个业务对网络的依赖性越来越强,对信息网络安全性的要求也越来越高,电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术,加强信息制度和信息化安全建设,确保信息系统的安全运行,为企业的安全生产提供有力的保证,从而打造更加稳固坚强的管理技术支撑平台。

参考文献:

[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007

篇2

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

[中图分类号] TP343.08 [文献标识码] A [文章编号] 1673 - 0194(2012)10- 0062- 02

1 引 言

随着市场竞争的日益加剧,业务灵活性、成本控制成为企业经营者最关心的问题,弹性灵活的业务流程需求日益加强,办公自动化、生产上网、业务上网、远程办公等业务模式不断出现,促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网,一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理,国家监管部门对企业的内控管理提出了多项规范要求,包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。

然而信息网络面临的安全威胁与日俱增,安全攻击渐渐向有组织、有目的、趋利化方向发展,网络病毒、漏洞依然泛滥,同时信息技术的不断更新,信息安全面临的挑战不断增加。特别是云的应用,云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系,满足业务发展的需要,已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。

2 大型企业网络面临的安全威胁

赛门铁克的《2011 安全状况调查报告》显示:29%的企业定期遭受网络攻击,71% 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大,信息系统多,受攻击面广等特点,更是成为被攻击的首选目标。

大型企业网络应用存在的安全威胁主要包括:(1)内网应用不规范。企业网络行为不加限制,P2P下载等信息占据大量的网络带宽,同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网,对内网应用系统安全构成威胁。(2)网络接入控制不严。网络准入设施及制度的缺失,任何人都可以随时、随地插线上网,极易带来病毒、木马等,也很容易造成身份假冒、信息窃取、信息丢失等事件。(3)VPN系统安全措施不全。企业中的VPN系统,特别是二级单位自建的VPN系统,安全防护与审计能力不高,存在管理和控制不完善,且存在非系统员工用户,行为难以监管和约束。(4)卫星信号易泄密。卫星通信方便灵活,通信范围广,不受距离和地域限制,许多在僻远地区作业的一线生产单位,通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输,容易被截获。(5)无线网络安全风险较大。无线接入由于灵活方便,常在局域网络中使用,但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。(6)生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范,大多数二级单位采用防火墙逻辑隔离,有些单位防护策略制定不严格,导致生产网被来自管理网络的病毒感染。

3 大型企业网络安全防护体系建设

中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,将企业信息安全保障体系建设列为信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。中国石油网络安全域建设是其重要建设内容。

中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统,是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路,承载对内服务业务信息系统的网络,与外网逻辑隔离。外网是实现对外提供服务和应用的网络,与互联网相连(见图1)。

为了构建安全可靠的中国石油网络安全架构,中国石油通过划分中国石油网络安全域,明确安全责任和防护标准,采取分层的防护措施来提高整体网络的安全性,同时,为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想,将项目分为:广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。

广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时,还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护,所有单位均通过16个互联网出口对外联系,规划DMZ,制定统一的策略,对外服务应用统一部署DMZ,内网与外网逻辑隔离,内网员工能正常收发邮件、浏览网页,部分功能受限。

域间防护方案主要遵循 “纵深防护,保护核心”主体思想,安全防护针对各专网与内网接入点进行部署,并根据其在网络层面由下至上的分布,保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况,将数据中心划分为4个安全区域,分别是核心网络、二级系统区、三级系统区、网络管理区;通过完善数据中心核心网络与广域网边界,二级系统、三级系统、网络管理区与核心区边界,二、三级系统区内部各信息系统间的边界防护,构成数据中心纵深防御的体系,提升整体安全防护水平。

域内防护是指分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准,实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础,并通过完善现有SSL VPN系统、增加IPSEC远程接入方式,为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础,实现用户互联网访问、安全设备管理准入及授权控制、实名审计;以部署设备证书为基础,实现数据中心对外提供服务的信息系统服务器网络身份真实可靠,从而确保区域网络中心、数据中心互联网接入的安全性。

4 结束语

一个稳定安全的企业信息网络已成为企业正常运营的基本条件,然而信息网络的安全威胁日益加剧,企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设,系统地解决网络安全问题,供其他企业参考。

主要参考文献

篇3

[关键词]企业;信息化建设;网络安全管理

doi:10.3969/j.issn.1673 - 0194.2017.10.040

[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2017)10-00-01

0 引 言

在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。

1 企业在信息化建设中存在的网络安全管理问题

1.1 外部因素

时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式@取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。

1.2 内部因素

企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。

2 提高企业网络安全管理水平的方法

2.1 加强企业信息化系统的管理

企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。

2.2 应用有效的数据信息加密技术

企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。

2.3 部署高质量的安全防护软件

企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。

2.4 设置必要的安全管理权限

企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。

2.5 配置防火墙和访问控制模式

企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。

2.6 信息隐藏模式的有效应用

企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。

3 结 语

对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。

主要参考文献

[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).

篇4

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01

The Network Security System Construction and Improvement for Power System

Shen Fanyun

(Inner Mongolia Electric Power(Group)Co.,Ltd.Erdos Electric Power Bureau,Erdos017000,China)

Abstract:With the power industry's continuous development of information technology,information security is facing increasingly serious challenges.Adapt to the new situation,the article from the power dispatch and power system development point of view of market needs,analysis of the electric power information network of the major categories and characteristics,focusing on the technical and management aspects of power system described the establishment of information network protection systems and strategies.

Keywords:Power Information Network;Security;Strategy

一、电力信息网络的主要分类和特点

电力系统中网络应用的分类有许多种,根据业务类型、实时等级、安全等级等因素可分为生产数据传输和管理信息传送两大类,其它应用还包括音频传输和对外服务等。不同的应用系统对安全有不同的要求:如生产控制类基于TCP/IP的数据服务业务实时性较强,遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要可靠,还要保密;管理信息类业务突发性强、速率较高、实时性不强,但对保密性要求又较高。无论对于何种应用,都要求电力信息网络的防护措施能按各类业务的具体要求保证其安全运行。

二、电力调度系统对网络安全防护体系的要求

近年来,特别是随着电力市场化进程的加快,电力调度自动化的内涵也有了较大的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、遥测、电力市场技术支持和调度生产管理系统等。电力信息网络是支持调度自动化系统的重要技术平台,实时性要求秒级或微秒级。其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密和隔离处理。因此,要保障调度自动化的安全运行,就需要信息网络从应用系统的各个层面出发,按照其不同的安全要求,制定相应的防护策略,形成一整套完善的防护体系。

三、电力系统网络安全体系

(一)安全系统建设。安全系统的建设,是根据网络应用的安全需求,建立包括网络防火墙、入侵检测、漏洞扫描、安全审计、拨号网络安全、安全电子邮件和敏感数据保护、计算机防病毒、流量监控等在内的安全系统。安全系统建设中最重要环节的是整体系统规划。

(二)安全管理建设。在信息系统安全上,安全不仅仅是技术问题,更是一个管理的问题。因此,信息安全保障体系建设的下一个阶段就是安全管理建设。安全管理建设与安全策略建设密不可分,管理是在策略的指导下进行的,而管理经验和运行?管理之间的互动则为策略的制定提供依据。为此,有必要建立集中式、全方位、动态的安全管理中心。其目标在于:将与整体安全有关的各项安全技术和产品捏合在一个规范的、整体的、集中的安全平台上的同时,使技术因素、策略因素以及人员的因素能够更加紧密地结合在一起,从而提高用户在安全领域的各种分散投资的最终整体安全效益。

(三)安全策略建设。关于安全策略建设,尤其是安全策略的电子化和自动化管理,正在进行一个全方位的、动态的、持续的过程,遵循均衡、动态和立体性的原则,安全系统建设是基础,在恰当有效的安全策略的指导下,实施集中式、全方位、动态的安全管理是实现信息系统整体安全的有效保障。

四、对安全体系建设和完善的几点思路

信息系统安全保障体系的建设是一个全方位的、动态的、持续的过程,要完善已有的安全保障体系,满足企业网上应用系统安全需求,提出有效的安全解决方案,应从如下几个方面进行深入和细致的工作。

(一)对电力企业网络结构模型的分析。企业的网络结构模型可分为两层,一层是企业互联网络,一层是企业内部网络。所产生的安全需求也不同,那么相应的安全解决方案就不一样。

无论是公司本部或是下属企业,其内部网络的结构大同小异。均具有一个中心网络,提供公共应用服务,同时行使网络管理权利。各局域网也具有自己的服务器,或Web或应用服务器。这些局域都是直接连接到中心网络,共享公共应用服务,同时也提供自己的信息给其他单位共享。

(二)对网络层风险的分析。1.网络风险来源:(1)网络中心连通Internet之后,企业网可能遭受到来自Internet恶意攻击;(2)在Internet上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网;(3)企业网内部连接的用户很多,很难保证没有用户会攻击企业的服务器。事实上,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,其损失要远远高于系统破坏。

2.回避风险措施。基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,需要解决的问题有:(1)企业网络进出口控制(即IP过滤);(2)企业网络和链路层数据加密;(3)安全检测和报警、防杀病毒。

重点在于企业网络本身内部的安全,如果解决了各个企业网的安全,那么企业互联扫安全只需解决链路层的通讯加密。

五、结束语

电力是关系到国计民生的基础产业,有很强的信息保密与安全需求。由于自身业务的需要,实现内部网络的互通,以及内部网络与Internet的互通,要求建立一个权限清晰、服务完善、安全到位的网络。由于不可避免地与外网相连,就必须时刻防备来自外部的黑客、病毒的威胁。为了维护电力信息安全,确保信息网络系统稳定可靠,网络安全体系建设极为重要。

篇5

电力系统是个特殊的能源行业,发电、输电、配电、用电必须同时完成,其覆盖面之大,结构之复杂,层次之众多是任何一个行业都无法比拟的。电能,像无形的血液日夜由各条脉络源源不断地传输流动,与国民经济和人民群众的生活息息相关,电能的安全传输直接影响每一个人的生产和生活,而电能的安全传输又依赖于电力信息网络的正常工作。因此,电力信息网络安全体系的建立具有相当重要的意义。

1、电力调度系统对网络安全防护体系的要求

近年来,特别是随着电力市场化进程的加快,电力调度自动化的内涵也有了较大的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、遥测、电力市场技术支持和调度生产管理系统等。电力信息网络是支持调度自动化系统的重要技术平台,实时性要求秒级或微秒级。其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密和隔离处理。因此,要保障调度自动化的安全运行,就需要信息网络从应用系统的各个层面出发,按照其不同的安全要求,制定相应的防护策略,形成一整套完善的防护体系。

2、对安全体系建设和完善的几点思路

2.1对网络层风险的分析

2.1.1网络风险来源

(1)网络中心连通Internet之后,企业网可能遭受到来自Internet恶意攻击;(2)在Internet上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网;(3)企业网内部连接的用户很多,很难保证没有用户会攻击企业的服务器。事实上,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,其损失要远远高于系统破坏。

2.1.2回避风险措施

基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,需要解决的问题有:

(1)企业网络进出口控制(即IP过滤);(2)企业网络和链路层数据加密;(3)安全检测和报警、防杀病毒。

重点在于企业网络本身内部的安全,如果解决了各个企业网的安全,那么企业互联扫安全只需解决链路层的通讯加密。

2.2对网络进出口的控制

需要对进入企业内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。同样需要对内网到公网进行管理和控制。要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。

对关键应用需要进行链路层数据加密,特别是最核心的决策层的服务系统,为决策层提供信息共享,需要有高强度的数据加密措施。

2.3安全检测和报警、防杀病毒

安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:

(1)及时发现来自网络内外对网络的攻击行为;(2)详实地记录攻击发生的情况;(3)当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;(4)当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行;(5)对防火墙进行安全检测和分析;(6)对Web服务器检测进行安全检测和分析;(7)对操作系统检测进行安全检测和分析。

需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。

2.4对应用系统安全风险的分析

对应用系统的攻击可以分为2类。

当攻击者对网络结构和系统应用模式不了解时,主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取企业的重要数据; 在现在通用的三层结构(数据库服务器—应用服务器—应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击;攻击者了解了网络结构和系统应用模式时,可直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:

(1)非法用户获取应用系统的合法用户帐号和口令,访问应用系统;(2)用户通过系统的合法用户帐号,利用系统的BUG,访问其授权范围以外的信息;(3)攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),访问应用服务器或数据库服务器;(4)在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。

这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应用系统的员工、开发商。

2.5将系统后台管理纳入安全管理域

在把注意力集中在前台应用与客户之间时,不应忽略和忘记内网的后台管理工作的安全。后台管理在不同的网络应用中有不同的内容。其安全问题主要体现在管理员的身份、管理员的操作权限和管理权的操作记录。后台管理的安全漏洞主要是口令的泄露。从安全风险的程度来讲,来自管理员的安全风险更大。

3、结束语

电力是关系到国计民生的基础产业,有很强的信息保密与安全需求。由于自身业务的需要,实现内部网络的互通,以及内部网络与Internet的互通,要求建立一个权限清晰、服务完善、安全到位的网络。由于不可避免地与外网相连,就必须时刻防备来自外部的黑客、病毒的威胁。为了维护电力信息安全,确保信息网络系统稳定可靠,网络安全体系建设极为重要。

参考文献

[1]谢杨.构筑珠海供电分公司网络安全体系[J].电力信息化,2004,(07).

篇6

一、引言

在电子政务和电子商务应用快速发展的今天,信息安全问题越来越突出。据权威统计显示,80%以上的企业内部网络曾遭受过病毒的肆虐,60%以上的企业网站受过黑客的攻击,因此企业网络安全的形势相当严峻。深入分析企业网络可能存在的问题和正在遭受的安全威胁,是设计安全方案的前提,只有了解企业环境和面临的问题,才能发现并分析企业网络所处的风险环境,并在此基础上提出可能的安全保障措施。这是解决企业网络安全问题的关键,也是设计面向企业的网络安全体系的前提,它能使我们有的放矢地采用安全防范技术和安全措施。网络是整个企业信息资源的基础,也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计,安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分。网络设备个体作为网络的最基本构成,其个体的安全关系重大,往往个别设备的安全漏洞或者错误的配置,就可能造成网络的中断或者瘫患。所以最后从网络设备个体的角度出发,介绍了如何有针对性的采取有效的安全措施。

二、企业网络模块化构成

随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。

我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。

三、网络安全管理模块的设计

从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。带外是指无生产信息流驻留的网络,设备应尽可能的与这样一个网络建立直接本地连接,在由于地理原因或系统相关问题无法实现的情况下,设备应经由生产网络上一条专用加密隧道与其连接。这样的隧道应预先配置,仅在管理和报告所需的特定端口上通信。整个企业管理网络模块由一个防火墙和一个路由器分成两个网段。防火墙外的网段连接到所有需要管理的设备。防火墙内的网段包括管理主机本身以及作为终端服务器的路由器。其余的接口接到生产网络,但仅用于接收来自预定义主机、受IPSec保护的管理信息流。两个管理子网均在完全与生产网络的其余部分独立的IP地址空间下运行。这可以确保管理网络不受任何路由协议的影响。另外,SNMP管理仅从设备获取信息而不允许更改,即每个设备仅配置“只读”字串。

当然,完全的带外管理并非总是可行的,可能因为部分设备不支持,或者有地理差别,需带内管理。当需要带内管理时,注意的重点更应放在保护管理协议的传输上。这可通过IPSec、SSH、SSL或其他加密认证的方式实现。当管理恰巧即是设备用于用户数据的接口时,应多注意口令、公共字串、加密密钥和控制到管理服务器的通信的访问列表。

主要设备:SNMP管理主机――提供SNMP管理;NIDS主机――为网络中所有NIDS设备提供报警集中;系统日志主机――几种防火墙和NIDS主机的记录信息;接人控制服务器――向网络设备提供一次性、双因素认证服务;一次性口令(OTP)服务器――授权从接入服务器转接的一次性口令信息;系统管理主机――提供设备的配置、软件和内容变更;NIDS应用――提供对模块中主要网段的第4~7层监控;防火墙――对管理主机和受控设备间信息流动的控制;第2层防火墙(带专用VLAN支持)――确保来自受监控设备的数据仅可直接传输到防火墙;

所缓解的威胁:未授权接入――在防火墙处的过滤中止了两个方向的大多数未授权信息流;中间人攻击――管理数据穿过专用网络,使中间人攻击较为困难;网络侦察――因为所有管理信息流穿越此网络,它不通过有可能在其中被截获的生产网络;口令攻击――接入控制服务器使每台设备都拥有强大的双因素认证;IP电子欺骗――在防火墙两端均中止了欺骗流量;分组窃听――交换基础设施限制了窃听的有效性;信息管理利用――专用VLAN可防止任何一个受破坏的设备伪装成一台管理主机。

四、统一管理平台的系统架构设计

由于目前企业网络中各种厂商的网络设备越来越多,仅仅利用个别设备厂商的网络管理软件(如Ciscoworks 2000等)很难完全达到上述的种种要求,因此在网络设计时要么都采用同一厂商的设备(包括网络设备和安全设备),要么利用第三方厂商开发的网络管理软件,通过各种客户化和集成工作,将不同厂商的设备更好的管理起来,作为搭建网络安全管理平台的主要工具。

统一管理平台的基本构架设计分为三个层面:视图(Wodd View)、企业管理(En-terprt’se Management)、客户端(Ageats),其中:World View显而易见是提供图形化界面的应用程序,将管理对象的信息通过图形(二维图或者三维图)的方式形象的呈现给用户;企业管理层则通过智能化的手段,来提供处理各种信息、安全、存储、工作计划、事件管理等的复杂功能,这部分是整个平台的关键,可能包括了事件管理、故障管理、性能管理、网络发现等多个功能模块;客户端可以看作是一些系统进程或者内嵌代码(比如各种SNMP信息,MIB库信息),用来监控各种系统资源,比如操作系统、数据库、网络设备等等。客户端可以从管理层面接受各种指令进行操作,或者向管理层上报相关的系统状态。

篇7

中图分类号:TP393.08

随着计算机和网络技术的高速发展,网络已经成为人们生活和工作当中必不可少的一部分。大中型企业信息化建设随着网络系统的快速发展也在日新月异,网络和信息化已经融入到企业的生产和管理当中,对企业的正常运转越来越重要。随着大中型企业网络和信息化业务系统的日益增多,遭受网络安全威胁与攻击的可能性也大大增加,一旦遭受攻击导致网络和信息化系统服务异常,影响到生产的话,将会给企业造成极大的经济损失和社会负面影响。

1 企业网络安全防护的重要性和建设目标

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。网络安全的主要特性为:保密性、完整性、可用性、可控性和可审查行。

企业的网络与信息化系统应用的越多,企业对网络的依赖度就更高,目前大中型企业提高信息化发展水平已经是一种趋势,信息化的发展必然面临各种网络安全威胁,若不采取相应措施保护企业网络和信息化系统安全,则企业的网络和信息化系统将随时遭受攻击而瘫痪或崩溃,影响企业的生产秩序。

大中型企业网络所面临的严峻安全形势,使得各企业必须意识到构建完备安全体系的重要性。随着网络攻击的多样化,企业不能只针对单一方面进行网络安全防护,应该从整理着眼,建立完整的网络安全防护体系。完整的安全体系建设不仅要能有效抵御外网攻击,而且要能防范可能来自内部的攻击、入侵和泄密等威胁。

2 企业网络安全的隐患与危害

2.1 计算机病毒

计算机病毒出现的初期,其危害主要为删除文件数据、格式化硬盘等,但随着计算机应用和互联网技术的发展,计算机病毒通过网络进行疯狂传播,大量消耗网络资源,使企业甚至互联网网络瘫痪。

计算机病毒造成的最大破坏,不是技术方面的,而是社会方面的。计算机感染病毒后导致计算机的使用率减低,甚至导致企业、银行等关键信息泄露,造成社会声誉损失和商业风险。

2.2 黑客威胁和攻击

计算机信息网络上的黑客攻击事件越演越剧烈,目前以非法牟利为目的的黑客产业链已经成为新的暴力产业,黑客通过网络非法入侵计算机信息系统,肆意窃取信息系统里面存储的用户信息和关键数据等,给信息系统所有者和用户带来无法估计的损失。

2.3 内部威胁和攻击

企业在管理内部人员上网时,由于对内部威胁认识不足,所以没有采取全面的安全防范措施,导致内部网络安全事故逐年上升。机器都是人进行操作的,由于懒惰、粗心大意或者对设备的使用和业务不太熟练等原因,都有可能造成数据的损坏和丢失,或者企业机密信息泄露。另外还有一些企业员工,为了一己私利对企业的计算机网络系统进行攻击和破坏。不管是有意的还是偶然的,内部威胁都是一个最大的安全威胁,而且是一个很难解决的威胁。

2.4 系统漏洞

许多网络系统和应用信息系统都存在着这样那样的漏洞,这些漏洞可能是网络建设考虑不全和系统本身所有的。另外,在企业信息化应用系统建设时,由于技术方面的不足或者为了远程维护的方面导致应用系统在开发过程中存在漏洞或后门,一旦这种漏洞或后门被恶意利用,将会造成非常大的威胁。

3 企业网络安全的技术防护措施

完整的网络安全防护体系,必须具体综合的防护技术,对攻击、病毒、访问控制等全面防御,目前企业网络安全防护技术主要有以下几种:

3.1 防火墙隔离

防火墙提供如下功能:访问控制、数据包过滤、流量分析和监控、拦截阻断非法数据连接、限制IP连接数等。此外通过防火墙将内网、外网和DMZ(非军事区)区划分不同的等级域,限制各域之间的相互访问,达到保护内网和公共服务站点安全的目的;

3.2 VPN安全访问系统

VPN(虚拟专用网络)是在公用网络上建立专用网络的技术。VPN属于一种安全的远程访问技术,通过在公网上建立一个私有的隧道,利用加密技术对数据进行加密,保证数据的私有性和安全性。

3.3 入侵检测系统与入侵防御系统

入侵检测系统(Intrusion Detection System)是一种对网络传输进行即时监视,在发现可疑传输时发出警报网络安全设备。入侵检测系统通过对来自外部网和内部的各种行为的实时检测,及时发现未授权或异常现象以及各种可能的攻击企图,并记录有关事件,以便网管员及时采取防范措施,为事后分析提供依据。入侵检测系统采用旁路部署模式,将网络的关键路径上的数据流进行镜像和收集分析。

篇8

摘要:通过对大中型跨国企业海外信息安全体系的研究,形成了一个完整的海外信息安全体系框架,包括安全策略、安全技术体系、安全管理体系、运行保障体系和建设实施规划等。依照该框架,企业可以针对各部分进行具体实施,从而完成整个的海外信息安全建设。

关键词 :大中型企业;信息安全体系;框架;理论指导;安全模型

1海外信息安全体系建设原则

大中型企业海外信息安全体系的建设,涉及面广、工作量大,整体设计必须坚持以下的原则,以保证建设和运营的效果。

1.1统一规划管理

要对信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设遵循一致的标准、管理遵循一致的规范。

1.2分步有序实施

信息安全体系建设的内容庞杂,必须坚持分步有序的实施原则,循序渐进。

1.3技术管理并重

仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性。信息安全体系的建设,必须遵循安全技术和安全管理并重的原则,制定统一的安全建设管理规范,指导安全管理工作。

1.4突出安全保障

信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。

2海外信息安全体系建设目标

大型跨国企业海外信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高企业信息系统的整体安全等级,为企业海外业务发展提供坚实的信息安全保障。

3海外信息安全体系框架

企业进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,使信息安全体系发挥最优的保障效果。

同时还应该制定一系列的安全管理规范,指导信息安全建设和运营工作,使得信息安全建设能够依据统一的标准开展,信息安全体系的运营和维护能够遵循统一的规范进行。

3.1安全目标模型

根据大型跨国企业海外信息安全体系建设目标和总体安全策略,建立与之对应的目标模型,称为WP2DRR安全模型。该模型由预警( Warning)、策略(Policy)、保护(Protectlon)、检测(Detection)、响应(Response)、恢复(Recovery)6个要素环节构成了一个基于时间的、完整的、动态的信息安全体系。WP2DRR模型在P2DR模型的基础上新增加了预警Warnlng和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,系统一旦发生安全事故,也能恢复系统功能和数据,恢复系统的正常运行。

安全目标模型是信息安全体系框架的基础,大型跨国企业的海外信息安全体系框架应该紧密围绕安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。

3.2信息安全体系框架组成

通过对企业的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了大型跨国企业海外信息安全体系框架。制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。

该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障3个层次的安全体系,以达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。大型跨国企业海外信息安全体系框架的总体结构如图1所示。

3.2.1安全策略

在这个框架中,安全策略是指导,与安全技术体系、安全组织和管理体系以及运行保障体系这3大体系相互作用。一方面,3大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标。另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评佶、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。

按照要保障的资产对象的不同,总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。

随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。

3.2.2安全技术体系

安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这3个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。

安全基础设施平台是以安全策略为指导,立足于现有的成熟安全技术和安全机制,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,建立起的一个各个部分相互协同的完整的安全技术防护体系。

应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与备类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系。

统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。

3.2.3安全管理体系

安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。

技术和管理是相互结合的。一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在大型跨国企业海外信息安全体系框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799 (IS017799)》的建议。

大型跨国企业海外信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。

3.2.4运行保障体系

运行与保障体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行和保障体系对于企业网络和信息系统的可持续性运营提供了重要的保障手段。

3.2.5建设实施规划

建设实施规划是在安全管理体系、安全技术体系、运行保障体系设计的基础上进一步制定的建设步骤和实施方案。在建设实施规划中突出体现了分步有序实施的原则。

任何信息安全建设都需要人员负责管理和实施,因此,首先应该建立信息安全工作监管组织机构,明确各级管理机构的人员配备,职能和责任。其中信息安全管理机构负责信息安全策略的审核与颁布、统一技术标准和管理规范的制定、指导和监督信息安全建设工作、对信息安全系统进行监控与审计管理。

信息安全体系建设,应该首先从物理环境安全建设入手,确保机房建设按照的统一标准进行建设,并且按照统一的管理规范进行管理。

在接下来的网络安全建设中,应对计算机网络的安全域进行划分,对网络结构进行调整,以确保内部网络与外部网络、业务网络与办公网络边界清晰;在各安全域的边界处部署防火墙、网络入侵检测等安全产品,形成立体的区域边界保护机制,对各安全域进行逻辑安全隔离,禁止未授权的网络访问;在内部网络中部署网络脆弱性分析工具,定期对内部网络进行检查,并采取措施及时弥补新发现的安全漏洞。

在进行网络安全建设的同时,还可以进行系统安全建设,在内部网络中全面部署网络病毒查杀系统,有效抑制计算机病毒在内部网络中传播,避免对系统和数据造成损害。另外,主机系统管理员还应该按照主机系统管理规范的要求,借助主机脆弱性分析和安全加固工具,定期对主机系统进行检查,更新安全漏洞补丁的级别,修正不当的系统和服务配置,查看和分析系统审计日志,控制和保证主机系统的良好安全状态。

应用安全建设包括建立身份认证系统、应用授权和访问控制系统、数据安全传输系统等,对专业业务应用系统和内部信息管理系统提供各种安全服务。

按照统一标准,建立安全审计与分析系统、系统和数据备份计划、安全事件应急响应计划、灾难恢复计划等安全保障机制,重在保护业务数据等信息资产,保证内外应用服务的持续可用性。

对所有员工进行基本安全教育,为信息安全系统相关技术人员提供专门的安全理论和安全技能培训,提高全员的安全意识,打造一支高素质的专业技术和管理队伍。

4结论

海外信息安全体系是一个全方位的体系,从技术到管理、从网络到设备再到人。任何一个方面都要考虑周全,只有每一个部分的安全才是整体的安全。

篇9

前言:近年来,随着计算机产业的迅速发展,网络已成为企业必不可少的经营、运作、交流与沟通等的工具。然而,我们也需要深刻的认识到其所面临的种种安全隐患,对其进行深入的分析与探讨,为企业网络的安全设计提供准确、可靠的依据。

1.网络安全隐患

在企业网络方面可能存在的安全隐患主要表现在以下几个方面:

1.1 网络拓扑不合理带来的安全隐患

企业网络中,应当做到内部网络与外部网络的安全隔离,体现在企业网络拓扑设计上就是统一采用服务器经过路由器和防火墙上网,原则上不允许企业内部用户从自己的计算机上通过拨号上网,因为这种直接拨号上网在无形之中就给整个企业网络开了一个后门,要想连接外部网络必须通过企业防火墙的过滤与监控。如果条件许可,可以采用尽可能安全的网络体系结构,甚至划分DMZ非军事区,在非军事区的两端分别过滤指定的数据包。

1.2 OSI/RM参考模型中各层通信的安全隐患

OSI/RM参考模型的每层都可能成为攻击的目标,因为在每层中运行的服务和协议都可能存在一些安全漏洞,必须依靠相应的技术、产品和方案加以弥补,在此不再赘述。

1.3 病毒和黑客的安全隐患

随着近年来计算机的普及,病毒也越来越泛滥,为了保护数据,企业应当完善病毒防御体系,避免数据被病毒破坏。当然,这里的防毒体系不再是平常我们个人所用的单机版杀毒软件,而是强烈建议采用网络版的杀毒系统。

1.4 数据下载和数据存储安全隐患

随着Internet的普及,很多软件都可以共享,在使用每一个应用程序时都要注意其出处,尽量到大的、可信站点下载,以免受到木马程序或数据驱动型病毒的攻击。另外还要注意使用的应用程序存在的各项漏洞,及时修正。在数据的保护方面应该采用数据备份与灾难恢复体系,根据企业的需求采用相应的数据备份策略,为关键应用提供在线的热备份系统,如果要求很高还应当考虑采用异地容灾体系。

1.5 用户身份认证安全隐患

在网络系统中,有远程访问权限的用户应尽可能少,而且对具有远程访问权限的用户连接也应尽量采用先进的加密与身份认证手段,及时弥补认证手段中存在的缺陷。另外当员工想自己的客户或供应商发送关键邮件时,最后采用邮件加密和数字签名等手段,以确保数据传输的安全。不允许在工作中通过QQ或MSN向外发送数据。

1.6 防火墙的局限患

不要认为公司使用了防火墙就能够万无一失了,因为防火墙必须开放某些端口,同时还有很多可以绕过防火墙的攻击方法。各种类型的防火墙都有其局限性和缺陷,应当及时雨防火墙厂家联系,取得防火墙的最新补丁。另外,设置不当的防火墙过滤规则可能会起到相反的作用,在配置防火墙策略时一定要注意。

1.7 软件本身的安全漏洞隐患

迄今为止没有一款软件是牢不可摧的,各种系统总会有大大小小的安全漏洞,应当及时修正这些漏洞,并对系统做好尽可能安全的各项设置,尽量采用服务最小化原则。目前所发现的微软Windows系统的安全漏洞比较多,应及时安装补丁。

在软件方面,主要是考虑各种网络服务器操作系统和应用服务器的安全,因为这是攻击者首选的攻击目标。目前主流的网络服务器操作系统有Windows、UNIX和Linux三种,但是不管是哪种类型的操作系统,每隔一段时间都会被发现大大小小的漏洞,其中有很多漏洞可以使攻击者直接取得系统管理员的高级控制权限。服务器一旦被控制,后果是不堪设想的,轻则会被拿来作为进攻其他机器的跳板,重则可能造成信息泄露,甚至可能会破坏所有数据。因此,必须扎扎实实地做好系统的各项安全设置工作,及时打上各种操作系统的补丁,堵住一系列的安全漏洞,同时加强在系统及企业信息安全方面的管理。

另外,有很多基于操作系统的软件或者数据库系统的漏洞也可能使得攻击者取得系统权限,例如IIS的各种大大小小的漏洞。MS SQL Server的漏洞和Oracle的漏洞等。同时操作系统和数据库系统等的弱密码策略也是系统的巨大安全隐患,所以必须加强操作系统和数据库系统的密码管理,提高密码的复杂性。

同时要注意,网络上没有绝对安全的服务器,也没有绝对安全的主机,即使在一段时间内体现了安全,但是随着新的漏洞与攻击手段的被发现,服务器又会处于威胁之下,因此必须保持对服务器和所有工作系统进行及时更新,以及时堵住黑客入侵、攻击的途径。

1.8 IT管理漏洞带来的安全隐患

公司内部员工的权限设置、离职员工的账号处理都是企业存在的安全隐患。对于暂停使用的员工账号,网络管理人员要立即禁用;对于已经离开公司的员工账号一定要及时注销或删除;内、外网用户的访问控制必须有适当的身份验证机制,对外网的远程访问网络活动应及时监控。

1.9 文件共享和用户权限安全隐患

在企业内部有时必须为所有或部分用户提供一些共享文件,但如果共享权限配置不当,这些都可能给企业网络带来安全隐患。如具有写权限的账号就可以在对方计算机上放置文件,这些文件很有可能是黑客安排的恶意程序。还有就是对一些企业敏感的数据,一定要严格限制用户的访问权限。

结束语:

总之,企业网络的安全隐患涉及到很多方面,在做网络安全设计之前,必须要有针对性的分析各种隐患并采取相应的应对措施,对各种细节给予充分的考虑,这样才能够更好地保障企业网络的安全。

参考文献:

[1]项益君.《企业网络安全管理与维护之浅谈》.计算机光盘软件与应用,2011

[2]高飞.《关于企业网络安全隐患与防范浅议》.黑龙江交通科技,2008

[3]熊海清.《企业内部网络安全隐患与安全策略分析》.铝加工,2008

[4]乐年军.《企业网络安全体系建设与管理》.2010

篇10

0引言

互联网时代的到来,信息技术与网络技术已然成为人们生产生活的重要技术支撑,在民航领域中,信息化建设的进程也得以高效发展。与此同时,民航企业信息系统的安全隐患及安全防护问题也逐渐暴露,成为信息化建设过程中亟须应对与解决的问题。

1网络信息安全制度的建设

1.1建设网络信息安全制度

据调查,民航信息系统安全事件的发生,问题的主要成因在于未充分明确相关责任以确保网络信息安全管理工作的全面落实。基于此,民航企业需要充分结合自身的是情况,对网络信息安全管理责任制的健全及完善,充分明确人员相关责任,促进民航信息化建设水平的提升,促进民航的健康发展。民航企业应当搭建内部网络信息安全规范体系,以之为基础开展企业网络信息安全管理及部署工作,确保民航信息安全水平的有效提升。民航企业应当时刻紧随时展步伐,对网络信息安全保障体系加以完善,建立网络信息安全防范体系,采取合理的等级保护与分级保护措施,维护网络信息安全。民航企业应当将网络信息安全作为信息化建设的发展方向,积极配合并响应国防部、网络安全部门、公安机关等行政机关部门的规定与要求,实时更新并优化安全防护措施,实现网络安全整体覆盖范围的扩大。

1.2细分网络安全保障体系

对于民航企业而言,其信息网络安全保障体系的建设,主要包括三个方面,即信息网络安全技术体系、信息网络安全管理体系及信息网络安全运行维护体系。这三个安全防护体系是相互依存与相互促进的。信息网络安全管理体系的搭建,应当作为信息安全技术体系保障的重要方向,技术体系也是保障信息网络安全的技术设施与基础服务的重要支持。信息网络安全管理体系的建设也要求网络信息安全技术应用水平不断提升。民航企业的网络信息安全体系的建设,可以充分参考美国国家安全局所提出的IATF框架的网络安全纵深战略防御理念、美国ISS公司所提出的P2DR动态网络安全模型等相应信息网络安全防护体系,搭建“打击、预防、管理、控制”于一体的网络通信安全综合防护体系理念,是当前国际上最为先进、最为有效的安全保障框架体系,对重要体系采取有效的安全防护措施,搭建民航企业的信息安全防护与控制中心,实现对于信息网络体系的安全监控、安全终端、安全平台、主机安全、数据安全、应用安全相互结合、相互统一的信息安全平台建设,信息安全防护应当涵盖物理层面、终端层面、网络层面、主机层面、数据层面及应用层面,保证安全防护的全面性及全方位性[1]。

1.3发展民航网络信息安全产业

随着时代的发展,民航企业开始更多地强调民航网络信息安全事业的发展。在开展民航企业网络信息安全产业建设时,应及时跟踪和了解国际网络信息安全产业发展动向,了解信息安全防护技术水平的提升渠道,积极谋求与其他发达国家之间的技术合作,大力引进先进的管理技术与管理手段,大力培养并教育网络信息安全技术人才。民航企业要大力引进技术水平与管理理念较为先进的人才,并对所引进的人才采用科学合理的技术培训与安全教育措施,不断增强相关人员对于网络信息安全防护的意识与理解能力,安全理念先进、技术水平高超、应急处置及时的网络信息安全管理人才队伍。民航企业要搭建科学完善的网络信息安全管理体系,充分保证信息网络安全组织、网络信息安全流程、网络信息安全制度相互结合,搭建科学合理的安全管理体系。

2民航信息安全保障体系的建设

2.1国家信息系统安全等级保护

以ISO27001信息安全管理要求为基础,结合国家信息系统安全等级防护管理方面,对信息系统安全防护安全管理基本要求加以明确,开展民航企业网络安全防护及管理体系的建设工作。网络信息安全管理体系的设计,应当涵盖安全组织架构、安全管理人员、安全防护制度及安全管理流程等多个方面,结合自身实际需求,设计科学合理的网络信息安全管理体系等。对于网络系统安全组织架构的建设与完善,组建涵盖安全管理、安全决策、安全监督及安全执行等层次的管理架构,设置相应职责岗位,对安全管理责任进行分解与落实,做好人员录用、人员调动、人员考核及人员培训等相关方面的人员管理工作。民航企业在制定安全管理制度时,应建立网络信息安全目标、安全策略、安全管理制度及安全防护技术规范等多个层次,搭建安全管理制度体系。在建立安全管理流程方面,通过建立科学合理的组织内部安全监督检查与优化体系,保证网络信息安全管理工作的顺利开展。将内部人员与第三方访问人员、系统建设、系统运维、物理环境的日常管理规范化,将日常的变更管理、问题管理、事件管理、配置管理、管理等电子化、流程化与标准化[2]。

2.2合理运用先进安全防护技术

2.2.1入侵检测技术

目前,对信息安全防护技术手段研发与应用也愈发普遍,其中入侵检测技术的应用可以取得较好的技术效果。入侵检测技术的应用主要是通过对网络行为、网络安全日志、网络安全审计信息等技术手段,有效检测网络系统非法入侵行为,判断网络入侵企图,通过网络入侵检测以实现网络安全的实时监控,有效避免网络非法攻击的可能。通过应用入侵检测技术,民航企业可以构建入侵检测系统,能够对系统内部、外部的非授权行为进行同步检测,及时发现和处理网络信息系统中的未授权和异常现象,尽可能减少网络入侵所造成的损耗与安全威胁。为此,可采取NetEye入侵检测系统,该系统通过深度分析技术,实现对于网络环境的全过程监控,及时了解、分析并明确网络内部安全隐患及外部入侵风险,作出安全示警,及时响应并采取有效的安全防范技术,实现网络安全防护层次进行有效延伸。同时,该入侵检测系统具备较为强悍的网络信息审计功能,就可以实时监控、记录、审计并就重演网络安全运行及使用情况,用户能够更好地了解网络运行情况。

2.2.2文件加密技术

篇11

一、引言

随着电力施工企业信息化发展的不断深入,企业对信息系统的依赖程度越来越高,信息与网络安全直接影响到企业生产、经营及管理活动,甚至直接影响企业未来发展。企业网络规模的扩大、信息接入点增多、分布范围广,使信息接入点管控难度大。企业信息与网络安全面临各类威胁,笔者以构建某电力施工企业信息与网络安全体系为例,从信息安全管理、技术实施方面进行阐述与分析,建立一套比较完整信息化安全保障体系,保障业务应用的正常运行。

二、企业网络安全威胁问题分析

1.企业网络通信设备存的安全漏洞威胁,网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息,利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。

2.非法入侵用户对网络系统的知识结构非常清楚,包括企业外部人员、企业内部熟悉网络技术的工作人员,利用内部网络进行恶意操作。非法用户入侵企业内部网络主要采用非法授权访问对企业内部网络进行恶意操作,以达到窃取商业机密的目的;独占网络资源的方式,非业务数据流(如P2P文件传输与即时通讯等)消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪,对内部网络系统造成损坏。

3.恶意病毒程序和代码包括计算机病毒、蠕虫、间谍软件、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。病毒感染可能造成网络通信阻塞、文件系统破坏,系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装,并把截获的机密信息发送给第三者。

4.随着企业信息化平台、一体化系统投入运行,大量重要数据和机密信息都需要通过内部局域网和广域网来传输,信息被非法截取、篡改而造成数据混乱和信息错误的几率加大;当非法入侵者以不正当的手段获得系统授权后。可以对企业内部网络的信息资源执行非法操作,包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等,甚至窃取用户的个人隐私信息,阻止合法用户的正常使用,造成破坏和损失。保护信息资源,保证信息的传递成为企业信息安全中重要的一环。

三、企业信息与网络安全策略

结合电力施工企业业务广范围大特点,提出一套侧重网络准入控制的信息安全解决方案,保障企业网络信息安全。

1.远程接入VPN安全解决方案

施工企业拥有多个项目部,地域范围广,项目部、出差人员安全访问企业信息系统是企业信息化的要求,确保网络连接间保密性是必要的。采用SSL VPN安全网关旁路部署在网络内部,通过设置用户级别、权限来屏蔽非授权用户的访问。访问内部网络资源的移动、项目用户先到SSL VPN上进行认证,根据认证结果分配相应权限,实现对内部资源的访问控制。

2.边界安全解决方案

在系统互联网出口部署防火墙(集成防病毒和网络安全监控模块)和IPS设备,同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。边界防护建立以防火墙为核心,邮件、WEB网关设备、IDS及IPS等设备为辅的边界防护体系。

(1)通过防火墙在网络边界建立网络通信监控系统,监测、限制、更改跨越防火墙的数据流以及对外屏蔽网络内部的信息、结构和运行状况,控制非法访问、增强网络信息保密性、记录和统计网络数据并对非法入侵报警提示等,达到保障计算机网络安全的目的。

(2)在防火墙上开启防病毒模块,可以在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害,改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。

(3)以入侵防御系统IPS应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御安全威胁,通过在线部署,IPS可以检测并直接阻断恶意流量。

(4)将上网行为管理设备置于核心交换机与防火墙之间。通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控,在上网行为管理设备上设置不同的策略,阻挡P2P应用,释放网络带宽,有效地解决了内部网络与互联网之间的安全使用和管理问题。

3.内网安全解决方案

内网安全是网络安全建设的重点,由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,也是安全建设的难点。

(1)主要利用构建虚拟局域网VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,将信任网段与不信任网段划分在不同的VLAN段内,实现内部一个网段与另一个网段的物理隔离,防止影响一个网段的安全事故透过整个网络传播,限制局部网络安全问题对全局网络造成的影响。

(2)建立企业门户系统,用户的访问控制部署统一的用户认证服务,实现单点登录功能,统一存储所有应用系统的用户认证信息,而授权等操作则由各应用系统完成,即统一存储、分布授权。

(3)系统软件部署安全、漏洞更新,定期对系统进行安全更新、漏洞扫描,自动更新Windows操作系统和Office、Exchange Server以及SQL Server等安全、漏洞补丁。安装网络版的防病毒软件,定期更新最新病毒定义文件,制定统一的策略,客户端定期从病毒服务器下载安装新的病毒定义文件,有效减少了病毒的影响;配置邮件安全网关系统,为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒和实现邮件内容过滤等功能,有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击。

4.数据中心安全解决方案

作为数据交换最频繁、资源最密集的地方,数据中心出现任何安全防护上的疏漏必将导致不可估量的损失,因此数据中心安全解决方案十分重要。

(1)构建网络链接从链路层到应用层的多层防御体系。由交换机提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDoS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。

(2)建立数据备份和异地容灾方案,建立了完善的数据备份体系,保证数据崩溃时能够实现数据的完全恢复。同时在异地建立一个备份站点,通过网络以异步的方式,把主站点的数据备份到备份站点,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。

5.安全信息管理与培训

(1)网络管理是计算机网络安全重要组成部分,在组织架构上,应采用虚拟团队的模式,成立了相关信息安全管理小组。从决策、监督和具体执行三个层面为网络信息安全工作提供保障。建立规范严谨的管理制度,制定相应的规范、配套制度能保证规范执行到位,保障了网络信息安全工作的“有章可循,有据可查”。主要涉及:安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等。

(2)人员素质的高低对信息安全方面至关重要;提高人员素质的前提就是加强培训,特别加强是对专业信息人员的培训工作。

四、结束语

该企业信息与网络安全体系建设以技术、管理的安全理念为核心,从组织架构的建设、安全制度的制定、先进安全技术的应用三个层面,构建一个多层次、全方位网络防护体系。在统一的安全策略基础上,利用安全产品间的分工协作,并针对局部关键问题点进行安全部署,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中管理,达到提升网络对安全威胁的整体防御能力。

篇12

税务系统广域网络概况

税务系统广域网络是金税工程的基础设施,由税务总局至各省级、地市级至所属区县级税务局的四级树状广域网络构成:

核心网络――核心网络采用光技术的宽带IP高速网,其拓扑结构为双星结构,分为主干层和接入层。核心网络采用POS技术组建。

省级网络规划――每一个省级税务机关独立组网,采用双星或星形结构,形成自己独立的管理域和路由域。

接入层网络规划――根据运营商提供的各类接入业务的资费情况及其特点,将分别采用不同的接入设计方案,如以太、SDH、DDN/FR、PSTN/ISDN、xDSL、VPN等。

业务专网与互联网通过防火墙实现逻辑隔离,并要求只在总局及省一级设置出口。

广域网间的访问关系如下:总局与各省级单位间可自由互访,其它单位按行政隶属关系实现总局、省级局、地市级局至区县局的访问(跨级别单位间的互访需经过一级或多级路由转发实现),跨行政隶属关系不能进行互访。

项目需求分析

本次税务系统广域网络防火墙系统建设的目标是通过在各地税务系统之间以及税务系统同其它合作单位连接处采用防火墙技术,防止外部网络对各个地市本地税务系统数据的非法使用和访问,监控整个网络数据过程。有效防止来自外部的攻击行为。限制对内部资源和系统的访问范围。通过在税务系统广域网络系统中设置防火墙的安全措施将达到以下目标:

1、保护基于税务系统广域网络的业务不间断的正常运作。包括构成税务系统网络的所有设施、系统、以及系统所处理的数据(信息)。

2、保证税务系统网络安全可靠的运行。

3、实现系统安全及数据安全。

4、税务系统的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给外部的组织或人员。

5、实现税务系统广域网络节点间边界的接入安全。

6、在用户和资源之间进行严格的访问控制(通过身份认证,访问控制)。

7、建立一套数据审计、记录的安全管理机制(网络数据采集,审计)。

8、融合技术手段和行政手段,形成全局的安全管理。

安全方案

面对上述这些风险,设计者根据各个税务局域网中具有不同安全要求的区域的安全策略可设置为不同的安全域。在省以上各个局域网内部可建立不同的安全域,保证安全风险的隔离:数据中心安全域,对数据中心进行专门安全保护;网络安全管理中心安全域,对网络安全管理中心进行集中安全保护;CA中心安全域,对CA、AA、KMC系统进行集中安全保护;其它业务安全域,对各个税务单位的应用业务领域进行安全分割和保护。同时选用了方正信息安全技术有限公司的方正FG系列防火墙为主构筑整个网络的安全体系。

* 安全性:方正FG系列防火墙提供一整套访问控制/防护的安全策略,既最大限度的保证税务系统广域网络系统的安全性,同时保证防火墙系统本身的安全性

* 高效性:该防火墙系统的实施能够最大限度保证税务系统广域网络系统的运行效率。

* 高可靠性:产品采用软件、硬件结合的形式,保证系统长期稳定、安全运行;方正防火墙系统的实施不影响税务系统广域网络系统的正常运行与可靠性,同时系统本身必须是可靠的。

* 可扩充性:采用模块化设计方式,方便产品升级、功能增强、调整系统结构。

* 可管理性:采用基于windows平台GUI模式进行管理,方便各种安全策略设置,且支持可授权的集中管理。

篇13

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2097-02

Design of Enterprise Network Security Architecture

XU Shan-mei

(Huanggang Municipla Bureau of Radio and Television, Huanggang 438000, China)

Abstract: In the e-government and e-business applications today, the rapid development of information security issues become increasingly acute. In this paper, from a technical point of view the factors described how to secure network architecture design. With the actual situation of enterprise networks, using modular design concept, the corporate network is divided into two parts: the enterprise campus networks and enterprise perimeter network, analysis of the key technologies.

Key words: enterprise network; network security; campus network; perimeter network

网络是整个企业信息资源的基础,也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计,安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分[1-2]。本人在总结企业网络和应用特点的基础上,引入模块化设计的方法,将企业的网络划分为企业园区网络和企业边界网络两个部分。其中园区网络又分为核心模块、分布层模块、接入层模块、服务器模块、分布边界模块;边界网络分为公司互联网模块、VPN 和远程接入模块、电子商务模块和广域网模块。针对每个网络模块,着重分析了具体的信息流情况,给出了如何进行安全的网络结构设计、如何有针对性地在各个网络设备以及安全设备上采取安全措施的方法,并且阐述了整个结构模型针对前面提出的各种攻击手段的缓解作用。之后针对整个设计方案,结合实际应用,列举了一些企业在设计自身网络安全时可所采用的变动方法。应该说给出了一套详细、具体、可操作性强的安全的网络结构设计方案。

1 企业网络模块化构成

随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。

我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能[3]。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。

2 企业园区网安全设计

这里的企业园区网可以看成是企业的内部网络,包括核心网络、分布层网络、接入层网络、服务器网络和边界分布网络五个模块。下面将从每个模块入手,着重分析每个网络模块的安全设计和安全措施。

2.1 核心网络模块安全

这里的核心网络模块和其他任何网络体系结构中的核心模块一样。它主要是将信息流尽可能快速的从一个网络传送和交换至另一个网络。

设计说明:核心网络设备建议采用性能较高的第三层交换设备,并采用冗余热备份的结构,以保证核心网络的可靠性和稳定性。

主要设备:第三层交换-将生产网络数据从一个模块传送和交换至另一个模块;所缓解的威胁:分组窃听-使用限制窃听有效性的交换基础设施。

2.2 分布层网络模块安全

分布层网络模块设计的目标是向接入层交换机提供路由、服务质量(Qos)和访问控制等分布层服务。数据请求从这些交换机传至核心,响应则以相反途径进行。

设计说明:除了标准网络设计基础外,也应对交换机的配置实施优化,以便增加企业用户的安全性。入侵检测不在该模块中实施,它在包含最可能因其内容而遭攻击的资源(服务器、远程接入、互联网等)的模块中实施。分布层模块是针对内部发起攻击的第一道防御。通过使用访问控制,它可以减少一个部门访问另一部门服务器上保密信息的机会。

主要设备:第三层交换机-集中接入层网络中的第2 层交换机并提供高级服务;所缓解的威胁:未授权访问-针对服务器模块资源的攻击受到特定子网第3层过滤的限制;IP电子欺骗-RFC 2827过滤中止了大多数电子欺骗企图;分组窃听-限制了窃听有效性的交换基础设施。

2.3 接入层网络模块安全

接入层网络主要包括最终用户工作站、IP电话及其相关的第2层接入的网络设备。其主要目的是向最终用户提供服务。

设计说明:因为用户设备一般来说是网络中最大规模的元素,从安全角度来说,接入层网络提供了主要的访问控制功能。

主要设备:第2层交换机――向电话和用户客户端提供第2层服务;用户客户端-向网络上的授权用户提供数据服务;IP电话-向网络上的用户提供IP电话服务。

所缓解的威胁:分组窃听使用交换基础设施和缺省VLAN服务限制窃听的有效性;病毒和木马应用-基于客户端的病毒搜索可预防大多数病毒及多数木马。

2.4 服务器网络模块安全

服务器模块的主要目标是向最终用户和设备提供应用服务。服务器网络上的信息流由第3 层交换机中的主机入侵检测进行检查。

设计说明:服务器网络通常会成为内部攻击的主要目标,因此仅依靠有效口令不能提供全面的攻击保护。使用基于主机和网络的IDS、专用VLAN、访问控制以及及时的系统更新(保持病毒库以及最新补丁同步),可以实现对攻击的全面响应。在这里NIDS既可以采用三层交换机上自带的IDS功能模块,也可以采用另外购置NIDS产品,通过交换机端口镜像的方法进行监控。

主要设备:第3层交换机-向服务器提供第3层服务器并用NIDS检查通过服务器网络的数据;公司和部门服务器-为整个系统提供各种应用服务;内部邮件服务器-提供smtp和pop3服务。

所缓解的威胁:未授权访问-通过使用基于主机的IDS和访问控制缓解;应用层攻击-操作系统、设备和应用与最新安全版本保持同步,而且由基于主机的IDS保护;IP电子欺骗-使用防止源地址电子欺骗的RFC 2827;分组窃听-交换基础设施限制窃听的有效性;信任关系利用-专用VLAN防止同一子网上的主机进行通信;端口重定向-基于主机的IDS可防止安装端口重定向。

2.5 边界分布网络模块安全

此模块的目的是在边界集中来自外部各元素的连接,比如广域网联接、VPN连接等。信息流从边界网络的过滤和路由送到核心网络。

设计说明:边界分布模块在整体功能方面与分布层网络模块有些类似。这两个模块都采用接入控制来过滤信息流,均使用第3层交换机来获得高性能,但边界分布模块可添加附加安全功能,其为从边界网络模块发送到园区网络模块的所有信息流提供了最后一道防线,这可以减少电子欺骗分组、错误路由升级和对网络层访问控制的配置。

主要设备:第3层交换机-集中边界连接,并提供高级服务。

所缓解的威胁:未授权接入-过滤具体控制了对特定边缘子网及园区内网的访问;IP电子欺骗-RFC 2827过滤限制了本地发起的电子欺骗攻击;网络侦察-过滤可以限制不重要的流量进入园区网,从而限制黑客对网络进行侦察的能力; 分组窃听-交换基础设施限制窃听的有效性。

3 企业边界网络安全设计

企业边界网络是介于企业内部网络和外部网络(互联网、其他单位网络、ISP等),两个不同安全等级网络区域之间的网络,是安全防范的重点部分。目前企业的发展很大程度上依赖互联网的信息和应用,而外部网络的种种安全隐患也会威胁到各个企业内部的信息安全。因此如何做好这部分网络的安全设计,做好信息安全与应用的平衡,是我们设计的重点。各个企业的外部网络可能各有不同,我们在这里把它们归结为四类,包括公司互联网模块、VPN 及远程接入模块、电子商务模块、广域网模块。

3.1 公司互联网模块安全

公司互联网模块为内部用户提供了到互联网服务的连接并使互联网用户能够访问公共服务器上的信息。信息也可以从此模块流向VPN接入模块。

此网络模块的核心是防火墙,它为互联网公共服务和内部用户提供安全保护。状态检查会检查所有方向的信息流,从而确保只有合法信息流穿过防火墙。模块中的其他部分也围绕安全性和缓解攻击进行。从ISP的客户边缘路由器开始,ISP的出口对超过预定门限的非重要信息进行速率限制,从而缓解(D)DoS攻击。同样在ISP路由器的出口,RFC1918和2827过滤可缓解本地网络和专用地址范围的源地址电子欺骗。在企业网络的第一个路由器入口,基本过滤会根据预期信息流(IP和地址服务)来限制信息流,并对大多数基本攻击提供了过滤器。此处也提供RFC1918和2827过滤,作为对ISP过滤的验证。

3.2 VPN 和远程接入模块安全

这个网络模块的功能是为三种独立的外部用户提供验证和连接,分别为远程接入VPN、拨号接入用户、点到点VPN。远程接入VPN是指VPN信息流从公司互联网模块的接入路由器发送到属于VPN服务一部分的特定IP地址和协议,可采用多种不同隧道和安全协议(如IPSec、PPTP、L2TP)。拨号接入是为传统的拨号用户提供接入路由器服务,通过CHAP、AAA、OTP的方式进行验证。点到点VPN是指站点间的IP信息流通过有安全有效负载(ESP)保护的GRE隧道传输。

来自三种服务的信息流在由路由器送到边界分布模块前,被防火墙集中到一个专用接口上。该防火墙必须配置适当类型的限制型访问控制,从而只允许每种服务中的适当信息流通往防火墙的内部接口。一个NIDS应用位于模块的公共边,检测对VPN 接入设备的网络“侦察”活动。第二个NIDS位于防火墙之后,可发现穿过模块其余部分的攻击。

3.3 电子商务模块安全

电子商务模块是企业与外界网络进行数据交换,提供相关应用和信息服务的网络。这里的外界网络可以是Internet,也可以是其他企事业的内部网络。这一部分的设计,要在接入和安全两方面必须有所平衡。

该模块的核心是为Web、应用和数据库服务提供两对防火墙。部分附加的保护由ISP 边界路由器提供。服务器本身也必须全面保护-安装主机IDS 软件。

3.4 广域网模块

这部分网络主要是负责中心站点与远程站点之间信息流传输。对信息保密性非常关心的部分机构可在其广域网链路上对高度机密的信息路加密;在接入路由器上进行访问控制和策略路由等。

4 结束语

该文主要从技术因素的角度阐述了如何进行安全的网络结构设计。结合企业网络的实际情况,采用模块化的设计理念,把企业网络分成两个部分:企业园区网络和企业边界网络,具体又可分为核心网络、分布层网络、接入层网络、边界分布网络、广域网等多个功能模块。同时从各个网络模块主要实现的功能出发,详细分析如何选择合理的网络设备和安全设备、如何进行安全策略的配置,消除的各个部分安全威胁。

参考文献:

友情链接