企业局域网安全综述
2022-06-09
网络安全方案的设计是在不影响网络业务的前提下,实现对网络的全面的安全管理,当然要客观地考虑便捷性与安全性的矛盾对立关系的约束。但是,网络安全涉及的面既广泛又深刻,该文基于一般局域网构架,从网络物理安全性、网络结构安全性、系统安全性、应用安全性及管理安全性等五个方面入手,将安全策略、硬件与软件结合起来,讨论构造一个安全的防御系统的方法。
1网络物理安全性
影响网络物理安全性的主要因素有地震、雷击、电磁辐射、水灾、火灾;设备被盗、线路截获;电源故障、操作失误或错误以及计算机、通信设施犯罪对网络的物理破坏。对此,主要通过以下措施来避免网络的物理风险:加强安全意识,制定健全的安全管理制度;权衡需求、风险、代价的平衡关系,建造防震机房,安装接地装置;综合考虑可能构成电磁辐射、水灾、火灾的各种因素,对相应的基础设施进行详细设计、精心选材等;健全系统备份、恢复机制;加强对网络机房及基础设施的监控与管理。
2网络结构安全性
企业网按访问区域可以分为三个区域,即内部网络、外部网络及公开服务区(向外发布企业信息、提供Email服务等)。这三个区域用防火墙进行隔离,保护的重点是内部网络,公开服务区时企业信息发布的平台,一旦不能运行或者受到攻击,对企业的声誉影响巨大,同时公开服务器本身要为外界提供服务,必须开放相应的端口,但是必须警惕公开服务器成为黑客入侵内部网络的跳板,所以尽量关闭不必要的端口。外部网络直接连接Internet,是来自Internet的黑客攻击、病毒、非法访问入侵内网的必经之地。为了避免来自Internet的黑客攻击,在防火墙与内网交换机之间串联一个入侵防御系统(IPS),同时与防火墙并联一个入侵检测系统(IDS);为了避免非法访问,可以利用防火墙的访问控制技术,来限制来自Internet的非法访问,必要时可以安装AAA服务器,对用户进行身份验证、授权、审计等。同时启动防火墙的NAT功能来隐藏内部网络结构,病毒的预防在下文讨论。
内部网络可以根据各区域的职能、安全等级利用交换机的VLAN技术进行子网划分,如财务子网、领导子网及数据中心子网等属于重要网段,是被保护的对象,所以在中心交换机上将这些网段各自划分为一个独立的广播域。为了避免来自内网的攻击,也可以用防火墙来隔离重要的网段,必要时可以在重要网段部署入侵防御系统(IPS)、入侵检测系统(IDS)进行实时监控、跟踪、预警、分析、捕获攻击行为。
3系统安全性
系统安全性主要指操作系统、应用系统及硬件系统的安全性,对来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows还算其他任何商用的Unix操作系统,其开发厂商必然有其Back-door,即使我们自己开发操作系统,其漏洞也是在所难免的。所以没有完全安全的操作系统。但是我们可以对现有操作系统进行周密的配置,严格限制操作和访问权限,以提高系统安全性。关键业务尽量采用安全性高的操作系统。针对操作系统的漏洞,可以在网络中部署一台操作系统自动更新服务器,以及早弥补系统中的漏洞,同时安装网络版病毒防御软件,使全网的所有主机都处于最新版的病毒防御系统的保护下。在网络的关键部位部署入侵监测系统和入侵防御系统以提供实时监测、监控、报告、预警及捕获各种攻击的功能。
在应用系统的二次开发过程中,要充分利用身份验证、授权、审计等机制对机密数据库服务器、应用服务器等重要服务器进行保护。
网络中的服务器和网络设备尽可能不采用同一家厂的设备,这样既可以避免通过Back-Door的攻击,又增加了黑客攻击的难度。
4应用安全性
应用安全性涉及到网络数据、信息的安全存储、安全访问和安全传输。对重要数据的访问,实行身份认证、授权、审计,使访问者通过身份认证后在其权限允许的范围内进行最小限度的访问,同时跟踪访问轨迹,审计访问行为,对非法行为进行取证,基本能够阻止非法用户的访问。可是,当整个系统遭到灾难性破坏时,同时殃及备份数据。另一种方式是冷备份,将备份数据存储到另一个系统或存储介质中,此时,备份数据可存放在远离系统的地方,非常有利于灾难性恢复,但投资较昂贵。
数据在传输过程中可能被非法截获,从而破坏信息的机密性,完整性。为了保证数据传输的安全性,我们可以借助VPN技术,这样即使数据被截获,但由于数据是加密的,保证了数据的机密性,同时所传输的数据附有哈希消息认证码,可以保证数据的完整性,这种技术又具有身份认证及数字签名功能,保证了消息不会是假冒的,同时也是不可抵赖的。根据具体情况可以采用接入VPN(AccessVpn)、内部网VPN(IntranetVPN)和外部网VPN(ExtranetVPN)。
5管理安全性
安全管理策略包括定义完善的、合理的、长远的、可实施的安全管理规范和高效、可靠的安全管理技术平台。这两个方面必须齐抓共建、有机整合才能保证管理安全性。
5.1安全管理规范