随着企业网络规模的不断扩大,企业存储系统上的敏感数据越来越多,如何保护企业系统不被非法访问?这一问题现在显得越来越重要,企业用户应采用安全访问控制技术,打造行之有效的网络安全体系。
构建安全体系
(1) 明确网络资源
事实上很多情况我们并不能确定谁在攻击系统,作为网络管理员在制订安全策略之初,应当充分了解企业的内部构架,企业要保护什么,需要什么样的访问,以及如何协调所有的网络资源和访问。
(2) 确定网络访问点
网络管理员应当了解潜在的入侵者会在哪里威胁或进入系统。通常通过网络连接、入侵主机系统成为攻击者的首选。
(3) 限制用户访问的范围
应当在网络中构筑多道安全屏障,使入侵者不能轻易侵入整个系统,尤其要注意网络中关键敏感地区的防范必须单独制订。
(4) 明确安全隐患
每个安全系统都有一定的隐患的,依次管理员在指定安全策略前需要对整个系统做一些可能存在的假设。一定要认真检查和确认安全假设,否则隐藏的问题就会成为系统潜在的安全漏洞。
(5) 不可忽略人的因素
在构建安全体系时,人的因素是非常重要的。即便网络管理员制定了非常完善的安全制度,如果操作人员不认真执行,也无疑会为不法入侵者大开方便之门。
(6) 实现深层次的安全
对系统的任何改动都可能会影响安全,因此系统管理员、程序员和用户需要充分考虑变动将会造成的附带影响。构建安全体系的目标之一是使系统具有良好的可伸缩性,而且不易影响系统的安全性。
一般来说,我们把网络的安全访问控制体系分为企业内部网络的控制体系和企业外部网络的控制体系这两大部分。从技术角度而言,主要采用虚网(VLAN)技术、路由器访问控制列表(ACL)、TACACS+或RADIUS认证服务和防火墙技术等。
企业内部网的安全
企业内部网面临的安全问题主要在于:
(1) 如何控制网络不同部门之间的互相访问;
(2) 如何对不断变更的用户进行有效的管理;
(3) 如何防止网络广播风暴影响系统关键业务的正常运转,甚至导致系统的崩溃;
(4) 如何加强远程拨号用户的安全认证管理。
1.虚网技术
针对上述的前三个问题,我们一般采用虚网(VLAN)技术。虚网是由一些端系统(主机、交换机或路由器)组成的一个虚拟的局域网。虚网超越了传统的局域网的物理位置局限,端系统可以分布于网络中不同的地理位置,但都属于同一逻辑广播域。虚网具有如下三个优点。
第一,网络管理员能够轻易控制不同虚网间的互相访问能力。我们可以将同一部门或属于同一访问功能组的用户划分在同一虚网中,虚网内的用户之间可以通过交换机或路由器相互连通。网络管理员甚至还可以通过虚网的安全访问列表来控制不同虚网之间的访问。
目前,实现虚网的划分有多种方法,我们可以按照物理端口来划分,也可以按照不同的网络协议如IP、IPX等进行划分,也可以按照MAC地址来划分,甚至可以根据应用类型来划分。具体采用何种划分办法要看用户的具体需求和所选用的网络产品。
第二,是对广播信息的有效控制。这要求机构的域中包含的广播和多信宿组与用户位置无关。如果不考虑广播组整个大小的话,网络设计者、规划人员和管理员将可能不慎创建大型的平面网络拓扑,而在用户间却只有(甚至没有)广播防火墙。
虚网是控制这些广播信息转发的有效技术。它们的布置结构最大限度地减少了对最终用户站、网络服务器和处理关键业务数据的骨干部分的性能影响。虚网的发展趋势是迈向更成熟的跨越网络园区的带宽和性能管理。
第三,便于管理的更改,而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求,也大为减少。由于网络管理部门精力有限,技术水平也参差不齐,所以这是很关键的要求。这从很大程度上方便了网络系统的安全访问控制管理。
基于虚拟局域网本身的优点,我们能有效解决前述的网络安全问题。但虚网的划分是一项复杂细致的工作,我们应紧密依据用户应用的实际要求,结合实际工程经验,作出详细合理的规划。
2.路由器访问控制列表(ACL)
路由器访问控制列表提供了对路由器端口的一种基本安全访问技术,也可认为是一种内部防火墙技术。访问控制列表一般是基于网络协议的,也就是说网络管理员必须对路由器接口上运行的各种协议分别进行配置。路由器访问控制列表分为静态和动态两种。
通常采用静态的控制列表,能支持多种路由协议,而动态的控制列表只能支持IP协议,但提供相对多的安全功能。一般路由器访问控制列表的控制功能在于对每个接口控制包的传输,典型的参数包括数据包的源地址、目的地址以及包的协议。对于具体的协议,都有相应的一系列参数可以定义。
