分层架构企业网络安全的研究

一、概述

网络的最大价值,在于信息化的应用。由于企业信息化与企业生产经营已经逐渐成为一个共同的载体,企业对网络安全保护的要求日益提高。当前利用结构化的观点和方法来看待企业网络安全系统是主流思想,通过各层的弱点及攻击的可能性对各层进行分析及防护,对可能发生的攻击事件或漏洞做到事前防护,合理地利用各种硬件设备,通过完善的管理手段来建设一个稳定、安全、可靠的企业信息网络平台。

二、企业网络安全架构

企业网络管理的核心是网络应用,如何架构一个安全、可靠的网络环境是网络管理的一大课题。在网络安全隐患无处不在的今天,安全需求格外重要。当企业在架构网络前,应当全面的分析相应网络中可能存在的安全隐患,以及网络应用中必要的安全需求。

1、网络安全威胁

从目前的企业网络使用情况及日后的应用发展来看,主要存在以下几种安全威胁.(1)、病毒感染。病毒感染是危害面最广的安全隐患,威胁整体网络运行。组建企业网络时选择部署整个网络系统的病毒防御系统。(2)、黑客入侵和攻击。黑客攻击的危害性很大,入侵途径和攻击方式多样化,难以预防。目前防御措施主要是通过部署防火墙系统、入侵检测系统、网络隔离技术等防御黑客攻击,还应辅以系统漏洞和补丁升级系统。(3)、非法访问。非法用户访问企业网络时可能携带、放置病毒或其它恶意程序,也可能删除服务器系统文件和数据以及窃取企业机密信息等。防御措施除了防火墙系统、入侵检测系统和网络隔离技术外,还应注意在网络管理中引入安全机制,如对关键部门划分子网隔离保护,对重要的数据和文件进行加密以及对于需要进行远程访问的用户,注意权限配置工作。 (4)、数据损坏或丢失。网络数据对于企业来说是非常重要的。数据的备份是一切安全措施中最彻底有效,也是最后一项保护措施。

2、网络架构概念

企业网络安全是系统结构本身的安全,应利用结构化的观点和方法来看待企业安全系统。全方位的、整体的信息安全防范体系应是分层次的,不同层次反映了不同的安全问题。根据搭建网络的应用现状和结构,从物理层安全、系统层安全、网络层安全、应用层安全及安全管理五个方面来考虑网络的安全架构。

三、学院网络安全系统分析

结合本学院网络建设的实际情况,在此对分层架构安全体系进行具体阐述并对网络层的安全进行重点研究。

1、物理层安全

物理层的安全主要就是对设备和链路及其物理环境的安全保护。这里着重考虑学院信息中心的建设。信息中心作为学院的数据中心,承载所有的应用服务器的运行,所以信息中心的安全是最基础的安全保障。信息中心的建设除了要保证温度、湿度、防雷、防火以及不问断供电以外,还应注重信息中心的综合布线布局,做好整体规划及标记,力争布线的简洁、有序,便于日后维护及故障排查。

2、系统层安全

主要包括操作系统安全和应用系统安全。系统层的安全,主要考虑操作系统的漏洞补丁。利用内网架设的补丁升级中心(WSUS),对于徼软发布的系统补丁,进行补丁下载和安装,提高操作系统的安全性,有效降低系统的安全风险。我们还可以采用绿盟的极光远程安全评估系统扫描出整个网络中所有设备上的漏洞,并且与wsus服务联动,仅在绿盟的设备上就可以对这些漏洞进行修补。对于应用系统服务器来说,除了加强登陆的身份认证权限,还应该尽量开放最少的端口,保证服务器的正常使用。

3、网络层安全

网络层安全是我们考虑最多,也是防范要求最多的一个层面。这里从以下几个方面进行阐述:

(1)确定安全域的划分

安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源,根据对学院的重要性、面临的外来攻击风险、内在的运行风险不同,划分成多个网络安全区域。划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内,尽量消除不同安全层次之间的联系,实施相互逻辑或物理隔离。

从目前情况分析,学院内部的财务处和人事处因业务及数据的保密性和敏感度,需要阻止任何的外部访问。所以这两个位置与网络中其它处室在逻辑上应是隔离状态。这里主要使用交换机利用vlan对各个不同的功能区域进行划分。除了保证物理位置及逻辑位置的隔离以外,划分vlan的另一个好处就是减小广播包的数量,控制网络流量,避免广播风暴的产生。在实际工作中曾经遇到财务处网段被其他网段访问的安全问题。此问题涉及财务的机密文件和重要报表数据,所以问题较严重。在这之前财务处是被独立划分为一个网段,与其它网段用ACL列表进行隔离。但是在客户端统一纳入学院域之后,之前做的ACL列表不起任何作用。经分析,我们发现在域内PC之间的通讯协议发生了变化,于是将所有的TCP、UDP协议进行拦截,只对部分可以互访的终端服务器进行允许控制。对于需要外网进行访问的服务器,比如web服务器、ftp服务器、邮件服务器等需要把它们分离出来,不需要进入内网进行保护。其它服务器则放置于内网保护区域内,独立划分为一个vlan。

(2)攻击阻断

这里主要采用防火墙、入侵防护、防病毒系统进行外部阻断。

首先,为了保护内部网络,在Internet出口部署防火墙,将内部网络与因特网隔离,只在内部网与外部网之间设立唯一的通道,将攻击危险阻断在外,并限制网络互访从而保护企业内部网络。另外,利用防火墙的端口,设置LAN区、SSN区以及外网区。LAN区是不对外开放区,所有的客户端及需要保护的服务器放置在这个区域里。SSN区域里放置需要外部访问的服务器,如web服务器、ftp服务器及邮件服务器。由于防火墙处于网关的位置,不可能对进出攻击做出太多判断,否则会严重影响网络性能。所以这里需要部署入侵保护系统(Ips)作为防火墙的有力补充。将Ips串联在主干线路中,是网络安全的第二道屏障,可构成完整的网络安全解决方案。除此之外,我们还可以进行恰当的设置,使防火墙、lps联动起来。当Ips检测到入侵和攻击后,会通过联动接口部件,将入侵特征和事件报告给防火墙,防火墙接到入侵信息后会动态地修改自己的安全访问控制策略,在下一次防火墙不需要Ips也可以将入侵流量屏蔽掉。

这样防火墙和Ips联动起来后,防火墙的访问控制规则和Ips的规则链会随着网络安全状况的变化而不断调整,这样不仅能提高安全性,而且不必要的访问控制规则和规则链会被及时地删除掉,对网络性能造成的影响也会降到最低。防病毒系统应该是网络安全的第三道屏障。在网络技术日新月异的今天,即使网络部署了防火墙和入侵保护系统后,仍然会存在漏洞。学院网络应该建立立体防毒体系,就是指在网络的边界处部署硬件防毒墙,然后再在整个网络内部部署网络版杀毒软件。这样防病毒系统不仅部署在每一个客户端上,能够对源于内部网络的攻击或者是防火墙无法隔离的攻击行为、恶意代码进行阻拦,而且防病毒系统也部署在服务器上和网络边界处。这样从边界到内部,整个网络进行立体地防护,极大地提高了全网的防毒能力,是防火墙及入侵保护系统的有力补充。

(3)远程接入控制

对于学院的三个分院以及外出办公人员,需要通过Internet访问学院本部,这里考虑vpn(虚拟私有网络)技术来实现。

现有vpn技术有Ipsecvpn以及sslvpn。从学院目前网络使用情况并考虑日后发展状况,将以IPsecvpn作为点对点连结,再配以 sslvpn的远程访问方案。在交通分院、建设分院、卫生分院三地之间架设防火墙,利用防火墙的网关对网关的Ipsecvpn满足三地办公的需要,再选购 sslvpn来满足移动办公人员访问学院内网高安全性及可靠性的需求。我们目前一直使用天融信防火墙自带的ipsecvpn。除了因为网络问题带来的故障以外,可以说vpn功能基本达到了我们的需求。但是对于它的移动vpn,因为客户端的产品型号、操作系统及应用软件的差异,有必要另选用一套sslvpn 满足移动办公访问学院内网的需求。

(4)身份认证

对于不同的应用,访问者的操作权限应该通过身份认证系统来实现。身份认证有利于保证被访问资源的安全,也是对远程接入安全控制的有益补充。

4、应用层安全

主要包括网页防篡改、数据库的漏洞修补、数据的完整性检验以及数据的备份和恢复。这里将注意力大部分集中在数据库的安全上。主要的工作应该是登陆的身份验证管理、数据库的使用权限管理和数据库中对象的使用权限管理。对于网页防篡改可以在web服务器前部署web应用防火墙。对于数据库来说,为了提高用户访问数据库的速度和数据库中数据的安全性,我们可以采取磁盘阵列来代替普通的存储设备,极大地扩展了存储容量,在性能和安全性上也有了大幅度的提高。考虑到以后我们的应用不断增多,数据量不断加大,为了保证性能和安全性,我们可以着手建设SAN或NAS,甚至可以做异地容灾备份,即使发生自然灾害,我们也可以在最短的时间内恢复我们的数据和我们的应用。

5、网络安全管理体系的建立

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立有组织的安全管理体系是网络安全的核心。其过程如下:

(1)、安全需求分析。明确目前及未来几年的安全需求,即我们需要建设什么样的网络,网络状况如何,未来发展如何等等,有针对性地构建适用的安全体系结构,从而有效地保证网络系统的安全;(2)、制定安全策略。根据不同部门的应用及安全需求,分别制定部门的计算机网络安全策略,做到资源最优化: (3)、外部支持。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供预警。定期进行巡检,保证所有网络设备和安全系统的运转正常,提早发现隐患,将网络故障对学院整体的影Ⅱ向降至最低。

6、计算机网络安全管理

安全管理是计算机网络安全的重要环节之一,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地运行,这是获取安全的一个重要条件。安全管理是构建安全架构的核心。网络安全所要达到的目的是保证网络应用在需要时可以被随时使用。在安全方面,我们倡导“三分技术,七分管理”,指的是通过管理手段和技术手段来实现更高的安全性。信息安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理措施的另外一个方面,就是加强网络安全宣传,提高学院职工对网络安全的认识和保护网络安全的自觉性,从每个网络用户开始进行“主动防护”,防止“病从口入”。

四、总结

任何一种单一的技术或产品都无法满足我们对网络安全的要求,只有将技术和管理有机的结合起来,合理分析需求,按照体系架构进行安全方案的部署,从控制网络安全建设、运行和维护的全过程入手,才能提高整个网络的安全水平。