转 http://blog.chinaunix.net/space.php?uid=22078472&do=blog&cuid=2217536
企业在快速发展的过程中,信息化也得到相应的发展,基础网络平台的安全性以及稳定性在信息化的建设中起着非常关键的作用,同时也带来了许多网络安全问题,因此。在开展信息化应用时,加强网络的安全保障显得越来越重要。本文就如何保障网络安全所采取的网络安全设计方案进行探讨。
需求分析
随着网络攻击方式的多样化,只针对网络层以下的安全解决方案已经不足以应付各种各样的攻击,企业网络需要防范来自2-7层的攻击;还要随时关注操作系统、数据库、软硬件等等设备本身的安全性;防范可能来自内部的安全威胁等等。因此企业必需采用立体的多层次的安全系统架构才能保障企业网络安全。
根据需求分析以及企业实际,结合目前网络安全面对的威胁,通常一个大型企业需要构建一个具备以下功能的安全网络。
1、防火墙/VPN
2、入侵检测防范
3、网络行为监控(内容过滤)系统
4、无线接入安全管理
5、企业内部网络安全机制
6、操作系统以及应用系统的安全设置
7、补丁更新、漏洞扫描机制
8、垃圾邮件过滤系统
9、企业防病毒系统
10、网络监控系统
11、安全审计、日志审核机制
具体详细设计如下:
1、防火墙/VPN
防火墙可以防范来自internet外部对企业内部网络的主动威胁,通过防火墙设备对internet的访问进行控制。目前主流的防火墙基本都具备2-4层的数据过滤功能、以及源和目的地址的访问控制、NAT转换和映射功能。一些功能强大的防火墙本身已经具备一定的入侵检测防范机制,对恶意的DDOS攻击、ICMP泛滥、syn攻击、端口扫描攻击都有一定的防范措施。
并且防火墙本身具备的VPN功能,可以提供大型企业和分支机构、远程办公人员之间建立安全的VPN隧道。同样保障了网络的安全。
可推荐考虑Cisco、Juniper(netscreen)等主流防火墙。
2、入侵检测防范
如果企业经常遭受来自外部的网络恶意攻击,则可以考虑购买专门的入侵检测防范设备,采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。
同时在外部攻击的频度和攻击流量非常严重的时候,有必要可以购买专门的DDOS防火墙
3、网络行为监控(内容过滤)系统
对网络内的上网行为进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制BT下载行为,阻止恶意文件的下载。在防范企业用户避免遭受来自internet的病毒感染、恶意脚本攻击等的同时可以大大提高用户的工作效率。并且使企业的网络带宽资源得到充分的利用
国内现在也有金盾、网络督察、深信服等等类似产品。
4、无线接入安全管理
现在企业无线网络使用越来越普遍,对无线网络的接入,同样需要进行安全控制,可以根据IP和MAC绑定的方式确保无线接入的安全性,对未经容许的无线设备、笔记本电脑则无法接入无线网络。有效防止外部的病毒或黑客程序被带进内网。
5、企业内部网络安全机制
根据部门以及功能的需求,在局域网通过vlan的划分,既可以阻止大规模的广播风暴影响整体网络的通畅,保障网络的稳定。并且通过交换机的ACL的控制,根据网络应用以及各部门内部信息保密的需求,对不同的网段之间的访问进行访问的控制。同时一些交换机具备流量控制、源路由限制等功能,根据企业实际情况设置也可加强企业内部网络的安全,降低因病毒、网络攻击造成的网络威胁。
6、操作系统以及应用系统的安全设置
通常,操作系统以及应用系统都提供有强大的安全设置,为保证系统的安全性,我们要在合理配置好操作系统以及应用系统的安全设置,在这个层面上要在保证安全和使用方便两者之间的关系取得一定的平衡。
比如操作系统密码口令复杂度、有效时间、应用开放的端口控制、数据库是否容许远程管理、用户账号权限控制等等。并且制定对黑客入侵的防范策略。
7、补丁更新、漏洞扫描系统
企业信息化应用离不开操作系统、数据库、网络设备等等软硬件。但是,同时我们知道操作系统、数据库等等是需要经常进行补丁更新,包括有些硬件设备本身也存在漏洞。所以企业也需要建立一套完整的机制强化这方面的需求。
在补丁更新方面,可以建立一个WSUS服务器,以便服务器和企业windows用户的操作系统及时更新补丁(在企业域环境可以直接通过更改组策略来实现客户端更新,无域环境则可以通过编写简单的脚本实现到WSUS服务器更新。)
在漏洞扫描方面,则需要企业网络安全管理者经常关注所使用的数据库系统、linux系统、硬件设备等等厂商公布的漏洞补丁。并且使用一个较为全面的漏洞扫描软件经常性检测是否存在严重的安全漏洞。
8、垃圾邮件过滤系统
垃圾邮件包括各类商业垃圾邮件、病毒垃圾邮件等,病毒邮件造成的企业安全损失是非常巨大的,阻止垃圾邮件及病毒邮件的入侵,及时更新垃圾邮件识别库。在阻止企业员工感染病毒邮件的同时可以提高企业员工邮件处理效率。为此,企业可以根据自己的邮件系统,设定合理的MX记录,将邮件都通过防垃圾邮件设备过滤后再由用户收取。大大降低感染病毒的风险。
各类垃圾邮件过滤产品也很多,比如:美讯智SurfControl、梭子鱼、IronPort、趋势防垃圾邮件网关等等、
9、企业防病毒系统
一套完整的企业版防病毒系统,可以强化病毒防护系统的应用策略和统一管理策略,并且使企业用户的电脑的病毒库及时得到更新,增强病毒防护有效性,降低病毒对安全带来的威胁。
国内外的企业级防病毒产品也有非常多,瑞星、金山毒霸、诺顿、趋势防病毒、McAfee等等。可以根据企业实际情况选择其中一种。
10、网络监控系统
企业的信息化到一定程度,各种系统、设备变得纷繁复杂,如何及时监控到操作系统、数据库、应用系统、网络设备、防火墙等等的使用状态,是摆在企业安全管理者面前必须要考虑的问题。
比如采用Cacti监控所有的服务器系统、网络设备,可以及对网络使用流量情况了如指掌,及时发现网络是否出现异常流量并控制带宽。(通过启用SNMP协议)
比如采用Quest的 Spotlight 软件则可以监sqlserver、oracle数据库、以及windows、linux操作系统的应用情况、系统资源使用情况,可以对应用系统使用情况了解的清清楚楚,保障应用的安全。
11、安全审计、日志审核机制
网络安全,不光是要防范杜绝,还要建立” 档案”。合理的配置安全审计,一些重要的安全信息、系统、设备的登入登出,都可以完整记录下来。而日志审核也可以对于故障排查、安全检查有很好的帮助。
企业通过这样的网络架构,并且从主机、网络、应用各个方面防范、实时调整构建一个整体网络安全架构。
以上所有的网络安全管理是基于技术方面,同时更需要采用一些管理的方法使网络安全高效有序的运转这些系统,更需要配合一套完整的网络安全管理制度。
1、建立网络安全管理制度,明确网络安全管理的职责
2、完善网络安全设置各方面的技术文档,按照技术文档进行设定安全策略以及安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有文档记录
3、确定网络安全管理的具体责任人。
4、提高公司各层面用户的网络安全意识。
点击下载此文件