試論安全的企業網絡結構設計

摘要 在電子政務和電子商務應用快速發展的今天，信息安全問題越來越突出。本文主要討論了安全的企業網絡結構設計問題，主要分析了企業網絡模塊化構成，以及網絡安全管理模塊的設計中的統一管理平臺的系統架構設計關鍵技術。

關鍵詞 網絡安全 企業網絡 電子政務 網絡安全管理

一、引言

在電子政務和電子商務應用快速發展的今天，信息安全問題越來越突出。據權威統計顯示，80％以上的企業內部網絡曾遭受過病毒的肆虐，60％以上的企業網站受過黑客的攻擊，因此企業網絡安全的形勢相當嚴峻。深入分析企業網絡可能存在的問題和正在遭受的安全威脅，是設計安全方案的前提，只有了解企業環境和面臨的問題，才能發現并分析企業網絡所處的風險環境，并在此基礎上提出可能的安全保障措施。這是解決企業網絡安全問題的關鍵，也是設計面向企業的網絡安全體系的前提，它能使我們有的放矢地采用安全防范技術和安全措施。網絡是整個企業信息資源的基礎，也是整個安全體系的基礎。什么樣的網絡結構決定了我們應采用什么樣方法來進行安全設計，安全的網絡結構設計和相關技術手段的應用是整個安全體系建設的重要部分。網絡設備個體作為網絡的最基本構成，其個體的安全關系重大，往往個別設備的安全漏洞或者錯誤的配置，就可能造成網絡的中斷或者癱患。所以最后從網絡設備個體的角度出發，介紹了如何有針對性的采取有效的安全措施。

二、企業網絡模塊化構成

隨著企業的不斷壯大，企業網絡發展要求也日益提高，因此本文在設計網絡安全體系結構時，采用了模塊化的方式。即將企業的網絡劃分成不同的功能模塊，在整體網絡安全設計時實現網絡各功能塊之間的安全關系，同時，也可以讓設計者逐個模塊的實施安全措施，而并不需要在一個階段就完成整個安全體系結構。

我們把企業網絡分為企業園區網和企業邊界網絡兩個大的部分。其中，企業邊界網絡是企業內部網絡與電信服務提供商之間的過渡。對每個功能區中的模塊進行了細化，這些模塊在網絡中扮演特定角色，都有特定的安全需求，但圖中的模塊規模并不代表其在實際網絡中的大小。例如，代表最終用戶設備的接入層網絡可能包括80％的網絡設備。雖然大多數已有企業網絡都不能輕而易舉的劃分為明確的模塊，但此方式可以指導我們在網絡中實施不同安全功能。各個企業的網絡都可以對照此結構找到共性。在企業的實際網絡中，可能有些模塊不存在，或者兩個模塊相合并了，也可以根據后面的安全設計方式結合實際，找到安全解決方案。

三、網絡安全管理模塊的設計

從體系結構的角度來說，提供網絡系統的帶外管理是適用于所有管理和報告策略的最好的第一步。帶外是指無生產信息流駐留的網絡，設備應盡可能的與這樣一個網絡建立直接本地連接，在由于地理原因或系統相關問題無法實現的情況下，設備應經由生產網絡上一條專用加密隧道與其連接。這樣的隧道應預先配置，僅在管理和報告所需的特定端口上通信。整個企業管理網絡模塊由一個防火墻和一個路由器分成兩個網段。防火墻外的網段連接到所有需要管理的設備。防火墻內的網段包括管理主機本身以及作為終端服務器的路由器。其余的接口接到生產網絡，但僅用于接收來自預定義主機、受IPSec保護的管理信息流。兩個管理子網均在完全與生產網絡的其余部分獨立的IP地址空間下運行。這可以確保管理網絡不受任何路由協議的影響。另外，SNMP管理僅從設備獲取信息而不允許更改，即每個設備僅配置“只讀”字串。

當然，完全的帶外管理并非總是可行的，可能因為部分設備不支持，或者有地理差別，需帶內管理。當需要帶內管理時，注意的重點更應放在保護管理協議的傳輸上。這可通過IPSec、SSH、SSL或其他加密認證的方式實現。當管理恰巧即是設備用于用戶數據的接口時，應多注意口令、公共字串、加密密鑰和控制到管理服務器的通信的訪問列表。

主要設備：SNMP管理主機——提供SNMP管理；NIDS主機——為網絡中所有NIDS設備提供報警集中；系統日志主機——幾種防火墻和NIDS主機的記錄信息；接人控制服務器——向網絡設備提供一次性、雙因素認證服務；一次性口令(OTP)服務器——授權從接入服務器轉接的一次性口令信息；系統管理主機——提供設備的配置、軟件和內容變更；NIDS應用——提供對模塊中主要網段的第4～7層監控；防火墻——對管理主機和受控設備間信息流動的控制；第2層防火墻(帶專用VLAN支持)——確保來自受監控設備的數據僅可直接傳輸到防火墻；

所緩解的威脅：未授權接入——在防火墻處的過濾中止了兩個方向的大多數未授權信息流；中間人攻擊——管理數據穿過專用網絡，使中間人攻擊較為困難；網絡偵察——因為所有管理信息流穿越此網絡，它不通過有可能在其中被截獲的生產網絡；口令攻擊——接入控制服務器使每臺設備都擁有強大的雙因素認證；IP電子欺騙——在防火墻兩端均中止了欺騙流量；分組竊聽——交換基礎設施限制了竊聽的有效性；信息管理利用——專用VLAN可防止任何一個受破壞的設備偽裝成一臺管理主機。

四、統一管理平臺的系統架構設計

由于目前企業網絡中各種廠商的網絡設備越來越多，僅僅利用個別設備廠商的網絡管理軟件(如Ciscoworks 2000等)很難完全達到上述的種種要求，因此在網絡設計時要么都采用同一廠商的設備(包括網絡設備和安全設備)，要么利用第三方廠商開發的網絡管理軟件，通過各種客戶化和集成工作，將不同廠商的設備更好的管理起來，作為搭建網絡安全管理平臺的主要工具。

統一管理平臺的基本構架設計分為三個層面：視圖(Wodd View)、企業管理(En-terprt’se Management)、客戶端(Ageats)，其中：World View顯而易見是提供圖形化界面的應用程序，將管理對象的信息通過圖形(二維圖或者三維圖)的方式形象的呈現給用戶；企業管理層則通過智能化的手段，來提供處理各種信息、安全、存儲、工作計劃、事件管理等的復雜功能，這部分是整個平臺的關鍵，可能包括了事件管理、故障管理、性能管理、網絡發現等多個功能模塊；客戶端可以看作是一些系統進程或者內嵌代碼(比如各種SNMP信息，MIB庫信息)，用來監控各種系統資源，比如操作系統、數據庫、網絡設備等等。客戶端可以從管理層面接受各種指令進行操作，或者向管理層上報相關的系統狀態。

從各個部分的數據交換方式可以看出，其中DSM(Distributed State Machine)負責管理各種客戶端。CCI(common Commu—nicafions Interface)是一個為系統管理平臺內部特有的獨立于網絡協議的接口，負責協調內部各個管理組件的數據通訊。還可以簡要看出DSM通過SNMP的方式從各種客戶端獲取信息，信息經過處理匯總到數據庫中，從而更新視圖中每個被管理設備或者資源的狀態。

五、結語

在分析企業網絡目前存在的問題和面臨的安全威脅的基礎上，提出關于解決這些問題的思路，給出了面向企業網絡安全體系的設計目標進行相關探討。