分層架構企業網絡安全

馬瀾

【摘 要】隨著網絡的普及化，企業信息化建設對安全的要求日益加劇。本文討論了企業信息化發展中的網絡威脅以及分層架構企業網絡安全的概念，并結合企業的網絡安全實例進行具體闡述。

【關鍵詞】企業信息化；網絡安全；分層架構

【中圖分類號】TP393.18 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0134-02

一、概述

網絡的最大價值，在于信息化的應用。由于企業信息化與企業生產經營已經逐漸成為一個共同的載體，企業對安全保護的要求日益提高：一方面要求連接性、可用性、性能表現、成本及管理受到最低程度影響，另一方面要求安全保護能全面覆蓋操作系統、網絡及數據安全。

利用結構化的觀點和方法來看待企業網絡安全系統是現今主流的思想，通過各層的弱點及攻擊的可能性對各層進行分析及防護，對可能發生的攻擊事件或漏洞做到事前防護，合理的利用各種硬件設備，通過完善的管理手段來建設一個穩定、安全、可靠的企業信息網絡平臺。

二、企業網絡威脅分析

在網絡安全隱患無處不在的今天，安全需求也格外重要。在架構企業網絡前，應當全面的分析相應網絡中可能存在的安全隱患，以及網絡應用中必要的安全需求。

從企業目前的網絡使用情況及日后的應用發展來看，主要存在以下四個方面的安全威脅：

2.1 病毒感染

病毒感染是危害面最廣的安全隱患，威脅整體網絡運行，存在于個人計算機中。組建網絡之前就應該對病毒的防范策略進行全面的計劃，選擇部署網絡系統的整體病毒防御系統。

2.2 黑客入侵和攻擊

相比病毒來說，黑客攻擊的危害性更大，而且入侵途徑和攻擊方式更加多樣化，難以預防。目前防御黑客攻擊的措施主要是通過部署防火墻系統、入侵檢測系統、網絡隔離技術等防御黑客攻擊，還應輔以系統漏洞和補丁升級系統。

2.3 非法訪問

非法用戶訪問企業網絡時可能攜帶、放置病毒或其它惡意程序，也可能刪除服務器系統文件和數據以及竊取公司機密信息等等。防御非法訪問的措施除了防火墻系統、入侵檢測系統和網絡隔離技術外，還應注意在網絡管理中引入安全機制，如對關鍵部門劃分子網隔離保護，對重要的數據和文件進行加密以及對于需要進行遠程訪問的用戶，注意權限配置工作。

2.4 數據損壞或丟失

網絡數據對于一個依靠計算機網絡開展工作的企業來說，它的重要性是無法比擬的。數據的備份是一切安全措施中最徹底、最有效，也是最后一項保護措施。

三、分層架構概述

企業網絡管理的核心是網絡應用，如何架構一個安全、可靠的網絡環境是網絡管理的一大課題。

3.1 分層架構概念

企業網絡安全是系統結構本身的安全，應利用結構化的觀點和方法來看待企業安全系統。

全方位的、整體的信息安全防范體系應分層次，因為不同層次反映了不同的安全問題。根據搭建網絡的應用現狀和結構，從物理層安全、系統層安全、網絡層安全、應用層安全及安全管理五個方面來考慮網絡的安全架構[2]。震、水災、火災等環境事故以及人為失誤或錯誤而造成的破壞。

3.3 系統層安全

主要包括操作系統安全和應用系統安全。

3.4 網絡層安全

該層次的安全問題主要體現在網絡方面的安全性，包括網絡層身份認證，網絡資源的訪問控制，數據傳輸的加密與解密，遠程接入的安全，入侵防范的手段，網絡防病毒、信息審計等。

3.5 應用層安全

主要包括網頁防篡改、數據庫的漏洞修補、數據的完整性檢驗以及數據的備份和恢復。

3.6 安全管理

安全管理是構建安全架構的核心。網絡安全所要達到的效果是保證網絡應用。

安全方面所謂的“三分技術，七分管理”就是通過管理手段和技術完善鞏固邊界。信息安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。

四、企業網絡安全體系的建立

4.1 需求分析

在此結合某企業網絡規劃對分層架構安全體系進行具體解釋并對網絡層的安全進行重點研究。

某企業本部網絡由核心交換機、IPS、防火墻等若干網絡設備組成，分支機構均使用防火墻，采取墻對墻的方式進行訪問，移動辦公用戶通過vpn方式訪問本部各種應用服務。本部的DMZ區域放置有若干服務器以及電子商務平臺。對于這樣的一個網絡結構，我們重點來分析一下如何按照分層的概念建設企業的網絡安全。這里需要明確目前以及未來幾年的安全需求，即我們需要建設什么樣的網絡，需要什么樣的應用，網絡狀況如何，未來發展如何等等，才能有針對性地構建適合于自己的安全體系結構，從而有效地保證網絡系統的安全。

4.2 物理層

物理層的安全主要就是對設備和鏈路及其物理環境的安全保護。

這里著重考慮機房的建設。機房承載所有應用系統運行的數據中心，機房安全是最基礎的安全保障。機房的建設除了要保證溫度、濕度、防雷、防火以及不間斷供電（ups）以外，還應注重機房的綜合布線布局，做好整體規劃及標記，力爭布線的簡潔、有序，便于日后維護及故障排查。

4.3 系統層

系統層的安全，主要考慮操作系統的漏洞補丁。對于應用系統服務器來說，除了加強登陸的身份認證權限，還應該盡量開放最少的端口，保證服務器的正常使用即可。

4.4 網絡層

網絡層安全是我們考慮最多，也是防范要求最多的一個層面。這里從以下幾個方面進行闡述：

4.4.1 確定安全域的劃分

安全域的劃分就是制定安全邊界。根據資源位置進行劃分的目標是將同一網絡安全等級的資源，根據對企業的重要性、面臨的外來攻擊風險、內在的運行風險不同，劃分成多個網絡安全區域。

劃分的原則是將同一網絡安全層次內客戶端之間的連接控制在相同的安全域內，盡量消除不同安全層次之間的聯系，實施相互邏輯或物