淺談企業網絡安全

李永妮

引言：網絡安全，是每個企業最關切的問題。它關系到企業的創新機密，業務系統的正常運轉，還關系到企業的長遠發展。如何保障企業網絡的安全，不受病毒攻擊，阻擋黑客繞襲，防止企業資料泄密便成了研究的重點。

一、企業網絡發展概述

企業日常使用的互聯網絡的前身是ARPA網絡，該網絡最早發源于美國國防部的ARPA項目。在1983年1月1日，TCP/IP取代了舊的NCP（Network Control Protocol）協議，成為ARPA網絡中主要的協議，而互聯網絡也繼承并使用了該協議作為自己的主流協議。由于ARPA網絡設計之初是作為美國軍方戰時替代傳統網絡的其他類型網絡，因此在網絡設計方面并沒有考慮的非常充分，因此帶來了IP網絡（主要指IPV4）中存在的地址不足及不支持Qos服務等級，無法管理帶寬和優先級兩個致命的缺陷。在現階段為了解決IP地址不足問題，網絡工程師采取了折中的方案NAT（網絡地址轉換）來解決。NAT雖然臨時性解決了IP地址不足的問題，但是它打破了TCP協議中面向連接的設計初衷，導致網絡溯源越來越困難。同時Qos能力的薄弱從另一個側面加重了網絡傳輸質量安全難以得到保證。雖然在IP協議的下一個版本IPV6中很好的解決了上訴問題，但是該協議由于歷史原因仍然還沒有得到良好的推廣及使用并且基于IPV6技術的應用及網絡服務仍然十分匱乏。在可預見的未來中占時還難以看到IPV6全面代替IPV4因此在現階段網絡仍然面臨巨大的安全問題。

二、企業網絡安全分析

在網絡的發展過程中，不斷的上演矛與盾的爭斗。從早期的PSTN網絡中就曾有過利用撥號音漏洞盜打電話的事情，它直接促成了沃茲與喬布斯的合作并最終造就了世界上最偉大的IT企業之一Apple。但是網絡安全事件并不總能帶來良好的結果，據2010年3月30日，中國互聯網絡信息中心（CNNIC）和國家互聯網應急中心（CNCERT）在京聯合發布《2009年中國網民網絡信息安全狀況調查系列報告》（以下簡稱《報告》）。《報告》數據顯示，2009年，52%的網民曾遭遇過網絡安全事件，網民處理安全事件所支出的相關服務費用共計153億元人民幣。針對層出不窮的網絡安全事件，網絡安全工程師也積極應對，開發與設計了多種防護設備。如防火墻就從最早的二層防火墻、簡單包過濾防火墻、狀態包檢測防火墻等多次技術升級。為應對黑客多變的攻擊手法工程師開發了入侵檢測、漏洞掃描、防逃逸設備等等種類多樣功能不同的安全防護設備。上述產品企業早期也使用過，雖然網絡安全產品的針對性很強，在一定范圍內是可以有效的阻擋hack的攻擊行為。

但在實際使用過程中，發現現有的網絡安全設備由于其基本都是面對單一的安全挑戰，彼此之間又無通信協調導致hack仍然可以繞開安全設備進入網絡。又或者利用社會攻擊行為，利用釣魚或者其它方式通過企業內部網絡發起攻擊。通過在實際網絡環境中的使用發現網絡安全也適用于經典的木桶定律，即木桶中裝的水的容量不是由木桶最長的木板決定，而是由最短的那塊木板決定。而網絡安全設備的廠商總是有其專注的領域，有些專注于防火墻，有限專注于入侵檢測，有些又專注于漏洞掃描，如何利用各家之長并又能使各家產品融合于一體使之成為一體來消除木桶的短板是擺在工程師眼前的問題。

三、企業網絡安全加固

在近期我們構建的基于應用的互聯網絡項目上，我們將網絡重新定位，即考慮了用戶的使用方便又將網絡安全放置在了重要的位置。利用各個網絡、網絡安全廠商（Cisco、Junper等）及應用廠商對于自身設備安全的優化及對TCP協議漏洞的修補達到面對各個網絡安全領域的挑戰。同時考慮到木桶定律的原則，從網絡安全的角度我們重新界定了網絡安全的定義。

采取與以往網絡安全中簡單的以設備堆砌，事后修補不同的網絡安全保障方式。采取了立體式多維保障原則，即以應用安全作為宏觀核心安全以用戶接入安全作為微觀防護原則，建立了用戶端到應用服務端的端到端的安全保障。例如：采用Windows域作為用戶用戶認證的核心數據庫，通過與合作企業開發的AI引擎智能分發網絡用戶安全及服務等級，利用NAC系統與網絡設備的聯動實現用戶安全的接入，并采用SCE、MARS等設備對于用戶網絡使用行為進行記錄與審計已保證網絡用戶在進入并使用網絡過程中的安全。通過利用FW的虛擬化技術實現各種核心應用的在宏觀安全等級的分離，并利用IPS的檢查功能實時關注hack的可能攻擊行為，一旦發現網絡入侵及攻擊行為IPS將實時通過AI引擎通知防火墻進行阻斷以實現安全設備間的聯動，如果是外網側的攻擊會將攻擊工程記錄并上報有關部門（如公安網監部門）協助排查。如顯示是起始于內網側的攻擊或外網通過內網發起的攻擊，AI引擎會自動查找NAC的用戶登錄信息，并通過MARS上報的網絡設備接口畫出攻擊起始點及結束點的路線圖，評估受到攻擊的損失并最終由管理員采取警告、斷網等行政處罰措施。

四、企業收益

通過這種新的規劃，網絡安全設備與網絡設備緊密結合在一起，在應對網絡攻擊時將利用各個網絡安全設備最優秀的功能，并以網絡設備作為輔助手段，同時結合應用安全機制。實現了網絡安全以為網絡應用提供安全的核心設計理念，實現了立體式多方位的端到端的安全防護。有效的使應用安全與用戶端接入安全緊密交織在一起，使網絡安全設備及應用安全變為一個整體，層層防護互為依托，擺脫了之前安全設備單兵作戰，破其一點滿盤皆破的局面。

參考文獻

[1] 李恒凱；陳優良；鄧凱；；基于GIS的高校機房管理信息系統構建 [J]；城市勘測；2011年05期.

[2] 傅仁毅；蘇永松；李勇勝；；高校網絡中心機房UPS系統的建設和管理 [J]；數字技術與應用；2011年04期.

[3] 劉道歡；基于ARM9_VXWORKS的鐵路信號機房環境監控系統的研究與設計 [D]；南昌大學；2010年.

[4 ]唐勇；；基于SNMP的流量監控系統[J]；重慶工商大學學報（西部經濟論壇）；2011年S1期

[5] 劉立平；吳健；陳歡響；黃熙；；TMN網管配置管理的一種同步方案及其應用[J]；計算機測量與控制；2011年02期.

[6] 董相均，史浩山，韓向陽；第三代移動通信網絡網元管理系統——MEM系統的設計與實現[J]；空軍工程大學學報（自然科學版）；2012年03期.

（作者單位：南車青島四方機車車輛股份有限公司）