淺談企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計

昌霞

摘要：和以前相比，如今的企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀已經(jīng)發(fā)生了很大的改變，它在更多的方面上表現(xiàn)為“應(yīng)用層威脅”。網(wǎng)絡(luò)系統(tǒng)的安全是企業(yè)業(yè)務(wù)的重要保證。本文就網(wǎng)絡(luò)系統(tǒng)可能存在的網(wǎng)絡(luò)邊界風險、數(shù)據(jù)訪問安全、用戶接入管理安全和網(wǎng)絡(luò)安全管理風險四個方面進行討論，給出了網(wǎng)絡(luò)系統(tǒng)安全防護和安全管理初步設(shè)計。

關(guān)鍵詞：應(yīng)用層；網(wǎng)絡(luò)安全；訪問

中圖分類號：TP311 文獻標識碼：A 文章編號：1007-9416（2017）11-0186-02

以前我們談及企業(yè)網(wǎng)絡(luò)安全的時候，還主要指防火墻，因為那時候的安全還主要以網(wǎng)絡(luò)層的訪問控制為主[1]。的確，防火墻就像一個防盜門，給了我們基本的安全防護。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播[1]。今天的網(wǎng)絡(luò)安全現(xiàn)狀和以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進入了一個“應(yīng)用層威脅”泛濫的時代。

今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來了重大損失[1]；攻擊終端用戶計算機，給用戶帶來信息風險甚至財產(chǎn)損失；對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無關(guān)流量浪費，形成巨大的資源損失[2]。面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設(shè)備，對這些威脅又“看而不阻”，因此本文就主要安全風險討論相應(yīng)的解決方案。

1 網(wǎng)絡(luò)系統(tǒng)風險

網(wǎng)絡(luò)系統(tǒng)可能存在的主要安全風險主要包括四個方面：網(wǎng)絡(luò)邊界風險、數(shù)據(jù)訪問安全、用戶接入管理安全和網(wǎng)絡(luò)安全管理風險。

1.1 網(wǎng)絡(luò)邊界風險

一個較大的網(wǎng)絡(luò)系統(tǒng)通常有多個外部網(wǎng)絡(luò)連接，包括：骨干網(wǎng)、信息集成網(wǎng)和無線網(wǎng)等。必須對這些區(qū)域之間、區(qū)域和外部進出的數(shù)據(jù)流進行深度的檢測和嚴格的訪問控制，進行精細化的管理，才能夠真正的保證這些連接不會引入安全攻擊風險，而且也保證區(qū)域網(wǎng)絡(luò)風險不會擴散到相連接的其他區(qū)域網(wǎng)絡(luò)中；對于外聯(lián)邊界，不僅需要部署訪問控制設(shè)備進行安全區(qū)域隔離，還需要部署應(yīng)用層安全防護設(shè)備，防止應(yīng)用層網(wǎng)絡(luò)攻擊等通過外聯(lián)邊界對網(wǎng)絡(luò)進行破壞，同時，為了防止帶寬濫用等行為影響網(wǎng)絡(luò)正常運行，對外聯(lián)邊界進出的流量需要進行相應(yīng)的審計和控制。

1.2 數(shù)據(jù)訪問安全

一般辦公網(wǎng)和業(yè)務(wù)網(wǎng)絡(luò)無直接連接，需要通過骨干網(wǎng)與其他區(qū)域網(wǎng)絡(luò)進行連接，在辦公網(wǎng)需要訪問生產(chǎn)網(wǎng)時，除了有效的控制訪問、認證授權(quán)外，還需要對網(wǎng)絡(luò)數(shù)據(jù)傳輸進行加密保護，避免數(shù)據(jù)傳輸過程中被竊取或者篡改。在無線網(wǎng)區(qū)域通過無線訪問業(yè)務(wù)網(wǎng)絡(luò)的用戶，也要進行相應(yīng)的安全認證授權(quán)和數(shù)據(jù)加密。

1.3 用戶接入網(wǎng)絡(luò)安全控制

網(wǎng)絡(luò)接入用戶可能復(fù)雜，需要對這些用戶的網(wǎng)絡(luò)訪問行為進行多層次的控制，以保證應(yīng)用系統(tǒng)的有效運行，這些層次包括：網(wǎng)絡(luò)接入控制、網(wǎng)絡(luò)層的訪問控制能力、網(wǎng)絡(luò)應(yīng)用的監(jiān)控、用戶主機安全狀態(tài)的監(jiān)控等，以實現(xiàn)對用戶的安全管理[3]。

1.4 網(wǎng)絡(luò)安全管理風險

三分技術(shù)七分管理，大量的基礎(chǔ)網(wǎng)絡(luò)安全設(shè)施建設(shè)如果不能有效便捷的管理，將為后期安全威脅管理和整網(wǎng)維護帶來巨大的困難，所以需要對整網(wǎng)進行統(tǒng)一安全管理和整網(wǎng)流量監(jiān)控分析。

2 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計

針對上述安全風險，本文從這四方面出發(fā)設(shè)計網(wǎng)絡(luò)系統(tǒng)安全防護和安全管理，具體方案如下。

2.1 網(wǎng)絡(luò)邊界防護設(shè)計

邊界防護的核心策略就是將網(wǎng)絡(luò)進行完善的區(qū)域劃分，實現(xiàn)嚴格的訪問控制策略，保證網(wǎng)絡(luò)高度的安全性[4]，使用防火墻+IPS的產(chǎn)品組合可以實現(xiàn)二層～七層完善的安全防護。

因此，針對網(wǎng)絡(luò)邊界安全風險，首先需要在各安全區(qū)域邊界部署防火墻設(shè)備，具體來說，在骨干網(wǎng)與各業(yè)務(wù)子網(wǎng)連接邊界部署內(nèi)嵌式防火墻模塊，在骨干網(wǎng)外聯(lián)單位接入?yún)^(qū)邊界部署接入防火墻和異構(gòu)防火墻，在信息集成網(wǎng)外聯(lián)邊界部署接入防火墻，在離港網(wǎng)外聯(lián)邊界部署防火墻系統(tǒng)，實現(xiàn)訪問控制隔離和安全區(qū)域劃分，從而對網(wǎng)絡(luò)訪問進行有效的控制。同時，在骨干網(wǎng)外聯(lián)區(qū)交換機和信息集成網(wǎng)AODB服務(wù)器核心業(yè)務(wù)區(qū)交換機上分別部署IPS模塊，實現(xiàn)病毒、蠕蟲、網(wǎng)絡(luò)攻擊、協(xié)議漏洞等防護，以保護內(nèi)部局域網(wǎng)系統(tǒng)和各應(yīng)用系統(tǒng)服務(wù)器免于惡性攻擊。

2.2 數(shù)據(jù)訪問安全防護設(shè)計

SSL VPN是用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)[5]。與復(fù)雜的IPSec VPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件[5]。與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSL VPN重點在于保護具體的敏感數(shù)據(jù)，SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖然都可以進入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的，而且在配合一定的身份認證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以對訪問人員的每個訪問進行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認性，為事后追蹤提供了依據(jù)。

因此，針對網(wǎng)絡(luò)數(shù)據(jù)訪問安全問題，在骨干網(wǎng)區(qū)域、信息集成網(wǎng)區(qū)域和無線網(wǎng)區(qū)域，分別部署SSL VPN接入系統(tǒng)，對需要訪問內(nèi)部網(wǎng)絡(luò)的用戶進行認證授權(quán)，認證及鑒權(quán)由骨干網(wǎng)管理中心的AAA系統(tǒng)完成，同時對傳輸數(shù)據(jù)進行加密。

2.3 用戶接入網(wǎng)絡(luò)安全設(shè)計

針對當今大型局域網(wǎng)缺乏行之有效的內(nèi)網(wǎng)控制管理手段的突出問題，本設(shè)計考慮采用H3C公司EAD終端準入控制方案，該方案主要包括兩個重要功能：安全防護和安全監(jiān)控。安全防護主要是對終端接入網(wǎng)絡(luò)進行認證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對達不到安全要求的終端可以進行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過程中，系統(tǒng)實時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取相應(yīng)的應(yīng)對措施，實時保障網(wǎng)絡(luò)安全。endprint

2.4 網(wǎng)絡(luò)安全管理設(shè)計

為了更好的了解目前網(wǎng)絡(luò)當中發(fā)生的安全事件，需要對網(wǎng)絡(luò)當中的所有設(shè)備（防火墻、IPS、交換機、路由器、PC、Server等）進行日志分析；同時，針對P2P/IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為，進行精細化識別和分析，對NetStream/SFlow/CFlow/NetFlow流日志的采集、分析、審計、統(tǒng)計報告功能，檢測各種異常流量并產(chǎn)生告警，幫助管理員全面了解網(wǎng)絡(luò)應(yīng)用模型、流量趨勢和目前網(wǎng)絡(luò)中的安全危險點[6]。

因此，針對網(wǎng)絡(luò)安全管理問題，在本設(shè)計中部署了異常流量檢測系統(tǒng)和統(tǒng)一安全管理平臺，通過異常流量檢測系統(tǒng)對網(wǎng)絡(luò)流量進行監(jiān)控，通過統(tǒng)一安全管理平臺對整網(wǎng)設(shè)備進行事件分析，從而實現(xiàn)高效管理和高效運營。異常流量檢測系統(tǒng)采用軟硬件結(jié)合方式部署，S9500E系列和S7500E系列核心交換機均軟件支持sFlow功能，流量管理設(shè)備支審計功能，部署的防火墻模塊和IPS模塊均支持日志輸出功能；統(tǒng)一安全管理平臺部署在骨干網(wǎng)管理中心區(qū)，集中收集分析網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備輸送過來的日志，并形成直觀的報表。

3 結(jié)語

一般網(wǎng)絡(luò)建設(shè)為保證網(wǎng)絡(luò)數(shù)據(jù)的安全，防止外部的侵入以及數(shù)據(jù)的泄露，需要建立一整套的安全體系。要求由防火墻、入侵防御系統(tǒng)、安全認證系統(tǒng)、防病毒系統(tǒng)等構(gòu)成集成的主動和自適應(yīng)的網(wǎng)絡(luò)安全系統(tǒng)。本文就網(wǎng)絡(luò)邊界風險、數(shù)據(jù)訪問安全、用戶接入管理安全和網(wǎng)絡(luò)安全管理風險四個方面進行闡述，給出的初步設(shè)計，在一定程度上是可以滿足企業(yè)網(wǎng)絡(luò)安全需求的。

參考文獻

[1]連曉.企業(yè)網(wǎng)絡(luò)安全的設(shè)計與實踐研究[J].信息系統(tǒng)工程，2014，（07）：72.

[2]朱學(xué)寧.淺談醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全與解決對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（2）：52-53.

[3]張曉兵.下一代網(wǎng)絡(luò)安全解決方案[J].電信工程技術(shù)與標準化，2014，（06）：59-61.

[4]高漸翔.淺談企業(yè)網(wǎng)絡(luò)的安全審計體系[J].科技創(chuàng)新導(dǎo)報，2008，（33）：139-140.

[5]周文.淺談企業(yè)內(nèi)部信息網(wǎng)絡(luò)安全防護體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（05）：166-167+16.

[6]潘勛.企業(yè)網(wǎng)絡(luò)安全與發(fā)展趨勢[J].電子世界，2014，（08）：325-326.

Abstract：Compared with the past，the present situation of network security has changed a lot，and it is mainly manifested as"application layer threat".The security of network system is an important guarantee of enterprise business.We discuss the possible network boundary risk，data access security，user access management and network security management risk in the network system.Then we give a preliminary design of network system security protection and safety management.

Key Words：The application layer；Network security；accessendprint