企业网络安全设计与部署

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了企业网络安全设计与部署相关的知识,希望对你有一定的参考价值。

信息化社会的主要基础就是计算机网络,现阶段计算机网络已经成为人们日常生活以及学习工作等多方面的主要工具。伴随着网络技术使用范围逐渐扩大,人们对计算机网络安全提出的要求也更为严格及多元化。本文首先介绍了网络规划的方案与设计的研究进展以及整体体系结构,进而总结了我国企业目前网络面临的主要问题,结合我国企业目前网络的实际情况实施了科学、合理的部署步骤与网络设计实施方案。本人通过分析以及总结,结合实际出发,重点讲解了我国企业网络自运行以来就存在的安全威胁问题等,并且讲解了网络整体体系结构不健全以及缺乏对网络运行监控与管理工作。最后,结合珠海市某局网络运行无法满足网络系统、安全系统在性能与安全性上需求,进行某局网络升级以及改造建设的设计思想与主要实现的方法。
关键词:企业;网络安全;接入控制;设计部署
Abstract
The main foundation of the information society is the computer network. At this stage, the computer network has become the main tool for people‘s daily life and study and work. With the gradual expansion of the use of network technology, people‘s requirements for computer network security have become more stringent and diversified. This article first introduces the research progress of network planning and design as well as the overall system structure, and then summarizes the main problems facing the current network of Chinese enterprises, and implements scientific and reasonable deployment steps and network design implementation based on the actual situation of the current network of Chinese enterprises. Program. Based on analysis and summary, based on the actual situation, I focused on the security threats that have existed since the operation of my country‘s corporate network, and explained the unsound network system structure and the lack of monitoring and management of network operation. Finally, in conjunction with the network operation of a certain bureau in Zhuhai City that cannot meet the performance and safety requirements of the network system and the security system, the design ideas and main realization methods of the network upgrade and reconstruction of a certain bureau are carried out.
Keywords: enterprise; network security; access control; design and deployment

随着我国社会经济的不断发展,我国也迈进了信息化的时代,促进世界经济及社会发展的主要生产力就是信息技术。随着信息化时代的到来,我国企业也面临着国际化以及市场化竞争的挑战,只有科学合理的采用信息化技术,才能够将企业工作效率进行提升,促进我国企业的发展以及改革是时代赋予的机遇、挑战。我国部分企业在信息化建设的阶段起步较早,但是当时信息网络安全方面考虑的还不够全面化,对于部分重点部门的数据安全性及完整性等保护也不得当,并且对于多个部门也有多种安全需求,基于现阶段网络安全的限制,更深更广的业务也无法在网络上有效开展,因此,对企业网络安全防护方案的设计及部署更是迫在眉睫。
1.1网络安全的定义
现阶段信息安全领域当中研究的主要关键点就是网络安全方面,研发安全产品、开发安全系统以及设计部署整体解决方案等就是需要研究的主要内容。网络安全是一个与计算机科学以及通信技术、网络技术、信息安全技术、密码技术、数论、信息论、应用数学等多种学科有紧密关联的综合性学科[1]。目前将网络安全定义为:信息系统当中硬件系统以及软件系统内部相关数据能够获得保障,并且还不会因特殊或者其他突发状况对其带来破坏性的威胁,系统能够在长时间安全稳定的状态下运行并且不会存在中断的状况就是网络信息安全的主要核心。网络安全研究的范围比较广阔,只要是和网络信息保密性、可用真实性以及完整可控性等相关的技术理论性内容都可囊括在网络安全研究范围之内。其已经发展为一个与系统开发以及网络应用和数据库及人员管理等多个方面研究的领域,所以在研究网络安全防护方案的时候,需要提前进入全面化的考虑阶段。
1.2网络安全的弱点和威胁
1.2.1安全弱点
安全弱点与信息资产之间存在的关系较为紧密,安全弱点可能会遭到威胁利用,从而导致资产方面出现不同程度的损失[2]。安全自身的弱点属于一种环境或者条件,安全弱点极有可能会被利用进而对资产造成损失的现象。但安全自身的弱点是属于环境或者一种条件,比较容易被利用进而造成资产损失的状况。导致网络安全出现弱点的因素较多,比如在软件开发阶段出现质量方面的问题以及系统管理人员管理以及配置方面出现的问题等。就是以上所述的一系列原因给***者提供了对企业信息资产发起进攻的机会。
1.2.2安全威胁
安全威胁就是会对网络系统以及组织或者企业资产造成潜在威胁的因素或者是事件[3]。造成安全威胁的因素种类较多,其中具备代表性的就是环境因素和

人为因素。环境因素囊括其他物理因素以及不可抗力因素等。而人为因素囊括无意的因素和有意的因素两种。威胁也可能源于蓄意的事件或者是偶发的事件等,比如非授权的篡改以及泄露和删除等,这样就会在企业信息完整性以及机密性等多个方面造成损害[4]。通常来讲,威胁总是利用安全弱点对企业资产信息造成伤害。
2.1企业网络现状分析
将我国某企业作为案例,对其网络现状进行分析。该企业信息化起步的时间比较早,随着信息化时代的不断推进以及电子政务的推广、安全因素的制约等,现阶段的网络已经无法满足业务工作的需求[5]。
2.1.1企业总体网络现状
案例企业在的分布遍布全国各大城市当中,分布通过 ADSL 拨号上网的方式和企业总部取得联系,并且通过同样的方式对数据进行及时传输。同时,还具备第三方合作者与个别移动用户借助于互联网的方式对案例企业总部内网的物业系统以及数据中心进行访问[6]。企业整体的网络可分为两大部分,分别是总部和分别。企业总部业务是通过计算机以及有关设施组建而成的,并且分解成相关的使用目标以及规范对业务信息开展加工以及采集存储和传输检索等处理的人机系统。该信息系统当中概括的范围比较广泛,其中包括地质资料的查询检索、地址科研信息的更新采取与维护、财务核算审批以及保障等多个方面。
2.1.2企业总部网络现状
案例企业总部网内大概有一百台左右的计算机,采用路由器通过 10M 光纤对互联网进行连接;企业对互联网连接的网管设备就是路由器,因此企业将简单化的防火墙对策进行了设置;路由器连接核心交换机;核心交换机下对分组交换机进行连接,然后在对办公区域当中的计算机设备进行连接。
2.1.3企业分部网络现状
案例企业分部网内多数计算机在对互联网进行连接的时候采用的都是 ADSL 路由器宽带拨号。企业总部和分布之间进行数据传输以及文件传输的时候并没有设置加密等保护的方式。
2.2企业网络安全主要存在的问题种类
2.2.1来自外部网络的安全威胁
未来外部的网络安全危险时时存在,这种安全风险可以分为两种,也就是针对广大用户的安全威胁以及对外开放服务的***[7]。综合分析,该局对外开放服务受到的***数量要比前者少,但这种威胁所导致的破坏力度却比较大,影响恶劣。
2.2.2来自内部网络的安全威胁
相比与外部网络***者,内部网络***者的非法访问更有成功的可能性,因为内部网络***者对于网络结构有着很清楚的认识[8]。企业在开展网络安全检查工作的时候存在较多的漏洞,正因如此,导致病毒的传播途径增加,内部网络用户收到病毒感染的可能性也就越高,这不仅导致一些特定的蠕虫病毒发作,另外也会影响用户的正常使用。
2.3企业网络安全存在问题的原因及对策分析
就目前我国现有的企业网络而言,作为企业形象的代表,其网络还有很多工作需要完成,尤其在整体利用率不足和本身信息传递服务的质量和安全性遭到忽视。当前的企业网络大都是处于初始阶段,造成网络工作重心本末倒置,即只注重网络的建设,而忽视了网络的安全性问题[9]。依据不完整统计,历年来在我因被境外******的网站中,企业及教育类网站占到了总数的四分之三,这充分说明了我国企业网络安全问题已经十分突出,亟需整治。
2.3.1网络本身的安全方面
由于当前的TCP/IP协议本身的设计就是不成熟的,当初其设计的初衷主要是互联沟通和互联操作,对于网络安全问题的考虑并不是十分周全。尽管已经有新的安全网络模型的提出,但是都不可否认的存在一定程度上的安全缺陷。同时口令文件还有路由器等也有着一定的风险[10]。因此,必须要全面化考虑网络安全问题,加强对于网络自身安全方面的重视程度,这样才能够有效弥补企业网络安全方面的漏洞。
2.3.2网络技术方面
当前的网络技术迅猛发展,网络技术从业人员对于网络安全的考虑都不是很周到,都处在亡羊补牢的阶段,而行政人员中更是缺乏了解相关技术的人。同时由于企业网络数据信息大多涉及到保密的要求,都由专人来对政务信息系统进行管理,这种情况往往造成企业网络安全与行政工作很难进行有机结合[11]。因此,企业网络技术部门的工作人员必须要全面化考虑企业网络的安全性,企业内部相关的行政人员自身也需要具备一定的网络安全知识,这样才企业才能够将网络安全与行政工作进行有机的结合,从而促进企业的长期发展。
2.3.3网络通信技术方面
我国目前的网络通信技术发展很快,但总体水平还有待提高,在信息技术与信息资源的综合利用方面,还没有形成大规模的推广态势,不仅无法提高信息资源利用程度,而且也无法和企业整体水平的发展目标融为一体,提高企业信息化建设管理水平。因此,随着国内现阶段网络通信技术的不断发展,企业网络通信技术方面的整体水平还需进行有效的提升,全面促进信息技术与信息资源的结合利用,这样才能够有效提升信息资源可利用的程度,并且还够能够一定程度上的提升企业信息化建设管理的整体水平。
2.3.4企业网络安全意识方面
由于我国整体存在着重研发轻维护、重硬件轻软件的现象,因此,企业对于企业网络规划也缺少充分的安全性考虑[12]。现有的网络安全意识也是对于一些病毒防御的低层次的认识上,还无法形成长远的安全管理体系,不能充分保证网络数据的完整性和一致性。现在许多企业网络都是先联网后颁布内容,最后才会涉及到网络信息安全问题,这是有很大的风险之处的。基于此,企业对于企业网络规划方面必须要加强重视程度,要进行全面化的考虑,这样企业才能够形成长远的安全管理体质,才能够一定程度上保障企业网络数据的一致性以及完整性,必须要加强企业相关工作人员的网络安全意识,从而促进企业网络信息方面的安全可靠性。
2.3.5企业网络安全管理方面
由于我国企业网络制度的不健全,没有统一的企业网络管理标准,使得企业网络的发展处于混乱和落后阶段,主要表现于没有可靠的法律制度和网络安全管理制度层次低,导致一些违规操作的现象时有发生[13]。因此,为了能够促进我国企业网络方面的良好发展,就必须要在我国企业网络安全的相关制度基础上进行不断的优化,使企业网络管理的制度更加完善,更加标准化。此外,还需要编制更加健全以及安全可靠的法律制度,这样我国企业整体的发展才能够更加良好。
目前很多人都会认为网络安全的所有威胁***都是来源于外部,信息数据的泄露也是由于外部***者对于网络服务的非法使用所造成的[14]。但在现实情况中却非完全如此,网络内部的非法和疏漏也会给网络中的信息传输和资源带来严重威胁。严格的管理者可利用漏洞扫描、加密通信和监控技术,实现对于整个网络用户的监测,比如在什么时刻、正在访问哪里、使用那些数据。通常意义上,我们所说的网络安全体系包含多个方面内容。网络安全体系用户可以通过不同接口进入系统中获取与查看所需要的信息。下面主要介绍网络体系主要采取的几种网络安全技术:
3.1漏洞扫描技术
网络通信平台的建设,需要计算机系统的支撑,在安全体系中,漏洞扫描技术则显得尤为重要,这项技术也称为脆弱性评估,它可以充分实现安全漏洞的逐项检测,确保漏洞被及时发现和修复。一旦发现高风险漏洞,可以自动对易受***的程序进行保护。漏洞扫描确保了系统可以对风险可能存在的已知检测,并采取适当的处理措施进行修补,不论是对工作站,还是服务器等都极为关键。漏洞主描技术主要通过两种方式来检查目标主机是否存在安全漏洞:首先进行端口扫描获知目标主机开放的端口及端口上的服务,将这些信息与漏洞库进行特征匹配,匹配成功说明目标主机存在安全漏洞;对目标机器进行***性的安全漏洞扫描,例如测试弱口令等,如果成功,说明目标主机存在安全漏洞[15]。网络漏洞扫描技术是网络和主机的安全卫士,可以使系统得到妥善保护,避免用户躲过安全措施,安装或更改程序,此技术应用了之后,安全管理人员便能够根据具体的应用环境,轻松地面对互联网***,不会造成灾难性的后果。
3.2***技术
网络的安全机制与***技术相结合,不仅可以实现各类数据的加密,建立可靠的安全连接,而且能够保护受***的程序,利用信息认证和身份认证,防止泄露的信息和网络环境的变化,虚拟协议结点可以根据用户的需求提供安全的点到点连接。***技术可以看成一条穿透公网的稳定、安全的通道,它通常是对企业或者政府内部网的扩展,帮助异地用户同内部网建立可靠的连接以保障数据的安全传输。对于远程用户来说,访问权限控制保证了用户无法大量使用网络.上服务器,有效保护了数据的安全传输。***技术的出现,使得客户端通过Internet接受服务器端所提供的服务,确保经网络传递的信息准确无误,利用***防火墙保护系统合法使用和正常运行,而基于路由器的***可以防止有害信息的传播扩散。
3.3***检测技术
***检测系统可以提供基于硬件的加速检测、安全防护、提高网络安全监测的性能。有了该系统,可以对网络传输进行即时监视,即用的高效保护和自动化的威胁管理功能,数分钟内就可以采取主动反应措施,让您的重要资产信息得到保护。***检测系统能够准确地识别、严密地管理网络上的IT设备,保护内网安全,它通过传感器与管理控制台来达到系统所要求的功能。这种组成的分布式系统可以发现******,也利于实现系统安全,从最终用户的角度看,传感器可以对包特征进行适时检测,一旦产生各类报警事件,能够快速响应。此功能可以确保数据流集中管理,分布式探测、集中报警,对各类事件状态报告和响应策略互动,网络传感器可以抵御***、病毒、恶意代码等破坏,主机***检测系统可以抓取网络.上的数据包,实现对信息系统发起的各类***的抵御,监测功能能够防止信息内容及数据丢失和失密,可以全面防止有害信息在网上传播。此外传感器可以集中监控用户的宽带连接等非法连接行为[16]。***检测技术被大量用于互联网相联的网络管理中,能够有效查找隐藏的恶意***,检测系统用户的越权行为,对每一数据包内受***数据进行恢复,及时记录下***者利用系统的安全缺陷的***证据。***检测系统通过其监控系统的掌握网络内外部的信息基础设施的工作情况,阻止对系统进行***的企图。它根据用户的历史行为,启动信息安全系统,以便及时发现网络、主机***,并基于用户当前的操作,监视特定网段的数据流,利用***检测系统,发现和及时查堵安全漏洞,提高迅速反应、快速行动和预警防范能力。
3.4防火墙技术
防火墙技术作为一种隔离控制技术,它可以确保信息在存储、传递和提取的过程中不被非法输出,防火墙可以对主机硬件、操作系统、应用软件和数据等加以保护,在不安全的网络环境下,禁止来自特定计算机的访问,对于政府网络来说,该技术可以阻止恶意和非法用户对信息资源的非法访问,确保重要信息的对称、完整、不被更改[17]。防火墙的技术也是维护网络系统安全的必要手段,各种安全策略的使用,可以关闭计算机未使用的端口,它还可以设置屏障,过滤流经它的网络流量,只允许投权的数据通过,以排除一些***,同时具有功能很强的存储区保护功能,使他们不会在目标计算机上运行。它也能够封锁特洛伊***,以防止对特定端口的***。有些防火墙技术还综合了许多其他安全技术措施,如:状态监测、身份认证等,它可以确保系统在安全的环境下,基于代理服务器、包过滤、***、加密技术等,完成内部信息或文件的可靠传输,进而可以防止恶意***,这为网络多用户环境中的用户提供了必要的安全保障。
4.1***防护效果分析
本网络系统安全方案中采用了防火墙、***检测系统、***、漏洞扫描等网络安全设备,并对网络中存在的MAC地址冲突、内网***等信息记录日志,对ARP欺骗***等的发生情况进行统计,并以报表形式表达给管理员,以便集中处理网络中威胁最大的客户端主机。利用安全网关提供内网***防护,结合外网的***防护功能,能全面杜绝内网ARP、DDoS***和外部非可信网络的***,全面、高效、安全的保护用户的网络,构建一个安全、干净、舒适的信息环境。在DMCZ与外网服务器之间,实现内外网逻辑隔离,所以必须要求安全网关具有多个端口对区域进行灵活划分,要求安全网关仅开通需要对外提供服务的协议,一流的***防护能力,能够防御各种DoS和DDoS***超强的新建会话。
4.2出口流量统计
采用IPFIX流量监控系统,我们可以了解每个应用的带宽使用情况,知道哪些应用占用最大带宽[18]。同时我们还可以深入分析使用这些应用的源和目标,使网管可以清楚的看到谁在使用带宽以及为什么使用,然后就可以决定是否需要增加可用带宽或加强安全策略。此外还可以通过对流量的识别,统计网内流量的占比,知道各种业务流量的大小、变化趋势,以规划和优化网络,以便管理员能够对异常流量及时做出判断,采取相应的安全策略。
4.3邮件过滤系统的过滤效果
案例企业邮件过滤系统采用的是DCampus Matrix智能邮件处理系统。每一个Matrix邮件处理系统都是一个完整的运行单元,可以对邮件服务器单独提供保护,这包括内联网络层防护系统、杀毒引擎和多层邮件处理应用系统。Matrix可以实现不同结点的自组网运行,实时交换自学习经验值,在中央监控中心的管理以及网格海量高速处理系统的支持下,每台系统都能够在管理中心的指导下及时更新垃圾和病毒特征数据库。此外,该系统采用先进的嵌入式设计技术,其目的是软硬件免维护自适应。由于采用了符合现行的网络发展趋势的外挂式安装,即不更改现有邮件系统和网络结构,因而避免了对现有邮件服务器的改变而引起的副作用。同时该系统网关过滤性能也十分优异,对于含有恶意代码以及垃圾信息的E Mail可以及时过滤。当管理员发现某台主机有问题时,可以进行网络访问控制,充分保障了内网用户的安全。对于常规的服务器网络来说,这种邮件网关系统不仅能使管理员看到孤立的***事件的报警,还可以看到整个***过程,进一步提高了安全性能,在很大程度上避免了网络服务被***,为网络安全设计改造提供了有力的依据。
作为每一个网络设计者和管理者关心的热点问题就是计算机网络安全的安全性,在Internet协议的开放背景下,使得接入计算机网络变得极为容易。正因为接入计算机网络的便利性,使得计算机网络安全面临的威胁因素越来越多。为了人家试图努力构建一种可靠的具有安全性的计算机网络系统,通过发明种种的安全技术和手段来实现这种计算机网络安全系统.这种安全系统的实质就是针对已经出现的各种威胁或者在未来可以预见的威胁,采用相应的防范技术与安全策略实现解除这些不安全因素对于网络的破坏。当然,随着计算机技术的发展,安全威胁隐患与安全防范技术将使的计算机网路安全管理成为一个持久的动态。

以上是关于企业网络安全设计与部署的主要内容,如果未能解决你的问题,请参考以下文章

企业WAN架构与设计基础知识

小试牛刀:家用级组网规划设计与配置实战

防火墙基础之中型企业网络架构三台防火墙部署

无password身份验证:安全简单且部署高速

TStack运维笔记(02)- 角色与权限

企业即时通讯系统安全技术原理