信回息安全方案.docxVIP

某企业信息安全解决方案解析■ 杨小敏本文以某大型企业信息安全解决方案为例，阐述如何构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失。 某企业总部设在广州，由三方股东共同投资组建，其中中方股东占51%股份，英国某公司和香港某公司分别占24.5%股份。该公司拥有中南地区广州、桂林、长沙、武汉、郑州等共十五个分公司的经营业务，2004年销售收入逾40亿元，在国内同行业中是最大的中外合资企业。 该企业信息化建设起步于2000年底，到目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以广州为中心与汕头、湛江、桂林、北海、南宁、长沙、张家界、武汉、宜昌、郑州共10个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及工控SCADA系统接口、FHS自动加油系统接口、海关监管系统、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。 图1 某企业的信息安全综合防卫体系该企业网络安全系统建设始于2002年，经过几年的不断投入和发展，企业的网络安全体系已经相当完善。该企业信息安全防护方案和策略主要由以下各部分组成: ● Internet安全接入; ● 防火墙访问控制; ● 用户认证系统; ● 入侵检测系统; ● 网络防病毒系统; ● VPN加密系统; ● 网络设备及服务器加固; ● 桌面电脑安全管理系统; ● SCADA系统防护方案; ● 数据备份系统; ● 网络安全制度建设及人员安全意识教育。 该企业的安全网络拓扑如附图所示，下面具体阐述各安全子系统的功能和实现方法。 1.安全的互联网接入 该企业内部网络的每位员工要随时登录互联网，因此Internet接入平台的安全是该企业信息系统安全的关键部分。 如附图所示，该企业采用PIX515作为外部边缘防火墙，其内部用户登录互联网时经过NetEye防火墙，再由PIX映射到互联网。PIX与NetEye之间形成了DMZ区，需要提供互联网服务的邮件服务器、Web 服务器等防止在该DMZ区内。该防火墙安全策略如下: （1） 从Internet上只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口; （2） 从Internet和DMZ区不能访问内部网任何资源; （3） 从Internet访问内部网资源只能通过VPN系统进行。 为了防止病毒从Internet进入内部网，该企业在DMZ区部署了网关防病毒系统。目前，该企业采用Symantec Web Security 3.0防病毒系统，对来自互联网的网页内容和附件等信息设定了合理的过滤规则，阻断来自互联网的各种病毒。 2、防火墙访问控制 PIX防火墙提供PAT服务，配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接，并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。 NetEye防火墙处于内部网络与DMZ区之间，它允许内网所有主机能够访问DMZ区，但DMZ区进入内网的流量则进行严格的过滤。 3.用户认证系统 用户认证系统主要用于解决电话拨号和VPN接入的安全问题，它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。 该企业采用思科的ACS用户认证系统。在主域服务器上安装Radius服务器，在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。拨号用户和VPN用户身份认证在Radius服务器上进行，用户账号集中在主域服务器上开设。系统中设置了严格的用户访问策略和口令策略，强制用户定期更改口令。同时配置了一台VPN日志服务器，记录所有VPN用户的访问，而拨号用户的访问则记录在Radius服务器中，作为系统审计的依据。系统管理员可以根据需要制定用户身份认证策略，表1就是一个实例。 表1 用户身份认证策略一例序号认证要求实现方式1拨号用户接入认证用户账号和口令在Cisco ACS Server。2VPN用户认证用户账号和口令在Cisco ACS Server。3内部用户访问Internet认证用户账号和口令在Symantec WebSecurity。4. 入侵检测系统 在系统中关键的部位安装基于网络的入侵检测系统，可以使得系统管理员能够实时监控网络中发生的安全事件，并能及时做出响应。 根据该企业网络应用的实际情况，在互联网流量汇聚的交换机处部署了一套CA eTrust Intrusion Detection，它可实时监控内部网中发生的安全事件，使得管理员及时做出反应，并可记录内部用户对Inte