构建企业内部网（Ｉｎｔｒａｎｅｔ）安全防护体系研究的论文.docVIP

　　构建企业内部网（Ｉｎｔｒａｎｅｔ）安全防护体系研究的论文 作者：滕荣华　邹文健　宫晓曼 　[摘要] 本文详细分析了企业内部网现有的安全防护体系存在的问题，提出了一种新的网络安全防护体系，并阐述了该体系的构架及工作原理。 　　[关键词] intra 网络安全防护体系 统一安全管理平台 　　 　　一、前言 　　内部网（intra）指采用inter技术建立的企业内部专用网络。它以tcp/ip协议作为基础，以，入侵检测系统）和硬件防火墙，在内部网服务器上安装杀毒、防火墙软件辅以一定的访问控制策略并及时更新补丁等多项安全措施相结合的综合安全防护体系。.当发生网络安全问题时，由于大部分交换机以及路由器不具备或只具备较弱的安全防护功能，只能依靠防火墙来抵御攻击和入侵，并由ids 来予以跟踪。但是这种安全体系存在以下几个明显的弱点： 　　1.随着网络流量的持续增长，特别是大型内部网内数据流量的爆炸性增长，单纯的依靠在内部网的某一点安装某一网络安全设备来进行全网的防护已显得力不从心，容易发生单点故障，并且造成内部网整体通信的瓶颈。 　　2.来自于内部的误操作和滥用对内部网的影响是最为致命的，通常的比例高达70%。当攻击者与被攻击者均处于intra内部时， 如果攻击流不经过ids 的监控点，就不能被ids 捕获，此时ids 无法跟踪，部署在网络出口的硬件防火墙则失去了作用，只能靠服务器以及用户电脑上安装的防火墙来抵御攻击。如果此时用户的攻击为虚拟ip 攻击，则网络管理人员只能依靠将局域网逐片断开的原始方式逐步地进行故障定位，影响的范围大，排查的时间长，过程繁琐。 　　3.ids+防火墙的组合模式在进行病毒和攻击方式识别时需要产品厂家的支持，具有一定的滞后性，对新出现的病毒和攻击行为基本无能为力，且误报的情况也是时有发生。 　　4.启用基于802.1x 协议的用户接入认证，能够保障intra用户接入的合法性，较好地解决ip 地址盗用、用户私自架设代理服务器等一系列困扰内部网管理者的问题，但是基于802.1x 协议的系统对于用户的计算机系统是否安全、用户是否存在网络攻击行为则无法进行判别。 　　基于以上几点，最安全的办法就是采取让所有接入intra的计算机安装杀毒和防火墙软件并及时更新补丁。但由于用户的网络应用水平参差不齐，作为网络管理部门，只能督促用户及时更新操作系统补丁和安装防火墙及杀毒软件，而且操作系统或者应用程序的补丁更新方式，若直接从互联网上更新则比较慢，若在企业内部架设ac、设备ip、设备端口的静态绑定、动态绑定以及自动绑定，保证用户入网身份的唯一性。 　　安全管理平台——安全管理平台是安全防护体系的管理与控制中心，是统一安全管理平台的核心组成部分。通过安全管理平台，可以对系统内的安全设备与系统安全策略进行管理，实现全系统安全策略的统一配置、分发和管理，并能有效地配置和管理全网安全设备，从而实现全网安全设备的集中管理，起到安全网管的作用。通过统一的技术方法，将系统所有的安全日志、安全事件集中收集管理，实现集中的日志分析、审计与报告。同时通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势，确保安全事件、事故得到及时的响应和处理。 　　安全修复系统——安全修复系统的作用是跟踪安全漏洞的变化，能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。针对不同的安全策略，点到面地自动强制分发部署补丁程序。 　　(2)网络层面 　　安全联动设备——安全联动设备是intra中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口，同交换机、路由器、防火墙、ids等各类网络设备实现安全联动。 　　(3)用户层面 　　安全客户端——安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息，包括对防病毒软件信息的收集。同时，安全客户端可以评估操作系统的版本、补丁程度等信息，并且把这些信息传递到安全管理平台，没有进行适当升级的主机将被隔离到网络修复区域，从而保障网络的安全运行。与传统的解决方案不同，安全客户端通过对用户终端设备信息的搜集，可预先识别和防止用户对网络的恶意行为，排除潜在的已知和未知的安全风险。 　　2.统一安全管理平台的工作原理 　　统一安全管理平台的工作原理如图2所示。 　　统一安全管理平台系统实现终端用户安全准入的工作流程如下： 　　(1)用户终端试图接入网络时，首先通过安全客户端上传用户信息至用户认证服务器进行用???身份认证，非法用户将被拒绝接入网络。 　　(2)合法用户将被要求进行安全状态认证，由安全管理平台验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联