企业集团网络架构的安全部署.docVIP

企业集团网络架构的安全部署 　　摘要：现代企业集团在日常的经营、管理中更多的应用了计算机技术、电子信息网络系统，在大幅提高了业务效率的同时，也对网络系统的安全提出了新的求。本文就企业集团网络架构的安全部署作简要的分析、探讨。 　　关键词：企业集团；网络架构；安全部署 　　中图分类号：TP393.18 文献标识码：A 文章编号：1007-9599 (2011) 22-0000-01 　　Enterprise Groups Network Infrastructure Security Deploy 　　Zang Weina 　　(ShenhuaLishi Information Technology Co.,Ltd.,Beijing 102209,China) 　　Abstract:Modern business groups in the daily operation and management of more applications of computer technology,electronic information network system,a substantial increase in business efficiency,but also the security of the network made a new demand.In this paper,the security of enterprise groups to deploy network infrastructure to make a brief analysis to explore. 　　Keywords:Business group;Network architecture;Security deployment 　　随着信息化进程的提速，越来越多地企业信息被披露于企业内外部网络环境中，如何保护企业机密，保障企业信息安全，成为企业信息化发展过程中必然需要面临和解决的问题。对于企业信息网络安全管理需要部署的内容，首先要明确企业的哪些资产需要保护，确定关键数据和相关业务支持技术资产的价值，然后在此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准。 　　一、网络架构的安全工程 　　（一）监理数据备份系统：企业集团在进行网络架构的安全部署时，应综合考虑单位停电、设备故障、大量主机瘫痪等问题，在网络构架中增设数据备份系统，定期录入重要的信息、数据、材料，避免造成数据流失。 　　（二）网络系统的防毒部署：企业集团在进行网络架构的安全部署时，应加强重视网络系统的病毒防御能力，分别在OA服务器、用户主机以及邮件、文件服务器中设置防病毒系统。 　　（三）Internet的安全接入：现代企业集团在日常的经营、管理中，所有在岗职工都需要随时登录、使用Internet。由此可见，互联网接入平台的安全系数，对于企业集团整个信息系统的安全有着直接影响。对此，可采用外部边缘防火墙技术，使企业内部全体职工的计算机操作、Internet登录在通过信息系统的内部防火墙后，被系统外部的边缘防火墙阻拦并映射到Internet中，此时信息系统的内、外防火墙之间的区域称之为DMZ区。 　　（四）防火墙的访问控制：企业集团的网络架构采用外部边缘防火墙技术后，信息系统的外防火墙可提供PAT服务。与此同时，在网络架构中增设IPSec加密协议，可实现两端间的VPN连接、VPN拨号连接。最后通过扩展ACL，利用端口服务严格控制信息系统防火墙的进、出流量。在此种安全部署中，内部防火墙位于企业集团的内部网络与DMZ区域之间，而企业集团内部的所有主机在内防火墙允许的状态下自由访问DMZ区，但对于由DMZ区进入内部网络的流量，内防火墙则需要进行严格过滤。 　　（五）入侵检测系统：对于企业集团网络架构外部的黑客、木马、病毒等不法入侵，可在Internet流量较为集中的交换机处设置入侵检测系统，其不仅能够实时监控网络架构内部的安全事件，同时还有助于管理人员、技术人员及时做出反映并采取措施，而企业集团内部用户对互联网的访问也将录入检测系统中，有助于管理者对互联网接入平台使用情况的审查、管控。 　　（六）VPN加密系统：为进一步提高网络架构的安全性，企业集团可建立虚拟专网VPN，其不仅能够为移动、外出办公的职员提供由Internet连接、访问企业集团内部网络的OA系统，同时还能在企业集团内部网络的使用者访问单位的SAP系统时，为其提供VPN加密连接。值得注意的是，VPN机制的运行需要事先进行一段时间的加密、解密，在此期间内传输率将下降30%到40%，倘若需要处理重要事项、关键业务，应尽可能的采用数据专线方式。 　　（七）用户认证系统：对于