浅谈企业网络系统安全的设计.docVIP

浅谈企业网络系统安全的设计 　　摘要：和以前相比，如今的企业网络安全现状已经发生了很大的改变，它在更多的方面上表现为“应用层威胁”。网络系统的安全是企业业务的重要保证。本文就网络系统可能存在的网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险四个方面进行讨论，给出了网络系统安全防护和安全管理初步设计。 　　关键词：应用层；网络安全；访问 　　中图分类号：TP311 文献标识码：A 文章编号：1007-9416（2017）11-0186-02 　　以前我们谈及企业网络安全的时候，还主要指防火墙，因为那时候的安全还主要以网络层的访问控制为主[1]。的确，防火墙就像一个防盗门，给了我们基本的安全防护。但是，就像今天最好的防盗门也不能阻止“禽流感”病毒传播一样，防火墙也不能阻挡今天的网络威胁的传播[1]。今天的网络安全现状和以前相比，已经发生了很大的改变，我们已经进入了一个“应用层威胁”泛滥的时代。 　　今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击企业核心服务器和应用，给企业带来了重大损失[1]；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，企业宝贵带宽资源被业务无关流量浪费，形成巨大的资源损失[2]。面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP 3～4层上，根本就“看”不到这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又“看而不阻”，因此本文就主要安全风险讨论相应的解决方案。 　　1 网络系统风险 　　网络系统可能存在的主要安全风险主要包括四个方面：网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险。 　　1.1 网络边界风险 　　一个较大的网络系统通常有多个外部网络连接，包括：骨干网、信息集成网和无线网等。必须对这些区域之间、区域和外部进出的数据流进行深度的检测和严格的访问控制，进行精细化的管理，才能够真正的保证这些连接不会引入安全攻击风险，而且也保证区域网络风险不会扩散到相连接的其他区域网络中；对于外联边界，不仅需要部署访问控制设备进行安全区域隔离，还需要部署应用层安全防护设备，防止应用层网络攻击等通过外联边界对网络进行破坏，同时，为了防止带宽滥用等行为影响网络正常运行，对外联边界进出的流量需要进行相应的审计和控制。 　　1.2 数据访问安全 　　一般办公网和业务网络无直接连接，需要通过骨干网与其他区域网络进行连接，在办公网需要访问生产网时，除了有效的控制访问、认证授权外，还需要对网络数据传输进行加密保护，避免数据传输过程中被窃取或者篡改。在无线网区域通过无线访问业务网络的用户，也要进行相应的安全认证授权和数据加密。 　　1.3 用户接入网络安全控制 　　网络接入用户可能复杂，需要对这些用户的网络访问行为进行多层次的控制，以保证应用系统的有效运行，这些层次包括：网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等，以实现对用户的安全管理[3]。 　　1.4 网络安全管理风险 　　三分技术七分管理，大量的基础网络安全设施建设如果不能有效便捷的管理，将为后期安全威胁管理和整网维护带来巨大的困难，所以需要对整网进行统一安全管理和整网流量监控分析。 　　2 网络系统安全设计 　　针对上述安全风险，本文从这四方面出发设计网络系统安全防护和安全管理，具体方案如下。 　　2.1 网络边界防护设计 　　边界防护的核心策略就是将网络进行完善的区域划分，实现严格的访问控制策略，保证网络高度的安全性[4]，使用防火墙+IPS的产品组合可以实现二层～七层完善的安全防护。 　　因此，针对网络边界安全风险，首先需要在各安全区域边界部署防火墙设备，具体来说，在骨干网与各业务子网连接边界部署内嵌式防火墙模块，在骨干网外联单位接入区边界部署接入防火墙和异构防火墙，在信息集成网外联边界部署接入防火墙，在离港网外?边界部署防火墙系统，实现访问控制隔离和安全区域划分，从而对网络访问进行有效的控制。同时，在骨干网外联区交换机和信息集成网AODB服务器核心业务区交换机上分别部署IPS模块，实现病毒、蠕虫、网络攻击、协议漏洞等防护，以保护内部局域网系统和各应用系统服务器免于恶性攻击。 　　2.2 数据访问安全防护设计 　　SSL VPN是用户访问敏感公司数据最简单最安全的解决技术[5]。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，它