企业网络安全规划.doc

企业网络安全规划

移动计算给人们的生活带来了极大的方便。但在移动办公条件下如何保障内网安全是当前各企业所面临的问题，内网的安全直接关系着企业信息和内部系统的安全。本文从技术角度出发，配合管理制度给出了内部网络的安全管理方案。

标签：安全；内部网络

长期以来，从管理层到IT管理人员都把保证系统的安全作为其关注的焦点，并实施了丰富的解决方案。但是实施的效果并不理想。除了因为影响企业安全的因素比较复杂，更重要的是以往安全解决方案大多是构建企业网络边界的安全屏障，而且往往针对某种特定的安全防护技术，缺乏前瞻性的预防。统计表明，企业安全威胁大部分来自内部，而攻击产生的原因除少量内部恶意攻击外，往往由于用户对设备和应用使用的不规范造成的。

1.企业内部网络安全风险分析

为方便数据传输和共享，各企业单位组成了自己的内部办公网络，并提供各种接入内部网渠道。这种网络的开放特性也导致了内部网络安全隐患的存在，加之目前国内、国际黑客技术的迅速发展病毒程序泛滥，内部网络随时存在被入侵和被攻击破坏的可能。

总结起来，当前内部网络的主要安全问题有以下几方面：

（1）无法实现对办公终端用户有效的监控，使得终端安全接入问题成为办公网中最难以克服的主要问题。

（2）无法有效地检测和防范病毒和黑客的攻击。

（3）无法保障用户终端数据的安全，造成企业重要数据丢失。

（4）无法确保用户的操作系统和办公软件的补丁更新及时。

从一个漏洞发现到攻击代码实现，到蠕虫病毒产生，几年前可能是几个月甚至半年多，而现在几周甚至一天就可以完成。因此补丁管理需要有很强的及时性，如果补丁管理工作晚于攻击程序，那么企业就有可能被攻击，造成机密信息泄漏，比如2003年9月份发生的HalfLife2源代码泄漏事件就是由于企业内部的客户端没有及时打补丁，而导致被IE漏洞攻击，造成重大损失。

2.内部网络安全需求分析

为了避免上面风险分析的安全问题发生，考虑投资回报，下面给出内部网络安全的基本需求：

1)对所有办公终端的集中化内控管理和监控

2)对办公终端的补丁自动分发管理

3)对办公终端的安全接入策略集中管理

信任访问可以为整个企业网络提高终端的符合性安全。健康的设备可以被授权访问网络，而不符合企业安全策略的设备将被隔离。在隔离区，这些设备可以修复，满足企业定义的安全策略后可以访问网络，或者根据企业的具体定义，可以使隔离区的设备访问有限的网络资源。

a)对办公终端是否使用合法的IP/MAC地址进行监控管理

b)对办公终端是否安装防病毒软件和病毒码版本进行监控管理

c)对办公终端是否安装要求的操作系统和办公软件补丁进行监控管理

d)对办公终端是否安装终端管理软件进行监控管理

4)提高用户安全意识，提供安全知识学习途径，提供最新安全动态。

5)提供远程桌面支持，当客户端有故障时，IT技术人员通过远程控制提供帮助，降低支持中心费用。

6)统计和查询管理。

3.内部网络安全规划

美国联邦调查局2006年完成的一份调查报告显示，如果人们在使用网络时采取了基本的网络安全措施，那么，80％以上受网络攻击的事件就可以被避免。事实上，要提高网络安全性，最重要的有两点：一是从技术出发，做好内部网络的安全防护；二是增强每个员工的安全意识和掌握网络安全的基本技能。从这两方面入手，基于”纵深防御、动态体系化建设、集中管理”的设计思想，着力于解决企业内部信息安全方面的常见病、多发病和关键病，以获得最佳的安全性能、获得最高的安全投资回报，从以下三个方面给出解决方案。

3.1制度和教育

在人员方面，制定严格的网络使用规章制度，包括员工终端的接入审批流程。制定规章制度是管理的一方面，推行和让员工接受并执行制度同样是重要的。

3.2统一互联网出口

统一内部网的互联网出口，一方面从制度上不允许内网客户端直接上互联网，另一方面提供统一的互联网访问出口，在互联网出口架设防火墙，在互联网访问软件上指定允许访问的站点和端口，针对不同的岗位开放不同的访问权限，从而对互联网访问进行管理，避免互联网访问造成的安全隐患。

3.3技术实现

通过管理支持802.1X的交换机。由交换机主动认证接入的终端设备（PC、便携机），检查终端设备上是否安装客户端管理软件，或者其主机安全状况检查是否达标，则交换机可以发送指令，容许或拒绝其接入内部网络。将允许接入但不符合安全指标的终端隔离到一个隔离（修补）区，用户可以在隔离区修复安全状况，一旦安全修复完成，管理台通知交换机将该终端设备从隔离区切换到工作的VLAN之中。

局域网接入部分详细设计如下：

通过对IP/MAC地址、VLAN的收集、规划，在内部网络的所有交换设备上配置IP/MAC地址绑定和VLAN策略；

通过将Cisco二层智能交换（29XX系列、65XX系列）的IOS升级到支持IEE