隨著企業(yè)不斷發(fā)展，企業(yè)的信息化水平成為企業(yè)核心競爭力的重要體現(xiàn)，網(wǎng)絡(luò)系統(tǒng)安全、可靠、高效運(yùn)行是企業(yè)良好運(yùn)營的基本條件。鑒于信息系統(tǒng)安全對企業(yè)日常運(yùn)作的影響越來越大，各企業(yè)對建立經(jīng)濟(jì)高效的信息安全管理體系，保障系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行都給予高度重視。

1 企業(yè)網(wǎng)絡(luò)的安全需求

    1．1企業(yè)網(wǎng)絡(luò)邊界安全需要

    包括企業(yè)網(wǎng)絡(luò)中Internet出口處的安全以及移動(dòng)用戶、遠(yuǎn)程VPN撥號用戶的安全性和合法性，主要防范外部對內(nèi)網(wǎng)的非法訪問和非法操作。

    1．2企業(yè)網(wǎng)絡(luò)數(shù)據(jù)中心安全需求

    即企業(yè)網(wǎng)絡(luò)中對外服務(wù)器和對內(nèi)服務(wù)器的安全，如內(nèi)部信息系統(tǒng)服務(wù)器區(qū)的系統(tǒng)安全，主要防范對象是病毒、重要數(shù)據(jù)泄密等；DMz區(qū)域的企業(yè)網(wǎng)站及郵件服務(wù)器的安全，主要防范對象是D0S，DD0S攻擊、黑客入侵等。

    1．3企業(yè)內(nèi)部網(wǎng)統(tǒng)一的病毒防護(hù)需求

    包括企業(yè)內(nèi)部網(wǎng)中所有子公司及分支機(jī)構(gòu)的病毒防護(hù)，主要防范蠕蟲病毒等及郵件本身的安全。

    1．4 企業(yè)網(wǎng)絡(luò)寬帶資源的管理和監(jiān)控需求

    管理企業(yè)網(wǎng)上業(yè)務(wù)交流和應(yīng)用訪問的網(wǎng)絡(luò)流量，節(jié)約帶寬資源，保證企業(yè)正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸速度和訪問效率，主要規(guī)范管理即時(shí)通訊工具、BT下載、游戲等網(wǎng)絡(luò)資源濫用行為。

    1．5 企業(yè)內(nèi)部網(wǎng)統(tǒng)一的信息防泄漏需求

    包括企業(yè)內(nèi)部網(wǎng)中所有子公司或分支機(jī)構(gòu)的信息防泄漏，主要防范通過各種IM、WEBMAIL、網(wǎng)頁數(shù)據(jù)上傳、USB存儲設(shè)備需求以及利用其它電腦外設(shè)等方式泄漏企業(yè)重要信息。

    1．6 用戶身份認(rèn)證和終端安全檢測需求

    由于接人企業(yè)內(nèi)部網(wǎng)絡(luò)意味著共享企業(yè)網(wǎng)絡(luò)的信息資源，這就需要進(jìn)行認(rèn)證和檢測每個(gè)登錄到網(wǎng)絡(luò)中的設(shè)備和用戶，判定用戶身份的合法性、設(shè)備的安全性、操作的合法性、行動(dòng)的可追溯性等。

    1．7 涉密信息管理需求

    即對涉密資源的控制和管理，對涉密單位按照分級保護(hù)的原則進(jìn)行分類。

    1．8 統(tǒng)一管理需求

    即建設(shè)統(tǒng)一的安全管理平臺，實(shí)現(xiàn)對全網(wǎng)安全狀況的集中監(jiān)測。

    通過安全管理平臺實(shí)現(xiàn)安全策略的統(tǒng)一配置管理，統(tǒng)計(jì)分析各類安全事件，處理各種突發(fā)事件，逐步形成企業(yè)網(wǎng)的安全管理知識庫，針對網(wǎng)絡(luò)安全狀況進(jìn)行定量分析。

2 企業(yè)網(wǎng)安全防御的解決方案

    2．1 邊界安全和遠(yuǎn)程接入安全

    在邊界處放置安全網(wǎng)關(guān)，通過其強(qiáng)大的VPN和防火墻功能，保證企業(yè)與分支機(jī)構(gòu)之間能在互聯(lián)網(wǎng)上進(jìn)行安全可靠的數(shù)據(jù)傳輸，運(yùn)用動(dòng)態(tài)VPN技術(shù)實(shí)現(xiàn)企業(yè)與分支機(jī)構(gòu)間的動(dòng)態(tài)通信，減少網(wǎng)關(guān)設(shè)備的負(fù)載，防止流量瓶頸問題，通過冗余備份，避免單點(diǎn)故障并實(shí)現(xiàn)負(fù)載均衡與鏈路的冗余備份。利用人侵防御系統(tǒng)強(qiáng)大的攻擊防御特性有效防止邊界區(qū)域受到的外部攻擊，在發(fā)生損失之前阻斷惡意流量，保護(hù)內(nèi)部資源。建議將入侵防御系統(tǒng)通過橋模式接入網(wǎng)絡(luò)，以阻止蠕蟲、木馬、拒絕服務(wù)攻擊、間諜軟件、網(wǎng)絡(luò)攻擊以及點(diǎn)到點(diǎn)應(yīng)用被濫用。

    2．2內(nèi)部網(wǎng)的安全

    內(nèi)部網(wǎng)因?yàn)榕c互聯(lián)網(wǎng)完全物理隔離，所以來自互聯(lián)網(wǎng)的攻擊破壞基本上可以杜絕，其安全威脅主要來自內(nèi)部員工的主動(dòng)或被動(dòng)的非法訪問。事實(shí)證明內(nèi)部網(wǎng)的不安全因素遠(yuǎn)比外部危害更可怕，對于內(nèi)部網(wǎng)的安全建議采用下面三種方法：

    (1)內(nèi)部網(wǎng)訪問控制

    在內(nèi)部網(wǎng)的核心交換機(jī)上安裝防火墻模塊，通過防火墻模塊的安全策略實(shí)現(xiàn)內(nèi)網(wǎng)的隔離保護(hù)，將不同部門或服務(wù)器之間劃分為各自獨(dú)立的區(qū)域。部署字符堡壘主機(jī)對字符應(yīng)用的訪問做到命令訪問控制及會話內(nèi)容的審計(jì)。部署圖形堡壘主機(jī)實(shí)現(xiàn)應(yīng)用邊界的訪問控制并且進(jìn)行訪問全程錄像。

    (2)利用端點(diǎn)準(zhǔn)入防御技術(shù)解決終端安全問題

    內(nèi)網(wǎng)用戶由于直接位于企業(yè)內(nèi)網(wǎng)中并具有對內(nèi)網(wǎng)資源的直接訪問權(quán)限，一旦主機(jī)身份被冒用，其對內(nèi)網(wǎng)安全造成的威脅將十分巨大，產(chǎn)生的破壞后果也相當(dāng)嚴(yán)重。因此，對內(nèi)網(wǎng)主機(jī)身份的管理是保證內(nèi)網(wǎng)安全的關(guān)鍵因素之一。通過采取必要的身份認(rèn)證技術(shù)，保證只有授權(quán)的、可信的主機(jī)才能進(jìn)入內(nèi)網(wǎng)，可最大限度地避免因非法設(shè)備的接入對內(nèi)網(wǎng)資源的破壞、盜取和濫用。在終端防護(hù)上采用端點(diǎn)準(zhǔn)人技術(shù)通過802．1X認(rèn)證協(xié)議將終端用戶的身份信息提供到Radius認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證，待Radius認(rèn)證服務(wù)器認(rèn)證通過后，再接入網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)通信，否則終端將被隔離至特定安全區(qū)域，不能使用任何網(wǎng)絡(luò)資源。

    (3)系統(tǒng)補(bǔ)丁分發(fā)及終端病毒防護(hù)

    在企業(yè)網(wǎng)中建立統(tǒng)一的、實(shí)時(shí)升級的補(bǔ)丁分發(fā)管理及病毒防護(hù)平臺，通過端點(diǎn)準(zhǔn)人控制客戶端的聯(lián)動(dòng)以實(shí)現(xiàn)對單個(gè)終端的病毒防護(hù)，同時(shí)實(shí)現(xiàn)全網(wǎng)終端系統(tǒng)漏洞補(bǔ)丁的更新。

    2.3數(shù)據(jù)中心的安全

    數(shù)據(jù)中心是整個(gè)企業(yè)網(wǎng)的核心，數(shù)據(jù)中心的安全決定著整個(gè)企業(yè)核心數(shù)據(jù)的安全。必須將安全設(shè)計(jì)的理念滲透到整個(gè)數(shù)據(jù)中心的設(shè)計(jì)、部署、運(yùn)維中，為數(shù)據(jù)中心搭建起一個(gè)無縫的安全平臺，實(shí)現(xiàn)安全管理貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標(biāo)，使安全保護(hù)無處不在。

    (1)數(shù)據(jù)中心實(shí)施安全區(qū)域劃分

    將數(shù)據(jù)中心各服務(wù)器群按功能業(yè)務(wù)不同劃分成：Extranet區(qū)域(外部網(wǎng))、Intranet區(qū)域(內(nèi)部網(wǎng))、Internet區(qū)域(互聯(lián)網(wǎng))等。在不同的區(qū)域采用不同的網(wǎng)絡(luò)接人方式，做到物理與邏輯上的劃分，這樣既有利于不同區(qū)域業(yè)務(wù)流的分離，又能為各個(gè)區(qū)域部署不同的安全保護(hù)策略。對數(shù)據(jù)中心的訪問用戶身份與訪問服務(wù)器資源的角色進(jìn)行綁定，通過不同角色來控制用戶訪問服務(wù)器資源的范圍。

    (2)入侵檢測防御

    以橋模式接人數(shù)據(jù)中心的入侵防御系統(tǒng)能夠高速進(jìn)行在線檢測并阻斷DDoS攻擊、非法P2P流量和病毒攻擊，保護(hù)數(shù)據(jù)中心免遭來自外部的威脅，同時(shí)也可以著重保護(hù)數(shù)據(jù)中心內(nèi)部的關(guān)鍵區(qū)域。

    (3)用戶訪問控制

    部署專用的數(shù)據(jù)中心防火墻，并利用防火墻對數(shù)據(jù)中心進(jìn)行精細(xì)的區(qū)域劃分，通過分區(qū)域的安全防護(hù)，可以保證各個(gè)區(qū)域的設(shè)備安全可靠運(yùn)行，并能夠?yàn)閿?shù)據(jù)中心提供全線速網(wǎng)絡(luò)的邊界安全及全局安全。

    2．4涉密信息網(wǎng)絡(luò)安全

    針對秘密信息，通過網(wǎng)絡(luò)安全手段對這部分用戶進(jìn)行邏輯隔離，并對其傳輸?shù)臄?shù)據(jù)進(jìn)行加密，使其他人員即便獲取到相關(guān)信息也無法使用。另外通過端點(diǎn)準(zhǔn)人功能配合交換機(jī)的訪問控制，確定用戶訪問涉密服務(wù)器的權(quán)限，利用數(shù)據(jù)庫加密技術(shù)確定訪問級別，確保對涉密信息的可控性。

    在數(shù)據(jù)中心設(shè)立相關(guān)涉密安全信息保密系統(tǒng)，通過系統(tǒng)下發(fā)安全策略。在有傳輸秘密信息的終端用戶安裝客戶代理端，保證涉及秘密信息的終端與相關(guān)服務(wù)器數(shù)據(jù)通信時(shí)實(shí)現(xiàn)信息加密，同時(shí)在存有涉密信息的服務(wù)器端安裝監(jiān)控加密程序，以實(shí)現(xiàn)對涉密服務(wù)器訪問的身份識別及對信息訪問的權(quán)限分配。

    對于機(jī)密級單位，按照國家保密局相關(guān)規(guī)定，涉密單位網(wǎng)絡(luò)應(yīng)物理隔離，不允許與其他非涉密網(wǎng)絡(luò)有連接。在機(jī)密單位內(nèi)部建立可信網(wǎng)絡(luò)保密系統(tǒng)和可信桌面系統(tǒng)。通過設(shè)立可信網(wǎng)絡(luò)保密系統(tǒng)，控制內(nèi)部信息不外泄，防止內(nèi)部人員私自接人外網(wǎng)；利用可信桌面系統(tǒng)，保護(hù)涉密終端的安全，設(shè)置登錄權(quán)限，保護(hù)加密終端內(nèi)部數(shù)據(jù)。同時(shí)在保密部門設(shè)置相關(guān)弱電保密產(chǎn)品，在保證網(wǎng)絡(luò)應(yīng)用安全的同時(shí)確保涉密單位辦公環(huán)境也達(dá)到保密要求。

    2．5 內(nèi)部網(wǎng)信息泄露的安全防護(hù)

    通過安全平臺下發(fā)主機(jī)監(jiān)控與審計(jì)系統(tǒng)安全策略，保證內(nèi)部網(wǎng)數(shù)據(jù)不被惡意盜取，防止外接設(shè)備隨意連接到終端，防止網(wǎng)絡(luò)內(nèi)部通過嗅探器等非法手段獲取非授權(quán)信息，同時(shí)避免用戶采用其它方式將內(nèi)部網(wǎng)數(shù)據(jù)傳輸?shù)酵獠烤W(wǎng)絡(luò)，杜絕終端用戶在未經(jīng)授權(quán)的情況下擅自使用各種I／0設(shè)備、計(jì)算機(jī)外設(shè)、移動(dòng)存儲設(shè)備等。

    2．6智能管理中心

    智能管理中心是整個(gè)網(wǎng)絡(luò)管理平臺的核心。在整個(gè)企業(yè)網(wǎng)絡(luò)解決方案中網(wǎng)絡(luò)設(shè)備并不是孤立存在的，網(wǎng)絡(luò)設(shè)備之間也需要溝通與協(xié)調(diào)。

    只有通過智能管理中心進(jìn)行有效的集成之后，才能讓整個(gè)網(wǎng)絡(luò)聯(lián)動(dòng)起來，通過智能管理中心實(shí)現(xiàn)用戶、資源和網(wǎng)絡(luò)設(shè)備的融合管理，通過松耦合、分布式、易擴(kuò)展的開放管理平臺，提升業(yè)務(wù)融合能力�；�于全網(wǎng)資源的統(tǒng)一部署、管理和調(diào)配，實(shí)現(xiàn)路由器、交換機(jī)、防火墻、終端等網(wǎng)絡(luò)設(shè)備管理以及桌面和網(wǎng)絡(luò)資產(chǎn)的統(tǒng)一管理，為業(yè)務(wù)融合、資源調(diào)度和自動(dòng)化協(xié)同響應(yīng)提供必要手段。

    (1)智能管理中心的架構(gòu)

    利用合理的系統(tǒng)體系結(jié)構(gòu)，建立集中的、統(tǒng)一的監(jiān)控管理服務(wù)平臺，規(guī)劃合理的平臺體系結(jié)構(gòu)，對業(yè)務(wù)服務(wù)質(zhì)量、系統(tǒng)運(yùn)行狀況、故障報(bào)警、設(shè)備運(yùn)行狀況、運(yùn)維流程監(jiān)控等進(jìn)行實(shí)時(shí)監(jiān)控、集中管理。

    智能管理中心的各監(jiān)控系統(tǒng)需要實(shí)現(xiàn)有機(jī)聯(lián)系，提供一個(gè)統(tǒng)一的事件管理平臺并匯總成網(wǎng)絡(luò)管理知識庫，通過開放接口，匯總各個(gè)子系統(tǒng)的故障和事件等，進(jìn)行網(wǎng)絡(luò)事件的過濾、轉(zhuǎn)發(fā)、自動(dòng)響應(yīng)、報(bào)警等處理。網(wǎng)絡(luò)管理知識庫承上啟下，在整體網(wǎng)絡(luò)架構(gòu)中負(fù)責(zé)對網(wǎng)絡(luò)事件進(jìn)行智能集成。

    (2)智能管理中心日志

    智能管理中心的日志審計(jì)系統(tǒng)可根據(jù)需要，通過各種條件的組合對網(wǎng)絡(luò)日志及相關(guān)的設(shè)備事件進(jìn)行快速分析。針對各種不同類型日志的分析，形成相關(guān)報(bào)表，幫助管理人員了解網(wǎng)絡(luò)現(xiàn)狀。

    NAT1．0日志記錄經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問的目的IP、目的端口、協(xié)議號、開始時(shí)間、結(jié)束時(shí)間、操作字等關(guān)鍵信息。

    FLOW1．0曰志記錄包括源IP、目的IP、源端口、目的端口、流起始時(shí)間、結(jié)束時(shí)間、操作字等關(guān)鍵信息。

    DIG1．0日志記錄探針型采集器直接從交換機(jī)的鏡像端口采集到的用戶上網(wǎng)信息，對用戶訪問外部網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行分類統(tǒng)計(jì)，生成探針日志記錄。

    DIG1．0日志包含兩種格式日志，DIGFLOW1．0和DIGEST1．0。DIGFL0w1．0日志內(nèi)容為IP層數(shù)據(jù)報(bào)文信息，其中包含數(shù)據(jù)報(bào)文的流量信息和協(xié)議類型信息，而DIGEST1．0日志內(nèi)容為應(yīng)用層協(xié)議數(shù)據(jù)報(bào)文信息，包含數(shù)據(jù)報(bào)文的摘要信息。兩種格式的DIG1．0日志在采集器進(jìn)行日志采集的同時(shí)生成。

    DIGFLOW1．O日志記錄包含以下內(nèi)容：開始時(shí)間、結(jié)束時(shí)間、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型(目前區(qū)分TCP、UDP和IcMP三種協(xié)議)、輸入包個(gè)數(shù)、輸出包個(gè)數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；DIGEST1．0日志記錄包含以下內(nèi)容：開始時(shí)問、結(jié)束時(shí)間、源IP地址、目的IP地址、目的端口號、摘要信息(目前支持HTTPTIP協(xié)議、FTP協(xié)議、SMTP協(xié)議報(bào)文)等。

    NetStream V5日志記錄包括日志的開始時(shí)間、結(jié)束時(shí)間、協(xié)議類型、源IP地址、目的IP地址、服務(wù)類型、入接口、出接口、報(bào)文數(shù)、字節(jié)數(shù)、總激活時(shí)間等信息。

    syslog協(xié)議是目前所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、負(fù)載均衡設(shè)備及主機(jī)中比較通用的日志管理協(xié)議，只需對收集對象進(jìn)行簡單配置，就可以將系統(tǒng)日志直接發(fā)送至審計(jì)平臺，完成收集工作。

    控制網(wǎng)關(guān)日志可以記錄用戶在通過統(tǒng)一身份認(rèn)證系統(tǒng)的認(rèn)證及授權(quán)后的所有的訪問行為。

    Agent在對象主機(jī)上安裝Agent方式以便進(jìn)行日志收集，用于實(shí)現(xiàn)對一些特殊日志格式或有特殊需求對象，如通過在windows主機(jī)上安裝Agent完成收集Windows event log、windows性能監(jiān)控、wEB(iis／印ache等)等相關(guān)日志收集；通過在unix主機(jī)上安裝Agent完成對用戶操作進(jìn)行記錄等功能。

    API審計(jì)日志用在一些較為復(fù)雜的系統(tǒng)中，如針對CheckPoint的OPSEC LEA、針對活動(dòng)目錄的LDAP API等。

    文件增量監(jiān)視使用文件增量監(jiān)視手段進(jìn)行日志獲取，可以直接將日志存儲到文件的系統(tǒng)中進(jìn)行監(jiān)視，獲取文件的方式有Agent本地獲取、網(wǎng)絡(luò)共享sAMBA、FTP、HTTP斷點(diǎn)下載等。例如IIs的日志可以采用這種方式獲取。

    ISA、SMS的日志獲取采用數(shù)據(jù)庫同步的方式將日志直接存儲到關(guān)系數(shù)據(jù)庫的系統(tǒng)中。

    SNMP GET方式的日志支持簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的系統(tǒng)，可以通過它獲得系統(tǒng)情況、性能等信息。

    (3)安全管理中心

    在全網(wǎng)安全防御過程中，除了采取相應(yīng)的技術(shù)手段在不同安全區(qū)域部署安全設(shè)備進(jìn)行有效防御外，還需要有強(qiáng)大的統(tǒng)一策略及統(tǒng)一的安全管理平臺，從而制定統(tǒng)一的企業(yè)網(wǎng)絡(luò)安全防護(hù)策略，方便管理人員對企業(yè)網(wǎng)絡(luò)進(jìn)行有效的安全防護(hù)，依據(jù)網(wǎng)絡(luò)設(shè)備及安全設(shè)備的選型情況可以選用不同廠商的安全管理平臺。

    安全管理中心應(yīng)參考國外的IS017799、Bs7799、美國的薩班斯法案、中國公安部的安全等級保護(hù)條例等進(jìn)行建設(shè)。

    安全管理中心通過智能管理中心知識庫中的信息及收集來的設(shè)備日志，形成基于攻擊事件的起因、被攻擊設(shè)備位置等不同條件的安全事件報(bào)表，幫助管理員分析當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀，使管理員能及時(shí)調(diào)整安全策略，聯(lián)動(dòng)已部署的安全設(shè)備實(shí)施有效的安全防御。

    (4)智能管理中心的認(rèn)證審計(jì)

    鑒于智能管理中心的重要性，智能管理中心要采用嚴(yán)格的身份認(rèn)證和訪問控制策略，確保只有經(jīng)過授權(quán)的管理人員才能訪問系統(tǒng)。

    通過數(shù)字證書或硬件加密鎖進(jìn)行身份認(rèn)證，提高認(rèn)證的強(qiáng)度和安全性。

    管理員通過管理中心控制臺進(jìn)行用戶帳號的授權(quán)管理、訪問策略下發(fā)等操作，通過授權(quán)與訪問控制網(wǎng)關(guān)實(shí)現(xiàn)對所有用戶訪問權(quán)限的控制，通過全面審計(jì)對用戶行為進(jìn)行詳細(xì)記錄。

3 結(jié)語

    綜上所述，通過安全管理中心能夠?qū)崿F(xiàn)企業(yè)網(wǎng)絡(luò)的安全防御和管理，在此平臺上集中管理企業(yè)局域網(wǎng)內(nèi)的各種網(wǎng)絡(luò)設(shè)備、終端用戶以及各類業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)全網(wǎng)各類接人終端及IT設(shè)備的統(tǒng)一管理、統(tǒng)一安全策略，對網(wǎng)絡(luò)中可能的安全事件進(jìn)行統(tǒng)一監(jiān)視，自動(dòng)生成報(bào)表并進(jìn)行分析，對網(wǎng)絡(luò)行為進(jìn)行審計(jì)和監(jiān)控，保證企業(yè)網(wǎng)絡(luò)安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：企業(yè)網(wǎng)絡(luò)的安全防御與管理

本文網(wǎng)址：http://www.oesoe.com/html/support/1112185299.html