您所在的位置:http://www.qk114.net > 论文 > 计算机论文 > 正文

浅谈企业网络系统安全设计

  摘要:和以前相比,如今的企业网络安全现状已经发生了很大的改变,它在更多的方面上表现为“应用层威胁”。网络系统的安全是企业业务的重要保证。本文就网络系统可能存在的网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险四个方面进行讨论,给出了网络系统安全防护和安全管理初步设计。 

  关键词:应用层;网络安全;访问
中图分类号:TP311 文献标识码:A 文章编号:1007-9416(2017)11-0186-02
以前我们谈及企业网络安全的时候,还主要指防火墙,因为那时候的安全还主要以网络层的访问控制为主[1]。的确,防火墙就像一个防盗门,给了我们基本的安全防护。但是,就像今天最好的防盗门也不能阻止“禽流感”病毒传播一样,防火墙也不能阻挡今天的网络威胁的传播[1]。今天的网络安全现状和以前相比,已经发生了很大的改变,我们已经进入了一个“应用层威胁”泛滥的时代。
今天,各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合,形成复合型威胁,使威胁更加危险和难以抵御。这些威胁直接攻击企业核心服务器和应用,给企业带来了重大损失[1];攻击终端用户计算机,给用户带来信息风险甚至财产损失;对网络基础设施进行DoS/DDoS攻击,造成基础设施的瘫痪;更有甚者,像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及,企业宝贵带宽资源被业务无关流量浪费,形成巨大的资源损失[2]。面对这些问题,传统解决方案最大的问题是,防火墙工作在TCP/IP 3~4层上,根本就“看”不到这些威胁的存在,而IDS作为一个旁路设备,对这些威胁又“看而不阻”,因此本文就主要安全风险讨论相应的解决方案。
1 网络系统风险
网络系统可能存在的主要安全风险主要包括四个方面:网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险。
1.1 网络边界风险
一个较大的网络系统通常有多个外部网络连接,包括:骨干网、信息集成网和无线网等。必须对这些区域之间、区域和外部进出的数据流进行深度的检测和严格的访问控制,进行精细化的管理,才能够真正的保证这些连接不会引入安全攻击风险,而且也保证区域网络风险不会扩散到相连接的其他区域网络中;对于外联边界,不仅需要部署访问控制设备进行安全区域隔离,还需要部署应用层安全防护设备,防止应用层网络攻击等通过外联边界对网络进行破坏,同时,为了防止带宽滥用等行为影响网络正常运行,对外联边界进出的流量需要进行相应的审计和控制。
1.2 数据访问安全
一般办公网和业务网络无直接连接,需要通过骨干网与其他区域网络进行连接,在办公网需要访问生产网时,除了有效的控制访问、认证授权外,还需要对网络数据传输进行加密保护,避免数据传输过程中被窃取或者篡改。在无线网区域通过无线访问业务网络的用户,也要进行相应的安全认证授权和数据加密。
1.3 用户接入网络安全控制
网络接入用户可能复杂,需要对这些用户的网络访问行为进行多层次的控制,以保证应用系统的有效运行,这些层次包括:网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等,以实现对用户的安全管理[3]。
1.4 网络安全管理风险
三分技术七分管理,大量的基础网络安全设施建设如果不能有效便捷的管理,将为后期安全威胁管理和整网维护带来巨大的困难,所以需要对整网进行统一安全管理和整网流量监控分析。
2 网络系统安全设计
针对上述安全风险,本文从这四方面出发设计网络系统安全防护和安全管理,具体方案如下。
2.1 网络边界防护设计
边界防护的核心策略就是将网络进行完善的区域划分,实现严格的访问控制策略,保证网络高度的安全性[4],使用防火墙+IPS的产品组合可以实现二层~七层完善的安全防护。
因此,针对网络边界安全风险,首先需要在各安全区域边界部署防火墙设备,具体来说,在骨干网与各业务子网连接边界部署内嵌式防火墙模块,在骨干网外联单位接入区边界部署接入防火墙和异构防火墙,在信息集成网外联边界部署接入防火墙,在离港网外聯边界部署防火墙系统,实现访问控制隔离和安全区域划分,从而对网络访问进行有效的控制。同时,在骨干网外联区交换机和信息集成网AODB服务器核心业务区交换机上分别部署IPS模块,实现病毒、蠕虫、网络攻击、协议漏洞等防护,以保护内部局域网系统和各应用系统服务器免于恶性攻击。
2.2 数据访问安全防护设计
SSL VPN是用户访问敏感公司数据最简单最安全的解决技术[5]。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件[5]。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的,而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
因此,针对网络数据访问安全问题,在骨干网区域、信息集成网区域和无线网区域,分别部署SSL VPN接入系统,对需要访问内部网络的用户进行认证授权,认证及鉴权由骨干网管理中心的AAA系统完成,同时对传输数据进行加密。
2.3 用户接入网络安全设计
针对当今大型局域网缺乏行之有效的内网控制管理手段的突出问题,本设计考虑采用H3C公司EAD终端准入控制方案,该方案主要包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。
 2.4 网络安全管理设计
为了更好的了解目前网络当中发生的安全事件,需要对网络当中的所有设备(防火墻、IPS、交换机、路由器、PC、Server等)进行日志分析;同时,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和分析,对NetStream/SFlow/CFlow/NetFlow流日志的采集、分析、审计、统计报告功能,检测各种异常流量并产生告警,帮助管理员全面了解网络应用模型、流量趋势和目前网络中的安全危险点[6]。
 
本站主营各类论文发表论文发表职称论文发表论文代写代发表服务!
加盟 加盟陈主编:QQ:22848269 咨询电话 垂询电话:13541216041 邮箱投诉邮箱:[email protected]
QQ客户 客服杨老师:QQ:61771950 咨询电话 垂询热线:02880885761 邮箱 咨询邮箱:[email protected]
QQ咨询 客服邓老师:QQ:61771951 咨询电话 垂询热线:02880885762 邮箱导咨询邮箱[email protected]
联系地址 联系地址: 四川大学望江校区 成都市一环路南一段24号 邮编: 610065
常年法律顾问支持:四川川达律师事务所 信息产业部备案:蜀ICP备08008442号
专业,诚信,快捷,权威的论文发表网