企业网络的安全需求及实用技术

企业网络的安全需求及实用技术作者：王宇 来源：科技资讯 2013年第29期王宇(吉林市财政信息中心 吉林吉林 132000)摘 要：随着信息化技术的飞速发展，许多大中型企业的计算机网络规模不断扩大，网络 结构日益复杂，计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。因此， 网络安全防范应做整体的考虑，并更加注重一些实用及流行的技术。本文从企业的网络一般结 构特点入手，介绍了企业网络的结构，企业网络的安全需求及一些实用技术。关键词:企业网络 安全需求 实用技术中图分类号：TP393文献标识码：A文章编号：1672-3791(2013)10 (b)-0000-02随着互联网技术的飞速发展，网络对于企业的重要性已经不言而喻，网络安全与否，直接 关系到企业生产和科研的正常进行。网络安全是一个系统的、全局的管理问题，网络上的任何 一个漏洞，都会导致全网的安全问题。如果不进行有效的安全防护，网络信息系统将会受到具 有破坏性的攻击和危害。虽然网络给企业的经营管理带来了非常大的便捷和经济效益，但随之 而来的安全问题却一直困扰着企业，病毒的传播、黑客攻击使企业的网络安全状况进一步恶化， 这就对企业网络安全提出了更高的要求。本文提出了一般企业网络的结构特点，重点对企业网 络存在的安全问题进行分析，并提出了包括VLAN技术、上网行为管理、防火墙技术、内外网隔 离技术等管理措施和安全技术。目的是建立一个安全的、可靠的网络安全体系，使网络安全系 统真正获得较好的效果。1 企业网络一般结构及特点一般企业的内部网络结构大同小异，都是处于一个企业厂区内部或者各大楼内部，都是各 信息点集中到中心网络的一个星形网络，即拥有一个中心机房，各计算机终端都汇聚到中心机 房。对外的出口一般连接因特网，内部有服务器支撑的各个具体应用。从网络安全的角度来考虑，一般企业网络主要有以下特点：一是直连因特网的具体外网应 用，主要是实现局域网的外部网络访问功能；二是企业对外需要提供网页发布或者邮件服务的 功能；三是不需要对外服务的纯内部网络的应用。2 企业网络安全需求分析基于企业网络的主要特点，相应的也会存在一定的安全隐患，因此有必要针对实际，分析 各种应用的安全需求，采取相应的安全举措。一般的网络安全需求分析可以从以下几个方面来 考虑：直连外网存在的网络病毒、恶意代码、黑客的攻击；公司具体应用系统是否建立相应的 防护措施；公司内网是否实现安全隔离。2.1 安全监测和网络攻击行为分析安全监测是实时对网络访问和网络对外公开服务进行安全扫描和监测，及时发现危险的攻 击行为和网络病毒，并反馈给网络管理者。通过监测来保证网络和服务的正常运行。要实现： 及时发现网络的恶意攻击行为；详实地记录攻击发生的情况；当网络遭到攻击时，系统必须能 够向管理员发送信息并及时阻碍其攻击；对防火墙进行安全监测和分析2.2 应用系统安全风险分析由于攻击者对网络结构和系统应用模式不了解，主要对应用服务器进行系统攻击，破坏操 作系统或者获取操作系统管理员的权限，再对应用系统进行攻击，以获取企业的重要数据；在 现在通用的三层结构（数据库服务器-应用服务器-应用客户端）中，通过对数据库服务器的重 点保护，可以防止大多数攻击。具体要实现：分别对三层结构在防火墙上设置不同的安全级别， 加强合法用户的访问认证，同时将用户的访问权限控制在最低限度；备份与灾难恢复-强化系统 备份，实现系统快速恢复。2.3 内网的安全风险分析一般企业的内部应用系统都涉及绝对保密的数据，因此，需要采用绝对的安全措施，具体 要实现：严格与外网物理隔离，使黑客无从下手；内网外网都在一台机器上，充分使计算机资 源使用效率实现最大化。3 企业网络安全实用技术3.1 针对网络攻击行为的实用安全技术针对网络攻击行为，除了常规的局域网杀毒防病毒策略以外，还有VLAN技术的推广应用， 这可以大大限制局域网的广播风暴。利用VLAN技术，可以将一些相关计算机组合在一起，组成 一个虚拟的网络环境，VLAN技术可以增强局域网的安全性，含有保密数据的计算机可与网络的 其余部分隔离，从而降低数据被窃的可能性。而一个VLAN内的计算机不能和其它VLAN内的计 算机直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备来实现。在网关控制方面，时下比较流行的技术是使用硬件来实现网关及整个网络的管理，例如深 信服上网行为管理可以实现网络的安全管理。通过部署上网行为管理，利用其内置的恶意脚本过滤等创新技术过滤恶意网站的访问、封 堵不良网站等，从源头上切断病毒的入侵，再结合终端安全强度检查与网络准入、DOS防御、 ARP欺骗防护等多种安全手段，实确保企业的网络安全。防止带宽资源滥用，通过网关控制台可以对计算机带宽分配策略进行严格限制，如限制在 线视频、限制迅雷下载等不良应用所占用的带宽，保障正常访问网页和正常办公应用获得足够 的带宽支持，提升上网速度和网络办公应用的使用效率。网关控制台可以在一台终端台式机实现软件界面化管理，如图1所示：可以实现上网行为 管理，流量管理，网关日志与故障排除等主要功能。* 口册r.叮-jUWFK jpririX?r- x*WrL上91 ctKiiar 111 M加 mi mor上-匚SKI：bi KDMBSra 4axa dlMlttf hU!M i* 曲xi.群沪1 IV xiBir q d搐 uIV3.2 针对应用系统的实用安全技术针对应用系统的安全需求，一般比较流行的技术是防火墙技术，防火墙可以实现不同的安 全级别访问策略，具体通过防火墙配置来实现，例如将实现外网功能的安全级别定义为最低 O 将数据库服务器安全级别定义为最高100,则一般防火墙设置语句如下所示：防火墙名（config）#nameif et herne tO out side secur ityO ；防火墙名（config）#nameif ethernetO intside securitylOO ；security0是外部端口，其安全级别最低设置为0, securityl00是内部端口，安全级别 为最高 100，如果中间还有以太口，如需要提供 web 服务或邮件服务，即需要一定的安全级别 又要有一定的安全防护，例如可以将安全级别定义为20，一般情况下增加一个以太口作为 DMZ（Demilitarized Zones非武装区域），其语句为防火墙名（config）#nameif ethernetO DMZ 端口 security20 ；另外要对具体的管理者设置不同的用户名和权限，访问内部人员操作失误或者越权造成数 据的损坏。3.3 针对内外网隔离的实用安全技术针对内网的安全分析，时下流行的技术是内外网物理隔离卡技术，将计算机安装一个隔离 卡，控制双硬盘内外网切换和工作。如用户使用比较多的伟思隔离卡、中孚隔离卡等，都是以 物理方式将一台PC虚拟为两个电脑，实现PC的双重状态，既可在安全状态，又可在公共状态, 两个状态是完全隔离的，并利用内网网线双布线来使PC机联结内、外网。企业向来都是走在网络应用的最前端，对信息安全的需求也日益迫切，更大型的企业使用 的网络安全技术更先进，安全体系框架也更成熟，本文提出的几种实用技术既考虑了企业的经 济能力，又有效注重了实效实用性，在对待黑客攻击，病毒等都有着非常好的效果，足以使企 业的网络处在非常安全的环境中，其中，内网物理隔离技术更是百分百的网络安全，相信此技 术会给企业带来绝对安全的网络环境。此外，不同的企业应根据自己实际，制定切实可行的网 络安全解决方案，通过实施一系列安全策略规范，为整个企业的网络安全管理搭建坚实的平台。参考文献1 冯景林.网络防火墙的安全技术.科技信息（科学教研）, 2OO7,（13）2 陈霜霜.计算机网络安全的研究与探讨.科技信息,2011年35期.3 彭沙沙,张红梅,卞东亮.计算机网络安全分析研究.现代电子技术,2012 年.