企业内部网络安全方案设计原则及措施
2010-08-15杜润众
杜润众
中国电信秦皇岛分公司,河北秦皇岛 066004
1 企业内部网络安全面临的主要威胁
一般来说,计算机网络系统的安全威胁主要来自以下几个方面:
1)计算机病毒的侵袭。计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪;
2)黑客侵袭。黑客非法进入网络使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据等;
3)拒绝服务攻击。例如“邮件炸弹”,使用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪;
4)通用网关接口(CGI)漏洞。搜索引擎是通过CGI脚本执行的方式实现的,黑客可以修改这些CGI脚本以执行他们的非法任务;
5)恶意代码。恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹等。
2 企业网络安全目标
1)建立一套完整可行的网络安全与管理策略,将内部网络、公开服务器网络和外网进行有效隔离;2)建立网站各主机和服务器的安全保护措施,保证系统安全;3)对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;4)加强合法用户的访问认证,同时将用户的访问权限控制在最低限度,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;5)加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志备份与灾难恢复;6)提高系统全体人员的网络安全意识和防范技术。
3 安全方案设计原则
对企业局域网网络安全方案设计、规划时,应遵循以下原则:
1)综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
2)需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定必要。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略,是比较经济的方法。
3)一致性原则:网络安全问题贯穿整个网络的生命周期,因此制定的安全体系结构必须与网络的安全需求相一致。在网络建设开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,要有效得多。
4)易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5)分步实施原则:由于网络规模的扩展及应用的增加。一劳永逸地解决网络安全问题是不现实的,费用支出也较大。因此可以分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
6)多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。因此需要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它保护仍可保护信息安全。
4 主要防范措施
1)依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制和安全制度,加强网络安全教育和培训。
2)网络病毒的防范。作为企业应用网络,同时需要基于服务器操作系统平台、桌面操作系统、网关和邮件服务器平台的防病毒软件。所以最好使用全方位的防病毒产品,通过全方位、多层次的防病毒系统的配置,使网络免受病毒的侵袭。
3)配置防火墙。防火墙是一种行之有效且应用广泛的网络安全机制。利用防火墙执行一种访问控制尺度,将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,同时防止Internet上的不安全因素蔓延到局域网内部。
4)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,用于检测计算机网络中违反安全策略行为。利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。最好采用混合入侵检测,同时采用基于网络和基于主机的入侵检测系统,构架成一套完整立体的主动防御体系。
5)漏洞扫描系统。解决网络安全问题,要清楚网络中存在哪些安全隐患、脆弱点。仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估显然是不现实的。能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具是较好的解决方案,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6)IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
7)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
5 结论
网络安全是一个系统的工程,不能仅依靠杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统。建立一个好的计算机网络安全系统同时,也应注重树立人的计算机安全意识,才可能防微杜渐,把可能出现的损失降低到最低点,生成一个高效、通用、安全的网络系统。
