当企业业务不断扩展、数据处理量日益增大时，信息化就成为一个必然的趋势。特别是近年来，各建筑企业以住房和城乡建设部施工总承包特级资质企业信息化考核为契机，大力推进以工程项目综合管理系统为核心的主营业务信息化建设，信息化对企业管理能力提升的贡献越来越大。同时，网络作为企业信息化建设的基础设施，网络的安全问题也日益成为企业信息化建设过程中愈发引起关注的焦点。

安全是动态的，理想的安全网络应该是将各种安全技术、安全产品进行整合，相关产品“协同作战”，防护、检测、响应相结合，以实现对网络的整体防护，最大限度地避免由于某个方面的疏漏导致安全的“木桶效应”被放大，同时又必须在安全性和易用性之间找到一个合理的平衡点。下面结合中国水电网络安全系统的建设情况，分析建筑企业应该如何构建符合企业自身需求的网络安全保护体系。

1、企业网络安全威胁分析

从网络分层模型来看，企业网络的安全威胁主要包含以下方面：

物理安全：这是整个网络系统安全的前提，主要包括地震、水灾等环境事故造成系统毁灭；电源故障造成设备断电以至操作系统引导失败或数据库信息丢失；设备被盗、被毁造成数据丢失等。

链路传输安全：是指入侵者通过在传输线路上安装窃听装置，窃取在网上传输的重要数据，再通过相应的技术读出数据，造成泄密或者通过篡改来破坏数据的完整性。

网络互联安全：为了充分发挥网络在信息交换中的作用，企业网络必然要和Internet进行连接，要和相关协作单位的外部网络进行互联。网络互联的安全风险主要包括黑客攻击、拒绝服务/分布式拒绝服务攻击、意外的人为破坏和有意的人为破坏等。

系统安全：是指主机操作系统的安全问题，入侵者可以通过检查操作系统的安全漏洞和稳定性等问题来攻击系统，从而达到控制系统的目的。基于系统的攻击主要包含口令攻击、IP欺骗、端口扫描和缓冲区溢出等。

应用安全：是指主机上应用软件的安全，包括Web服务安全风险、浏览器安全风险、病毒侵害、邮件系统安全风险等。

管理安全风险：再安全的网络设备也离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。

2、构建以边界防护为主的立体防御体系

企业网络面临的安全威胁来自多个方面，以前单一的防护措施已经无法满足需求，混合式攻击越来越多，手段也越来越复杂和隐蔽。企业必须按照“管住两端、突出重点、加强监管”的原则，构筑以边界防护为主，其它防护措施为补充的立体防护体系，才能够确保企业网络的安全。

“管住两端”主要是指：通过防病毒网关，将大量病毒拦截在内网以外；通过上网行为管理设备，控制用户上网行为；建立网络准入控制系统，保证只有合法的用户可以使用网络；综合应用DHCP、MAC/IP绑定、广播风暴抑制技术，规范内网IP地址的使用，杜绝ARP、SYN等攻击；“突出重点”主要是指：通过防火墙，进行不同安全区域的边界隔离；通过存储和备份系统，确保数据的安全存储和备份；通过邮件过滤网关，过滤垃圾邮件，清除邮件中的病毒；综合应用IPS和网站防篡改系统，对重要的服务器进行特殊保护；“加强监管”主要是指：通过统一网管系统，对全网的网络设备、服务器进行统一管理；通过配置管理软件，建立统一的配置管理、分发系统，加强设备的变更管理；通过信息安全审计系统，对用户操作、使用业务系统，尤其是数据库的各种操作进行跟踪审计。下面重点从边界防护进行论述。

2.1、安全区域和边界

根据安全框架IATF的理论，可以将企业的信息系统根据其安全需求划分成不同的安全区域和边界。安全区域是对信息进行处理的一组信息资产的集合，这些资产具有比较接近的安全特性。两个不同安全区域之间即为边界，主要是为安全区域提供不同程度的隔离和连接功能，边界的隔离可以在物理层到应用层的各层上实现。对于建筑企业来说，其安全区域主要有以下几个：

2.2、边界防护

所谓边界防护是指在安全边界建立防护系统，通过对特定网段、特定服务建立的访问控制体系，对出入各个安全域的信息进行检查，将绝大多数攻击和非法访问行为阻止在边界处。

2.2.1、防火墙

防火墙是企业应用最多，也最成熟的网络安全设备，它是不同安全域之间信息的唯一出入口，能够根据企业的安全策略严格控制出入网络的信息流，并且本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络安全的基础设施。我们建议在所有的边界上部署硬件防火墙，并按照“最小化服务”原则配置安全策略。

2.2.2、入侵防御系统

随着网络技术的发展，防火墙在使用过程中暴露出以下不足：入侵者可以伪装数据绕过防火墙，防火墙不具备对应用层数据的过滤功能等。在此情况下，入侵检测系统（IDS）便应运而生，它可以为网络提供实时的监控，但IDS以被动的方式工作，只能检测攻击，不能实时阻断攻击。

入侵防御系统（IPS）是在应用层的内容检测基础上加上主动响应和过滤的功能。IPS的目的是对入侵活动和攻击性网络流量进行拦截，避免其造成损失。IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，可以根据内置的signature识别并阻断攻击。当新的攻击被发现之后，IPS就会创建一个新的过滤器，所有流经IPS的数据包都被分类，每种过滤器负责分析相应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。由于从Internet发起的网络攻击最多，因此我们建议在Internet边界部署IPS。当企业组建了广域网时，在广域网接入边界也应该部署IPS。

2.2.3、VPN网关

VPN是指以公共网络(如Internet)作为传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向用户提供类似于私有网络性能的技术。目前，VPN主要分为SSL VPN、IPSec VPN和MPLS VPN三种。其中，IPSec VPN 是适合企业建立VPN专网的主流技术，而SSL VPN是方便移动用户通过Internet远程接入企业网的最佳解决方案。

对于建筑企业来说，项目部往往众多且分散，很多项目部位置偏远，只有Internet的接入条件，而且多数项目具有施工周期短、流动性强的特点。因此，应当在Internet边界部署IPSec VPN网关，通过site-to-site的方式组建企业的VPN网络，方便项目部用户安全地访问企业内部信息资源。同时，通过在Internet边界部署SSL VPN网关，方便移动办公用户安全地接入企业内网，实现所有基于Web的应用。

2.2.4、邮件过滤网关

伴随着Internet的普及，Email作为现代通信手段逐渐占据了Internet主流应用的地位，企业邮件系统面临着既要防范黑客攻击，又要防范垃圾邮件和病毒邮件蔓延等安全问题。我们建议在Internet边界部署邮件过滤网关来保护邮件系统。

邮件过滤网关在逻辑上必须部署在邮件服务器的前端，负责对进出邮件系统的Email进行过滤，一般采用以下两种方式部署：第一种直接将过滤网关串接在邮件服务器的前端，网关以透明模式工作，保证所有收发的邮件都通过网关进行过滤，该方式对过滤网关的性能、可靠性的要求高，一旦网关发生故障势必影响员工使用邮件系统；第二种方式是把过滤网关和邮件服务器并接，通过在DNS中为网关添加优先级较高的MX记录，保证所有接收的邮件优先投递到过滤网关，经过网关过滤后再投递到邮件服务器，该方式能够确保过滤网关出现问题时，Email可以直接投递到邮件服务器，不会影响员工使用邮件系统。

2.2.5、防病毒网关

网络是病毒传播最好、最快的途径之一，网络中一旦有一台主机受病毒感染，病毒完全有可能在极短的时间内迅速扩散。防病毒网关又叫防毒墙，它和防病毒软件最主要的区别是，防毒墙是以串接的方式部署在边界的硬件设备，它根据防毒策略对指定的数据包进行重组、分析、过滤、扫描，将病毒文件直接清除。也正因为防毒墙要对数据包进行重组、扫描等操作，因此防毒墙的性能要求很高，当网络带宽增加、网络流量增大时，防毒墙的性能会成为网络传输的瓶颈，一般都要通过负载均衡设备，采用多台防毒墙以集群模式并发工作。我们建议在Internet边界、广域网边界，甚至是外部网边界部署防毒墙，将绝大多数病毒阻挡在企业内网之外。

2.2.6、上网行为管理

近年来，随着各种基于BT技术的网络下载、视频点播、在线游戏的广泛应用，网络应用越来越丰富多彩，企业的Internet出口也被这些非法流量大量吞噬，严重影响正常的办公业务，上网行为管理设备便应运而生。上网行为管理设备从严格的意义上来说并不算是网络安全设备，而应该是网络流量管理设备，其工作原理主要是通过内置的协议库，对四层以上，尤其是应用层的数据流进行识别，然后按照预定义的策略对数据流进行阻断、限流、正常通过等操作，确保关键应用的网络带宽，另一方面，上网行为管理设备一般都具备URL Filter和黑白名单过滤等功能，通过这些功能能够过滤非法网站，能够按照黑白名单阻断相关的数据流。我们建议在Internet边界部署上网行为管理设备，尤其是通过Internet建立VPN广域网的企业一定要部署上网行为管理设备，以便限制无关流量，确保VPN和正常办公应用的流量。

2.2.7、边界防护的注意事项

边界防护所采用的设备都是网关级的设备，所有的网络流量都要通过防护设备，因此，边界防护设备的性能将成为整个网络传输的瓶颈。企业在选择边界防护设备的时候，一定要根据网络带宽、部署位置以及业务应用情况选择合适的设备。比如，对于部署在Internet边界的防火墙可以选用小包处理能力达到全线速的百兆防火墙，以便应对Dos/DDos攻击；对于部署在数据中心和办公网边界的防火墙，必须选用千兆甚至万兆防火墙。

另外，边界防护设备的稳定性、可靠性和可用性直接影响到整个网络的这些性能。企业在选择边界防护设备时，除了要选择成熟、稳定、可靠的产品以外，有条件的企业还应该尽量避免防护设备可能出现的单点故障，其解决方法有三种：第一种是对于透明部署的设备，必须具备硬件Bypass功能，一旦防护设备出现故障，能够高优先级地自动切换到Bypass链路，确保网络不中断；第二种方法是通过两台设备以双机热备的方式来解决单点故障；第三种方法是由多台设备组成集群，通过专门的负载均衡设备将网络流量分摊到这些设备上，该方案是解决防护设备单点故障和性能问题的最佳方案，但其投资也较大。

2.3、补充防护措施

再好的边界防护设备也不可能阻断全部攻击，尤其是当攻击是从网络内部发起时，边界防护设备便失去了作用。因此，还必须在安全区域的内部建立其它安全措施，和边界防护设备构成立体的、纵深的防护体系，才能确保企业网络的安全。

2.3.1、入侵检测系统

入侵检测系统(IDS)可以利用入侵者留下的痕迹来有效地发现来自外部或内部的非法入侵，IDS以探测技术为主，分为基于主机的IDS和基于网络的IDS，它不停地监视受保护的主机或网段中的所有数据包，对每个数据包进行特征分析，如果数据包与IDS内置的某些规则吻合，IDS就会发出警报。我们建议在企业高风险和重点保护的安全域中部署基于网络的IDS，在重要的服务器上部署基于主机的IDS。

2.3.2、漏洞扫描和补丁修复

漏洞扫描的原理是采用模拟攻击的方式对目标可能存在的安全漏洞进行逐项检查，然后根据扫描结果生成安全报告和相关修复建议，漏洞扫描检查有利于保持全网安全策略的统一和稳定。发现漏洞后，必须对漏洞进行修复，我们建议在企业内网建立补丁服务器来自动修复系统漏洞，一方面可以减少访问外部补丁服务器的网络流量，另一方面对于不允许直接访问Internet的服务器也能提供补丁修复。因此，我们建议在所有主机上安装统一的系统漏洞扫描和自动补丁分发软件，通过统一的、强制的策略定期扫描主机并自动安装最近的补丁程序。同时，有条件的企业应部署独立的漏洞扫描设备，定期对网络设备、重要服务器等进行漏洞扫描，并根据扫描报告修复相关漏洞。

2.3.3、网络准入控制

网络准入控制是一个过程，通过强制执行作为网络访问前提条件的安全策略来减少网络安全事件，增强对企业安全制度的遵从。其基本原理是：当主机需要接入企业网时，首先由准入控制系统对主机进行相应的安全检查，不满足条件的主机被系统隔离到修复区中，并提示用户对主机进行相应的处理，只有符合条件的主机才能够接入网络。同时，已经接入网络的主机一旦发生安全问题，也会被系统隔离，确保网络上的主机都是可信的、安全的。我们建议在所有主机上统一安装网络准入控制系统。

2.3.4、网络防病毒软件

虽然通过防毒墙可以有效地将病毒阻挡在企业内网之外，但是防毒墙不可能查杀所有的病毒，尤其是当用户使用带病毒的光盘、U盘等拷贝文件时，病毒可以直接在企业网中传播。防病毒软件有单机版和网络版之分，以前病毒的主要攻击对象是个人资料，处理办法就是安装单机版杀毒软件来阻挡病毒的侵袭。目前病毒攻击的主要对象已经发展成为网络资源，当主机感染了病毒以后，病毒的快速传播和复制会导致网络瘫痪，严重影响整个企业的正常工作。网络版和单机版杀毒软件相比，具有远程杀毒、远程报警、远程操作、自动升级、集中式管理和分布式杀毒等网络功能。因此，我们建议在所有主机上统一部署网络版防病毒软件。

3、小结

企业网络的安全问题是一个复杂的系统工程，构筑网络安全防护系统，有效保护网络系统的安全是一个与病毒、黑客持续斗争的过程，一个完整的网络安全解决方案应该是实用的安全技术、周密的安全策略、良好的内部管理的充分结合。在安全业界流行着一条80/20法则，即80%的安全威胁来自于网络内部。因此，要保证企业网的安全，必须始终坚持“三分技术、七分管理、十分意识”，在从技术上作好各种安全防护的同时，更要做好网络的安全管理工作，同时，必须加强培训，增强全员的安全意识。