网络安全管理技术在企业网中的应用
2013-07-25何向东
何向东
0 引言
随着计算机和网络技术的发展,网络安全技术也有了很大的进步,但是,单个的安全技术的功能和性能都有其局限性,如何有效的管理网络以及系统中的安全产品和安全技术,成为研究网络和信息安全的一个重要内容。
企业的信息化热潮快速兴起,由于企业信息化投入不足、缺乏高水平的软硬件专业人才、以及企业员工安全意识淡薄等多种原因,网络安全也成了中小企业必须重视并加以有效防范的问题。病毒、间谍软件、垃圾邮件等等,这些无一不是企业信息主管的心头之患。
1 网络安全的问题
网络安全可以简单的分成3个部分:人为的无意失误,人为的恶意失误和网络软件的漏洞和“后门”。哪个方面都会给企业带来损失,简单说明如下:
1.1 人为的无意失误
人为的无意失误:如操作员安全配置不当,造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享,等都会对网络安全带来威胁。
1.2 人为的恶意失误
人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪,就属于这一类。此类攻击,又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击,均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3 网络软件的漏洞和“后门”
无论多么优秀的网络软件,都可能存在这样那样的缺陷和漏洞,而那些水平较高的黑客,就将这些漏洞和缺陷作为网络攻击的首选目标。在曾经出现过的黑客攻击事件中,大部分都是因为软件安全措施不完善所招致的苦果。一般,软件的“后门”,都是软件公司的设计和编程人员为了方便设计而设置的,很少为外人所知。不过,一旦“后门”公开或被发现,其后果将不堪设想。
2 企业网络安全的解决方案
2.1 企业网络安全的部署图
一个典型的生产型企业的网络架构,如图1所示:
图1 一个生产型企业的网络示意图
2.2 企业网络安全的管理办法
安全综合管理是针对安全部署,对管理域内的安全设备进行安全信息收集和信息综合。下面围绕如何规划企业网络安全环境进行研究:
2.2.1 网络设备的安全
在网络安全防护中,确保网络设备安全是最基本的防护手段。首先,要合理的配置设备,确保只开放设备上必要的服务,只运行指定人员的访问;其次,关注设备厂商发布的漏洞,及时安装网络设备补丁;再次,网络中的所有设备,必须定期更换密码,同时,密码要满足一定复杂度,不易于破解;最后,合理地维护设备,确保网络设备稳定运营。
2.2.2 企业数据安全
企业中实施网络安全的主要目的,一个是预防病毒威胁,另一个就是保护数据安全。数据是一个企业的核心内容,特别是对于一些高科技企业来说。因此,企业内部保护数据安全尤为重要。对于企业来说,让特定的人员看到特定的数据,是有效利用数据的基本要求。应该禁止非业务相关人员查看。实现方法有两点:
1)总公司与子公司之间传送的数据必须加密。
目前一般大中型企业都在各个地方有分支机构,这些公司之间传送的数据是企业的核心信息,必须加密后才可以发送。以防非法人员查看。同时,禁止通过Internet发送邮件等。
2)构筑客户端的软件系统,防止公司内部人员私自复制数据带出公司。
潘多拉是希腊神话中的女子。普罗米修斯盗天火给人间后,主神宙斯为惩罚人类,命令神用黏土塑成一个年轻美貌、虚伪狡诈的姑娘,取名“潘多拉”,意为“具有一切天赋的女人”,并给了她一个礼盒,然后将她许配给普罗米修斯的弟弟埃庇米修斯(意为“后知”)。
此软件系统,应该具有禁止使用U盘、移动硬盘、DVD刻录机功能,具有禁止无线、蓝牙功能,防止内部用户私自带走数据。同时,应该构筑办公软件加密系统,指定办公文档,必须有权限的人员才可以查看。
2.2.3 远程接入安全及Internet安全访问
移动办公用户,需要远程登录公司邮箱系统,可以通过VPN实现,对于上传和下载的文件,应该备份,方便以后查询。内部用户访问 Internet,应该有专门的上网行为管理设备,进行严格的限制,禁止使用邮箱、网上硬盘、游戏、色情等等网站,以防内部数据丢失和病毒传染。上网行为管理系统,同时应该开启如下设置:启用HTTP下载杀毒、FTP下载杀毒、POP3(接收邮件)杀毒、SMTP(发送邮件)杀毒等等。另外一个必须的措施是部署企业级的防火墙系统。
防火墙作为传统的安全设备,在网络中的位置不可取代。防火墙是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包,如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许,并监视网络运行状态, 用来保障计算机网络的安全。
2.2.4 内部的网络安全
防止网络外部的入侵,可以通过安装防火墙来解决,但是对于网络内部的入侵则无能为力。详细分析制造型企业的性质,有必要进一步划分内部网络。
企业的内部网络可以细分为办公网络和生产网络。办公网络可以访问 Internet,安全隐患较大;生产网络只需要连接内部的服务器,不需要访问 Internet。两个网络之间,架设防火墙系统隔离,最大化保护生产网络,来确认公司核心业务无故障运行。为了进一步缩小网络故障影响,可以再划分网络区域,不同的网络区域之间,通过 VLAN隔离,VLAN间设置安全策略,分割区域间的影响,实现一个 VLAN的故障,不会影响到其他 VLAN。同时对各个 VLAN做一个具有一定功能的审计文件,为管理员分析自己的网络运作状态提供依据。设计一个VLAN专用的监听程序监听VLAN内计算机间互联情况,为系统中各个服务器的审计文件提供备份。
大中型企业客户端较多,且基本上都是 Windows操作系统,一台台地管理很麻烦,这就需要企业内部通过Windows组策略来管理客户端。组策略就是通过做一次设定,影响一批对象(用户、计算机)。可以在组策略上设置严格的策略,控制客户端的安全。具体措施包括:强制客户端同步WSUS服务器,自动安装必须的Windows补丁;实施符合一定规则的密码策略;强化账户策略,删除Guest等无关用户;删除系统默认共享,关闭共享文件功能,要求内部所有的数据传送,必须通过文件服务器或是邮箱进行;最小化系统服务,关闭不使用的服务;严格限制非管理员的操作权限;强化系统日志审核功能等等。这些策略是公司内部的通用策略。
对于生产使用的客户端,由于作业员只需要使用几个简单的操作,所以,需要进行更严格的限制。例外:最小化账户权限;最小化运行的用户进程(除指定的系统进程外,其他进程不可以使用);最小化系统开放端口;最小化系统操作(如:禁用鼠标右键、禁用控制面板、禁用命令提示符、禁用注册表等等)。
2.2.6 无线网络的安全
由于无线网络信号通过空气,很容易被恶意用户非法窃取,所以无线网络安全越来越成为安全隐患的重灾区。仅仅对无线信号加密已经不能满足安全性要求。目前企业里面推荐使用的加密和认证同时使用的方式,其中认证最好是能和AD相结合,提高账户的可管理性。
2.2.7 安全制度的管理
制定合理的制度,是网络安全管理中必不可少的手段,应该和人事部门一起,制定公司网络安全管理规定,对于违反信息安全的行为,给予一定的人事处罚。
3 结束语
网络安全是一个综合性问题,它涉及到诸多因素,包括多种技术、产品和管理等。不能仅仅依靠单一的防护系统,也不能虽然有了多个防护系统,但是不善于管理。而是需要仔细考虑网络的安全需求,将各种安全产品和技术整合,与科学的网络管理方法结合在一起,才能生成高效、通用、安全的网络系统。
[1]Merike Kaeo(著),吴中福(译),网络安全性设计(第二版),[M]人民邮电出版社,2005年09月;
[2]Eric Cole(著),曹继军,林龙信.网络安全宝典(第2版).[M]清华大学出版社,2010年11月.
[3]向宏,傅鹂,詹榜华(著).信息安全测评与风险评估.[M]电子工业出版社,2009年1月.
[4]Shon Harris(著),石华耀,张辉,段海新(译).CISSP认证考试指南(第四版).[M]北京科海电子出版社,2010年4月.
[5]黄传河(主编).网络规划设计师教程.[M]清华大学出版社.2009年6月.