李永妮

引言：网络安全，是每个企业最关切的问题。它关系到企业的创新机密，业务系统的正常运转，还关系到企业的长远发展。如何保障企业网络的安全，不受病毒攻击，阻挡黑客绕袭，防止企业资料泄密便成了研究的重点。

一、企业网络发展概述

企业日常使用的互联网络的前身是ARPA网络，该网络最早发源于美国国防部的ARPA项目。在1983年1月1日，TCP/IP取代了旧的NCP（Network Control Protocol）协议，成为ARPA网络中主要的协议，而互联网络也继承并使用了该协议作为自己的主流协议。由于ARPA网络设计之初是作为美国军方战时替代传统网络的其他类型网络，因此在网络设计方面并没有考虑的非常充分，因此带来了IP网络（主要指IPV4）中存在的地址不足及不支持Qos服务等级，无法管理带宽和優先级两个致命的缺陷。在现阶段为了解决IP地址不足问题，网络工程师采取了折中的方案NAT（网络地址转换）来解决。NAT虽然临时性解决了IP地址不足的问题，但是它打破了TCP协议中面向连接的设计初衷，导致网络溯源越来越困难。同时Qos能力的薄弱从另一个侧面加重了网络传输质量安全难以得到保证。虽然在IP协议的下一个版本IPV6中很好的解决了上诉问题，但是该协议由于历史原因仍然还没有得到良好的推广及使用并且基于IPV6技术的应用及网络服务仍然十分匮乏。在可预见的未来中占时还难以看到IPV6全面代替IPV4因此在现阶段网络仍然面临巨大的安全问题。

二、企业网络安全分析

在网络的发展过程中，不断的上演矛与盾的争斗。从早期的PSTN网络中就曾有过利用拨号音漏洞盗打电话的事情，它直接促成了沃兹与乔布斯的合作并最终造就了世界上最伟大的IT企业之一Apple。但是网络安全事件并不总能带来良好的结果，据2010年3月30日，中国互联网络信息中心（CNNIC）和国家互联网应急中心（CNCERT）在京联合发布《2009年中国网民网络信息安全状况调查系列报告》（以下简称《报告》）。《报告》数据显示，2009年，52%的网民曾遭遇过网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元人民币。针对层出不穷的网络安全事件，网络安全工程师也积极应对，开发与设计了多种防护设备。如防火墙就从最早的二层防火墙、简单包过滤防火墙、状态包检测防火墙等多次技术升级。为应对黑客多变的攻击手法工程师开发了入侵检测、漏洞扫描、防逃逸设备等等种类多样功能不同的安全防护设备。上述产品企业早期也使用过，虽然网络安全产品的针对性很强，在一定范围内是可以有效的阻挡hack的攻击行为。

但在实际使用过程中，发现现有的网络安全设备由于其基本都是面对单一的安全挑战，彼此之间又无通信协调导致hack仍然可以绕开安全设备进入网络。又或者利用社会攻击行为，利用钓鱼或者其它方式通过企业内部网络发起攻击。通过在实际网络环境中的使用发现网络安全也适用于经典的木桶定律，即木桶中装的水的容量不是由木桶最长的木板决定，而是由最短的那块木板决定。而网络安全设备的厂商总是有其专注的领域，有些专注于防火墙，有限专注于入侵检测，有些又专注于漏洞扫描，如何利用各家之长并又能使各家产品融合于一体使之成为一体来消除木桶的短板是摆在工程师眼前的问题。

三、企业网络安全加固

在近期我们构建的基于应用的互联网络项目上，我们将网络重新定位，即考虑了用户的使用方便又将网络安全放置在了重要的位置。利用各个网络、网络安全厂商（Cisco、Junper等）及应用厂商对于自身设备安全的优化及对TCP协议漏洞的修补达到面对各个网络安全领域的挑战。同时考虑到木桶定律的原则，从网络安全的角度我们重新界定了网络安全的定义。

采取与以往网络安全中简单的以设备堆砌，事后修补不同的网络安全保障方式。采取了立体式多维保障原则，即以应用安全作为宏观核心安全以用户接入安全作为微观防护原则，建立了用户端到应用服务端的端到端的安全保障。例如：采用Windows域作为用户用户认证的核心数据库，通过与合作企业开发的AI引擎智能分发网络用户安全及服务等级，利用NAC系统与网络设备的联动实现用户安全的接入，并采用SCE、MARS等设备对于用户网络使用行为进行记录与审计已保证网络用户在进入并使用网络过程中的安全。通过利用FW的虚拟化技术实现各种核心应用的在宏观安全等级的分离，并利用IPS的检查功能实时关注hack的可能攻击行为，一旦发现网络入侵及攻击行为IPS将实时通过AI引擎通知防火墙进行阻断以实现安全设备间的联动，如果是外网侧的攻击会将攻击工程记录并上报有关部门（如公安网监部门）协助排查。如显示是起始于内网侧的攻击或外网通过内网发起的攻击，AI引擎会自动查找NAC的用户登录信息，并通过MARS上报的网络设备接口画出攻击起始点及结束点的路线图，评估受到攻击的损失并最终由管理员采取警告、断网等行政处罚措施。

四、企业收益

通过这种新的规划，网络安全设备与网络设备紧密结合在一起，在应对网络攻击时将利用各个网络安全设备最优秀的功能，并以网络设备作为辅助手段，同时结合应用安全机制。实现了网络安全以为网络应用提供安全的核心设计理念，实现了立体式多方位的端到端的安全防护。有效的使应用安全与用户端接入安全紧密交织在一起，使网络安全设备及应用安全变为一个整体，层层防护互为依托，摆脱了之前安全设备单兵作战，破其一点满盘皆破的局面。

参考文献

[1] 李恒凯；陈优良；邓凯；；基于GIS的高校机房管理信息系统构建 [J]；城市勘测；2011年05期.

[2] 傅仁毅；苏永松；李勇胜；；高校网络中心机房UPS系统的建设和管理 [J]；数字技术与应用；2011年04期.

[3] 刘道欢；基于ARM9_VXWORKS的铁路信号机房环境监控系统的研究与设计 [D]；南昌大学；2010年.

[4 ]唐勇；；基于SNMP的流量监控系统[J]；重庆工商大学学报（西部经济论坛）；2011年S1期

[5] 刘立平；吴健；陈欢响；黄熙；；TMN网管配置管理的一种同步方案及其应用[J]；计算机测量与控制；2011年02期.

[6] 董相均，史浩山，韩向阳；第三代移动通信网络网元管理系统——MEM系统的设计与实现[J]；空军工程大学学报（自然科学版）；2012年03期.

（作者单位：南车青岛四方机车车辆股份有限公司）