企业信息安全建设探索与实践
2017-07-11唐彩锦
唐彩锦
摘要:网络的普及和蔓延已经深入到日常生活的方方面面,一个不能忽略的问题也伴随着网络的普及渗入到人们的生活中,那就是网络安全问题。教育、医疗、企业、电力、能源、交通、政府等组织及机构均是网络安全的保障范围。作为一般企业如何结合企业自身需求建立完善的网络安全策略,形成一个符合自身情况的网络安全方案是该文要讨论的重点。该文是站在对企业整体网络的安全的解决方案角度探索信息安全问题,结合企业实际网络环境结合案例分析,分析现有产品解决方案,探讨了如认证、防火墙、IDS等现今流行的网络安全技术,希望这些探讨可以给读者一定的启示帮助读者进一步深入研究,目标是对用户提供一个信息安全的环境。
关键词:企业信息安全;网络安全;计算机网络;防火墙;防病毒
网络的普及和蔓延已经深入到日常生活的方方面面,一个不能忽略的问题也伴随着网络的普及渗入到人们的生活中,那就是网络安全问题。2017年5月一种名为“WannaCry”的勒索病毒全球范围内爆发,传播速度之快已经对全球网络安全构成了严重威胁。据权威机构研究显示,中国每年遭受600亿美元的网络损失,位居亚洲第一。目前在国内,网络安全威胁的行业范畴众多,如教育、医疗、企业、电力、能源、交通、政府等组织及机构均是网络安全的保障范围。
现阶段的网络安全已经不是单个组织、单一个人的防范行为,而是随着整个社会对信息安全的意识的觉醒形成的一个完整的网络安全产业。随着企业网络安全意识的提高,网络安全市场的规模也在逐年增长,伴随的安全产品和安全解决方案也是层出不穷,作为一般企业如何结合企业自身需求建立完善的网络安全策略,形成一个符合自身情况的网络安全方案是本文要讨论的重点。
1网络安全概述
随着网络技术的普及和蔓延,越来越多的企业都开始通过网络技术构建企业内部的信息平台,将企业的业务数据信息化以提升企业的综合实力,借助网络技术加速企业的发展在行业内取得技术上对的领先优势。其业务运营越来越依赖于对计算机应用系统,而计算机应用系统是建立在完善的技术网络环境中的。随着计算机网络规模不断扩大,网络结构日益复杂,对计算机网络的运维水平有着较大的挑战。而近年来的网络攻击事件频出,企业的信息安全防范意识也提高到了日常运维的日程中来了。从网络安全的管控模型来分析,网络安全一般采用动态的防御过程,一般要在安全事件发生的前、中和后均采用合理的技术方案,而网络安全管理流程则会在整个网络运营流程中起作用。企业的网络管理人员已经将网络安全纳入企业的IT规划发展的整体范畴,全面覆盖企业信息平台的各个层面,对整个网络及应用的安全防范通盘考虑。
从网络安全的发展历程来说,是由于网络自身的发展引发的安全问题才使得网络安全技术诞生了,目前而言有网络的地方就存在网络安全隐患。像黑客攻击、病毒入侵之类的网络安全事件,都是利用计算机网络作为主要的传播途径,其时间的发生频率可以说和信息的传播速度一样快,这也是网络安全的特点之一。除此之外,像非法用户的访问和操作,用户信息的非法截取和更改,恶意软件入侵和攻击等都是现今普遍存在于计算机网络的安全事件。显然,其所带来的危害也是让每一位计算机用户有着深刻的体会,例如:因为某种病毒让操作系统运行不稳定,导致文件系统中的数据损坏无法访问和读写,甚至导致磁盘、计算机、网络等硬件的损坏,造成极大的经济损失。
由于企业的网络环境建设过程一般历经了数年甚至数十年,网络中接人的设备数量和种类众多,网络中的应用和内部系统也繁多。再加上,一般要求企业的网络运行是7*24小时不间断作业运行,其产生的数据往往巨大,其中不乏大量的敏感信息。这样的网络环境,必然给恶意代码、病毒程序、网络攻击等恶意的攻击事件留下了隐患,可以毫不客气地说企业的网络环境往往是危机四伏。
2网络安全实践
2.1网络安全误区案例分析
目前针对网络安全事件频繁发作,不少企业采购了相关的安全产品并配合了相关的安全措施,但是缺乏对网络安全框架的理解存在不少误区,主要有以下几个方面。
1)部署网络防火墙就万事大吉了
防火墙主要原理是过滤封包与控制存取,因此对非法存取与篡改封包及DoS攻击等网络攻击模式是极其有效的,对于网络隔离和周边的安全防护效果明显。显然如果攻击行为绕开防火墙,或是将应用层的攻击程序隐藏在正常的封包内,防火墙就失效了,这是由于大多数防火墙是工作在網络层,并且其原理是“防外不防内”,对内部网络的访问不进行任何处理,显然这种原理就成为了安全隐患和漏洞。
2)定期更新杀毒软件就能够保护系统不受病毒侵扰
显然安装杀毒软件是避免系统被病毒破坏的主要手段之一,但是这仅仅只能对已知病毒进行查杀,对于未知病毒显然缺乏事先预防的能力。
3)病毒只会在万维网中传播
虽然目前万维网是病毒传播的主要途径,但是对于企业内部网络可能会通过u盘、刻录光盘、邮件、企业协同系统等从外部带人病毒,因此只要计算机运行了,就要需要做好防范病毒措施。
4)为了避免病毒感染只要设置文件属性为只读即可
通常操作系统的shell调用可以提供将文件的读写属性设置为只读,但是对于黑客来说完全可以用程序做反向操作,即将文件属性改为读写,并可以接管文件的控制权。
5)将敏感信息隔离于企业门户之外
不少企业都采用了网络隔离装置,控制外部对企业内部网络的访问,甚至完全隔离任何数据的读写均禁止。但是对于内部的安全管理疏于防范,导致某些账户或权限被外部窃取,最后网络敏感数据从内部流出,甚至导致内部网络瘫痪,系统无法正常运行。
显然上述误区都是因为网络管理员的思想局限在某些单一的网络场景导致的,缺乏全局的网络安全意识和合理的网络安全规划策略的指导。
2.2案例分析
针对上述误区,本文将以一个虚拟的公司网络环境展开案例分析,设计一个全局的网络防范框架。一般企业网络按服务器类型划分包括:AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器等服务器。按职能部门划分包括:经理办公室、市场部、财政部、系统集成部、软件部以及前台接待部,一般各部门的网络会做隔离,另外对于财务部的网络只有经理办公室有权限访问其他部门不能访问,而前台接待部的网络作为企业门户不能访问公司内部网络,只能通过外网访问。
根据上述基本网络需求,在网络安全架构设计上还应考虑Intemet的安全性,以及网络隐私及专有性等一些因素,如NAT、VPN等。综合分析,一个完整的企业网络安全建设需求应该包括如下建设需求:1)网络基础设施建设;21网络基础的连通即访问规划;3)信息的访问控制;4)全网网络安全管理需求;5)各层次的网络攻防控制;6)各层次应用及系统的病毒防范;7)企业内部的跨部门的信息安全;8)敏感信息及网络安全控制。
根据上述基本网络需求,可以建立一个如图1所示的网络拓扑结构。
上图中的拓扑结构满足一般性的企业网络环境,包括服务器网络及网络隔离,各个职能部门的网络、计算机及办公设备,以及防范外部的防火墙设备,还包括各个层次的网络交换机等网络设备。
一般性的场景是根据图1中的网络拓扑设计,根据企业的实际网络规划考虑企业网络建设的安全需求,在网络建设的基础上进行安全改造,目的是保证企业各种设计信息的安全性,提高企业网络系统运行的稳定性,避免设计文档、图纸的外泄和丢失。对于客户端的计算机的保护一般是通过软件或安全流程进行保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。一般采用以下安全手段:1)在现有网络中加入网络安全设备设施;2)lP地址规划及管理;3)安装防火墙体系;4)划分VLAN控制内网安全;5)建立VPN(虚拟专用网络)确保数据安全;6)提供网络杀毒服务器;7)加强企业对网络资源的管理;8)做好访问控制权限配置;9)做好对网络设备访问的权限。
一般情况下在企业的网络环境中,会由ISP供应商提供公网的人口,而本文的重点为安全问题,因此采用虚拟的公网入口。目前IPv6技术还不是很成熟,IPv4地址依旧广泛应用于企业内部网络,因此公司内部使用IPv4的私有地址网段,假设公司内部共拥有800部终端,所以由172.28.0.0/22网络段划分,ip地址和VLAN规划如下表1。
根据上表1的规划依旧满足了连通性和VLAN的控制划分,在图1中的规划建立经理办公室和财务部的VPN就保证了隔离性。再在服务器集群中安装专门的防病毒服务器,监管所有计算机的防病毒程序,防止病毒人侵。根据一般安全权限控制还需建立专用的AAA服务器,保证认证(Authentication):、授权(Authorization)和审计(Accounting)。最后,图l中IDS(IntrusionDetection Systems)即“入侵检测系统”,用户可以根据企业安全需求设置一组安全策略,IDS可以对网络中的计算機、软件、磁盘、网络等新设备监控运行状态,根据运行状态预测各种网络攻击事件,从而起到网络安全的防范作用,IDS也是根据安监事件的事前、事中和事后的动态过程设计的模型。
3总结
随着信息技术的高速发展,各种网络病毒和黑客程序的横行让企业的安全意识大幅提升。对于信息的保护,从最初的读写保护和传输保护发展到信息的安全体系和信息安全框架经历一个思想意识的转变过程。本文是站在对企业整改网络的安全的解决方案角度探索信息安全问题,目标是对用户提供一个信息安全的环境。本文从网络的认证、权限出发,探讨了信息完整性保护机制,让用户透明地访问网络无需了解网络安全细节就可以避免自身的数据、服务受到网络攻击和病毒侵害,保护数据的完整性和可靠性。本文结合企业实际网络环境结合案例分析,分析现有产品解决方案,探讨了如认证、防火墙、IDS等现今流行的网络安全技术,希望这些探讨可以给读者一定的启示帮助读者进一步深入研究。最后,信息安全领域还是一个比较年轻的领域,本文难免局限于某些特定领域,很多不足还需要继续探索与实践。