昌霞

摘要：和以前相比，如今的企业网络安全现状已经发生了很大的改变，它在更多的方面上表现为“应用层威胁”。网络系统的安全是企业业务的重要保证。本文就网络系统可能存在的网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险四个方面进行讨论，给出了网络系统安全防护和安全管理初步设计。

关键词：应用层；网络安全；访问

中图分类号：TP311 文献标识码：A 文章编号：1007-9416（2017）11-0186-02

以前我们谈及企业网络安全的时候，还主要指防火墙，因为那时候的安全还主要以网络层的访问控制为主[1]。的确，防火墙就像一个防盗门，给了我们基本的安全防护。但是，就像今天最好的防盗门也不能阻止“禽流感”病毒传播一样，防火墙也不能阻挡今天的网络威胁的传播[1]。今天的网络安全现状和以前相比，已经发生了很大的改变，我们已经进入了一个“应用层威胁”泛滥的时代。

今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击企业核心服务器和应用，给企业带来了重大损失[1]；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，企业宝贵带宽资源被业务无关流量浪费，形成巨大的资源损失[2]。面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP 3～4层上，根本就“看”不到这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又“看而不阻”，因此本文就主要安全风险讨论相应的解决方案。

1 网络系统风险

网络系统可能存在的主要安全风险主要包括四个方面：网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险。

1.1 网络边界风险

一个较大的网络系统通常有多个外部网络连接，包括：骨干网、信息集成网和无线网等。必须对这些区域之间、区域和外部进出的数据流进行深度的检测和严格的访问控制，进行精细化的管理，才能够真正的保证这些连接不会引入安全攻击风险，而且也保证区域网络风险不会扩散到相连接的其他区域网络中；对于外联边界，不仅需要部署访问控制设备进行安全区域隔离，还需要部署应用层安全防护设备，防止应用层网络攻击等通过外联边界对网络进行破坏，同时，为了防止带宽滥用等行为影响网络正常运行，对外联边界进出的流量需要进行相应的审计和控制。

1.2 数据访问安全

一般办公网和业务网络无直接连接，需要通过骨干网与其他区域网络进行连接，在办公网需要访问生产网时，除了有效的控制访问、认证授权外，还需要对网络数据传输进行加密保护，避免数据传输过程中被窃取或者篡改。在无线网区域通过无线访问业务网络的用户，也要进行相应的安全认证授权和数据加密。

1.3 用户接入网络安全控制

网络接入用户可能复杂，需要对这些用户的网络访问行为进行多层次的控制，以保证应用系统的有效运行，这些层次包括：网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等，以实现对用户的安全管理[3]。

1.4 网络安全管理风险

三分技术七分管理，大量的基础网络安全设施建设如果不能有效便捷的管理，将为后期安全威胁管理和整网维护带来巨大的困难，所以需要对整网进行统一安全管理和整网流量监控分析。

2 网络系统安全设计

针对上述安全风险，本文从这四方面出发设计网络系统安全防护和安全管理，具体方案如下。

2.1 网络边界防护设计

边界防护的核心策略就是将网络进行完善的区域划分，实现严格的访问控制策略，保证网络高度的安全性[4]，使用防火墙+IPS的产品组合可以实现二层～七层完善的安全防护。

因此，针对网络边界安全风险，首先需要在各安全区域边界部署防火墙设备，具体来说，在骨干网与各业务子网连接边界部署内嵌式防火墙模块，在骨干网外联单位接入区边界部署接入防火墙和异构防火墙，在信息集成网外联边界部署接入防火墙，在离港网外聯边界部署防火墙系统，实现访问控制隔离和安全区域划分，从而对网络访问进行有效的控制。同时，在骨干网外联区交换机和信息集成网AODB服务器核心业务区交换机上分别部署IPS模块，实现病毒、蠕虫、网络攻击、协议漏洞等防护，以保护内部局域网系统和各应用系统服务器免于恶性攻击。

2.2 数据访问安全防护设计

SSL VPN是用户访问敏感公司数据最简单最安全的解决技术[5]。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件[5]。与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，SSL VPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的，而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。

因此，针对网络数据访问安全问题，在骨干网区域、信息集成网区域和无线网区域，分别部署SSL VPN接入系统，对需要访问内部网络的用户进行认证授权，认证及鉴权由骨干网管理中心的AAA系统完成，同时对传输数据进行加密。

2.3 用户接入网络安全设计

针对当今大型局域网缺乏行之有效的内网控制管理手段的突出问题，本设计考虑采用H3C公司EAD终端准入控制方案，该方案主要包括两个重要功能：安全防护和安全监控。安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。endprint

2.4 网络安全管理设计

为了更好的了解目前网络当中发生的安全事件，需要对网络当中的所有设备（防火墻、IPS、交换机、路由器、PC、Server等）进行日志分析；同时，针对P2P/IM、网络游戏、炒股、非法网站访问等行为，进行精细化识别和分析，对NetStream/SFlow/CFlow/NetFlow流日志的采集、分析、审计、统计报告功能，检测各种异常流量并产生告警，帮助管理员全面了解网络应用模型、流量趋势和目前网络中的安全危险点[6]。

因此，针对网络安全管理问题，在本设计中部署了异常流量检测系统和统一安全管理平台，通过异常流量检测系统对网络流量进行监控，通过统一安全管理平台对整网设备进行事件分析，从而实现高效管理和高效运营。异常流量检测系统采用软硬件结合方式部署，S9500E系列和S7500E系列核心交换机均软件支持sFlow功能，流量管理设备支审计功能，部署的防火墙模块和IPS模块均支持日志输出功能；统一安全管理平台部署在骨干网管理中心区，集中收集分析网络中的网络设备和安全设备输送过来的日志，并形成直观的报表。

3 结语

一般网络建设为保证网络数据的安全，防止外部的侵入以及数据的泄露，需要建立一整套的安全体系。要求由防火墙、入侵防御系统、安全认证系统、防病毒系统等构成集成的主动和自适应的网络安全系统。本文就网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险四个方面进行阐述，给出的初步设计，在一定程度上是可以满足企业网络安全需求的。

参考文献

[1]连晓.企业网络安全的设计与实践研究[J].信息系统工程，2014，（07）：72.

[2]朱学宁.浅谈医院信息系统的网络安全与解决对策[J].网络安全技术与应用，2016，（2）：52-53.

[3]张晓兵.下一代网络安全解决方案[J].电信工程技术与标准化，2014，（06）：59-61.

[4]高渐翔.浅谈企业网络的安全审计体系[J].科技创新导报，2008，（33）：139-140.

[5]周文.浅谈企业内部信息网络安全防护体系建设[J].网络安全技术与应用，2014，（05）：166-167+16.

[6]潘勋.企业网络安全与发展趋势[J].电子世界，2014，（08）：325-326.

Abstract：Compared with the past，the present situation of network security has changed a lot，and it is mainly manifested as"application layer threat".The security of network system is an important guarantee of enterprise business.We discuss the possible network boundary risk，data access security，user access management and network security management risk in the network system.Then we give a preliminary design of network system security protection and safety management.

Key Words：The application layer；Network security；accessendprint