隨著企業(yè)不斷發(fā)展，企業(yè)的信息化水平成為企業(yè)核心競爭力的重要體現(xiàn)，網(wǎng)絡系統(tǒng)安全、可靠、高效運行是企業(yè)良好運營的基本條件。鑒于信息系統(tǒng)安全對企業(yè)日常運作的影響越來越大，各企業(yè)對建立經(jīng)濟高效的信息安全管理體系，保障系統(tǒng)和網(wǎng)絡的穩(wěn)定運行都給予高度重視。

1 企業(yè)網(wǎng)絡的安全需求

    1．1企業(yè)網(wǎng)絡邊界安全需要

    包括企業(yè)網(wǎng)絡中Internet出口處的安全以及移動用戶、遠程VPN撥號用戶的安全性和合法性，主要防范外部對內網(wǎng)的非法訪問和非法操作。

    1．2企業(yè)網(wǎng)絡數(shù)據(jù)中心安全需求

    即企業(yè)網(wǎng)絡中對外服務器和對內服務器的安全，如內部信息系統(tǒng)服務器區(qū)的系統(tǒng)安全，主要防范對象是病毒、重要數(shù)據(jù)泄密等；DMz區(qū)域的企業(yè)網(wǎng)站及郵件服務器的安全，主要防范對象是D0S，DD0S攻擊、黑客入侵等。

    1．3企業(yè)內部網(wǎng)統(tǒng)一的病毒防護需求

    包括企業(yè)內部網(wǎng)中所有子公司及分支機構的病毒防護，主要防范蠕蟲病毒等及郵件本身的安全。

    1．4 企業(yè)網(wǎng)絡寬帶資源的管理和監(jiān)控需求

    管理企業(yè)網(wǎng)上業(yè)務交流和應用訪問的網(wǎng)絡流量，節(jié)約帶寬資源，保證企業(yè)正常的網(wǎng)絡數(shù)據(jù)傳輸速度和訪問效率，主要規(guī)范管理即時通訊工具、BT下載、游戲等網(wǎng)絡資源濫用行為。

    1．5 企業(yè)內部網(wǎng)統(tǒng)一的信息防泄漏需求

    包括企業(yè)內部網(wǎng)中所有子公司或分支機構的信息防泄漏，主要防范通過各種IM、WEBMAIL、網(wǎng)頁數(shù)據(jù)上傳、USB存儲設備需求以及利用其它電腦外設等方式泄漏企業(yè)重要信息。

    1．6 用戶身份認證和終端安全檢測需求

    由于接人企業(yè)內部網(wǎng)絡意味著共享企業(yè)網(wǎng)絡的信息資源，這就需要進行認證和檢測每個登錄到網(wǎng)絡中的設備和用戶，判定用戶身份的合法性、設備的安全性、操作的合法性、行動的可追溯性等。

    1．7 涉密信息管理需求

    即對涉密資源的控制和管理，對涉密單位按照分級保護的原則進行分類。

    1．8 統(tǒng)一管理需求

    即建設統(tǒng)一的安全管理平臺，實現(xiàn)對全網(wǎng)安全狀況的集中監(jiān)測。

    通過安全管理平臺實現(xiàn)安全策略的統(tǒng)一配置管理，統(tǒng)計分析各類安全事件，處理各種突發(fā)事件，逐步形成企業(yè)網(wǎng)的安全管理知識庫，針對網(wǎng)絡安全狀況進行定量分析。

2 企業(yè)網(wǎng)安全防御的解決方案

    2．1 邊界安全和遠程接入安全

    在邊界處放置安全網(wǎng)關，通過其強大的VPN和防火墻功能，保證企業(yè)與分支機構之間能在互聯(lián)網(wǎng)上進行安全可靠的數(shù)據(jù)傳輸，運用動態(tài)VPN技術實現(xiàn)企業(yè)與分支機構間的動態(tài)通信，減少網(wǎng)關設備的負載，防止流量瓶頸問題，通過冗余備份，避免單點故障并實現(xiàn)負載均衡與鏈路的冗余備份。利用人侵防御系統(tǒng)強大的攻擊防御特性有效防止邊界區(qū)域受到的外部攻擊，在發(fā)生損失之前阻斷惡意流量，保護內部資源。建議將入侵防御系統(tǒng)通過橋模式接入網(wǎng)絡，以阻止蠕蟲、木馬、拒絕服務攻擊、間諜軟件、網(wǎng)絡攻擊以及點到點應用被濫用。

    2．2內部網(wǎng)的安全

    內部網(wǎng)因為與互聯(lián)網(wǎng)完全物理隔離，所以來自互聯(lián)網(wǎng)的攻擊破壞基本上可以杜絕，其安全威脅主要來自內部員工的主動或被動的非法訪問。事實證明內部網(wǎng)的不安全因素遠比外部危害更可怕，對于內部網(wǎng)的安全建議采用下面三種方法：

    (1)內部網(wǎng)訪問控制

    在內部網(wǎng)的核心交換機上安裝防火墻模塊，通過防火墻模塊的安全策略實現(xiàn)內網(wǎng)的隔離保護，將不同部門或服務器之間劃分為各自獨立的區(qū)域。部署字符堡壘主機對字符應用的訪問做到命令訪問控制及會話內容的審計。部署圖形堡壘主機實現(xiàn)應用邊界的訪問控制并且進行訪問全程錄像。

    (2)利用端點準入防御技術解決終端安全問題

    內網(wǎng)用戶由于直接位于企業(yè)內網(wǎng)中并具有對內網(wǎng)資源的直接訪問權限，一旦主機身份被冒用，其對內網(wǎng)安全造成的威脅將十分巨大，產(chǎn)生的破壞后果也相當嚴重。因此，對內網(wǎng)主機身份的管理是保證內網(wǎng)安全的關鍵因素之一。通過采取必要的身份認證技術，保證只有授權的、可信的主機才能進入內網(wǎng)，可最大限度地避免因非法設備的接入對內網(wǎng)資源的破壞、盜取和濫用。在終端防護上采用端點準人技術通過802．1X認證協(xié)議將終端用戶的身份信息提供到Radius認證服務器進行身份認證，待Radius認證服務器認證通過后，再接入網(wǎng)絡進行網(wǎng)絡通信，否則終端將被隔離至特定安全區(qū)域，不能使用任何網(wǎng)絡資源。

    (3)系統(tǒng)補丁分發(fā)及終端病毒防護

    在企業(yè)網(wǎng)中建立統(tǒng)一的、實時升級的補丁分發(fā)管理及病毒防護平臺，通過端點準人控制客戶端的聯(lián)動以實現(xiàn)對單個終端的病毒防護，同時實現(xiàn)全網(wǎng)終端系統(tǒng)漏洞補丁的更新。

    2.3數(shù)據(jù)中心的安全

    數(shù)據(jù)中心是整個企業(yè)網(wǎng)的核心，數(shù)據(jù)中心的安全決定著整個企業(yè)核心數(shù)據(jù)的安全。必須將安全設計的理念滲透到整個數(shù)據(jù)中心的設計、部署、運維中，為數(shù)據(jù)中心搭建起一個無縫的安全平臺，實現(xiàn)安全管理貫穿數(shù)據(jù)鏈路層到網(wǎng)絡應用層的目標，使安全保護無處不在。

    (1)數(shù)據(jù)中心實施安全區(qū)域劃分

    將數(shù)據(jù)中心各服務器群按功能業(yè)務不同劃分成：Extranet區(qū)域(外部網(wǎng))、Intranet區(qū)域(內部網(wǎng))、Internet區(qū)域(互聯(lián)網(wǎng))等。在不同的區(qū)域采用不同的網(wǎng)絡接人方式，做到物理與邏輯上的劃分，這樣既有利于不同區(qū)域業(yè)務流的分離，又能為各個區(qū)域部署不同的安全保護策略。對數(shù)據(jù)中心的訪問用戶身份與訪問服務器資源的角色進行綁定，通過不同角色來控制用戶訪問服務器資源的范圍。

    (2)入侵檢測防御

    以橋模式接人數(shù)據(jù)中心的入侵防御系統(tǒng)能夠高速進行在線檢測并阻斷DDoS攻擊、非法P2P流量和病毒攻擊，保護數(shù)據(jù)中心免遭來自外部的威脅，同時也可以著重保護數(shù)據(jù)中心內部的關鍵區(qū)域。

    (3)用戶訪問控制

    部署專用的數(shù)據(jù)中心防火墻，并利用防火墻對數(shù)據(jù)中心進行精細的區(qū)域劃分，通過分區(qū)域的安全防護，可以保證各個區(qū)域的設備安全可靠運行，并能夠為數(shù)據(jù)中心提供全線速網(wǎng)絡的邊界安全及全局安全。

    2．4涉密信息網(wǎng)絡安全

    針對秘密信息，通過網(wǎng)絡安全手段對這部分用戶進行邏輯隔離，并對其傳輸?shù)臄?shù)據(jù)進行加密，使其他人員即便獲取到相關信息也無法使用。另外通過端點準人功能配合交換機的訪問控制，確定用戶訪問涉密服務器的權限，利用數(shù)據(jù)庫加密技術確定訪問級別，確保對涉密信息的可控性。

    在數(shù)據(jù)中心設立相關涉密安全信息保密系統(tǒng)，通過系統(tǒng)下發(fā)安全策略。在有傳輸秘密信息的終端用戶安裝客戶代理端，保證涉及秘密信息的終端與相關服務器數(shù)據(jù)通信時實現(xiàn)信息加密，同時在存有涉密信息的服務器端安裝監(jiān)控加密程序，以實現(xiàn)對涉密服務器訪問的身份識別及對信息訪問的權限分配。

    對于機密級單位，按照國家保密局相關規(guī)定，涉密單位網(wǎng)絡應物理隔離，不允許與其他非涉密網(wǎng)絡有連接。在機密單位內部建立可信網(wǎng)絡保密系統(tǒng)和可信桌面系統(tǒng)。通過設立可信網(wǎng)絡保密系統(tǒng)，控制內部信息不外泄，防止內部人員私自接人外網(wǎng)；利用可信桌面系統(tǒng)，保護涉密終端的安全，設置登錄權限，保護加密終端內部數(shù)據(jù)。同時在保密部門設置相關弱電保密產(chǎn)品，在保證網(wǎng)絡應用安全的同時確保涉密單位辦公環(huán)境也達到保密要求。

    2．5 內部網(wǎng)信息泄露的安全防護

    通過安全平臺下發(fā)主機監(jiān)控與審計系統(tǒng)安全策略，保證內部網(wǎng)數(shù)據(jù)不被惡意盜取，防止外接設備隨意連接到終端，防止網(wǎng)絡內部通過嗅探器等非法手段獲取非授權信息，同時避免用戶采用其它方式將內部網(wǎng)數(shù)據(jù)傳輸?shù)酵獠烤W(wǎng)絡，杜絕終端用戶在未經(jīng)授權的情況下擅自使用各種I／0設備、計算機外設、移動存儲設備等。

    2．6智能管理中心

    智能管理中心是整個網(wǎng)絡管理平臺的核心。在整個企業(yè)網(wǎng)絡解決方案中網(wǎng)絡設備并不是孤立存在的，網(wǎng)絡設備之間也需要溝通與協(xié)調。

    只有通過智能管理中心進行有效的集成之后，才能讓整個網(wǎng)絡聯(lián)動起來，通過智能管理中心實現(xiàn)用戶、資源和網(wǎng)絡設備的融合管理，通過松耦合、分布式、易擴展的開放管理平臺，提升業(yè)務融合能力�；�于全網(wǎng)資源的統(tǒng)一部署、管理和調配，實現(xiàn)路由器、交換機、防火墻、終端等網(wǎng)絡設備管理以及桌面和網(wǎng)絡資產(chǎn)的統(tǒng)一管理，為業(yè)務融合、資源調度和自動化協(xié)同響應提供必要手段。

    (1)智能管理中心的架構

    利用合理的系統(tǒng)體系結構，建立集中的、統(tǒng)一的監(jiān)控管理服務平臺，規(guī)劃合理的平臺體系結構，對業(yè)務服務質量、系統(tǒng)運行狀況、故障報警、設備運行狀況、運維流程監(jiān)控等進行實時監(jiān)控、集中管理。

    智能管理中心的各監(jiān)控系統(tǒng)需要實現(xiàn)有機聯(lián)系，提供一個統(tǒng)一的事件管理平臺并匯總成網(wǎng)絡管理知識庫，通過開放接口，匯總各個子系統(tǒng)的故障和事件等，進行網(wǎng)絡事件的過濾、轉發(fā)、自動響應、報警等處理。網(wǎng)絡管理知識庫承上啟下，在整體網(wǎng)絡架構中負責對網(wǎng)絡事件進行智能集成。

    (2)智能管理中心日志

    智能管理中心的日志審計系統(tǒng)可根據(jù)需要，通過各種條件的組合對網(wǎng)絡日志及相關的設備事件進行快速分析。針對各種不同類型日志的分析，形成相關報表，幫助管理人員了解網(wǎng)絡現(xiàn)狀。

    NAT1．0日志記錄經(jīng)過NAT轉換前的源IP地址、源端口，經(jīng)過NAT轉換后的源IP地址、源端口，所訪問的目的IP、目的端口、協(xié)議號、開始時間、結束時間、操作字等關鍵信息。

    FLOW1．0曰志記錄包括源IP、目的IP、源端口、目的端口、流起始時間、結束時間、操作字等關鍵信息。

    DIG1．0日志記錄探針型采集器直接從交換機的鏡像端口采集到的用戶上網(wǎng)信息，對用戶訪問外部網(wǎng)絡的數(shù)據(jù)流進行分類統(tǒng)計，生成探針日志記錄。

    DIG1．0日志包含兩種格式日志，DIGFLOW1．0和DIGEST1．0。DIGFL0w1．0日志內容為IP層數(shù)據(jù)報文信息，其中包含數(shù)據(jù)報文的流量信息和協(xié)議類型信息，而DIGEST1．0日志內容為應用層協(xié)議數(shù)據(jù)報文信息，包含數(shù)據(jù)報文的摘要信息。兩種格式的DIG1．0日志在采集器進行日志采集的同時生成。

    DIGFLOW1．O日志記錄包含以下內容：開始時間、結束時間、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型(目前區(qū)分TCP、UDP和IcMP三種協(xié)議)、輸入包個數(shù)、輸出包個數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；DIGEST1．0日志記錄包含以下內容：開始時問、結束時間、源IP地址、目的IP地址、目的端口號、摘要信息(目前支持HTTPTIP協(xié)議、FTP協(xié)議、SMTP協(xié)議報文)等。

    NetStream V5日志記錄包括日志的開始時間、結束時間、協(xié)議類型、源IP地址、目的IP地址、服務類型、入接口、出接口、報文數(shù)、字節(jié)數(shù)、總激活時間等信息。

    syslog協(xié)議是目前所有的網(wǎng)絡設備、安全設備、負載均衡設備及主機中比較通用的日志管理協(xié)議，只需對收集對象進行簡單配置，就可以將系統(tǒng)日志直接發(fā)送至審計平臺，完成收集工作。

    控制網(wǎng)關日志可以記錄用戶在通過統(tǒng)一身份認證系統(tǒng)的認證及授權后的所有的訪問行為。

    Agent在對象主機上安裝Agent方式以便進行日志收集，用于實現(xiàn)對一些特殊日志格式或有特殊需求對象，如通過在windows主機上安裝Agent完成收集Windows event log、windows性能監(jiān)控、wEB(iis／印ache等)等相關日志收集；通過在unix主機上安裝Agent完成對用戶操作進行記錄等功能。

    API審計日志用在一些較為復雜的系統(tǒng)中，如針對CheckPoint的OPSEC LEA、針對活動目錄的LDAP API等。

    文件增量監(jiān)視使用文件增量監(jiān)視手段進行日志獲取，可以直接將日志存儲到文件的系統(tǒng)中進行監(jiān)視，獲取文件的方式有Agent本地獲取、網(wǎng)絡共享sAMBA、FTP、HTTP斷點下載等。例如IIs的日志可以采用這種方式獲取。

    ISA、SMS的日志獲取采用數(shù)據(jù)庫同步的方式將日志直接存儲到關系數(shù)據(jù)庫的系統(tǒng)中。

    SNMP GET方式的日志支持簡單網(wǎng)絡管理協(xié)議(SNMP)的系統(tǒng)，可以通過它獲得系統(tǒng)情況、性能等信息。

    (3)安全管理中心

    在全網(wǎng)安全防御過程中，除了采取相應的技術手段在不同安全區(qū)域部署安全設備進行有效防御外，還需要有強大的統(tǒng)一策略及統(tǒng)一的安全管理平臺，從而制定統(tǒng)一的企業(yè)網(wǎng)絡安全防護策略，方便管理人員對企業(yè)網(wǎng)絡進行有效的安全防護，依據(jù)網(wǎng)絡設備及安全設備的選型情況可以選用不同廠商的安全管理平臺。

    安全管理中心應參考國外的IS017799、Bs7799、美國的薩班斯法案、中國公安部的安全等級保護條例等進行建設。

    安全管理中心通過智能管理中心知識庫中的信息及收集來的設備日志，形成基于攻擊事件的起因、被攻擊設備位置等不同條件的安全事件報表，幫助管理員分析當前網(wǎng)絡安全現(xiàn)狀，使管理員能及時調整安全策略，聯(lián)動已部署的安全設備實施有效的安全防御。

    (4)智能管理中心的認證審計

    鑒于智能管理中心的重要性，智能管理中心要采用嚴格的身份認證和訪問控制策略，確保只有經(jīng)過授權的管理人員才能訪問系統(tǒng)。

    通過數(shù)字證書或硬件加密鎖進行身份認證，提高認證的強度和安全性。

    管理員通過管理中心控制臺進行用戶帳號的授權管理、訪問策略下發(fā)等操作，通過授權與訪問控制網(wǎng)關實現(xiàn)對所有用戶訪問權限的控制，通過全面審計對用戶行為進行詳細記錄。

3 結語

    綜上所述，通過安全管理中心能夠實現(xiàn)企業(yè)網(wǎng)絡的安全防御和管理，在此平臺上集中管理企業(yè)局域網(wǎng)內的各種網(wǎng)絡設備、終端用戶以及各類業(yè)務應用，實現(xiàn)全網(wǎng)各類接人終端及IT設備的統(tǒng)一管理、統(tǒng)一安全策略，對網(wǎng)絡中可能的安全事件進行統(tǒng)一監(jiān)視，自動生成報表并進行分析，對網(wǎng)絡行為進行審計和監(jiān)控，保證企業(yè)網(wǎng)絡安全。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：企業(yè)網(wǎng)絡的安全防御與管理

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112185299.html