企業(yè)網(wǎng)絡(luò)安全方案設(shè)計

1、企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 摘要:目前計算機網(wǎng)絡(luò)已成為企業(yè)生存和發(fā)展不可或缺的組成部分，但隨著網(wǎng)絡(luò)安全問題的頻發(fā)，以及網(wǎng)絡(luò)安全問題所帶來的嚴重影響，有必要針對目前企業(yè)網(wǎng)絡(luò)安全主要存在的問題，提出綜合、有效、可行的企業(yè)網(wǎng)絡(luò)安全防護設(shè)計方案。 關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)；安全；病毒；物理 在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進展，但過去企業(yè)網(wǎng)絡(luò)處于一個封閉或者是半封閉的狀態(tài)，只需簡單的防護設(shè)備和防護方案即可保證其安全性。而當今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài)，這種時空的無限制性和準入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素，

2、自然給企業(yè)網(wǎng)絡(luò)安全帶來了更多的威脅。因此，企業(yè)網(wǎng)絡(luò)安全防護一個永無止境的過程，對其進行研究無論是對于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，還是對于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。 1企業(yè)網(wǎng)絡(luò)安全問題分析 基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運行維護條件，目前企業(yè)網(wǎng)絡(luò)典型的安全問題主要表現(xiàn)于以下幾個方面。 1.1網(wǎng)絡(luò)設(shè)備安全問題 企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)交換機、個人電腦、備用電源等硬件設(shè)備，時常會發(fā)生安全問題，而這些設(shè)備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機密信息，進而給企業(yè)帶來不可估量經(jīng)濟損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，

3、在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導(dǎo)致整個企業(yè)網(wǎng)絡(luò)的停運。當然，除了電源問題外，服務(wù)器、交換機也存在諸多安全隱患。 1.2服務(wù)器操作系統(tǒng)安全問題 隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展，對企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會降低服務(wù)器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號管理等問題的存在，在不同程度上增加了服務(wù)器的安全威脅。 1.3訪問控制問題 企業(yè)網(wǎng)絡(luò)訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部

4、人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動。同時對于內(nèi)部上網(wǎng)終端及外來電腦未設(shè)置入網(wǎng)認證及無線網(wǎng)絡(luò)訪問節(jié)點安全檢查，任何電腦都可在信號區(qū)內(nèi)接入到無線網(wǎng)絡(luò)。 2企業(yè)網(wǎng)絡(luò)安全防護方案 基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網(wǎng)絡(luò)的整體安全性能。 2.1網(wǎng)絡(luò)設(shè)備安全方案 企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個企業(yè)網(wǎng)絡(luò)安全的基本前提，為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對交流電源的生產(chǎn)質(zhì)

5、量、供電連續(xù)性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進行優(yōu)化。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機組，進而保證在長時間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電，避免因為斷電而導(dǎo)致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。 2.2服務(wù)器系統(tǒng)安全方案 企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要，然而其安全問題的產(chǎn)生又是多方面因素所導(dǎo)致的，需要從多個層面來構(gòu)建安全防護方案。 2.2.1操作系統(tǒng)漏洞安全 目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象，除了采

6、取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補丁外，還應(yīng)針對企業(yè)網(wǎng)絡(luò)服務(wù)器及個人電腦的操作系統(tǒng)使用實際情況，實施專門的漏洞掃描和檢測，并根據(jù)掃描結(jié)果做出科學、客觀、全面的安全評估，如圖1所示，將證書授權(quán)入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測代理，以此來檢測和響應(yīng)網(wǎng)絡(luò)入侵威脅。圖1漏洞掃描及檢測系統(tǒng) 2.2.2Windows端口安全 在Windows系統(tǒng)中，端口是企業(yè)實現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道，一般一臺服務(wù)器會綁定多個IP，而這些IP又通過多個端口來提高企業(yè)網(wǎng)絡(luò)服務(wù)能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運

7、行路徑來看，大多數(shù)都要通過服務(wù)器TCP/UDP端口，可充分這一點來預(yù)防各種網(wǎng)絡(luò)攻擊，只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。 2.2.3Internet信息服務(wù)安全 Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的，可通過諸多措施來提高Internet信息服務(wù)安全。（1）基于IP地址實現(xiàn)訪問控制。通過對IIS配置，可實現(xiàn)對來訪IP地址的檢測，進而以訪問權(quán)限的設(shè)置來阻止或允許某些特定計算機的訪問站點。（2）在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全IIS服務(wù)器較為科學。（3）NTF

8、S文件系統(tǒng)的應(yīng)用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務(wù)器Windows2000的安全機制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時選用NTFS文件系統(tǒng)，安全性能更高。（4）服務(wù)端口號的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務(wù)器攻擊，因此，通過修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性。 2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案 2.3.1強化網(wǎng)絡(luò)設(shè)備安全 強化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施，具體包含以下措施。（1）網(wǎng)絡(luò)設(shè)備運行安全。對各設(shè)備、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常，進

9、而預(yù)防各種安全威脅。一般可通過可視化管理軟件的應(yīng)用來實現(xiàn)上述目標，例如WhatsupGold能實現(xiàn)對企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。（2）網(wǎng)絡(luò)設(shè)備登錄安全。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù)，對于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名，用戶名級別設(shè)置的一級，該級別用戶只具備讀權(quán)限，一般用于console、遠程telnet登錄等需求。除此之外，還可設(shè)置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關(guān)配置設(shè)置。（3）無線AP安全。一般在企業(yè)內(nèi)部有多個無線A

10、P設(shè)備，應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個較為復(fù)雜的高級秘鑰，從而確保無線接入網(wǎng)的安全性。 2.3.2細分網(wǎng)絡(luò)安全區(qū)域 目前，廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個嚴重缺陷就是當其中各個局域網(wǎng)存在ARP病毒時，未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時還可能泄露重要信息。為了解決這種問題，可對整個網(wǎng)絡(luò)進行細分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個網(wǎng)段，在每個網(wǎng)段均有不同的vlan，從而保證安全性。 2.3.3加強通信訪問控制 針對企業(yè)各個部門對網(wǎng)絡(luò)資源的需求，在通信訪問控制時需要注意以下幾點：對內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對口部門互通；對內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離；體驗