企業(yè)網(wǎng)絡(luò)安全規(guī)劃

企業(yè)網(wǎng)絡(luò)安全規(guī)劃移動計(jì)算給人們的生活帶來了極大的方便。但在移動辦公條件下如何保障內(nèi)網(wǎng)安全是當(dāng)前各企業(yè)所面臨的問題，內(nèi)網(wǎng)的安全直接關(guān)系著企業(yè)信息和內(nèi)部系統(tǒng)的安全。本文從技術(shù)角度出發(fā)，配合管理制度給出了內(nèi)部網(wǎng)絡(luò)的安全管理方案。標(biāo)簽：安全；內(nèi)部網(wǎng)絡(luò)長期以來，從管理層到IT管理人員都把保證系統(tǒng)的安全作為其關(guān)注的焦點(diǎn)，并實(shí)施了豐富的解決方案。但是實(shí)施的效果并不理想。除了因?yàn)橛绊懫髽I(yè)安全的因素比較復(fù)雜，更重要的是以往安全解決方案大多是構(gòu)建企業(yè)網(wǎng)絡(luò)邊界的安全屏障，而且往往針對某種特定的安全防護(hù)技術(shù)，缺乏前瞻性的預(yù)防。統(tǒng)計(jì)表明，企業(yè)安全威脅大部分來自內(nèi)部，而攻擊產(chǎn)生的原因除少量內(nèi)部惡意攻擊外，往往由于用戶對設(shè)備和應(yīng)用使用的不規(guī)范造成的。1.企業(yè)內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析為方便數(shù)據(jù)傳輸和共享，各企業(yè)單位組成了自己的內(nèi)部辦公網(wǎng)絡(luò)，并提供各種接入內(nèi)部網(wǎng)渠道。這種網(wǎng)絡(luò)的開放特性也導(dǎo)致了內(nèi)部網(wǎng)絡(luò)安全隱患的存在，加之目前國內(nèi)、國際黑客技術(shù)的迅速發(fā)展病毒程序泛濫，內(nèi)部網(wǎng)絡(luò)隨時(shí)存在被入侵和被攻擊破壞的可能?？偨Y(jié)起來，當(dāng)前內(nèi)部網(wǎng)絡(luò)的主要安全問題有以下幾方面：（1）無法實(shí)現(xiàn)對辦公終端用戶有效的監(jiān)控，使得終端安全接入問題成為辦公網(wǎng)中最難以克服的主要問題。（2）無法有效地檢測和防范病毒和黑客的攻擊。（3）無法保障用戶終端數(shù)據(jù)的安全，造成企業(yè)重要數(shù)據(jù)丟失。（4）無法確保用戶的操作系統(tǒng)和辦公軟件的補(bǔ)丁更新及時(shí)。從一個(gè)漏洞發(fā)現(xiàn)到攻擊代碼實(shí)現(xiàn)，到蠕蟲病毒產(chǎn)生，幾年前可能是幾個(gè)月甚至半年多，而現(xiàn)在幾周甚至一天就可以完成。因此補(bǔ)丁管理需要有很強(qiáng)的及時(shí)性，如果補(bǔ)丁管理工作晚于攻擊程序，那么企業(yè)就有可能被攻擊，造成機(jī)密信息泄漏，比如2003年9月份發(fā)生的HalfLife2源代碼泄漏事件就是由于企業(yè)內(nèi)部的客戶端沒有及時(shí)打補(bǔ)丁，而導(dǎo)致被IE漏洞攻擊，造成重大損失。2.內(nèi)部網(wǎng)絡(luò)安全需求分析為了避免上面風(fēng)險(xiǎn)分析的安全問題發(fā)生，考慮投資回報(bào)，下面給出內(nèi)部網(wǎng)絡(luò)安全的基本需求：1)對所有辦公終端的集中化內(nèi)控管理和監(jiān)控2)對辦公終端的補(bǔ)丁自動分發(fā)管理3)對辦公終端的安全接入策略集中管理信任訪問可以為整個(gè)企業(yè)網(wǎng)絡(luò)提高終端的符合性安全。健康的設(shè)備可以被授權(quán)訪問網(wǎng)絡(luò)，而不符合企業(yè)安全策略的設(shè)備將被隔離。在隔離區(qū)，這些設(shè)備可以修復(fù)，滿足企業(yè)定義的安全策略后可以訪問網(wǎng)絡(luò)，或者根據(jù)企業(yè)的具體定義，可以使隔離區(qū)的設(shè)備訪問有限的網(wǎng)絡(luò)資源。a)對辦公終端是否使用合法的IP/MAC地址進(jìn)行監(jiān)控管理b)對辦公終端是否安裝防病毒軟件和病毒碼版本進(jìn)行監(jiān)控管理c)對辦公終端是否安裝要求的操作系統(tǒng)和辦公軟件補(bǔ)丁進(jìn)行監(jiān)控管理d)對辦公終端是否安裝終端管理軟件進(jìn)行監(jiān)控管理4)提高用戶安全意識，提供安全知識學(xué)習(xí)途徑，提供最新安全動態(tài)。5)提供遠(yuǎn)程桌面支持，當(dāng)客戶端有故障時(shí)，IT技術(shù)人員通過遠(yuǎn)程控制提供幫助，降低支持中心費(fèi)用。6)統(tǒng)計(jì)和查詢管理。3.內(nèi)部網(wǎng)絡(luò)安全規(guī)劃美國聯(lián)邦調(diào)查局2006年完成的一份調(diào)查報(bào)告顯示，如果人們在使用網(wǎng)絡(luò)時(shí)采取了基本的網(wǎng)絡(luò)安全措施，那么，80％以上受網(wǎng)絡(luò)攻擊的事件就可以被避免。事實(shí)上，要提高網(wǎng)絡(luò)安全性，最重要的有兩點(diǎn)：一是從技術(shù)出發(fā)，做好內(nèi)部網(wǎng)絡(luò)的安全防護(hù)；二是增強(qiáng)每個(gè)員工的安全意識和掌握網(wǎng)絡(luò)安全的基本技能。從這兩方面入手，基于”縱深防御、動態(tài)體系化建設(shè)、集中管理”的設(shè)計(jì)思想，著力于解決企業(yè)內(nèi)部信息安全方面的常見病、多發(fā)病和關(guān)鍵病，以獲得最佳的安全性能、獲得最高的安全投資回報(bào)，從以下三個(gè)方面給出解決方案。3.1制度和教育在人員方面，制定嚴(yán)格的網(wǎng)絡(luò)使用規(guī)章制度，包括員工終端的接入審批流程。制定規(guī)章制度是管理的一方面，推行和讓員工接受并執(zhí)行制度同樣是重要的。3.2統(tǒng)一互聯(lián)網(wǎng)出口統(tǒng)一內(nèi)部網(wǎng)的互聯(lián)網(wǎng)出口，一方面從制度上不允許內(nèi)網(wǎng)客戶端直接上互聯(lián)網(wǎng)，另一方面提供統(tǒng)一的互聯(lián)網(wǎng)訪問出口，在互聯(lián)網(wǎng)出口架設(shè)防火墻，在互聯(lián)網(wǎng)訪問軟件上指定允許訪問的站點(diǎn)和端口，針對不同的崗位開放不同的訪問權(quán)限，從而對互聯(lián)網(wǎng)訪問進(jìn)行管理，避免互聯(lián)網(wǎng)訪問造成的安全隱患。3.3技術(shù)實(shí)現(xiàn)通過管理支持802.1X的交換機(jī)。由交換機(jī)主動認(rèn)證接入的終端設(shè)備（PC、便攜機(jī)），檢查終端設(shè)備上是否安裝客戶端管理軟件，或者其主機(jī)安全狀況檢查是否達(dá)標(biāo)，則交換機(jī)可以發(fā)送指令，容許或拒絕其接入內(nèi)部網(wǎng)絡(luò)。將允許接入但不符合安全指標(biāo)的終端隔離到一個(gè)隔離（修補(bǔ)）區(qū)，用戶可以在隔離區(qū)修復(fù)安全狀況，一旦安全修復(fù)完成，管理臺通知交換機(jī)將該終端設(shè)備從隔離區(qū)切換到工作的VLAN之中。局域網(wǎng)接入部分詳細(xì)設(shè)計(jì)如下： 通過對IP/MAC地址、VLAN的收集、規(guī)劃，在內(nèi)部網(wǎng)絡(luò)的所有交換設(shè)備上配置IP/MAC地址綁定和VLAN策略； 通過將Cisco二層智能交換（29XX系列、65XX系列）的IOS升級到支持IEEE802.1X協(xié)議的版本，并啟用該功能，以達(dá)到實(shí)現(xiàn)終端安全管理產(chǎn)品安全策略接入控制的網(wǎng)絡(luò)要求； 通過集中架設(shè)CiscoSecureACS，來實(shí)現(xiàn)對Cisco二層智能交換和終端安全管理產(chǎn)品的協(xié)調(diào)聯(lián)動； 通過集中部署管理工具的終端接入服務(wù)器、CiscoSecureACS服務(wù)器、數(shù)據(jù)庫服務(wù)器，對所有內(nèi)部網(wǎng)絡(luò)所屬的終端設(shè)備進(jìn)行集中安全控管，圖2為網(wǎng)絡(luò)拓?fù)鋱D。 在內(nèi)部網(wǎng)絡(luò)所有終端設(shè)備安裝終端管理客戶端。通過以上的安全規(guī)劃