中国学术杂志网

企业网络系统安全设计研究

 论文栏目:网络系统论文     更新时间:2018/1/26 14:47:58   

摘要:和以前相比,如今的企业网络安全现状已经发生了很大的改变,它在更多的方面上表现为“应用层威胁”。网络系统的安全是企业业务的重要保证。本文就网络系统可能存在的网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险四个方面进行讨论,给出了网络系统安全防护和安全管理初步设计。

关键词:应用层;网络安全;访问

以前我们谈及企业网络安全的时候,还主要指防火墙,因为那时候的安全还主要以网络层的访问控制为主[1]。的确,防火墙就像一个防盗门,给了我们基本的安全防护。但是,就像今天最好的防盗门也不能阻止“禽流感”病毒传播一样,防火墙也不能阻挡今天的网络威胁的传播[1]。今天的网络安全现状和以前相比,已经发生了很大的改变,我们已经进入了一个“应用层威胁”泛滥的时代。今天,各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合,形成复合型威胁,使威胁更加危险和难以抵御。这些威胁直接攻击企业核心服务器和应用,给企业带来了重大损失[1];攻击终端用户计算机,给用户带来信息风险甚至财产损失;对网络基础设施进行DoS/DDoS攻击,造成基础设施的瘫痪;更有甚者,像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及,企业宝贵带宽资源被业务无关流量浪费,形成巨大的资源损失[2]。面对这些问题,传统解决方案最大的问题是,防火墙工作在TCP/IP3~4层上,根本就“看”不到这些威胁的存在,而IDS作为一个旁路设备,对这些威胁又“看而不阻”,因此本文就主要安全风险讨论相应的解决方案。

1网络系统风险

网络系统可能存在的主要安全风险主要包括四个方面:网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险。

1.1网络边界风险

一个较大的网络系统通常有多个外部网络连接,包括:骨干网、信息集成网和无线网等。必须对这些区域之间、区域和外部进出的数据流进行深度的检测和严格的访问控制,进行精细化的管理,才能够真正的保证这些连接不会引入安全攻击风险,而且也保证区域网络风险不会扩散到相连接的其他区域网络中;对于外联边界,不仅需要部署访问控制设备进行安全区域隔离,还需要部署应用层安全防护设备,防止应用层网络攻击等通过外联边界对网络进行破坏,同时,为了防止带宽滥用等行为影响网络正常运行,对外联边界进出的流量需要进行相应的审计和控制。

1.2数据访问安全

一般办公网和业务网络无直接连接,需要通过骨干网与其他区域网络进行连接,在办公网需要访问生产网时,除了有效的控制访问、认证授权外,还需要对网络数据传输进行加密保护,避免数据传输过程中被窃取或者篡改。在无线网区域通过无线访问业务网络的用户,也要进行相应的安全认证授权和数据加密。

1.3用户接入网络安全控制

网络接入用户可能复杂,需要对这些用户的网络访问行为进行多层次的控制,以保证应用系统的有效运行,这些层次包括:网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等,以实现对用户的安全管理[3]。

1.4网络安全管理风险

三分技术七分管理,大量的基础网络安全设施建设如果不能有效便捷的管理,将为后期安全威胁管理和整网维护带来巨大的困难,所以需要对整网进行统一安全管理和整网流量监控分析。

2网络系统安全设计

针对上述安全风险,本文从这四方面出发设计网络系统安全防护和安全管理,具体方案如下。

2.1网络边界防护设计

边界防护的核心策略就是将网络进行完善的区域划分,实现严格的访问控制策略,保证网络高度的安全性[4],使用防火墙+IPS的产品组合可以实现二层~七层完善的安全防护。因此,针对网络边界安全风险,首先需要在各安全区域边界部署防火墙设备,具体来说,在骨干网与各业务子网连接边界部署内嵌式防火墙模块,在骨干网外联单位接入区边界部署接入防火墙和异构防火墙,在信息集成网外联边界部署接入防火墙,在离港网外联边界部署防火墙系统,实现访问控制隔离和安全区域划分,从而对网络访问进行有效的控制。同时,在骨干网外联区交换机和信息集成网AODB服务器核心业务区交换机上分别部署IPS模块,实现病毒、蠕虫、网络攻击、协议漏洞等防护,以保护内部局域网系统和各应用系统服务器免于恶性攻击。

2.2数据访问安全防护设计

SSLVPN是用户访问敏感公司数据最简单最安全的解决技术[5]。与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件[5]。与IPSecVPN只搭建虚拟传输网络不同的是,SSLVPN重点在于保护具体的敏感数据,SSLVPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的,而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。因此,针对网络数据访问安全问题,在骨干网区域、信息集成网区域和无线网区域,分别部署SSLVPN接入系统,对需要访问内部网络的用户进行认证授权,认证及鉴权由骨干网管理中心的AAA系统完成,同时对传输数据进行加密。

2.3用户接入网络安全设计

针对当今大型局域网缺乏行之有效的内网控制管理手段的突出问题,本设计考虑采用H3C公司EAD终端准入控制方案,该方案主要包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。

2.4网络安全管理设计

为了更好的了解目前网络当中发生的安全事件,需要对网络当中的所有设备(防火墙、IPS、交换机、路由器、PC、Server等)进行日志分析;同时,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和分析,对NetStream/SFlow/CFlow/NetFlow流日志的采集、分析、审计、统计报告功能,检测各种异常流量并产生告警,帮助管理员全面了解网络应用模型、流量趋势和目前网络中的安全危险点[6]。因此,针对网络安全管理问题,在本设计中部署了异常流量检测系统和统一安全管理平台,通过异常流量检测系统对网络流量进行监控,通过统一安全管理平台对整网设备进行事件分析,从而实现高效管理和高效运营。异常流量检测系统采用软硬件结合方式部署,S9500E系列和S7500E系列核心交换机均软件支持sFlow功能,流量管理设备支审计功能,部署的防火墙模块和IPS模块均支持日志输出功能;统一安全管理平台部署在骨干网管理中心区,集中收集分析网络中的网络设备和安全设备输送过来的日志,并形成直观的报表。

3结语

一般网络建设为保证网络数据的安全,防止外部的侵入以及数据的泄露,需要建立一整套的安全体系。要求由防火墙、入侵防御系统、安全认证系统、防病毒系统等构成集成的主动和自适应的网络安全系统。本文就网络边界风险、数据访问安全、用户接入管理安全和网络安全管理风险四个方面进行阐述,给出的初步设计,在一定程度上是可以满足企业网络安全需求的。

参考文献

[1]连晓.企业网络安全的设计与实践研究[J].信息系统工程,2014,(07):72.

[2]朱学宁.浅谈医院信息系统的网络安全与解决对策[J].网络安全技术与应用,2016,(2):52-53.

[3]张晓兵.下一代网络安全解决方案[J].电信工程技术与标准化,2014,(06):59-61.

[4]高渐翔.浅谈企业网络的安全审计体系[J].科技创新导报,2008,(33):139-140.

[5]周文.浅谈企业内部信息网络安全防护体系建设[J].网络安全技术与应用,2014,(05):166-167+16.

[6]潘勋.企业网络安全与发展趋势[J].电子世界,2014,(08):325-326.

作者:昌霞 单位:云南国土资源职业学院

学术网收录7500余种,种类遍及
时政、文学、生活、娱乐、教育、学术等
诸多门类等进行了详细的介绍。

网络系统论文
@2008-2012 学术网
出版物经营许可证 音像制品经营许可证
主机备案:200812150017
值班电话
0825-6697555
0825-6698000

夜间值班
400-888-7501

投诉中心
13378216660
咨询电话
唐老师:13982502101
涂老师:18782589406
文老师:15882538696
孙老师:15982560046
何老师:15828985996
江老师:15228695391
易老师:15228695316
其它老师...
咨询QQ
89937509
89937310
89903980
89937302
89937305
89937307
89937308
业务
综合介绍
在线投稿
支付方式
常见问题
会员评价
官网授权
经营许可
关于我们
网站简介
版权声明
友情链接
人员招聘
联系我们