論企業(yè)信息網(wǎng)絡(luò)系統(tǒng)安全方案

胡麗君

摘要：在網(wǎng)絡(luò)攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患。需要一種靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來(lái)構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系。包括防病毒技術(shù)；防火墻技術(shù)；入侵檢測(cè)技術(shù)；網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；漏洞掃描安全評(píng)估技術(shù)；主機(jī)訪問(wèn)控制等。

關(guān)鍵詞：網(wǎng)絡(luò)安全；病毒防火墻；入侵檢測(cè)；整體防護(hù)

一、防病毒技術(shù)

對(duì)于企業(yè)網(wǎng)絡(luò)及網(wǎng)內(nèi)大量的計(jì)算機(jī)，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護(hù)體系。企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結(jié)構(gòu)，即在企業(yè)信息中心設(shè)防病毒控制臺(tái)，通過(guò)該控制臺(tái)控制各二級(jí)網(wǎng)絡(luò)中各個(gè)服務(wù)器和工作站的防病毒策略，監(jiān)督整個(gè)網(wǎng)絡(luò)系統(tǒng)的防病毒軟件配置和運(yùn)行情況，并且能夠進(jìn)行相應(yīng)策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設(shè)置防病毒服務(wù)器，負(fù)責(zé)防病毒策略的設(shè)置、病毒代碼分發(fā)等工作。管理服務(wù)器負(fù)責(zé)收集網(wǎng)絡(luò)中的客戶端的實(shí)時(shí)信息，分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務(wù)器/客戶端構(gòu)架，實(shí)時(shí)保護(hù)Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務(wù)器及Internet網(wǎng)關(guān)服務(wù)器，防止各種引導(dǎo)型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進(jìn)入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。它通過(guò)全方位的網(wǎng)絡(luò)管理、多種報(bào)警機(jī)制、完整的病毒報(bào)告、支持遠(yuǎn)程服務(wù)器、軟件自動(dòng)分發(fā)，幫助管理員更好的實(shí)施網(wǎng)絡(luò)防病毒工作。

二、防火墻技術(shù)

防火墻是一種形象的說(shuō)法， 其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合， 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)（ scurity gateway）， 從而抵御網(wǎng)絡(luò)外部安全威脅，保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，它是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機(jī)和真實(shí)服務(wù)器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問(wèn)；③系統(tǒng)認(rèn)證；④日志功能。在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后，可以有效防止非法訪問(wèn)，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負(fù)載均衡及流量控制結(jié)合起來(lái)，且提供100M的線速性能的軟硬件相結(jié)合的產(chǎn)品，在Internet出口、撥號(hào)接入入口、企業(yè)關(guān)鍵服務(wù)器的前端及與電信、聯(lián)通的連接出口處增設(shè)NetScreen- 100f防火墻，可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)與外界的安全隔離，保護(hù)企業(yè)的關(guān)鍵信息。

三、入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）是一種為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是對(duì)防火墻的必要補(bǔ)充，它可以對(duì)系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)惡意入侵者或識(shí)別出對(duì)計(jì)算機(jī)的非法訪問(wèn)行為，并對(duì)其進(jìn)行隔離，并能收集可以用來(lái)訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection（Sessionwall- 3）。利用基于網(wǎng)絡(luò)的eTrust Intrusion Detection建立入侵檢測(cè)系統(tǒng)來(lái)保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。

首先，信息管理中心設(shè)立整個(gè)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制中心。通過(guò)該控制臺(tái)，管理員能夠?qū)ζ渌W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行監(jiān)控和配置。在該機(jī)器上安裝集中控制的eID中央控制臺(tái)模塊、eID日志服務(wù)器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺(tái)也被用于集中管理所有的主機(jī)保護(hù)系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點(diǎn)解決與Internet的邊界安全問(wèn)題，在這些工作站上安裝代理軟件，包括eID基本模塊、eID代理模塊和日志數(shù)據(jù)庫(kù)客戶端。

四、網(wǎng)絡(luò)性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它自動(dòng)接收著來(lái)自網(wǎng)絡(luò)的各種信息，通過(guò)對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。

配套軟件——NAI Sniffer。NAI Sniffer是一套功能強(qiáng)大的網(wǎng)絡(luò)故障偵測(cè)工具，它可以幫助用戶快速診斷網(wǎng)絡(luò)故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對(duì)網(wǎng)絡(luò)流量和狀態(tài)進(jìn)行監(jiān)控，而且無(wú)論全網(wǎng)任何地方發(fā)生問(wèn)題時(shí)，都可以利用它及時(shí)診斷并排除故障。

五、網(wǎng)絡(luò)系統(tǒng)的安全評(píng)估

網(wǎng)絡(luò)安全性之所以這么低的一個(gè)主要原因就是系統(tǒng)漏洞。

網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：①速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)；②網(wǎng)絡(luò)拓?fù)洹Ｍㄟ^(guò)GUI的圖形界面，可選擇一個(gè)或某些區(qū)域的設(shè)備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告。⑥更新周期。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級(jí)，并給出相應(yīng)的改進(jìn)建議。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機(jī)防護(hù)系統(tǒng)

在一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫(kù)的形式存放在服務(wù)器中的。在信息中心，使用WWW、Mail、文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器來(lái)對(duì)內(nèi)部、外部用戶提供信息。但無(wú)論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機(jī)器上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)存在著被破壞和竊取的風(fēng)險(xiǎn)[1]。

通過(guò)以上幾種安全措施的實(shí)施，從系統(tǒng)級(jí)安全到桌面級(jí)安全，從靜態(tài)訪問(wèn)控制到動(dòng)態(tài)入侵檢測(cè)主要層面：方案覆蓋網(wǎng)絡(luò)安全的事前弱點(diǎn)漏洞分析修正、事中入侵行為監(jiān)控響應(yīng)和事后信息監(jiān)控取證的全過(guò)程，從而全面解決企業(yè)的信息安全問(wèn)題，使企業(yè)網(wǎng)絡(luò)避免來(lái)自內(nèi)外部的攻擊，防止病毒對(duì)主機(jī)的侵害和在網(wǎng)絡(luò)中的傳播。使整個(gè)網(wǎng)絡(luò)的安全水平有很大程度的提高。

參考文獻(xiàn)

[1] 戴麗莉. 企業(yè)信息網(wǎng)絡(luò)系統(tǒng)安全方案[J]. 新西部（下半月），2008，（06）：228+230.endprint