昌霞

摘要：和以前相比，如今的企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀已經(jīng)發(fā)生了很大的改變，它在更多的方面上表現(xiàn)為“應(yīng)用層威脅”。網(wǎng)絡(luò)系統(tǒng)的安全是企業(yè)業(yè)務(wù)的重要保證。本文就網(wǎng)絡(luò)系統(tǒng)可能存在的網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)、數(shù)據(jù)訪(fǎng)問(wèn)安全、用戶(hù)接入管理安全和網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)四個(gè)方面進(jìn)行討論，給出了網(wǎng)絡(luò)系統(tǒng)安全防護(hù)和安全管理初步設(shè)計(jì)。

關(guān)鍵詞：應(yīng)用層；網(wǎng)絡(luò)安全；訪(fǎng)問(wèn)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）11-0186-02

以前我們談及企業(yè)網(wǎng)絡(luò)安全的時(shí)候，還主要指防火墻，因?yàn)槟菚r(shí)候的安全還主要以網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制為主[1]。的確，防火墻就像一個(gè)防盜門(mén)，給了我們基本的安全防護(hù)。但是，就像今天最好的防盜門(mén)也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播[1]。今天的網(wǎng)絡(luò)安全現(xiàn)狀和以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個(gè)“應(yīng)用層威脅”泛濫的時(shí)代。

今天，各種蠕蟲(chóng)、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來(lái)了重大損失[1]；攻擊終端用戶(hù)計(jì)算機(jī)，給用戶(hù)帶來(lái)信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時(shí)通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無(wú)關(guān)流量浪費(fèi)，形成巨大的資源損失[2]。面對(duì)這些問(wèn)題，傳統(tǒng)解決方案最大的問(wèn)題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此本文就主要安全風(fēng)險(xiǎn)討論相應(yīng)的解決方案。

1 網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)

網(wǎng)絡(luò)系統(tǒng)可能存在的主要安全風(fēng)險(xiǎn)主要包括四個(gè)方面：網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)、數(shù)據(jù)訪(fǎng)問(wèn)安全、用戶(hù)接入管理安全和網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)。

1.1 網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)

一個(gè)較大的網(wǎng)絡(luò)系統(tǒng)通常有多個(gè)外部網(wǎng)絡(luò)連接，包括：骨干網(wǎng)、信息集成網(wǎng)和無(wú)線(xiàn)網(wǎng)等。必須對(duì)這些區(qū)域之間、區(qū)域和外部進(jìn)出的數(shù)據(jù)流進(jìn)行深度的檢測(cè)和嚴(yán)格的訪(fǎng)問(wèn)控制，進(jìn)行精細(xì)化的管理，才能夠真正的保證這些連接不會(huì)引入安全攻擊風(fēng)險(xiǎn)，而且也保證區(qū)域網(wǎng)絡(luò)風(fēng)險(xiǎn)不會(huì)擴(kuò)散到相連接的其他區(qū)域網(wǎng)絡(luò)中；對(duì)于外聯(lián)邊界，不僅需要部署訪(fǎng)問(wèn)控制設(shè)備進(jìn)行安全區(qū)域隔離，還需要部署應(yīng)用層安全防護(hù)設(shè)備，防止應(yīng)用層網(wǎng)絡(luò)攻擊等通過(guò)外聯(lián)邊界對(duì)網(wǎng)絡(luò)進(jìn)行破壞，同時(shí)，為了防止帶寬濫用等行為影響網(wǎng)絡(luò)正常運(yùn)行，對(duì)外聯(lián)邊界進(jìn)出的流量需要進(jìn)行相應(yīng)的審計(jì)和控制。

1.2 數(shù)據(jù)訪(fǎng)問(wèn)安全

一般辦公網(wǎng)和業(yè)務(wù)網(wǎng)絡(luò)無(wú)直接連接，需要通過(guò)骨干網(wǎng)與其他區(qū)域網(wǎng)絡(luò)進(jìn)行連接，在辦公網(wǎng)需要訪(fǎng)問(wèn)生產(chǎn)網(wǎng)時(shí)，除了有效的控制訪(fǎng)問(wèn)、認(rèn)證授權(quán)外，還需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行加密保護(hù)，避免數(shù)據(jù)傳輸過(guò)程中被竊取或者篡改。在無(wú)線(xiàn)網(wǎng)區(qū)域通過(guò)無(wú)線(xiàn)訪(fǎng)問(wèn)業(yè)務(wù)網(wǎng)絡(luò)的用戶(hù)，也要進(jìn)行相應(yīng)的安全認(rèn)證授權(quán)和數(shù)據(jù)加密。

1.3 用戶(hù)接入網(wǎng)絡(luò)安全控制

網(wǎng)絡(luò)接入用戶(hù)可能復(fù)雜，需要對(duì)這些用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為進(jìn)行多層次的控制，以保證應(yīng)用系統(tǒng)的有效運(yùn)行，這些層次包括：網(wǎng)絡(luò)接入控制、網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制能力、網(wǎng)絡(luò)應(yīng)用的監(jiān)控、用戶(hù)主機(jī)安全狀態(tài)的監(jiān)控等，以實(shí)現(xiàn)對(duì)用戶(hù)的安全管理[3]。

1.4 網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)

三分技術(shù)七分管理，大量的基礎(chǔ)網(wǎng)絡(luò)安全設(shè)施建設(shè)如果不能有效便捷的管理，將為后期安全威脅管理和整網(wǎng)維護(hù)帶來(lái)巨大的困難，所以需要對(duì)整網(wǎng)進(jìn)行統(tǒng)一安全管理和整網(wǎng)流量監(jiān)控分析。

2 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)

針對(duì)上述安全風(fēng)險(xiǎn)，本文從這四方面出發(fā)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)和安全管理，具體方案如下。

2.1 網(wǎng)絡(luò)邊界防護(hù)設(shè)計(jì)

邊界防護(hù)的核心策略就是將網(wǎng)絡(luò)進(jìn)行完善的區(qū)域劃分，實(shí)現(xiàn)嚴(yán)格的訪(fǎng)問(wèn)控制策略，保證網(wǎng)絡(luò)高度的安全性[4]，使用防火墻+IPS的產(chǎn)品組合可以實(shí)現(xiàn)二層～七層完善的安全防護(hù)。

因此，針對(duì)網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)，首先需要在各安全區(qū)域邊界部署防火墻設(shè)備，具體來(lái)說(shuō)，在骨干網(wǎng)與各業(yè)務(wù)子網(wǎng)連接邊界部署內(nèi)嵌式防火墻模塊，在骨干網(wǎng)外聯(lián)單位接入?yún)^(qū)邊界部署接入防火墻和異構(gòu)防火墻，在信息集成網(wǎng)外聯(lián)邊界部署接入防火墻，在離港網(wǎng)外聯(lián)邊界部署防火墻系統(tǒng)，實(shí)現(xiàn)訪(fǎng)問(wèn)控制隔離和安全區(qū)域劃分，從而對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行有效的控制。同時(shí)，在骨干網(wǎng)外聯(lián)區(qū)交換機(jī)和信息集成網(wǎng)AODB服務(wù)器核心業(yè)務(wù)區(qū)交換機(jī)上分別部署IPS模塊，實(shí)現(xiàn)病毒、蠕蟲(chóng)、網(wǎng)絡(luò)攻擊、協(xié)議漏洞等防護(hù)，以保護(hù)內(nèi)部局域網(wǎng)系統(tǒng)和各應(yīng)用系統(tǒng)服務(wù)器免于惡性攻擊。

2.2 數(shù)據(jù)訪(fǎng)問(wèn)安全防護(hù)設(shè)計(jì)

SSL VPN是用戶(hù)訪(fǎng)問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)[5]。與復(fù)雜的IPSec VPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)客戶(hù)機(jī)安裝客戶(hù)端軟件[5]。與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，SSL VPN可以根據(jù)用戶(hù)的不同身份，給予不同的訪(fǎng)問(wèn)權(quán)限。就是說(shuō)，雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪(fǎng)問(wèn)的數(shù)據(jù)是不同的，而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上，不僅可以控制訪(fǎng)問(wèn)人員的權(quán)限，還可以對(duì)訪(fǎng)問(wèn)人員的每個(gè)訪(fǎng)問(wèn)進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴(lài)性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。

因此，針對(duì)網(wǎng)絡(luò)數(shù)據(jù)訪(fǎng)問(wèn)安全問(wèn)題，在骨干網(wǎng)區(qū)域、信息集成網(wǎng)區(qū)域和無(wú)線(xiàn)網(wǎng)區(qū)域，分別部署SSL VPN接入系統(tǒng)，對(duì)需要訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的用戶(hù)進(jìn)行認(rèn)證授權(quán)，認(rèn)證及鑒權(quán)由骨干網(wǎng)管理中心的AAA系統(tǒng)完成，同時(shí)對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

2.3 用戶(hù)接入網(wǎng)絡(luò)安全設(shè)計(jì)

針對(duì)當(dāng)今大型局域網(wǎng)缺乏行之有效的內(nèi)網(wǎng)控制管理手段的突出問(wèn)題，本設(shè)計(jì)考慮采用H3C公司EAD終端準(zhǔn)入控制方案，該方案主要包括兩個(gè)重要功能：安全防護(hù)和安全監(jiān)控。安全防護(hù)主要是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對(duì)達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過(guò)程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶(hù)終端的安全狀態(tài)，并針對(duì)用戶(hù)終端的安全事件采取相應(yīng)的應(yīng)對(duì)措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。endprint

2.4 網(wǎng)絡(luò)安全管理設(shè)計(jì)

為了更好的了解目前網(wǎng)絡(luò)當(dāng)中發(fā)生的安全事件，需要對(duì)網(wǎng)絡(luò)當(dāng)中的所有設(shè)備（防火墻、IPS、交換機(jī)、路由器、PC、Server等）進(jìn)行日志分析；同時(shí)，針對(duì)P2P/IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪(fǎng)問(wèn)等行為，進(jìn)行精細(xì)化識(shí)別和分析，對(duì)NetStream/SFlow/CFlow/NetFlow流日志的采集、分析、審計(jì)、統(tǒng)計(jì)報(bào)告功能，檢測(cè)各種異常流量并產(chǎn)生告警，幫助管理員全面了解網(wǎng)絡(luò)應(yīng)用模型、流量趨勢(shì)和目前網(wǎng)絡(luò)中的安全危險(xiǎn)點(diǎn)[6]。

因此，針對(duì)網(wǎng)絡(luò)安全管理問(wèn)題，在本設(shè)計(jì)中部署了異常流量檢測(cè)系統(tǒng)和統(tǒng)一安全管理平臺(tái)，通過(guò)異常流量檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，通過(guò)統(tǒng)一安全管理平臺(tái)對(duì)整網(wǎng)設(shè)備進(jìn)行事件分析，從而實(shí)現(xiàn)高效管理和高效運(yùn)營(yíng)。異常流量檢測(cè)系統(tǒng)采用軟硬件結(jié)合方式部署，S9500E系列和S7500E系列核心交換機(jī)均軟件支持sFlow功能，流量管理設(shè)備支審計(jì)功能，部署的防火墻模塊和IPS模塊均支持日志輸出功能；統(tǒng)一安全管理平臺(tái)部署在骨干網(wǎng)管理中心區(qū)，集中收集分析網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備輸送過(guò)來(lái)的日志，并形成直觀的報(bào)表。

3 結(jié)語(yǔ)

一般網(wǎng)絡(luò)建設(shè)為保證網(wǎng)絡(luò)數(shù)據(jù)的安全，防止外部的侵入以及數(shù)據(jù)的泄露，需要建立一整套的安全體系。要求由防火墻、入侵防御系統(tǒng)、安全認(rèn)證系統(tǒng)、防病毒系統(tǒng)等構(gòu)成集成的主動(dòng)和自適應(yīng)的網(wǎng)絡(luò)安全系統(tǒng)。本文就網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)、數(shù)據(jù)訪(fǎng)問(wèn)安全、用戶(hù)接入管理安全和網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)四個(gè)方面進(jìn)行闡述，給出的初步設(shè)計(jì)，在一定程度上是可以滿(mǎn)足企業(yè)網(wǎng)絡(luò)安全需求的。

參考文獻(xiàn)

[1]連曉.企業(yè)網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)踐研究[J].信息系統(tǒng)工程，2014，（07）：72.

[2]朱學(xué)寧.淺談醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全與解決對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（2）：52-53.

[3]張曉兵.下一代網(wǎng)絡(luò)安全解決方案[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2014，（06）：59-61.

[4]高漸翔.淺談企業(yè)網(wǎng)絡(luò)的安全審計(jì)體系[J].科技創(chuàng)新導(dǎo)報(bào)，2008，（33）：139-140.

[5]周文.淺談企業(yè)內(nèi)部信息網(wǎng)絡(luò)安全防護(hù)體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（05）：166-167+16.

[6]潘勛.企業(yè)網(wǎng)絡(luò)安全與發(fā)展趨勢(shì)[J].電子世界，2014，（08）：325-326.

Abstract：Compared with the past，the present situation of network security has changed a lot，and it is mainly manifested as"application layer threat".The security of network system is an important guarantee of enterprise business.We discuss the possible network boundary risk，data access security，user access management and network security management risk in the network system.Then we give a preliminary design of network system security protection and safety management.

Key Words：The application layer；Network security；accessendprint