企業網絡構架及安全探討

摘要:該文首先從企業網絡構架的趨勢出發，詳細的探討了一種企業無線局域網絡安全構架的結構并分析了該框架的相應協議。接著該文對當前的企業網絡流行的安全攻擊展開了詳細分析，最后該文根據安全攻擊的分析結果具有針對性的提出了相應的安全策略。

關鍵詞:企業網絡構架;安全策略;攻擊

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)27-7657-03

The Discussion of Enterprises Network Architecture and Security

MA Wan-tao

(Yinchuan evening newpaper office of NingXia， Yinchuan 750004， China)

Abstract: The thesis first discussed an enterprise wireless local area network structure of security architecture form the current enterprises network architecture and analysed the corresponding protocals.And then the thesis detailed analysed the modern enterprises popular net attacks.At last，the thesis gave the corresponding security stategies according to the analysis of the results of security attacks.

Key words: enterprises network architecture; security stategy; attack

隨著世界信息高新技術的快速發展，計算機網絡在全球各地的企業里得到了廣泛的應用。企業在充分的享受到利用網絡方便快捷的找到信息的同時，也承受著網絡帶來的安全風險問題。因此，對于深入探討企業網絡如何構架從而提高企業網絡的安全性能等問題具有重要的現實意義。

1 企業網絡構架的趨勢

由于下一代互聯網的發展趨勢是移動互聯網，很多城市正在考慮部署全城范圍的寬帶無線接入工程，實現“無線城市”的規劃，因此，本文所探討的是企業無線局域網絡的框架趨勢。信息安全實踐表明安全不是一個單純的技術問題，而是一個復雜的系統工程問題。人們在實踐中逐漸認識到科學的管理是解決信息安全問題的關鍵。信息安全的內涵也由最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展到“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實現技術。基于這一理論，企業無線局域網絡應具有具有移動安全基礎設施特色、以安全管理為中心的安全體系結構，其構架如圖1所示。

該框架結構主要有三個技術層次，第一層是移動終端安全平臺，該層實現移動終端漏洞的自動修復和安全引擎自動加載技術，實現安全防御技術的集成，如終端防火墻、防惡意代碼、終端HIDS(Host-based Intrusion Detection System，即基于主機型入侵檢測系統)等技術的有機集成。達到綜合安全防御的目標，實現移動終端設各的加固和通用商業移動終端的專用化，體現“防”的思想。第二層是集成化的無線局域網接入管理平臺，通過對安全網關、安全引擎、安全管理、無線局域網安全中間件等有機集成，體現“測、控、管”的思想。其中安全網關提供無線局域網接入管理平臺與無線局域網安全管理平臺之間安全通信的專用保密通道;安全管理組件實現終端軟件漏洞、病毒庫、審計與無線定位等管理，同時對遭受網絡攻擊而癱瘓節點的隔離與修復性管理;實現“測與控”的結合;無線安全中間件足為不同類型的終端提供統一的安全接口，解決移動設備的異構性問題。第三層是無線局域網安全管理層，通過無線局域網危害評佶系統和基礎數據庫，實現無線局域網安全管理的自動化，體現安全中以“評”促“管”的思想。

該框架結構在移動設備、通信鏈路、安全等級、軟件體系和安全基礎數據等方面體現無線局域網安全基礎設施的思想。通過不斷加強安全基礎數據庫建設，提高無線局域網遭受攻擊時系統的安全性、有效性和實用性。為了實現無線局域網安全框架，必須要有相應的協議。圖2給出了無線局域網安全框架下的不同組件的協議結構圖。從圖中可以看出，選擇支持“推”結構的移動終端，在進行安全接入時，當通過MAC層的安全認證后，自動將安全引擎加載到移動終端之中，為高安全需求的通信提供安全保障。同時該結構也為移動終端的選型和安全防護技術的升級提供了很好的擴展性，實現了應用與設備分離，符合瘦客戶終端的發展需求。為移動運營商提供增值業務提供了較好的適應性。在安全接入級，考慮不同移動終端設備的MAC層安全機制不同，采用中間件可以屏蔽其不同，提供不同移動設備的統一安全接口，配合安全引擎的高級安全認證體制，實現多種安全認證技術的強認證體系。WlDS組件是為了實現無線IDS、終端防火墻、終端防病毒等相結合的主動安全防護技術，通過智能性的關聯分析器，抽取出攻擊特征，報告給安全管理組件，這體現了入侵防御系統(IPS)的技術思想。安全管理組件是集成不同的無線局域網安全管理而設計，涉及漏洞管理、病毒管理、惡意代碼管理、系統審計、無線定位、統一的安全策略管理和攻擊管理(隔離與恢復)等。安全網關是為了防止移動終端直接與無線局域網安全管理平臺通信而設計的安全隔離技術，通過采用不同的安全算法和安全強度，實現技術隔離效果，如移動終端與安全接入平臺間采用192比特的ECDSA算法，而安全接入平臺與安全管理平臺可以采用224比特的ECDSA算法。將基礎數據庫放置到后端，可以為不同區域的移動用戶提供數據共享，這有助于實現一點采樣，多點聯動的協同安全防御技術。

2 流行的網絡攻擊分析

企業流行的網絡攻擊主要分為外部網絡攻擊和內部局域網的攻擊兩個方面。

在外網攻擊方面:出于業務的需要，企業的網絡與Internet及其他業務單位網絡相連接。這種物理網絡上互聯互通給數據的互聯互通帶來了事實上的可能性。但是如果Internet與外單位網絡可以與企業的網絡隨意進行互訪，容易導致本系統內部機密泄漏等安全威脅;其次，各系統的互聯互通會使得跨系統的攻擊和病毒傳播成為可能，帶來極大的安全隱患。企業的網絡中的服務器及個人主機上都有涉密信息。假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染)，就會同時影響在同一網絡上的其他系統。透過網絡傳播，還會影響到與本系統網絡有連接的外單位網絡。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施，內部網絡容易造到來自外部網絡的一些不懷好意的入侵者的攻擊。

目前最為流行的攻擊有以下幾種:

① 入侵者通過漏洞掃描、Sniffer嗅探等工具來探測掃描網絡及操作系統存在的安全漏洞，如網絡IP地址、應用操作系統的類型、開放哪些TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序對內網進行攻擊。

② 入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息。

③ 惡意攻擊。入侵者通過發送大量PING包對內部網重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。

④ 發送大量包含惡意代碼或病毒程序的郵件。在內部局域網的攻擊方面:在已有的網絡安全攻擊事件中實際上約70%是來自內部網絡的攻擊。來自機構內部局域網的攻擊主要包括以下幾種:

① 誤用和濫用關鍵、敏感數據和計算資源。無論是有不滿情緒的員工的故意破壞，還是沒有訪問關鍵系統權限的員工因誤操作而進入關鍵系統，由此而造成的數據泄露、偷竊、損壞或刪除將給企業帶來很大的負面影響。

② 如果工作人員發送、接收和查看攻擊性材料，可能會形成敵意的工作環境，從而增大內耗。

③ 內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令。

④ 內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去。

3 當前的安全策略

企業網絡除了要有安全的網絡構架還需要全面的安全策略才能保證其總體信息安全運行。基于以上對網絡攻擊的具體分析，企業全面的安全策略應包括以下幾個方面。

① 安全管理策略。安全管理貫穿在安全的各個層次實施。從管理角度來看，需制訂了整個企業的安全管理策略;從技術管理角度來看，實現安全的配置和管理;從人員管理角度來看，實現統一的用戶角色劃分策略，制定一系列的管理規范;從資源管理角度來看，實現資源的統一配置和管理。

② 訪問控制策略。訪問控制的目的是控制信息的訪問。訪問控制是對用戶進行文件和數據權限的限制，主要防范用戶的越權訪問。訪問控制策略應按照業務及安全要求控制信息及業務程序的訪問，網絡訪問控制用于控制內部及外部聯網服務的訪問，以確保可以訪問網絡或網絡服務的用戶不會破壞這些網絡服務的安全。不安全地連接到網絡服務會影響整個機構的安全，所以，只能讓用戶直接訪問己明確授權使用的服務。這種安全控制對連接敏感或重要業務的網絡，或連接到在高風險地方(例如不在安全管理及控制范圍的公用或外部地方)的用戶尤其重要。

③ 網絡安全監控與入侵檢測策略。網絡安全監控可以測試企業所實施的安全控制是否有效。同時，安全監控是檢測系統及網絡是否有可疑或不正常的通訊的有效辦法。這個步驟用于檢測網絡的潛在漏洞或非授權行為，同時，它可以提醒管理人員網絡現有的安全隱患及應采取什么樣的防護措施。一旦企業系統發生安全事故，管理人員應依據監控系統所提供的警示，采取必要的步驟，在最短的時間恢復系統，以減少企業的損失。入侵監控是對入侵行為的檢測和控制。入侵檢測作為一種積極主動的安全防護技術，從網絡安全立體縱深、多層次防御的角度出發，對防范網絡惡意攻擊及誤操作提供了主動的實時保護，它可在網絡系統受到危害之前攔截和響應入侵。通過在企業網絡的關鍵環節放置入侵檢測產品，它監視計算機網絡或計算機系統的運行，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象，一旦發現攻擊能夠發出報警并采取相應的措施，如阻斷、跟蹤和反擊等。同時，記錄受到攻擊的過程，為網絡或系統的恢復和追查攻擊的來源提供基本數據。并把這些信息集中報告給數據中心的集中管理控制臺。

④ 漏洞掃描與風險評估策略。從信息安全的角度看，漏洞掃描是網絡安全防御中的一項重要技術，其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象，然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告，從而為提高網絡安全整體水平產生重要依據。在網絡安全建設中，漏洞掃描工具具有花費低、效果好、見效快、與網絡的運行相對對立、安裝運行簡單等特點。在功能上，安全掃描工具可以大規模減少安全管理員的手工勞動，有利于保持全網安全政策的統一和穩定。

⑤ 計算機病毒防治策略。由于在網絡環境下，計算機病毒有不可估量的威脅性和破壞力。由于網絡系統中使用的操作系統大多為WINDOWS系統，比較容易感染病毒。因此計算機病毒的防范也是網絡安全建設中應該考慮的重要的環節之一。必須從預防病毒、檢測病毒和殺毒考慮網絡的網絡安全。

⑥ 備份與恢復策略。主要設備、軟件、數據、電源等都應有備份，并有技術措施和組織措施能夠在較短時間內恢復系統運行。如果日常工作對涉密系統的依賴性特別強，則建立遠程的應急處理和災難恢復中心。企業考慮的備份主要包括數據備份、服務器備份、線路備份等幾個方面。

4 結束語

企業信息化是利用計算機技術的手段將先進的企業管理思想融入企業的經營管理中，在這個過程中將最終實現對財務、物流、業務流程、成本核算、客戶關系管理及供應鏈管理等各個環節的科學管理。企業網絡安全構架不單是單點的安全，而是整個系統的安全，需要從物理、鏈路、網絡、系統、應用和管理方面進行立體的防護。隨著信息化得普及，企業網絡構架及安全的探討意義將更為深遠。

參考文獻:

[1] 楊家海，任憲坤，王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社，2000.

[2] 張仁斌，譚三，易勇，蔣毅.網絡安全技術[M].北京:清華大學出版社，2004.

[3] 吳振強，馬建峰.基于管理的移動互聯網絡安全體系結構[J].計算機科學，2006，33(7):314-317.

[4] 許治坤，王偉，郭添森，楊冀龍.網絡滲透技術[M].北京:電子工業出版社，2005.

[5] 謝希仁.計算機網絡[M].4版.大連:大連理工大學出版社，2004.