網絡安全管理技術在企業網中的應用

何向東

0 引言

隨著計算機和網絡技術的發展，網絡安全技術也有了很大的進步，但是，單個的安全技術的功能和性能都有其局限性，如何有效的管理網絡以及系統中的安全產品和安全技術，成為研究網絡和信息安全的一個重要內容。

企業的信息化熱潮快速興起，由于企業信息化投入不足、缺乏高水平的軟硬件專業人才、以及企業員工安全意識淡薄等多種原因，網絡安全也成了中小企業必須重視并加以有效防范的問題。病毒、間諜軟件、垃圾郵件等等，這些無一不是企業信息主管的心頭之患。

1 網絡安全的問題

網絡安全可以簡單的分成3個部分：人為的無意失誤，人為的惡意失誤和網絡軟件的漏洞和“后門”。哪個方面都會給企業帶來損失，簡單說明如下：

1.1 人為的無意失誤

人為的無意失誤：如操作員安全配置不當，造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享，等都會對網絡安全帶來威脅。

1.2 人為的惡意失誤

人為的惡意攻擊：這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪，就屬于這一類。此類攻擊，又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊，均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

1.3 網絡軟件的漏洞和“后門”

無論多么優秀的網絡軟件，都可能存在這樣那樣的缺陷和漏洞，而那些水平較高的黑客，就將這些漏洞和缺陷作為網絡攻擊的首選目標。在曾經出現過的黑客攻擊事件中，大部分都是因為軟件安全措施不完善所招致的苦果。一般，軟件的“后門”，都是軟件公司的設計和編程人員為了方便設計而設置的，很少為外人所知。不過，一旦“后門”公開或被發現，其后果將不堪設想。

2 企業網絡安全的解決方案

2.1 企業網絡安全的部署圖

一個典型的生產型企業的網絡架構，如圖1所示：

圖1 一個生產型企業的網絡示意圖

2.2 企業網絡安全的管理辦法

安全綜合管理是針對安全部署，對管理域內的安全設備進行安全信息收集和信息綜合。下面圍繞如何規劃企業網絡安全環境進行研究：

2.2.1 網絡設備的安全

在網絡安全防護中，確保網絡設備安全是最基本的防護手段。首先，要合理的配置設備，確保只開放設備上必要的服務，只運行指定人員的訪問；其次，關注設備廠商發布的漏洞，及時安裝網絡設備補丁；再次，網絡中的所有設備，必須定期更換密碼，同時，密碼要滿足一定復雜度，不易于破解；最后，合理地維護設備，確保網絡設備穩定運營。

2.2.2 企業數據安全

企業中實施網絡安全的主要目的，一個是預防病毒威脅，另一個就是保護數據安全。數據是一個企業的核心內容，特別是對于一些高科技企業來說。因此，企業內部保護數據安全尤為重要。對于企業來說，讓特定的人員看到特定的數據，是有效利用數據的基本要求。應該禁止非業務相關人員查看。實現方法有兩點：

1）總公司與子公司之間傳送的數據必須加密。

目前一般大中型企業都在各個地方有分支機構，這些公司之間傳送的數據是企業的核心信息，必須加密后才可以發送。以防非法人員查看。同時，禁止通過Internet發送郵件等。

2）構筑客戶端的軟件系統，防止公司內部人員私自復制數據帶出公司。

潘多拉是希臘神話中的女子。普羅米修斯盜天火給人間后，主神宙斯為懲罰人類，命令神用黏土塑成一個年輕美貌、虛偽狡詐的姑娘，取名“潘多拉”，意為“具有一切天賦的女人”，并給了她一個禮盒，然后將她許配給普羅米修斯的弟弟埃庇米修斯（意為“后知”）。

此軟件系統，應該具有禁止使用U盤、移動硬盤、DVD刻錄機功能，具有禁止無線、藍牙功能，防止內部用戶私自帶走數據。同時，應該構筑辦公軟件加密系統，指定辦公文檔，必須有權限的人員才可以查看。

2.2.3 遠程接入安全及Internet安全訪問

移動辦公用戶，需要遠程登錄公司郵箱系統，可以通過VPN實現，對于上傳和下載的文件，應該備份，方便以后查詢。內部用戶訪問 Internet，應該有專門的上網行為管理設備，進行嚴格的限制，禁止使用郵箱、網上硬盤、游戲、色情等等網站，以防內部數據丟失和病毒傳染。上網行為管理系統，同時應該開啟如下設置：啟用HTTP下載殺毒、FTP下載殺毒、POP3（接收郵件）殺毒、SMTP（發送郵件）殺毒等等。另外一個必須的措施是部署企業級的防火墻系統。

防火墻作為傳統的安全設備，在網絡中的位置不可取代。防火墻是一種用來加強網絡之間訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡, 訪問內部網絡資源, 保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包，如鏈接方式按照一定的安全策略來實施檢查, 以決定網絡之間的通信是否被允許,并監視網絡運行狀態, 用來保障計算機網絡的安全。

2.2.4 內部的網絡安全

防止網絡外部的入侵，可以通過安裝防火墻來解決，但是對于網絡內部的入侵則無能為力。詳細分析制造型企業的性質，有必要進一步劃分內部網絡。

企業的內部網絡可以細分為辦公網絡和生產網絡。辦公網絡可以訪問 Internet，安全隱患較大；生產網絡只需要連接內部的服務器，不需要訪問 Internet。兩個網絡之間，架設防火墻系統隔離，最大化保護生產網絡，來確認公司核心業務無故障運行。為了進一步縮小網絡故障影響，可以再劃分網絡區域，不同的網絡區域之間，通過 VLAN隔離，VLAN間設置安全策略，分割區域間的影響，實現一個 VLAN的故障，不會影響到其他 VLAN。同時對各個 VLAN做一個具有一定功能的審計文件，為管理員分析自己的網絡運作狀態提供依據。設計一個VLAN專用的監聽程序監聽VLAN內計算機間互聯情況，為系統中各個服務器的審計文件提供備份。

大中型企業客戶端較多，且基本上都是 Windows操作系統，一臺臺地管理很麻煩，這就需要企業內部通過Windows組策略來管理客戶端。組策略就是通過做一次設定，影響一批對象(用戶、計算機)。可以在組策略上設置嚴格的策略，控制客戶端的安全。具體措施包括：強制客戶端同步WSUS服務器，自動安裝必須的Windows補丁；實施符合一定規則的密碼策略；強化賬戶策略，刪除Guest等無關用戶；刪除系統默認共享，關閉共享文件功能，要求內部所有的數據傳送，必須通過文件服務器或是郵箱進行；最小化系統服務，關閉不使用的服務；嚴格限制非管理員的操作權限；強化系統日志審核功能等等。這些策略是公司內部的通用策略。

對于生產使用的客戶端，由于作業員只需要使用幾個簡單的操作，所以，需要進行更嚴格的限制。例外：最小化賬戶權限；最小化運行的用戶進程（除指定的系統進程外，其他進程不可以使用）；最小化系統開放端口；最小化系統操作（如：禁用鼠標右鍵、禁用控制面板、禁用命令提示符、禁用注冊表等等）。

2.2.6 無線網絡的安全

由于無線網絡信號通過空氣，很容易被惡意用戶非法竊取，所以無線網絡安全越來越成為安全隱患的重災區。僅僅對無線信號加密已經不能滿足安全性要求。目前企業里面推薦使用的加密和認證同時使用的方式，其中認證最好是能和AD相結合，提高賬戶的可管理性。

2.2.7 安全制度的管理

制定合理的制度，是網絡安全管理中必不可少的手段，應該和人事部門一起，制定公司網絡安全管理規定，對于違反信息安全的行為，給予一定的人事處罰。

3 結束語

網絡安全是一個綜合性問題，它涉及到諸多因素，包括多種技術、產品和管理等。不能僅僅依靠單一的防護系統，也不能雖然有了多個防護系統，但是不善于管理。而是需要仔細考慮網絡的安全需求，將各種安全產品和技術整合，與科學的網絡管理方法結合在一起，才能生成高效、通用、安全的網絡系統。

[1]Merike Kaeo(著),吳中福（譯）,網絡安全性設計（第二版）,[M]人民郵電出版社，2005年09月；

[2]Eric Cole(著),曹繼軍,林龍信.網絡安全寶典(第2版).[M]清華大學出版社,2010年11月.

[3]向宏,傅鸝,詹榜華(著).信息安全測評與風險評估.[M]電子工業出版社,2009年1月.

[4]Shon Harris(著),石華耀,張輝,段海新(譯).CISSP認證考試指南(第四版).[M]北京科海電子出版社,2010年4月.

[5]黃傳河(主編).網絡規劃設計師教程.[M]清華大學出版社.2009年6月.