企業數據網安全防護體系的研究與實現

【摘要】隨著信息時代的到來，由于計算機系統極易受病毒侵害、黑客的普遍存在、網絡基礎設施受各項互聯網網絡的攻擊等問題的存在，網絡安全防護問題早已成為急需人類共同解決的問題，如果這一問題沒有得到解決，企業的數據信息受到侵害就會嚴重阻礙企業的健康發展，甚至會損害我國信息化發展的進程。本文從企業數據網安全防范體系的現狀出發，提出建設企業數據網安全防護體系的策略。

【關鍵詞】企業數據網；信息安全；防護

計算機網絡的發展日理萬機，“地球村”的實現早已不是夢想，人類的生活越來越離不開網絡，受自身開放性和共享性等特征的影響，網絡極易受黑客、病毒、惡意軟件等侵害，因此網絡數據信息的安全防護十分關鍵。企業的數據網包含企業內部的全部數據信息，對企業的正常運轉起著決定性作用，因此企業的數據網安全防護體系的建立是企業健康發展的核心。

一、企業監測攻擊行為的系統現狀

就目前而言，網絡攻擊行為的技術特征主要為拒絕服務、惡意軟件的安裝、利用計算機網絡的脆弱性偽裝欺騙、內部攻擊、高低級CGI攻擊等，企業對于這些攻擊行為的檢測存在一些不足。第一，企業缺乏解決大型集體攻擊情況方案，攻擊者的技術不斷提高，企業的安全防護技術沒有及時跟上腳步；第二，目前的網絡攻擊檢測系統有待完善，通常攻擊者會利用更改信息或重新編碼等欺騙手段來獲取攻擊檢測系統的通行；第三，網絡設備趨于復雜多樣化，相應的檢測攻擊行為的系統就必須及時更新技術手段以適應外部日新月異的環境；第四，攻擊行為檢測系統的自行反應活動會給自身帶來一定困擾，影響自身的工作效應，因為它一般與防火墻的工作互相配合，一旦其發現有入侵行為時就會將所有網絡攻擊者的IP數據包過濾掉，若同一個攻擊者冒充大批不一樣的IP來虛擬進攻，那么檢測系統就將實質上并沒有產生進攻的IP過濾掉，導致新的拒絕服務訪問產生；第五，IDS自身存在一些安全漏洞，如果對IDS進行入侵并且取得成功，那么就會致使報警無效，攻擊者的后臺行為就沒有記錄下來，所以系統應當結合多種安全產品以形成聯合防護機制。

二、網絡安全防護體系實現策略

企業建立了基礎的防護體系，其中包囊防火墻、攻擊行為檢測系統、病毒防范、集中認證、終端管理、漏洞掃描、安全數據庫等，而隨著企業網絡完全防護體系建設的不斷深入開展，對于安全建設的要求僅靠安全基礎層的防護無法達到，如何使現有的安全設備的功效發揮出來、使安全的管理與安全防護技術完美結合以及如何快速有效地發現并解決漏洞和攻擊行為等安全隱患是我們急需解決的問題。就企業數據網安全防護系統的現狀，得出企業需要從網絡安全防護和數據安全防護兩方面來建設網絡安全防護體系。

網絡安全防護策略為建立全面的網絡拓撲；建立邊緣防火墻、網絡防火墻、主機防火墻等多重防火墻；改進VPN技術的功能；加大對漏洞的掃描力度；加強安全檢測儀對網絡數據的檢測和審計功能。

數據安全的防護策略為利用可靠的操作系統來操縱全部服務器以保證數據的完整性；開通SSL加密通道、使用為通信進行加密的軟件、應用內容監控的軟件以阻止內部人員查看非法網頁來確保數據的保密性；數據即使遭到破壞也能通過備份的數據來恢復，因此系統設備應該將所有數據都儲存到一個專門的容量大、不再工作時所有的網絡連接都能中斷、質量可靠且用戶信息及口令都有安全保密的服務器中，確保整個系統能夠安全、正常運轉。

三、企業數據網安全防護體系的實現

（一）安全管理系統建設的內容

1.日志審計的管理

在安全管理區增添日志審計系統來審計網管中心、短信中心以及智能網的日志，該系統需要負責審計所有日志的核心服務器、負責收集網管中心本地運行日志的服務器、記錄網管中心本地的安全訪問網關以記錄管理員的操作日志并將其發到審計日志的核心服務器上的服務器。

2.安全事件監控系統

擴充現有的安全信息庫，添加安全事件統一監控模塊以及自主掃描漏洞管理系統，與當下的資產管理模塊相結合，形成全面動態的安全威脅管理以及安全漏洞管理系統。

3.賬號口令的管理

賬號口令管理系統以薩班斯法案對審計信息化的要求作為方向，建立一個智能化、自動化的賬號和口令管理的信息平臺。在安全管理服務區內增加兩臺服務器，以備后用，保障網管中心賬號的集中管理。

4.日志的保存

日志的保存期限是半年，要提供3T的儲存空間。儲存設備應當達到既能將日志直接通過網絡全部備份保存起來，又能直接連接到服務器上以提供日志審計系統在線保存日志的功能的雙重目的。

（二）完善安全基礎設施

1.優化安全域

首先，要調整安全服務區，把同安全管理有關的服務器轉至安全管理服務區，上述所添加的服務器也集中布置在該區域。安全服務區的劃分居于核心交換機6509上，添設一臺防火墻并與6509相連接，還要增設一臺24口的百兆交換機來接替。此外，在網絡入口可以設立能夠過濾網絡傳輸過程中的病毒的設備。

其次，在VPN接入區的防火墻可以更新為提供硬件加速功能的VPN高性能防火墻。

再者，將于核心交換機6509上獨立劃分的信令檢測VLAN由原有的接入到網管網絡轉變為接入到信令檢測系統，并且在信令檢測系統的接口處增設一臺IDS用來對該區域的網絡攻擊行為進行檢測。

最后，盡管兩臺防火墻已經在網管網絡和數據業務系統的接口處增設，但是對于攻擊行為仍舊難以及時發現，所以要增設一臺具備兩個監聽口的攻擊行為檢測設備，接口接入交換機上，將管理口接到安全管理區域以便統一管理。

2.完善入侵檢測系統

隨著技術的不斷更近以及網絡的日益復雜，防火墻的諸多漏洞逐漸暴露出來，防火墻的缺陷可以由網絡入侵檢測系統來提供后續幫助，因此開發出完善的入侵檢測系統尤為重要，它可以為網絡安全提供具體、及時的入侵檢測和相關的防護措施，例如，斷開網絡連接、記錄下入侵證據、跟蹤入侵行蹤等。該系統具有以下幾點優點：檢測無訪問權限的非法入侵行為；系統出現故障不會對正常的業務運行產生影響；不會影響服務器等主機的內存、磁盤等空間資源的使用；安裝簡便。同時，該系統也有一些不足之處：該系統只能檢測與它直接相連的網段的網絡包；對某些必須經過大量計算和分析的入侵難以檢測出；有傳輸回大量數據到分析系統中的可能等。

3.保證終端安全

由于現階段的LANDESK系統不能自主分發和管理補丁，并且沒有桌面安全管理的功能，所以要升級該軟件至安全套件，自動查殺修復漏洞，為桌面安全提供保障。

（三）服務器性能管理系統

在安全管理服務區增設性能管理的服務器以對性能數據進行分析、處理和保存。安裝性能管理門戶到該服務器上，該門戶要統一標準，以用戶為對象，以瀏覽器為基礎。可以在各服務器上裝置監控代理用來保存系統的各項性能和可利用的信息，傳輸至管理服務器上。

四、總結

經濟社會的發展趨向網絡信息化，是社會現代化進程的主要標志。由于網絡的開放性和共享性等自帶特征的存在，網絡信息安全犯罪事件也在不斷上升，對數據網的入侵技術手段也在不斷變更，對于企業來說，無疑是其信息化發展的障礙物，因此，健全企業數據網安全防護體系迫在眉睫。網絡的安全防護問題并非易事，某項技術的成功研發或某個制度的頒布并不能起到遏制作用，必須將網絡安全技術、網絡安全管理等結合起來，才能解決網絡安全問題。

參考文獻

[1]喬偉.企業數據網安全防護體系的研究與實現[M].計算機科學與技術，2009.

[2]唐曉蘭，劉中臨，劉嘉勇.一種基于知識庫的行為特征檢測模型[J].信息安全與通信保密，2012（02）.

[3]羅麗華.上海電力數據網絡安全系統建設[J].中國電機工程學全電力通信專業委員第5屆學術會議論文，2009（11）.

[4]張明浩.計算機病毒防范藝術[J].科技信息，2007（04）.

[5]（美）斯澤著.段新海譯.計算機病毒防范藝術[M].機械工業出版社，2007.

[6]曹軍.電力企業網絡安全架構的探索與實踐[J].電力信息化，2006（11）.