淺談企業網絡系統安全設計

昌霞

摘要：和以前相比，如今的企業網絡安全現狀已經發生了很大的改變，它在更多的方面上表現為“應用層威脅”。網絡系統的安全是企業業務的重要保證。本文就網絡系統可能存在的網絡邊界風險、數據訪問安全、用戶接入管理安全和網絡安全管理風險四個方面進行討論，給出了網絡系統安全防護和安全管理初步設計。

關鍵詞：應用層；網絡安全；訪問

中圖分類號：TP311 文獻標識碼：A 文章編號：1007-9416（2017）11-0186-02

以前我們談及企業網絡安全的時候，還主要指防火墻，因為那時候的安全還主要以網絡層的訪問控制為主[1]。的確，防火墻就像一個防盜門，給了我們基本的安全防護。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網絡威脅的傳播[1]。今天的網絡安全現狀和以前相比，已經發生了很大的改變，我們已經進入了一個“應用層威脅”泛濫的時代。

今天，各種蠕蟲、間諜軟件、網絡釣魚等應用層威脅和EMAIL、移動代碼結合，形成復合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊企業核心服務器和應用，給企業帶來了重大損失[1]；攻擊終端用戶計算機，給用戶帶來信息風險甚至財產損失；對網絡基礎設施進行DoS/DDoS攻擊，造成基礎設施的癱瘓；更有甚者，像電驢、BT等P2P應用和MSN、QQ等即時通信軟件的普及，企業寶貴帶寬資源被業務無關流量浪費，形成巨大的資源損失[2]。面對這些問題，傳統解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設備，對這些威脅又“看而不阻”，因此本文就主要安全風險討論相應的解決方案。

1 網絡系統風險

網絡系統可能存在的主要安全風險主要包括四個方面：網絡邊界風險、數據訪問安全、用戶接入管理安全和網絡安全管理風險。

1.1 網絡邊界風險

一個較大的網絡系統通常有多個外部網絡連接，包括：骨干網、信息集成網和無線網等。必須對這些區域之間、區域和外部進出的數據流進行深度的檢測和嚴格的訪問控制，進行精細化的管理，才能夠真正的保證這些連接不會引入安全攻擊風險，而且也保證區域網絡風險不會擴散到相連接的其他區域網絡中；對于外聯邊界，不僅需要部署訪問控制設備進行安全區域隔離，還需要部署應用層安全防護設備，防止應用層網絡攻擊等通過外聯邊界對網絡進行破壞，同時，為了防止帶寬濫用等行為影響網絡正常運行，對外聯邊界進出的流量需要進行相應的審計和控制。

1.2 數據訪問安全

一般辦公網和業務網絡無直接連接，需要通過骨干網與其他區域網絡進行連接，在辦公網需要訪問生產網時，除了有效的控制訪問、認證授權外，還需要對網絡數據傳輸進行加密保護，避免數據傳輸過程中被竊取或者篡改。在無線網區域通過無線訪問業務網絡的用戶，也要進行相應的安全認證授權和數據加密。

1.3 用戶接入網絡安全控制

網絡接入用戶可能復雜，需要對這些用戶的網絡訪問行為進行多層次的控制，以保證應用系統的有效運行，這些層次包括：網絡接入控制、網絡層的訪問控制能力、網絡應用的監控、用戶主機安全狀態的監控等，以實現對用戶的安全管理[3]。

1.4 網絡安全管理風險

三分技術七分管理，大量的基礎網絡安全設施建設如果不能有效便捷的管理，將為后期安全威脅管理和整網維護帶來巨大的困難，所以需要對整網進行統一安全管理和整網流量監控分析。

2 網絡系統安全設計

針對上述安全風險，本文從這四方面出發設計網絡系統安全防護和安全管理，具體方案如下。

2.1 網絡邊界防護設計

邊界防護的核心策略就是將網絡進行完善的區域劃分，實現嚴格的訪問控制策略，保證網絡高度的安全性[4]，使用防火墻+IPS的產品組合可以實現二層～七層完善的安全防護。

因此，針對網絡邊界安全風險，首先需要在各安全區域邊界部署防火墻設備，具體來說，在骨干網與各業務子網連接邊界部署內嵌式防火墻模塊，在骨干網外聯單位接入區邊界部署接入防火墻和異構防火墻，在信息集成網外聯邊界部署接入防火墻，在離港網外聯邊界部署防火墻系統，實現訪問控制隔離和安全區域劃分，從而對網絡訪問進行有效的控制。同時，在骨干網外聯區交換機和信息集成網AODB服務器核心業務區交換機上分別部署IPS模塊，實現病毒、蠕蟲、網絡攻擊、協議漏洞等防護，以保護內部局域網系統和各應用系統服務器免于惡性攻擊。

2.2 數據訪問安全防護設計

SSL VPN是用戶訪問敏感公司數據最簡單最安全的解決技術[5]。與復雜的IPSec VPN相比，SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN，這是因為SSL內嵌在瀏覽器中，它不需要象傳統IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件[5]。與IPSec VPN只搭建虛擬傳輸網絡不同的是，SSL VPN重點在于保護具體的敏感數據，SSL VPN可以根據用戶的不同身份，給予不同的訪問權限。就是說，雖然都可以進入內部網絡，但是不同人員可以訪問的數據是不同的，而且在配合一定的身份認證方式的基礎上，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問進行數字簽名，保證每筆數據的不可抵賴性和不可否認性，為事后追蹤提供了依據。

因此，針對網絡數據訪問安全問題，在骨干網區域、信息集成網區域和無線網區域，分別部署SSL VPN接入系統，對需要訪問內部網絡的用戶進行認證授權，認證及鑒權由骨干網管理中心的AAA系統完成，同時對傳輸數據進行加密。

2.3 用戶接入網絡安全設計

針對當今大型局域網缺乏行之有效的內網控制管理手段的突出問題，本設計考慮采用H3C公司EAD終端準入控制方案，該方案主要包括兩個重要功能：安全防護和安全監控。安全防護主要是對終端接入網絡進行認證，保證只有安全的終端才能接入網絡，對達不到安全要求的終端可以進行修復，保障終端和網絡的安全；安全監控是指在上網過程中，系統實時監控用戶終端的安全狀態，并針對用戶終端的安全事件采取相應的應對措施，實時保障網絡安全。endprint

2.4 網絡安全管理設計

為了更好的了解目前網絡當中發生的安全事件，需要對網絡當中的所有設備（防火墻、IPS、交換機、路由器、PC、Server等）進行日志分析；同時，針對P2P/IM、網絡游戲、炒股、非法網站訪問等行為，進行精細化識別和分析，對NetStream/SFlow/CFlow/NetFlow流日志的采集、分析、審計、統計報告功能，檢測各種異常流量并產生告警，幫助管理員全面了解網絡應用模型、流量趨勢和目前網絡中的安全危險點[6]。

因此，針對網絡安全管理問題，在本設計中部署了異常流量檢測系統和統一安全管理平臺，通過異常流量檢測系統對網絡流量進行監控，通過統一安全管理平臺對整網設備進行事件分析，從而實現高效管理和高效運營。異常流量檢測系統采用軟硬件結合方式部署，S9500E系列和S7500E系列核心交換機均軟件支持sFlow功能，流量管理設備支審計功能，部署的防火墻模塊和IPS模塊均支持日志輸出功能；統一安全管理平臺部署在骨干網管理中心區，集中收集分析網絡中的網絡設備和安全設備輸送過來的日志，并形成直觀的報表。

3 結語

一般網絡建設為保證網絡數據的安全，防止外部的侵入以及數據的泄露，需要建立一整套的安全體系。要求由防火墻、入侵防御系統、安全認證系統、防病毒系統等構成集成的主動和自適應的網絡安全系統。本文就網絡邊界風險、數據訪問安全、用戶接入管理安全和網絡安全管理風險四個方面進行闡述，給出的初步設計，在一定程度上是可以滿足企業網絡安全需求的。

參考文獻

[1]連曉.企業網絡安全的設計與實踐研究[J].信息系統工程，2014，（07）：72.

[2]朱學寧.淺談醫院信息系統的網絡安全與解決對策[J].網絡安全技術與應用，2016，（2）：52-53.

[3]張曉兵.下一代網絡安全解決方案[J].電信工程技術與標準化，2014，（06）：59-61.

[4]高漸翔.淺談企業網絡的安全審計體系[J].科技創新導報，2008，（33）：139-140.

[5]周文.淺談企業內部信息網絡安全防護體系建設[J].網絡安全技術與應用，2014，（05）：166-167+16.

[6]潘勛.企業網絡安全與發展趨勢[J].電子世界，2014，（08）：325-326.

Abstract：Compared with the past，the present situation of network security has changed a lot，and it is mainly manifested as"application layer threat".The security of network system is an important guarantee of enterprise business.We discuss the possible network boundary risk，data access security，user access management and network security management risk in the network system.Then we give a preliminary design of network system security protection and safety management.

Key Words：The application layer；Network security；accessendprint