企業(yè)內(nèi)部網(wǎng)絡安全方案設計原則及措施

杜潤眾

中國電信秦皇島分公司，河北秦皇島 066004

1 企業(yè)內(nèi)部網(wǎng)絡安全面臨的主要威脅

一般來說，計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自以下幾個方面：

1）計算機病毒的侵襲。計算機病毒侵入網(wǎng)絡，對網(wǎng)絡資源進行破壞，使網(wǎng)絡不能正常工作，甚至造成整個網(wǎng)絡的癱瘓；

2）黑客侵襲。黑客非法進入網(wǎng)絡使用網(wǎng)絡資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等；

3）拒絕服務攻擊。例如“郵件炸彈”，使用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng)關機，網(wǎng)絡癱瘓；

4）通用網(wǎng)關接口（CGI）漏洞。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的，黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務；

5）惡意代碼。惡意代碼不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈等。

2 企業(yè)網(wǎng)絡安全目標

1）建立一套完整可行的網(wǎng)絡安全與管理策略，將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離；2）建立網(wǎng)站各主機和服務器的安全保護措施，保證系統(tǒng)安全；3）對網(wǎng)上服務請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕；4）加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度,全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；5）加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡、公開服務器的訪問行為，形成完整的系統(tǒng)日志備份與災難恢復；6）提高系統(tǒng)全體人員的網(wǎng)絡安全意識和防范技術。

3 安全方案設計原則

對企業(yè)局域網(wǎng)網(wǎng)絡安全方案設計、規(guī)劃時，應遵循以下原則：

1）綜合性、整體性原則：應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結構。

2）需求、風險、代價平衡的原則：對任一網(wǎng)絡，絕對安全難以達到，也不一定必要。對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略，是比較經(jīng)濟的方法。

3）一致性原則：網(wǎng)絡安全問題貫穿整個網(wǎng)絡的生命周期，因此制定的安全體系結構必須與網(wǎng)絡的安全需求相一致。在網(wǎng)絡建設開始就考慮網(wǎng)絡安全對策，比在網(wǎng)絡建設好后再考慮安全措施，要有效得多。

4）易操作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。

5）分步實施原則：由于網(wǎng)絡規(guī)模的擴展及應用的增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的，費用支出也較大。因此可以分步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

6）多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。因此需要建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它保護仍可保護信息安全。

4 主要防范措施

1）依據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》建立健全各種安全機制和安全制度，加強網(wǎng)絡安全教育和培訓。

2）網(wǎng)絡病毒的防范。作為企業(yè)應用網(wǎng)絡，同時需要基于服務器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關和郵件服務器平臺的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品，通過全方位、多層次的防病毒系統(tǒng)的配置，使網(wǎng)絡免受病毒的侵襲。

3）配置防火墻。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制。利用防火墻執(zhí)行一種訪問控制尺度，將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡，同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。

4）采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，用于檢測計算機網(wǎng)絡中違反安全策略行為。利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。最好采用混合入侵檢測，同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，構架成一套完整立體的主動防御體系。

5）漏洞掃描系統(tǒng)。解決網(wǎng)絡安全問題，要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具是較好的解決方案，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

6）IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

7）利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下，可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序，長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的審計文件提供備份。

5 結論

網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅依靠殺毒軟件、防火墻、漏洞檢測等等硬件設備的防護，還要意識到計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng)。建立一個好的計算機網(wǎng)絡安全系統(tǒng)同時，也應注重樹立人的計算機安全意識，才可能防微杜漸，把可能出現(xiàn)的損失降低到最低點，生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。