分層架構(gòu)企業(yè)網(wǎng)絡(luò)安全

馬瀾

【摘 要】隨著網(wǎng)絡(luò)的普及化，企業(yè)信息化建設(shè)對安全的要求日益加劇。本文討論了企業(yè)信息化發(fā)展中的網(wǎng)絡(luò)威脅以及分層架構(gòu)企業(yè)網(wǎng)絡(luò)安全的概念，并結(jié)合企業(yè)的網(wǎng)絡(luò)安全實例進行具體闡述。

【關(guān)鍵詞】企業(yè)信息化；網(wǎng)絡(luò)安全；分層架構(gòu)

【中圖分類號】TP393.18 【文獻標(biāo)識碼】A 【文章編號】1672-5158（2013）03-0134-02

一、概述

網(wǎng)絡(luò)的最大價值，在于信息化的應(yīng)用。由于企業(yè)信息化與企業(yè)生產(chǎn)經(jīng)營已經(jīng)逐漸成為一個共同的載體，企業(yè)對安全保護的要求日益提高：一方面要求連接性、可用性、性能表現(xiàn)、成本及管理受到最低程度影響，另一方面要求安全保護能全面覆蓋操作系統(tǒng)、網(wǎng)絡(luò)及數(shù)據(jù)安全。

利用結(jié)構(gòu)化的觀點和方法來看待企業(yè)網(wǎng)絡(luò)安全系統(tǒng)是現(xiàn)今主流的思想，通過各層的弱點及攻擊的可能性對各層進行分析及防護，對可能發(fā)生的攻擊事件或漏洞做到事前防護，合理的利用各種硬件設(shè)備，通過完善的管理手段來建設(shè)一個穩(wěn)定、安全、可靠的企業(yè)信息網(wǎng)絡(luò)平臺。

二、企業(yè)網(wǎng)絡(luò)威脅分析

在網(wǎng)絡(luò)安全隱患無處不在的今天，安全需求也格外重要。在架構(gòu)企業(yè)網(wǎng)絡(luò)前，應(yīng)當(dāng)全面的分析相應(yīng)網(wǎng)絡(luò)中可能存在的安全隱患，以及網(wǎng)絡(luò)應(yīng)用中必要的安全需求。

從企業(yè)目前的網(wǎng)絡(luò)使用情況及日后的應(yīng)用發(fā)展來看，主要存在以下四個方面的安全威脅：

2.1 病毒感染

病毒感染是危害面最廣的安全隱患，威脅整體網(wǎng)絡(luò)運行，存在于個人計算機中。組建網(wǎng)絡(luò)之前就應(yīng)該對病毒的防范策略進行全面的計劃，選擇部署網(wǎng)絡(luò)系統(tǒng)的整體病毒防御系統(tǒng)。

2.2 黑客入侵和攻擊

相比病毒來說，黑客攻擊的危害性更大，而且入侵途徑和攻擊方式更加多樣化，難以預(yù)防。目前防御黑客攻擊的措施主要是通過部署防火墻系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離技術(shù)等防御黑客攻擊，還應(yīng)輔以系統(tǒng)漏洞和補丁升級系統(tǒng)。

2.3 非法訪問

非法用戶訪問企業(yè)網(wǎng)絡(luò)時可能攜帶、放置病毒或其它惡意程序，也可能刪除服務(wù)器系統(tǒng)文件和數(shù)據(jù)以及竊取公司機密信息等等。防御非法訪問的措施除了防火墻系統(tǒng)、入侵檢測系統(tǒng)和網(wǎng)絡(luò)隔離技術(shù)外，還應(yīng)注意在網(wǎng)絡(luò)管理中引入安全機制，如對關(guān)鍵部門劃分子網(wǎng)隔離保護，對重要的數(shù)據(jù)和文件進行加密以及對于需要進行遠程訪問的用戶，注意權(quán)限配置工作。

2.4 數(shù)據(jù)損壞或丟失

網(wǎng)絡(luò)數(shù)據(jù)對于一個依靠計算機網(wǎng)絡(luò)開展工作的企業(yè)來說，它的重要性是無法比擬的。數(shù)據(jù)的備份是一切安全措施中最徹底、最有效，也是最后一項保護措施。

三、分層架構(gòu)概述

企業(yè)網(wǎng)絡(luò)管理的核心是網(wǎng)絡(luò)應(yīng)用，如何架構(gòu)一個安全、可靠的網(wǎng)絡(luò)環(huán)境是網(wǎng)絡(luò)管理的一大課題。

3.1 分層架構(gòu)概念

企業(yè)網(wǎng)絡(luò)安全是系統(tǒng)結(jié)構(gòu)本身的安全，應(yīng)利用結(jié)構(gòu)化的觀點和方法來看待企業(yè)安全系統(tǒng)。

全方位的、整體的信息安全防范體系應(yīng)分層次，因為不同層次反映了不同的安全問題。根據(jù)搭建網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和結(jié)構(gòu)，從物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全及安全管理五個方面來考慮網(wǎng)絡(luò)的安全架構(gòu)[2]。震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為失誤或錯誤而造成的破壞。

3.3 系統(tǒng)層安全

主要包括操作系統(tǒng)安全和應(yīng)用系統(tǒng)安全。

3.4 網(wǎng)絡(luò)層安全

該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)募用芘c解密，遠程接入的安全，入侵防范的手段，網(wǎng)絡(luò)防病毒、信息審計等。

3.5 應(yīng)用層安全

主要包括網(wǎng)頁防篡改、數(shù)據(jù)庫的漏洞修補、數(shù)據(jù)的完整性檢驗以及數(shù)據(jù)的備份和恢復(fù)。

3.6 安全管理

安全管理是構(gòu)建安全架構(gòu)的核心。網(wǎng)絡(luò)安全所要達到的效果是保證網(wǎng)絡(luò)應(yīng)用。

安全方面所謂的“三分技術(shù)，七分管理”就是通過管理手段和技術(shù)完善鞏固邊界。信息安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。

四、企業(yè)網(wǎng)絡(luò)安全體系的建立

4.1 需求分析

在此結(jié)合某企業(yè)網(wǎng)絡(luò)規(guī)劃對分層架構(gòu)安全體系進行具體解釋并對網(wǎng)絡(luò)層的安全進行重點研究。

某企業(yè)本部網(wǎng)絡(luò)由核心交換機、IPS、防火墻等若干網(wǎng)絡(luò)設(shè)備組成，分支機構(gòu)均使用防火墻，采取墻對墻的方式進行訪問，移動辦公用戶通過vpn方式訪問本部各種應(yīng)用服務(wù)。本部的DMZ區(qū)域放置有若干服務(wù)器以及電子商務(wù)平臺。對于這樣的一個網(wǎng)絡(luò)結(jié)構(gòu)，我們重點來分析一下如何按照分層的概念建設(shè)企業(yè)的網(wǎng)絡(luò)安全。這里需要明確目前以及未來幾年的安全需求，即我們需要建設(shè)什么樣的網(wǎng)絡(luò)，需要什么樣的應(yīng)用，網(wǎng)絡(luò)狀況如何，未來發(fā)展如何等等，才能有針對性地構(gòu)建適合于自己的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

4.2 物理層

物理層的安全主要就是對設(shè)備和鏈路及其物理環(huán)境的安全保護。

這里著重考慮機房的建設(shè)。機房承載所有應(yīng)用系統(tǒng)運行的數(shù)據(jù)中心，機房安全是最基礎(chǔ)的安全保障。機房的建設(shè)除了要保證溫度、濕度、防雷、防火以及不間斷供電（ups）以外，還應(yīng)注重機房的綜合布線布局，做好整體規(guī)劃及標(biāo)記，力爭布線的簡潔、有序，便于日后維護及故障排查。

4.3 系統(tǒng)層

系統(tǒng)層的安全，主要考慮操作系統(tǒng)的漏洞補丁。對于應(yīng)用系統(tǒng)服務(wù)器來說，除了加強登陸的身份認(rèn)證權(quán)限，還應(yīng)該盡量開放最少的端口，保證服務(wù)器的正常使用即可。

4.4 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層安全是我們考慮最多，也是防范要求最多的一個層面。這里從以下幾個方面進行闡述：

4.4.1 確定安全域的劃分

安全域的劃分就是制定安全邊界。根據(jù)資源位置進行劃分的目標(biāo)是將同一網(wǎng)絡(luò)安全等級的資源，根據(jù)對企業(yè)的重要性、面臨的外來攻擊風(fēng)險、內(nèi)在的運行風(fēng)險不同，劃分成多個網(wǎng)絡(luò)安全區(qū)域。

劃分的原則是將同一網(wǎng)絡(luò)安全層次內(nèi)客戶端之間的連接控制在相同的安全域內(nèi)，盡量消除不同安全層次之間的聯(lián)系，實施相互邏輯或物