赵菁
摘要:本文讨论了企业网络安全解决方案中的三大技术,给出企业网络安全解决方案设计的方法:在充分做好企业网络安全现状及风险评估的基础上,对企业网络安全进行需求分析,进而从边界安全、身份安全和访问管理、数据保密、安全监控和安全管理5部分给出了网络安全方案设计的依据。
关键词:企业网络;风险评估;防火墙;VPN;入侵防御;安全;解决方案
中圖分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)09-0195-01
1 相关技术
(1)防火墙。防火墙是不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流。
(2)VPN。VPN(Virtual Private Network)即虚拟专用网,被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过非安全网络的安全、稳定的隧道。根据VPN的服务类型,VPN业务大致分为三类:接入VPN(Access VPN)、内联网VPN(Intranet VPN)和外联网VPN(Extranet VPN)。
(3)Ips。IPS(Intrusion Prevention System,入侵防御系统),是一种基于应用层、主动预防的产品,它以在线方式部署于网络关键路径,通过对数据报文的深度检测,实时发现威胁并主动进行处理,目前已成为应用层安全防护的主流设备。入侵防御系统的两大基本技术点:DPI(深度报文检测)与在线模式。
2 企业网络安全现状及风险评估
(1)了解企业安全现状。要做好这一步工作,首先应充分了解企业的业务背景,如企业的网络规模与信息应用的情况?业务系统有哪些,它们的网络应用情况?根据这些情况,调研该企业对目前的应用情况,并进行分析,客观地得出企业的应用及网络情况,如企业的核心应用与企业局域网、互联网的连接情况如何?核心数据的存储方式与访问方式如何?企业对网络或计算机故障的潜在风险的承受力如何?在调研以上基本情况的前提下,调研并分析该企业的基本网络结构。
(2)风险评估。在企业网络安全现状分析的基础上,分析并评估企业网络安全情况。这项工作应给出具体风险,包括企业内网安全控制方面,网络边界的防护情况;对用户的访问控制;防病毒;企业的远程用户、分支机构或合作伙伴对企业资源的访问、网络平台安全等情况。
3 企业网络安全需求分析
针对当前网络系统存在的安全隐患,提出具体的要求,从而保障网络环境的安全。网络安全需求分析可以从边界安全、身份安全和访问管理、数据保密、安全监控和安全管理5部分考虑。并应根据企业的实际情况进行具体分析,根据对企业安全评估的结果进行具体分析。
4 方案设计
4.1 边界安全
边界的复杂性:除了指内部网络和公网之间的界线,也可以建立在网络内部的任何位置,或者建立在公司的网络与合作伙伴的网络之间。
可靠的边界安全解决方案:应做到放行那些由安全策略所定义的通信,同时保护网络资源免遭破坏、攻击和非法使用。它可以控制网络的各个出入口,也可以通过实施多层安全措施来保护用户的通信。
防御的分层:即把网络分为边界、分布层、核心层和接入层。多层边界解决方案如图1所示。
在边界安全问题上,应充分考虑网络二层、三层的安全特性。在网络设备之间进行数据传输时,如果二层不能得到有效的保护,那么即使在上层实施最好的安全策略也无济于事。因此加固数据链路层势在必行。
4.2 身份安全和访问管理
当网络延伸到园区之外时,网络安全的重要性和管理网络的复杂性随之增加。访问管理解决方案是一个基于策略的实施模型,它可以确保用户是在以安全的方式管理网络。如在网络设计时提供AAA安全服务,以控制用户对网络和资源的访问。还可以根据需要,设计更加强大的用户认证方式,如多重认证系统、硬件标记、S/KEY和智能卡等方式进行认证。另外,还应考虑WLAN的安全接入问题。
4.3 数据保密
VPN有两大类型:安全VPN(也称作加密VPN),包括IPSEC、基于IPSEC的L2TP、SSL;可信VPN(也称作非加密VPN),包括MPLS VPN(L3 VPN)、LPLS(虚拟专用LAN服务,L2VPN)等。可信VPN最主要的特点是依赖于运营商来为客户提供专用电路或通道。当企业的分支机构、合作伙伴、出差用户等需要访问企业的资源时,对于企业网络来说,常见的包括IPSEC VPN、SSL VPN。
4.4 安全监控
当今的企业网络系统应能实时检测并缓解由病毒、蠕虫及其他入侵代码和程序造成的网络威胁。在网络中合理地设计IPS解决方案,可以有效解决以上威胁,IPS 可以部署在数据中心、部署在广域网边界、部署在外网Internet边界、旁路部署在DMZ、部署在内部局域网段之间。另一个重要的部分是主机层面的安全,相关的安全产品可以解决终端设备的安全,如Cisco安全代理(CSA)。
4.5 安全管理
安全管理通常包括两大方面,一是安全和策略管理,主要指对网络中的各种设备的管理;二是指在管理企业时,相关人员必须对信息的机密性和完整性进行有效的控制和管理。
5 结语
本文从边界安全、身份安全和访问管理、数据保密、安全监控和安全管理5部分讨论了企业网络安全整体解决方案的设计方法,在设计网络方案时,应综合考虑这些方面,以降低企业网络风险,为扩展企业内部网、外部网和电子商务网等业务提供基本保障,并保护敏感数据及公司资源,使它们免遭黑客的入侵和破坏。endprint