企业内部网络常见安全问题及对策方法
2020-01-02 06:32:34薛中伟
网络安全技术与应用 2020年7期
◆薛中伟
(92941 部队 辽宁 125001)
1 引言
目前,在广域网中已经有了相对完善的安全防御体系,防护墙,ⅠDS 等安全硬件部署在网络入口处,在这些安全设备的监控和防御下,来自外部的网络威胁大大降低,但在企业内部局域网中,虽然有些企业已经建立了相应的安全防护系统,但在实际使用中,并没有起到很好的防护效果,系统漏洞、违规软件、恶意代码入侵等现象时有发生,企业内网安全形势依旧严峻,不容忽视。
2 企业内网常见安全问题
2.1 网络边界防护能力弱
部分企业内网的网络边界安全环境相对较差,安全防护手段单一。常用的网络安全设备主要包括防火墙和入侵检测两类,在这两类设备中,防火墙虽然能够实现对外部网络攻击的阻断,但对于隐藏在应用层的病毒、木马等恶意行为无法起到防护作用。而入侵检测设备能够对经过核心路由交换设备的行为进行监控和记录,但对计算机病毒的传播、内网非法用户接入、终端非法行为等缺乏有效的监视和管控手段。
2.2 网络终端管控能力弱
一些企业内网缺少针对性强且行之有效的网络安全防护监控手段。虽然部分内部网络使用了安全隔离、安全检测、病毒防护、身份识别及终端管控等安全防护设备,在很大程度上提高了内网的安全防护等级,但受客观因素影响,并没有形成科学有效的安全防护体系,很多设备受使用条件限制并没有起到安全防护作用。考虑到网络病毒、主机安全监控等设备与内网终端应用软件的兼容性问题,很多网络防病毒、主机安全监控并没有充分发挥应用的防护效能。部分内网缺少入侵检测设备,无法对内网的网络事件进行监视和记录。防病毒软件多为网上下载的免费版本,兼容性差,用户系统容易出现蓝屏、死机等不稳定现象。
2.3 网络运维监管能力弱
目前,大部分企业内网安全防护产品采用多厂商的应将设备,各分系统自建资管,缺少统一整合的一体化运维管理平台和网络安全监管手段。网络维护人员直接面对设备工作效率低下。使用的安全防护系统能从不同的安全角度尝试着解决发现网络中可能存在的安全问题,一定程度上能抵御来自某个方面的安全威胁,然而各系统却无法按照统一的安全防护策略进行有效融合。此外,这些复杂的安全系统在运行过程中不断产生大量的安全日志和事件,形成大量“信息孤岛”,运维人员面对这些数据量大,彼此割裂的安全信息,且需要操作着各种产品独立的控制台界面和窗口,难以发现真正的安全隐患。
2.4 网络传输层协议功能弱
数据传输是企业内网的核心功能,数据传输协议是底层运行基础。传统的数据传输协议在传输层主要采用TCP 或UDP 协议,由于收到TCP 协议单线程、滑动窗口、确认机制等限制,导致网络链路传输实际容量小,带宽利用率低。而UDP 协议为非面向连接协议,缺少确认机制,可靠性低,有时无法满足使用需求。
3 内网安全防护策略
3.1 提高网络边界安全
为了提高企业内网边界安全,建议通过以下手段予以完善:
(1)在网络边界接入区域部署的防火墙上,指定对特定网络流量访问的控制策略,限制非法ⅠP 来访企业核心业务,隔离来自外部区域的风险。
(2)集成防病毒模块,通过病毒特征库以网管设备的形式部署在防火墙上,抵御病毒攻击,将病毒源阻断于网络外部。
(3)在边界区域部署入侵防御系统,可以针对缓冲区溢出、蠕虫病毒、木马后门、SQL 注入、漏洞攻击等攻击流量,进行精准的检测和阻断。
(4)在网络边界区域部署行为管理系统,可以对所有与内网有关的应用进行设置,对带宽进行优化,对外发布信息进行审计和监控,避免企业敏感信息泄露。
3.2 内网终端接入安全
针对这一问题,建议通过以下手段予以完善:
(1)通过在内网核心节点与骨干节点之间互联的接口上一级与其他部门重要局域网、安全管理域、应用服务于等部署防火墙,实现在网络层对数据流的访问控制,阻止非法数据流在企业内网上传递,保护重要信息不受干扰。
(2)应用网络病毒服务器,进行终端应用兼容性测试,网络内所有主机安装对应的防病毒客户端软件,建立病毒同步查杀、特征代码升级、病毒疫情上报等服务。通过建立漏洞扫描和补丁管理分发系统,可以实现终端加固,最大程度上降低网络运行的风险
(3)建立硬件防病毒网关和杀毒服务器,应用配套杀毒软件对网内病毒进行查杀和控制。
(4)建立证书包括(CA、USBKey 等)、授权管理系统和应用访问控制系统,对企业内网用户建立全网统一的用户号,用户终端和服务器只有通过认证和授权后才能访问相应的网络服务和应用。
(5)进行mac 地址绑定。
3.3 一体化网络运维监管
针对这一问题,建议通过以下手段予以完善:
(1)建立一体化态势感知运维管理系统,具备对网络安全数据进行采集、存储、分析等,具备安全态势提取,安全评估和威胁预警等功能,为网络维护管理人员及时掌握企业内部网络安全状况提供手段,进而提升安全事件应急响应能力。
(2)在企业核心网络安全设备上安装大容量、高性能的网络安全和性能分析设备,在所有边界接入点安装节点网络安全和性能分析设备,从而达到对全网的网络安全管理和网络性能检测,为企业内网的稳定、可靠、安全运行提供有效管控手段。
3.4 网络传输层协议优化
以UDP 协议为底层协议,在UDP 协议上进行相关优化设计,提高网络带宽利用率和数据传输速率,同时进行数据传输加密、一致性校验、数据分段等算法研究和函数数据,满足数据传输过程中的安全性和准确性需求。
4 结束语
本文对企业内部网络常见的安全问题进行的分析和阐述,并针对问题提出了解决措施和建议,通过采取相应的措施和手段,可以进一步强化企业内网安全,提高网络安全防护等级。通过本文的研究可以对一些企业和单位强化内部网络安全起到一定的借鉴作用。
猜你喜欢
农民文摘(2023年1期)2023-03-11 09:11:22
现代装饰(2020年8期)2020-08-24 08:22:58
小天使·二年级语数英综合(2020年4期)2020-07-11 10:58:44
铁道通信信号(2019年9期)2019-11-25 01:44:58
中国交通信息化(2018年2期)2018-06-06 05:55:08
数码世界(2017年6期)2017-12-27 20:03:44
科技资讯(2017年5期)2017-04-12 15:24:45
电子制作(2016年15期)2017-01-15 13:39:14
山西建筑(2016年20期)2016-11-22 03:10:21
科技资讯(2016年19期)2016-11-15 08:17:44
