【摘要】隨著信息時(shí)代的到來(lái)，由于計(jì)算機(jī)系統(tǒng)極易受病毒侵害、黑客的普遍存在、網(wǎng)絡(luò)基礎(chǔ)設(shè)施受各項(xiàng)互聯(lián)網(wǎng)網(wǎng)絡(luò)的攻擊等問題的存在，網(wǎng)絡(luò)安全防護(hù)問題早已成為急需人類共同解決的問題，如果這一問題沒有得到解決，企業(yè)的數(shù)據(jù)信息受到侵害就會(huì)嚴(yán)重阻礙企業(yè)的健康發(fā)展，甚至?xí)p害我國(guó)信息化發(fā)展的進(jìn)程。本文從企業(yè)數(shù)據(jù)網(wǎng)安全防范體系的現(xiàn)狀出發(fā)，提出建設(shè)企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的策略。

【關(guān)鍵詞】企業(yè)數(shù)據(jù)網(wǎng)；信息安全；防護(hù)

計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展日理萬(wàn)機(jī)，“地球村”的實(shí)現(xiàn)早已不是夢(mèng)想，人類的生活越來(lái)越離不開網(wǎng)絡(luò)，受自身開放性和共享性等特征的影響，網(wǎng)絡(luò)極易受黑客、病毒、惡意軟件等侵害，因此網(wǎng)絡(luò)數(shù)據(jù)信息的安全防護(hù)十分關(guān)鍵。企業(yè)的數(shù)據(jù)網(wǎng)包含企業(yè)內(nèi)部的全部數(shù)據(jù)信息，對(duì)企業(yè)的正常運(yùn)轉(zhuǎn)起著決定性作用，因此企業(yè)的數(shù)據(jù)網(wǎng)安全防護(hù)體系的建立是企業(yè)健康發(fā)展的核心。

一、企業(yè)監(jiān)測(cè)攻擊行為的系統(tǒng)現(xiàn)狀

就目前而言，網(wǎng)絡(luò)攻擊行為的技術(shù)特征主要為拒絕服務(wù)、惡意軟件的安裝、利用計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性偽裝欺騙、內(nèi)部攻擊、高低級(jí)CGI攻擊等，企業(yè)對(duì)于這些攻擊行為的檢測(cè)存在一些不足。第一，企業(yè)缺乏解決大型集體攻擊情況方案，攻擊者的技術(shù)不斷提高，企業(yè)的安全防護(hù)技術(shù)沒有及時(shí)跟上腳步；第二，目前的網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)有待完善，通常攻擊者會(huì)利用更改信息或重新編碼等欺騙手段來(lái)獲取攻擊檢測(cè)系統(tǒng)的通行；第三，網(wǎng)絡(luò)設(shè)備趨于復(fù)雜多樣化，相應(yīng)的檢測(cè)攻擊行為的系統(tǒng)就必須及時(shí)更新技術(shù)手段以適應(yīng)外部日新月異的環(huán)境；第四，攻擊行為檢測(cè)系統(tǒng)的自行反應(yīng)活動(dòng)會(huì)給自身帶來(lái)一定困擾，影響自身的工作效應(yīng)，因?yàn)樗话闩c防火墻的工作互相配合，一旦其發(fā)現(xiàn)有入侵行為時(shí)就會(huì)將所有網(wǎng)絡(luò)攻擊者的IP數(shù)據(jù)包過(guò)濾掉，若同一個(gè)攻擊者冒充大批不一樣的IP來(lái)虛擬進(jìn)攻，那么檢測(cè)系統(tǒng)就將實(shí)質(zhì)上并沒有產(chǎn)生進(jìn)攻的IP過(guò)濾掉，導(dǎo)致新的拒絕服務(wù)訪問產(chǎn)生；第五，IDS自身存在一些安全漏洞，如果對(duì)IDS進(jìn)行入侵并且取得成功，那么就會(huì)致使報(bào)警無(wú)效，攻擊者的后臺(tái)行為就沒有記錄下來(lái)，所以系統(tǒng)應(yīng)當(dāng)結(jié)合多種安全產(chǎn)品以形成聯(lián)合防護(hù)機(jī)制。

二、網(wǎng)絡(luò)安全防護(hù)體系實(shí)現(xiàn)策略

企業(yè)建立了基礎(chǔ)的防護(hù)體系，其中包囊防火墻、攻擊行為檢測(cè)系統(tǒng)、病毒防范、集中認(rèn)證、終端管理、漏洞掃描、安全數(shù)據(jù)庫(kù)等，而隨著企業(yè)網(wǎng)絡(luò)完全防護(hù)體系建設(shè)的不斷深入開展，對(duì)于安全建設(shè)的要求僅靠安全基礎(chǔ)層的防護(hù)無(wú)法達(dá)到，如何使現(xiàn)有的安全設(shè)備的功效發(fā)揮出來(lái)、使安全的管理與安全防護(hù)技術(shù)完美結(jié)合以及如何快速有效地發(fā)現(xiàn)并解決漏洞和攻擊行為等安全隱患是我們急需解決的問題。就企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)系統(tǒng)的現(xiàn)狀，得出企業(yè)需要從網(wǎng)絡(luò)安全防護(hù)和數(shù)據(jù)安全防護(hù)兩方面來(lái)建設(shè)網(wǎng)絡(luò)安全防護(hù)體系。

網(wǎng)絡(luò)安全防護(hù)策略為建立全面的網(wǎng)絡(luò)拓?fù)?；建立邊緣防火墻、網(wǎng)絡(luò)防火墻、主機(jī)防火墻等多重防火墻；改進(jìn)VPN技術(shù)的功能；加大對(duì)漏洞的掃描力度；加強(qiáng)安全檢測(cè)儀對(duì)網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)和審計(jì)功能。

數(shù)據(jù)安全的防護(hù)策略為利用可靠的操作系統(tǒng)來(lái)操縱全部服務(wù)器以保證數(shù)據(jù)的完整性；開通SSL加密通道、使用為通信進(jìn)行加密的軟件、應(yīng)用內(nèi)容監(jiān)控的軟件以阻止內(nèi)部人員查看非法網(wǎng)頁(yè)來(lái)確保數(shù)據(jù)的保密性；數(shù)據(jù)即使遭到破壞也能通過(guò)備份的數(shù)據(jù)來(lái)恢復(fù)，因此系統(tǒng)設(shè)備應(yīng)該將所有數(shù)據(jù)都儲(chǔ)存到一個(gè)專門的容量大、不再工作時(shí)所有的網(wǎng)絡(luò)連接都能中斷、質(zhì)量可靠且用戶信息及口令都有安全保密的服務(wù)器中，確保整個(gè)系統(tǒng)能夠安全、正常運(yùn)轉(zhuǎn)。

三、企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的實(shí)現(xiàn)

（一）安全管理系統(tǒng)建設(shè)的內(nèi)容

1.日志審計(jì)的管理

在安全管理區(qū)增添日志審計(jì)系統(tǒng)來(lái)審計(jì)網(wǎng)管中心、短信中心以及智能網(wǎng)的日志，該系統(tǒng)需要負(fù)責(zé)審計(jì)所有日志的核心服務(wù)器、負(fù)責(zé)收集網(wǎng)管中心本地運(yùn)行日志的服務(wù)器、記錄網(wǎng)管中心本地的安全訪問網(wǎng)關(guān)以記錄管理員的操作日志并將其發(fā)到審計(jì)日志的核心服務(wù)器上的服務(wù)器。

2.安全事件監(jiān)控系統(tǒng)

擴(kuò)充現(xiàn)有的安全信息庫(kù)，添加安全事件統(tǒng)一監(jiān)控模塊以及自主掃描漏洞管理系統(tǒng)，與當(dāng)下的資產(chǎn)管理模塊相結(jié)合，形成全面動(dòng)態(tài)的安全威脅管理以及安全漏洞管理系統(tǒng)。

3.賬號(hào)口令的管理

賬號(hào)口令管理系統(tǒng)以薩班斯法案對(duì)審計(jì)信息化的要求作為方向，建立一個(gè)智能化、自動(dòng)化的賬號(hào)和口令管理的信息平臺(tái)。在安全管理服務(wù)區(qū)內(nèi)增加兩臺(tái)服務(wù)器，以備后用，保障網(wǎng)管中心賬號(hào)的集中管理。

4.日志的保存

日志的保存期限是半年，要提供3T的儲(chǔ)存空間。儲(chǔ)存設(shè)備應(yīng)當(dāng)達(dá)到既能將日志直接通過(guò)網(wǎng)絡(luò)全部備份保存起來(lái)，又能直接連接到服務(wù)器上以提供日志審計(jì)系統(tǒng)在線保存日志的功能的雙重目的。

（二）完善安全基礎(chǔ)設(shè)施

1.優(yōu)化安全域

首先，要調(diào)整安全服務(wù)區(qū)，把同安全管理有關(guān)的服務(wù)器轉(zhuǎn)至安全管理服務(wù)區(qū)，上述所添加的服務(wù)器也集中布置在該區(qū)域。安全服務(wù)區(qū)的劃分居于核心交換機(jī)6509上，添設(shè)一臺(tái)防火墻并與6509相連接，還要增設(shè)一臺(tái)24口的百兆交換機(jī)來(lái)接替。此外，在網(wǎng)絡(luò)入口可以設(shè)立能夠過(guò)濾網(wǎng)絡(luò)傳輸過(guò)程中的病毒的設(shè)備。

其次，在VPN接入?yún)^(qū)的防火墻可以更新為提供硬件加速功能的VPN高性能防火墻。

再者，將于核心交換機(jī)6509上獨(dú)立劃分的信令檢測(cè)VLAN由原有的接入到網(wǎng)管網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榻尤氲叫帕顧z測(cè)系統(tǒng)，并且在信令檢測(cè)系統(tǒng)的接口處增設(shè)一臺(tái)IDS用來(lái)對(duì)該區(qū)域的網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)。

最后，盡管兩臺(tái)防火墻已經(jīng)在網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)業(yè)務(wù)系統(tǒng)的接口處增設(shè)，但是對(duì)于攻擊行為仍舊難以及時(shí)發(fā)現(xiàn)，所以要增設(shè)一臺(tái)具備兩個(gè)監(jiān)聽口的攻擊行為檢測(cè)設(shè)備，接口接入交換機(jī)上，將管理口接到安全管理區(qū)域以便統(tǒng)一管理。

2.完善入侵檢測(cè)系統(tǒng)

隨著技術(shù)的不斷更近以及網(wǎng)絡(luò)的日益復(fù)雜，防火墻的諸多漏洞逐漸暴露出來(lái)，防火墻的缺陷可以由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來(lái)提供后續(xù)幫助，因此開發(fā)出完善的入侵檢測(cè)系統(tǒng)尤為重要，它可以為網(wǎng)絡(luò)安全提供具體、及時(shí)的入侵檢測(cè)和相關(guān)的防護(hù)措施，例如，斷開網(wǎng)絡(luò)連接、記錄下入侵證據(jù)、跟蹤入侵行蹤等。該系統(tǒng)具有以下幾點(diǎn)優(yōu)點(diǎn)：檢測(cè)無(wú)訪問權(quán)限的非法入侵行為；系統(tǒng)出現(xiàn)故障不會(huì)對(duì)正常的業(yè)務(wù)運(yùn)行產(chǎn)生影響；不會(huì)影響服務(wù)器等主機(jī)的內(nèi)存、磁盤等空間資源的使用；安裝簡(jiǎn)便。同時(shí)，該系統(tǒng)也有一些不足之處：該系統(tǒng)只能檢測(cè)與它直接相連的網(wǎng)段的網(wǎng)絡(luò)包；對(duì)某些必須經(jīng)過(guò)大量計(jì)算和分析的入侵難以檢測(cè)出；有傳輸回大量數(shù)據(jù)到分析系統(tǒng)中的可能等。

3.保證終端安全

由于現(xiàn)階段的LANDESK系統(tǒng)不能自主分發(fā)和管理補(bǔ)丁，并且沒有桌面安全管理的功能，所以要升級(jí)該軟件至安全套件，自動(dòng)查殺修復(fù)漏洞，為桌面安全提供保障。

（三）服務(wù)器性能管理系統(tǒng)

在安全管理服務(wù)區(qū)增設(shè)性能管理的服務(wù)器以對(duì)性能數(shù)據(jù)進(jìn)行分析、處理和保存。安裝性能管理門戶到該服務(wù)器上，該門戶要統(tǒng)一標(biāo)準(zhǔn)，以用戶為對(duì)象，以瀏覽器為基礎(chǔ)。可以在各服務(wù)器上裝置監(jiān)控代理用來(lái)保存系統(tǒng)的各項(xiàng)性能和可利用的信息，傳輸至管理服務(wù)器上。

四、總結(jié)

經(jīng)濟(jì)社會(huì)的發(fā)展趨向網(wǎng)絡(luò)信息化，是社會(huì)現(xiàn)代化進(jìn)程的主要標(biāo)志。由于網(wǎng)絡(luò)的開放性和共享性等自帶特征的存在，網(wǎng)絡(luò)信息安全犯罪事件也在不斷上升，對(duì)數(shù)據(jù)網(wǎng)的入侵技術(shù)手段也在不斷變更，對(duì)于企業(yè)來(lái)說(shuō)，無(wú)疑是其信息化發(fā)展的障礙物，因此，健全企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系迫在眉睫。網(wǎng)絡(luò)的安全防護(hù)問題并非易事，某項(xiàng)技術(shù)的成功研發(fā)或某個(gè)制度的頒布并不能起到遏制作用，必須將網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理等結(jié)合起來(lái)，才能解決網(wǎng)絡(luò)安全問題。

參考文獻(xiàn)

[1]喬偉.企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實(shí)現(xiàn)[M].計(jì)算機(jī)科學(xué)與技術(shù)，2009.

[2]唐曉蘭，劉中臨，劉嘉勇.一種基于知識(shí)庫(kù)的行為特征檢測(cè)模型[J].信息安全與通信保密，2012（02）.

[3]羅麗華.上海電力數(shù)據(jù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)[J].中國(guó)電機(jī)工程學(xué)全電力通信專業(yè)委員第5屆學(xué)術(shù)會(huì)議論文，2009（11）.

[4]張明浩.計(jì)算機(jī)病毒防范藝術(shù)[J].科技信息，2007（04）.

[5]（美）斯?jié)芍?段新海譯.計(jì)算機(jī)病毒防范藝術(shù)[M].機(jī)械工業(yè)出版社，2007.

[6]曹軍.電力企業(yè)網(wǎng)絡(luò)安全架構(gòu)的探索與實(shí)踐[J].電力信息化，2006（11）.