引言： 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)（Intranet）系統(tǒng)的安全將受到越來(lái)越多的威脅，企業(yè)職員必須進(jìn)一步提高網(wǎng)絡(luò)安全意識(shí)，高度重視并確保網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。本文從從網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)邊界安全性、網(wǎng)絡(luò)協(xié)議安全分析、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)安全管理等7個(gè)方面對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行評(píng)估，確保網(wǎng)絡(luò)架構(gòu)安全。

在企業(yè)信息化建設(shè)過(guò)程中，網(wǎng)絡(luò)是任何信息化建設(shè)的基礎(chǔ)。企業(yè)領(lǐng)導(dǎo)、技術(shù)管理人員都必須進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)，確保網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。

某大型企業(yè)一直重視網(wǎng)絡(luò)基礎(chǔ)建設(shè)，并通過(guò)加大投入盡可能采取相關(guān)技術(shù)手段確保其網(wǎng)絡(luò)安全，但通過(guò)對(duì)該公司網(wǎng)絡(luò)架構(gòu)安全評(píng)估過(guò)程中發(fā)現(xiàn)仍然存在較多安全缺陷，如圖1。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

Intranet網(wǎng)絡(luò)架構(gòu)安全評(píng)估方案

根據(jù)該公司組織結(jié)構(gòu)和網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，采取以顧問(wèn)訪談、文檔分析等方式，輔助安全漏洞掃描、人工安全檢查等技術(shù)手段，對(duì)網(wǎng)絡(luò)系統(tǒng)各方面的安全狀況進(jìn)行全面考察、充分分析后得到當(dāng)前網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀以及評(píng)估方案。

從安全區(qū)域的角度來(lái)看，該公司整個(gè)網(wǎng)絡(luò)架構(gòu)可分為：出口區(qū)、DMZ區(qū)、內(nèi)部服務(wù)器區(qū)以及用戶接入?yún)^(qū)。

對(duì)該公司網(wǎng)絡(luò)架構(gòu)評(píng)估從網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)邊界安全性、網(wǎng)絡(luò)協(xié)議安全分析、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)安全管理等7個(gè)方面進(jìn)行全面評(píng)估，對(duì)存在的安全風(fēng)險(xiǎn)給出了下列相關(guān)建議。

網(wǎng)絡(luò)建設(shè)規(guī)范性

1.IP地址規(guī)劃

IP地址規(guī)劃合理，地址分配易于管理，具有連續(xù)性。

2.網(wǎng)絡(luò)設(shè)備命名

網(wǎng)絡(luò)設(shè)備命名不夠規(guī)范。

建議采用以下命名方法：AA_xYYYY_zz． 其 中：AA表示物理位置的全拼；x表示交換機(jī)s或路由器r；YYYY表示設(shè)備型號(hào)；zz表示設(shè)備序號(hào)，用01、02等表示。

3. 網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)架構(gòu)清晰，層次分明，邊界明確。安全邊界明確，對(duì)敏感系統(tǒng)例如DMZ、財(cái)務(wù)人事系統(tǒng)同其他系統(tǒng)以防火墻或者劃分VLAN的方式進(jìn)行了有效隔離。VPN用戶從外網(wǎng)登錄后可以訪問(wèn)整個(gè)內(nèi)網(wǎng)，存在一定的安全隱患。

建議嚴(yán)格限制VPN網(wǎng)段對(duì)內(nèi)網(wǎng)的訪問(wèn)。遵循“缺省關(guān)閉，按需求開通”原則，嚴(yán)格限制VPN網(wǎng)段對(duì)內(nèi)網(wǎng)的訪問(wèn)。

網(wǎng)絡(luò)可靠性

1.鏈路可靠性

網(wǎng)通與中電飛華兩條互聯(lián)網(wǎng)鏈路相互獨(dú)立，沒有充分利用做到鏈路互備。

建議在防火墻上進(jìn)行路由設(shè)置，實(shí)現(xiàn)雙鏈路互備，提高鏈路可靠性。

2.設(shè)備可靠性

核心交換機(jī)和防火墻無(wú)備份，存在單點(diǎn)故障隱患。

建議增加一臺(tái)核心交換機(jī)和一臺(tái)防火墻與現(xiàn)網(wǎng)交換機(jī)和防火墻組成雙機(jī)熱備的工作模式，增強(qiáng)設(shè)備可靠性。

網(wǎng)絡(luò)邊界安全性

1.防火墻

防火墻配置了嚴(yán)格的訪問(wèn)控制策略，有效保證了內(nèi)網(wǎng)和DMZ區(qū)服務(wù)器的安全性。但對(duì)互聯(lián)網(wǎng)開放了radmin、telnet等遠(yuǎn)程管理服務(wù)，存在較大的安全隱患。

建議在防火墻上配置禁止互聯(lián)網(wǎng)用戶訪問(wèn)ramdin、telnet等服務(wù)，或者配置只允許可信IP訪問(wèn)。

2.內(nèi)網(wǎng)VLAN劃分

核心交換機(jī)進(jìn)行了VLAN 劃分，并配置了訪問(wèn)控制列表（ACL）。ACL目前只對(duì)財(cái)務(wù)和人事網(wǎng)段進(jìn)行了保護(hù)，對(duì)于客戶端訪問(wèn)服務(wù)器區(qū)沒有任何限制措施，部分對(duì)外網(wǎng)提供服務(wù)的服務(wù)器與其他內(nèi)網(wǎng)服務(wù)器在同一VLAN，存在較大的安全隱患，如滲透測(cè)試所示，外網(wǎng)攻擊者若控制一臺(tái)外網(wǎng)服務(wù)器，就有可能控制整個(gè)內(nèi)網(wǎng)。

建議根據(jù)業(yè)務(wù)需要，配置ACL，嚴(yán)格限制客戶端對(duì)服務(wù)器區(qū)的訪問(wèn)；為對(duì)外網(wǎng)提供服務(wù)的服務(wù)器單獨(dú)劃分一個(gè)VLAN，并在該VLAN與內(nèi)網(wǎng)之間部署防火墻，嚴(yán)格限制內(nèi)外網(wǎng)服務(wù)器之間的訪問(wèn)。

網(wǎng)絡(luò)協(xié)議安全分析

路由協(xié)議：采用高效的靜態(tài)路由協(xié)議和OSPF等動(dòng)態(tài)路由協(xié)議相結(jié)合，對(duì)于目前的網(wǎng)絡(luò)結(jié)構(gòu)是合理有效的。

網(wǎng)絡(luò)流量分析

流量監(jiān)控、流量分析：部署了QQview對(duì)網(wǎng)絡(luò)中的流量與用戶行為進(jìn)行監(jiān)測(cè)和管理，優(yōu)化了網(wǎng)絡(luò)流量。

網(wǎng)絡(luò)通信安全

1.入侵檢測(cè)

沒有部署入侵檢測(cè)設(shè)備，在本次的滲透測(cè)試過(guò)程中，即使測(cè)試人員從互聯(lián)網(wǎng)成功進(jìn)入了內(nèi)網(wǎng)，也沒有系統(tǒng)對(duì)以上攻擊行為進(jìn)行告警。

建議在互聯(lián)網(wǎng)出口及核心交換機(jī)上部署IDS或IPS，監(jiān)控及阻斷來(lái)自互聯(lián)網(wǎng)及內(nèi)部惡意用戶的入侵行為。

2.抗拒絕服務(wù)

未充分考慮分布式拒絕服務(wù)攻擊（DDoS）的威脅，缺乏防御日益猖獗的DDoS攻擊的有效手段。

建議部署專用的抗拒絕服務(wù)設(shè)備以增強(qiáng)網(wǎng)絡(luò)安全性。

網(wǎng)絡(luò)安全管理

1.遠(yuǎn)程管理

對(duì)核心交換機(jī)的管理使用的是Telnet明文方式，容易被非法用戶竊聽、進(jìn)而獲取管理員權(quán)限。沒有針對(duì)Telnet登錄IP配置ACL策略，可能導(dǎo)致不可信的IP對(duì)設(shè)備進(jìn)行口令猜測(cè)、暴力破解。

建議設(shè)置Telnet訪問(wèn)控制列表，只允許通過(guò)信任IP進(jìn)行遠(yuǎn)程管理,使用SSH加密管理方式代替Telnet。

2.日志管理

缺乏集中日志分析系統(tǒng)，對(duì)設(shè)備的訪問(wèn)、常見信息以及異常信息的原始記錄，是處理和分析問(wèn)題的一個(gè)重要輔助手段和監(jiān)控方式。

建議部署集中日志分析系統(tǒng)，協(xié)助網(wǎng)絡(luò)管理員全面分析網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志。