◆李常福

?

企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)分析

◆李常福

（鄭州市中心醫(yī)院 河南 450000）

目前計(jì)算機(jī)網(wǎng)絡(luò)已成為企業(yè)生存和發(fā)展不可或缺的組成部分，但隨著網(wǎng)絡(luò)安全問題的頻發(fā)，以及網(wǎng)絡(luò)安全問題所帶來的嚴(yán)重影響，有必要針對目前企業(yè)網(wǎng)絡(luò)安全主要存在的問題，提出綜合、有效、可行的企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)方案。

企業(yè)網(wǎng)絡(luò)；安全；病毒；物理

0 引言

在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護(hù)是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進(jìn)展，但過去企業(yè)網(wǎng)絡(luò)處于一個(gè)封閉或者是半封閉的狀態(tài)，只需簡單的防護(hù)設(shè)備和防護(hù)方案即可保證其安全性。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài)，這種時(shí)空的無限制性和準(zhǔn)入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素，自然給企業(yè)網(wǎng)絡(luò)安全帶來了更多的威脅。因此，企業(yè)網(wǎng)絡(luò)安全防護(hù)一個(gè)永無止境的過程，對其進(jìn)行研究無論是對于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，還是對于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1 企業(yè)網(wǎng)絡(luò)安全問題分析

基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運(yùn)行維護(hù)條件，目前企業(yè)網(wǎng)絡(luò)典型的安全問題主要表現(xiàn)于以下幾個(gè)方面。

1.1 網(wǎng)絡(luò)設(shè)備安全問題

企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)交換機(jī)、個(gè)人電腦、備用電源等硬件設(shè)備，時(shí)常會發(fā)生安全問題，而這些設(shè)備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機(jī)密信息，進(jìn)而給企業(yè)帶來不可估量經(jīng)濟(jì)損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時(shí)間停電的情況下，很容易由于蓄電池的電量耗盡而導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)的停運(yùn)。當(dāng)然，除了電源問題外，服務(wù)器、交換機(jī)也存在諸多安全隱患。

1.2 服務(wù)器操作系統(tǒng)安全問題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展，對企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是Windows XP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會降低服務(wù)器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號管理等問題的存在，在不同程度上增加了服務(wù)器的安全威脅。

1.3 訪問控制問題

企業(yè)網(wǎng)絡(luò)訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Web sense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動。同時(shí)對于內(nèi)部上網(wǎng)終端及外來電腦未設(shè)置入網(wǎng)認(rèn)證及無線網(wǎng)絡(luò)訪問節(jié)點(diǎn)安全檢查，任何電腦都可在信號區(qū)內(nèi)接入到無線網(wǎng)絡(luò)。

2 企業(yè)網(wǎng)絡(luò)安全防護(hù)方案

基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問題，可以針對性的提出以下綜合性的安全防護(hù)方案來提高企業(yè)網(wǎng)絡(luò)的整體安全性能。

2.1 網(wǎng)絡(luò)設(shè)備安全方案

企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個(gè)企業(yè)網(wǎng)絡(luò)安全的基本前提，為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強(qiáng)、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標(biāo)提出了更高的要求，這就要求對企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進(jìn)行優(yōu)化。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機(jī)組，進(jìn)而保證在長時(shí)間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電，避免因?yàn)閿嚯姸鴮?dǎo)致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。

2.2 服務(wù)器系統(tǒng)安全方案

企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要，然而其安全問題的產(chǎn)生又是多方面因素所導(dǎo)致的，需要從多個(gè)層面來構(gòu)建安全防護(hù)方案。

2.2.1 操作系統(tǒng)漏洞安全

目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點(diǎn)對象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補(bǔ)丁外，還應(yīng)針對企業(yè)網(wǎng)絡(luò)服務(wù)器及個(gè)人電腦的操作系統(tǒng)使用實(shí)際情況，實(shí)施專門的漏洞掃描和檢測，并根據(jù)掃描結(jié)果做出科學(xué)、客觀、全面的安全評估，如圖1所示，將證書授權(quán)入侵檢測系統(tǒng)部署在核心交換機(jī)的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測代理，以此來檢測和響應(yīng)網(wǎng)絡(luò)入侵威脅。

圖1 漏洞掃描及檢測系統(tǒng)

2.2.2 Windows 端口安全

在Windows系統(tǒng)中，端口是企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道，一般一臺服務(wù)器會綁定多個(gè)IP，而這些IP又通過多個(gè)端口來提高企業(yè)網(wǎng)絡(luò)服務(wù)能力，這種多個(gè)端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運(yùn)行路徑來看，大多數(shù)都要通過服務(wù)器TCP/UDP端口，可充分這一點(diǎn)來預(yù)防各種網(wǎng)絡(luò)攻擊，只需通過命令或端口管理軟件來實(shí)現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3 Internet信息服務(wù)安全

Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的，可通過諸多措施來提高Internet信息服務(wù)安全。

（1）基于IP地址實(shí)現(xiàn)訪問控制。通過對IIS配置，可實(shí)現(xiàn)對來訪IP地址的檢測，進(jìn)而以訪問權(quán)限的設(shè)置來阻止或允許某些特定計(jì)算機(jī)的訪問站點(diǎn)。（2）在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全I(xiàn)IS服務(wù)器較為科學(xué)。（3）NTFS文件系統(tǒng)的應(yīng)用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務(wù)器Windows2000的安全機(jī)制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時(shí)選用NTFS文件系統(tǒng)，安全性能更高。（4）服務(wù)端口號的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認(rèn)端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務(wù)器攻擊，因此，通過修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性。

2.3 網(wǎng)絡(luò)結(jié)構(gòu)安全方案

2.3.1 強(qiáng)化網(wǎng)絡(luò)設(shè)備安全

強(qiáng)化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施，具體包含以下措施。

（1）網(wǎng)絡(luò)設(shè)備運(yùn)行安全。對各設(shè)備、各端口運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控能有效發(fā)現(xiàn)各種異常，進(jìn)而預(yù)防各種安全威脅。一般可通過可視化管理軟件的應(yīng)用來實(shí)現(xiàn)上述目標(biāo)，例如What’s up Gold能實(shí)現(xiàn)對企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控，而Solar Winds NetworkPerformance monitor可實(shí)現(xiàn)對各個(gè)端口流量的實(shí)時(shí)監(jiān)控。（2）網(wǎng)絡(luò)設(shè)備登錄安全。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù)，對于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名，用戶名級別設(shè)置的一級，該級別用戶只具備讀權(quán)限，一般用于console、遠(yuǎn)程telnet 登錄等需求。除此之外，還可設(shè)置一個(gè)單獨(dú)的super密碼，只有擁有super密碼的管理員才有資格對核心交換機(jī)實(shí)施相關(guān)配置設(shè)置。（3）無線AP安全。一般在企業(yè)內(nèi)部有多個(gè)無線AP設(shè)備，應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個(gè)較為復(fù)雜的高級秘鑰，從而確保無線接入網(wǎng)的安全性。

2.3.2 細(xì)分網(wǎng)絡(luò)安全區(qū)域

目前，廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個(gè)嚴(yán)重缺陷就是當(dāng)其中各個(gè)局域網(wǎng)存在ARP病毒時(shí)，未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時(shí)還可能泄露重要信息。為了解決這種問題，可對整個(gè)網(wǎng)絡(luò)進(jìn)行細(xì)分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個(gè)網(wǎng)段，在每個(gè)網(wǎng)段均有不同的vlan，從而保證安全性。

2.3.3 加強(qiáng)通信訪問控制

針對企業(yè)各個(gè)部門對網(wǎng)絡(luò)資源的需求，在通信訪問控制時(shí)需要注意以下幾點(diǎn)：對內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對口部門互通；對內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離；體驗(yàn)區(qū)只能訪問互聯(lián)網(wǎng)，不能訪問辦公網(wǎng)。以上功能的實(shí)現(xiàn)，可在核心路由器和防火墻上共同配合完成。

[1]王東.企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)與實(shí)現(xiàn)的研究[D].天津大學(xué)，2014.