唐彩錦

摘要：網(wǎng)絡(luò)的普及和蔓延已經(jīng)深入到日常生活的方方面面，一個不能忽略的問題也伴隨著網(wǎng)絡(luò)的普及滲入到人們的生活中，那就是網(wǎng)絡(luò)安全問題。教育、醫(yī)療、企業(yè)、電力、能源、交通、政府等組織及機構(gòu)均是網(wǎng)絡(luò)安全的保障范圍。作為一般企業(yè)如何結(jié)合企業(yè)自身需求建立完善的網(wǎng)絡(luò)安全策略，形成一個符合自身情況的網(wǎng)絡(luò)安全方案是該文要討論的重點。該文是站在對企業(yè)整體網(wǎng)絡(luò)的安全的解決方案角度探索信息安全問題，結(jié)合企業(yè)實際網(wǎng)絡(luò)環(huán)境結(jié)合案例分析，分析現(xiàn)有產(chǎn)品解決方案，探討了如認證、防火墻、IDS等現(xiàn)今流行的網(wǎng)絡(luò)安全技術(shù)，希望這些探討可以給讀者一定的啟示幫助讀者進一步深入研究，目標是對用戶提供一個信息安全的環(huán)境。

關(guān)鍵詞：企業(yè)信息安全；網(wǎng)絡(luò)安全；計算機網(wǎng)絡(luò)；防火墻；防病毒

網(wǎng)絡(luò)的普及和蔓延已經(jīng)深入到日常生活的方方面面，一個不能忽略的問題也伴隨著網(wǎng)絡(luò)的普及滲入到人們的生活中，那就是網(wǎng)絡(luò)安全問題。2017年5月一種名為“WannaCry”的勒索病毒全球范圍內(nèi)爆發(fā)，傳播速度之快已經(jīng)對全球網(wǎng)絡(luò)安全構(gòu)成了嚴重威脅。據(jù)權(quán)威機構(gòu)研究顯示，中國每年遭受600億美元的網(wǎng)絡(luò)損失，位居亞洲第一。目前在國內(nèi)，網(wǎng)絡(luò)安全威脅的行業(yè)范疇眾多，如教育、醫(yī)療、企業(yè)、電力、能源、交通、政府等組織及機構(gòu)均是網(wǎng)絡(luò)安全的保障范圍。

現(xiàn)階段的網(wǎng)絡(luò)安全已經(jīng)不是單個組織、單一個人的防范行為，而是隨著整個社會對信息安全的意識的覺醒形成的一個完整的網(wǎng)絡(luò)安全產(chǎn)業(yè)。隨著企業(yè)網(wǎng)絡(luò)安全意識的提高，網(wǎng)絡(luò)安全市場的規(guī)模也在逐年增長，伴隨的安全產(chǎn)品和安全解決方案也是層出不窮，作為一般企業(yè)如何結(jié)合企業(yè)自身需求建立完善的網(wǎng)絡(luò)安全策略，形成一個符合自身情況的網(wǎng)絡(luò)安全方案是本文要討論的重點。

1網(wǎng)絡(luò)安全概述

隨著網(wǎng)絡(luò)技術(shù)的普及和蔓延，越來越多的企業(yè)都開始通過網(wǎng)絡(luò)技術(shù)構(gòu)建企業(yè)內(nèi)部的信息平臺，將企業(yè)的業(yè)務(wù)數(shù)據(jù)信息化以提升企業(yè)的綜合實力，借助網(wǎng)絡(luò)技術(shù)加速企業(yè)的發(fā)展在行業(yè)內(nèi)取得技術(shù)上對的領(lǐng)先優(yōu)勢。其業(yè)務(wù)運營越來越依賴于對計算機應(yīng)用系統(tǒng)，而計算機應(yīng)用系統(tǒng)是建立在完善的技術(shù)網(wǎng)絡(luò)環(huán)境中的。隨著計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復雜，對計算機網(wǎng)絡(luò)的運維水平有著較大的挑戰(zhàn)。而近年來的網(wǎng)絡(luò)攻擊事件頻出，企業(yè)的信息安全防范意識也提高到了日常運維的日程中來了。從網(wǎng)絡(luò)安全的管控模型來分析，網(wǎng)絡(luò)安全一般采用動態(tài)的防御過程，一般要在安全事件發(fā)生的前、中和后均采用合理的技術(shù)方案，而網(wǎng)絡(luò)安全管理流程則會在整個網(wǎng)絡(luò)運營流程中起作用。企業(yè)的網(wǎng)絡(luò)管理人員已經(jīng)將網(wǎng)絡(luò)安全納入企業(yè)的IT規(guī)劃發(fā)展的整體范疇，全面覆蓋企業(yè)信息平臺的各個層面，對整個網(wǎng)絡(luò)及應(yīng)用的安全防范通盤考慮。

從網(wǎng)絡(luò)安全的發(fā)展歷程來說，是由于網(wǎng)絡(luò)自身的發(fā)展引發(fā)的安全問題才使得網(wǎng)絡(luò)安全技術(shù)誕生了，目前而言有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像黑客攻擊、病毒入侵之類的網(wǎng)絡(luò)安全事件，都是利用計算機網(wǎng)絡(luò)作為主要的傳播途徑，其時間的發(fā)生頻率可以說和信息的傳播速度一樣快，這也是網(wǎng)絡(luò)安全的特點之一。除此之外，像非法用戶的訪問和操作，用戶信息的非法截取和更改，惡意軟件入侵和攻擊等都是現(xiàn)今普遍存在于計算機網(wǎng)絡(luò)的安全事件。顯然，其所帶來的危害也是讓每一位計算機用戶有著深刻的體會，例如：因為某種病毒讓操作系統(tǒng)運行不穩(wěn)定，導致文件系統(tǒng)中的數(shù)據(jù)損壞無法訪問和讀寫，甚至導致磁盤、計算機、網(wǎng)絡(luò)等硬件的損壞，造成極大的經(jīng)濟損失。

由于企業(yè)的網(wǎng)絡(luò)環(huán)境建設(shè)過程一般歷經(jīng)了數(shù)年甚至數(shù)十年，網(wǎng)絡(luò)中接人的設(shè)備數(shù)量和種類眾多，網(wǎng)絡(luò)中的應(yīng)用和內(nèi)部系統(tǒng)也繁多。再加上，一般要求企業(yè)的網(wǎng)絡(luò)運行是7*24小時不間斷作業(yè)運行，其產(chǎn)生的數(shù)據(jù)往往巨大，其中不乏大量的敏感信息。這樣的網(wǎng)絡(luò)環(huán)境，必然給惡意代碼、病毒程序、網(wǎng)絡(luò)攻擊等惡意的攻擊事件留下了隱患，可以毫不客氣地說企業(yè)的網(wǎng)絡(luò)環(huán)境往往是危機四伏。

2網(wǎng)絡(luò)安全實踐

2.1網(wǎng)絡(luò)安全誤區(qū)案例分析

目前針對網(wǎng)絡(luò)安全事件頻繁發(fā)作，不少企業(yè)采購了相關(guān)的安全產(chǎn)品并配合了相關(guān)的安全措施，但是缺乏對網(wǎng)絡(luò)安全框架的理解存在不少誤區(qū)，主要有以下幾個方面。

1）部署網(wǎng)絡(luò)防火墻就萬事大吉了

防火墻主要原理是過濾封包與控制存取，因此對非法存取與篡改封包及DoS攻擊等網(wǎng)絡(luò)攻擊模式是極其有效的，對于網(wǎng)絡(luò)隔離和周邊的安全防護效果明顯。顯然如果攻擊行為繞開防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，防火墻就失效了，這是由于大多數(shù)防火墻是工作在網(wǎng)絡(luò)層，并且其原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進行任何處理，顯然這種原理就成為了安全隱患和漏洞。

2）定期更新殺毒軟件就能夠保護系統(tǒng)不受病毒侵擾

顯然安裝殺毒軟件是避免系統(tǒng)被病毒破壞的主要手段之一，但是這僅僅只能對已知病毒進行查殺，對于未知病毒顯然缺乏事先預防的能力。

3）病毒只會在萬維網(wǎng)中傳播

雖然目前萬維網(wǎng)是病毒傳播的主要途徑，但是對于企業(yè)內(nèi)部網(wǎng)絡(luò)可能會通過u盤、刻錄光盤、郵件、企業(yè)協(xié)同系統(tǒng)等從外部帶人病毒，因此只要計算機運行了，就要需要做好防范病毒措施。

4）為了避免病毒感染只要設(shè)置文件屬性為只讀即可

通常操作系統(tǒng)的shell調(diào)用可以提供將文件的讀寫屬性設(shè)置為只讀，但是對于黑客來說完全可以用程序做反向操作，即將文件屬性改為讀寫，并可以接管文件的控制權(quán)。

5）將敏感信息隔離于企業(yè)門戶之外

不少企業(yè)都采用了網(wǎng)絡(luò)隔離裝置，控制外部對企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問，甚至完全隔離任何數(shù)據(jù)的讀寫均禁止。但是對于內(nèi)部的安全管理疏于防范，導致某些賬戶或權(quán)限被外部竊取，最后網(wǎng)絡(luò)敏感數(shù)據(jù)從內(nèi)部流出，甚至導致內(nèi)部網(wǎng)絡(luò)癱瘓，系統(tǒng)無法正常運行。

顯然上述誤區(qū)都是因為網(wǎng)絡(luò)管理員的思想局限在某些單一的網(wǎng)絡(luò)場景導致的，缺乏全局的網(wǎng)絡(luò)安全意識和合理的網(wǎng)絡(luò)安全規(guī)劃策略的指導。

2.2案例分析

針對上述誤區(qū)，本文將以一個虛擬的公司網(wǎng)絡(luò)環(huán)境展開案例分析，設(shè)計一個全局的網(wǎng)絡(luò)防范框架。一般企業(yè)網(wǎng)絡(luò)按服務(wù)器類型劃分包括：AAA服務(wù)器、內(nèi)部DNS服務(wù)器、FTP服務(wù)器、HTTP服務(wù)器等服務(wù)器。按職能部門劃分包括：經(jīng)理辦公室、市場部、財政部、系統(tǒng)集成部、軟件部以及前臺接待部，一般各部門的網(wǎng)絡(luò)會做隔離，另外對于財務(wù)部的網(wǎng)絡(luò)只有經(jīng)理辦公室有權(quán)限訪問其他部門不能訪問，而前臺接待部的網(wǎng)絡(luò)作為企業(yè)門戶不能訪問公司內(nèi)部網(wǎng)絡(luò)，只能通過外網(wǎng)訪問。

根據(jù)上述基本網(wǎng)絡(luò)需求，在網(wǎng)絡(luò)安全架構(gòu)設(shè)計上還應(yīng)考慮Intemet的安全性，以及網(wǎng)絡(luò)隱私及專有性等一些因素，如NAT、VPN等。綜合分析，一個完整的企業(yè)網(wǎng)絡(luò)安全建設(shè)需求應(yīng)該包括如下建設(shè)需求：1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)；21網(wǎng)絡(luò)基礎(chǔ)的連通即訪問規(guī)劃；3）信息的訪問控制；4）全網(wǎng)網(wǎng)絡(luò)安全管理需求；5）各層次的網(wǎng)絡(luò)攻防控制；6）各層次應(yīng)用及系統(tǒng)的病毒防范；7）企業(yè)內(nèi)部的跨部門的信息安全；8）敏感信息及網(wǎng)絡(luò)安全控制。

根據(jù)上述基本網(wǎng)絡(luò)需求，可以建立一個如圖1所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

上圖中的拓撲結(jié)構(gòu)滿足一般性的企業(yè)網(wǎng)絡(luò)環(huán)境，包括服務(wù)器網(wǎng)絡(luò)及網(wǎng)絡(luò)隔離，各個職能部門的網(wǎng)絡(luò)、計算機及辦公設(shè)備，以及防范外部的防火墻設(shè)備，還包括各個層次的網(wǎng)絡(luò)交換機等網(wǎng)絡(luò)設(shè)備。

一般性的場景是根據(jù)圖1中的網(wǎng)絡(luò)拓撲設(shè)計，根據(jù)企業(yè)的實際網(wǎng)絡(luò)規(guī)劃考慮企業(yè)網(wǎng)絡(luò)建設(shè)的安全需求，在網(wǎng)絡(luò)建設(shè)的基礎(chǔ)上進行安全改造，目的是保證企業(yè)各種設(shè)計信息的安全性，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運行的穩(wěn)定性，避免設(shè)計文檔、圖紙的外泄和丟失。對于客戶端的計算機的保護一般是通過軟件或安全流程進行保護，記錄用戶對客戶端計算機中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進行全面的監(jiān)控和管理。一般采用以下安全手段：1）在現(xiàn)有網(wǎng)絡(luò)中加入網(wǎng)絡(luò)安全設(shè)備設(shè)施；2）lP地址規(guī)劃及管理；3）安裝防火墻體系；4）劃分VLAN控制內(nèi)網(wǎng)安全；5）建立VPN（虛擬專用網(wǎng)絡(luò)）確保數(shù)據(jù)安全；6）提供網(wǎng)絡(luò)殺毒服務(wù)器；7）加強企業(yè)對網(wǎng)絡(luò)資源的管理；8）做好訪問控制權(quán)限配置；9）做好對網(wǎng)絡(luò)設(shè)備訪問的權(quán)限。

一般情況下在企業(yè)的網(wǎng)絡(luò)環(huán)境中，會由ISP供應(yīng)商提供公網(wǎng)的人口，而本文的重點為安全問題，因此采用虛擬的公網(wǎng)入口。目前IPv6技術(shù)還不是很成熟，IPv4地址依舊廣泛應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)，因此公司內(nèi)部使用IPv4的私有地址網(wǎng)段，假設(shè)公司內(nèi)部共擁有800部終端，所以由172.28.0.0/22網(wǎng)絡(luò)段劃分，ip地址和VLAN規(guī)劃如下表1。

根據(jù)上表1的規(guī)劃依舊滿足了連通性和VLAN的控制劃分，在圖1中的規(guī)劃建立經(jīng)理辦公室和財務(wù)部的VPN就保證了隔離性。再在服務(wù)器集群中安裝專門的防病毒服務(wù)器，監(jiān)管所有計算機的防病毒程序，防止病毒人侵。根據(jù)一般安全權(quán)限控制還需建立專用的AAA服務(wù)器，保證認證（Authentication）：、授權(quán)（Authorization）和審計（Accounting）。最后，圖l中IDS（IntrusionDetection Systems）即“入侵檢測系統(tǒng)”，用戶可以根據(jù)企業(yè)安全需求設(shè)置一組安全策略，IDS可以對網(wǎng)絡(luò)中的計算機、軟件、磁盤、網(wǎng)絡(luò)等新設(shè)備監(jiān)控運行狀態(tài)，根據(jù)運行狀態(tài)預測各種網(wǎng)絡(luò)攻擊事件，從而起到網(wǎng)絡(luò)安全的防范作用，IDS也是根據(jù)安監(jiān)事件的事前、事中和事后的動態(tài)過程設(shè)計的模型。

3總結(jié)

隨著信息技術(shù)的高速發(fā)展，各種網(wǎng)絡(luò)病毒和黑客程序的橫行讓企業(yè)的安全意識大幅提升。對于信息的保護，從最初的讀寫保護和傳輸保護發(fā)展到信息的安全體系和信息安全框架經(jīng)歷一個思想意識的轉(zhuǎn)變過程。本文是站在對企業(yè)整改網(wǎng)絡(luò)的安全的解決方案角度探索信息安全問題，目標是對用戶提供一個信息安全的環(huán)境。本文從網(wǎng)絡(luò)的認證、權(quán)限出發(fā)，探討了信息完整性保護機制，讓用戶透明地訪問網(wǎng)絡(luò)無需了解網(wǎng)絡(luò)安全細節(jié)就可以避免自身的數(shù)據(jù)、服務(wù)受到網(wǎng)絡(luò)攻擊和病毒侵害，保護數(shù)據(jù)的完整性和可靠性。本文結(jié)合企業(yè)實際網(wǎng)絡(luò)環(huán)境結(jié)合案例分析，分析現(xiàn)有產(chǎn)品解決方案，探討了如認證、防火墻、IDS等現(xiàn)今流行的網(wǎng)絡(luò)安全技術(shù)，希望這些探討可以給讀者一定的啟示幫助讀者進一步深入研究。最后，信息安全領(lǐng)域還是一個比較年輕的領(lǐng)域，本文難免局限于某些特定領(lǐng)域，很多不足還需要繼續(xù)探索與實踐。