摘 要:网络安全已成为企业信息安全的重要组成部分,但由于网络的开放性等特征而使其容易遭受非法访问、黑客攻击、病毒木马入侵等威胁。针对企业网络安全面临的问题,本文总结提出一些相应的策略,从多个方面对企业网络实施安全防护。
关键词:网络安全;安全防护;接入控制;防火墙;访问权限
随着计算机技术的发展和Internet的广泛应用,越来越多的企业都实现了业务系统的电子化和网络化,计算机网络安全已成为企业信息安全的重要组成部分。但计算机网络也面临着非法入侵,恶意攻击、病毒木马等多种威胁,对企业的信息系统安全造成损害。
因此,如何提高计算机网络的防御能力,增强网络的安全性和可靠性,已成为企业网络建设时必须考虑的问题。下面介绍一些网络安全建设方面的策略,希望能为企业网络建设提供一些参考。
一、 做好网络结构安全设计
网络结构安全的核心是网络隔离,即将整个网络按照系统功能、信息安全等级、工作地点等原则划分为相对独立的子网络,使得当某个子网络内发生安全故障时,有害信息不能或不易扩散到别的子网络中。
各个子网络之间应部署防火墙、网闸等网络安全设备,实现信息系统隔离和访问控制。同时,充分利用IP地址、VLAN、访问控制列表等工具,实现子网络之间的逻辑隔离。
二、 网络设备的安全防护
网络设备的安全防护是指同设备交互时的安全防护,一般用于设备的配置和管理。同设备的交互有以下几种方式:
* 通过设备Console 口访问。
* 异步辅助端口的本地/远程拨号访问
* TELNET访问
* SNMP访问
* HTTP访问
针对这几种交互方式,采取的安全策略如下:
(1) 用户登录验证
必须要求设备配置身份验证,如果设备未配,将拒绝接受用户登录,可以通过本地用户验证或RADIUS验证实现。
(2) 控制台超时注销
控制台访问用户超过一段时间对设备没有交互操作,设备将自动注销本次控制台配置任务,并切断连接。超时时间必须可配置,缺省为10分钟。
(3) 控制台终端锁定
配置用户离开配置现场,设备提供暂时锁定终端的能力,并设置解锁口令。
(4) 限制telnet用户数目
设备对telnet用户数量必需做出上限控制。
三、 部署用户安全接入控制系统
用户安全接入控制是指企业员工在使用终端访问企业资源前,先要经过身份认证和终端安全检查。用户在确认身份合法并通过安全检查后,终端可以访问用户授权的内部资源,认证不通过则被拒绝接入网络。终端安全接入控制主要是防止不安全的终端接入网络和防止非法终端用户访问企业内部网络。
用户接入控制可通过部署终端安全管理系统实现。终端安全管理系统是一个包括软件和硬件整体系统。在用户终端上安装安全服务代理程序,在用户使用网络前,必须启动代理程序,然后输入身份信息进行登录。由安全管控服务器对终端用户进行身份认证和安全检查。通过之后服务器把检查结果通知安全接入网关,安全接入网关根据用户的角色,开放终端用户的访问权限,有效的制止用户的非法访问和越权访问。
四、 网络数据流控制
网络数据流控制通过数据包过滤来实现。通过网络数据包过滤,可以限制网络通信量,限制网络访问到特定的用户和设备。
访问列表可用来控制网络上数据包的传递,限制终端线路的通信量或者控制路由选择更新,以达到增强网络安全性的目的。在端口上设定数据流过滤,防止企业内部的IP地址欺骗。严格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备,原则上只允许本系统应用需要的应用数据流才能通过网络设备。
五、 部署网络防病毒软件
网络病毒的入口点是非常多的。在一个具有多个网络入口的连接点的企业网络环境中,病毒可以由软盘、光盘、U盘等传统介质进入,也可能由企业信息网等进入,还有可能从外部网络中通过文件传输等方式进入。所以不仅要注重单机的防毒,更要重要网络的整体防毒措施。
任何一点没有部署防病毒系统,对整个网络都是一个安全的威胁。网络中应部署一套网络防病毒系统,在所有重要服务器、操作终端安装杀毒软件。通过网络杀毒服务器及时更新病毒库及杀毒引擎,保证内部网络安全、稳定的运行。
六、 内部网络使用安全
* 内部系统中资源共享
严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
* 信息存储
对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份,包括本地备份和远程备份存储。
* 构建安全管理平台
构建安全管理平台将会降低很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如:组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统一管理软件。通过安全管理平台实现全网的安全管理。
总之,网络安全是一个系统的工程,要用系统的思想来建设全方位的、多层次的、立体的安全防护体系。这是一项长期而艰巨的任务,需要不断的探索。网络安全建设不能仅仅依靠于技术手段,而应建立包括安全规范、规章制度、人员培训等全面的管理体系,提高全体员工的安全防范意识,保护好每台接入网络中的设备,才能实现高速稳定安全的信息化网络系统。
参考文献:
[1]、《计算机网络与信息安全》潘爱民译 第四版 清华大学出版社2007
[2]、《计算机安全技术》 步山岳、张有东 高等教育出版社 2008