摘 要:企业的信息化给企业带来了工作上的便利与效率上的提高,但是不能否认网络安全问题一直是困扰企业信息化过程中的一个重要问题。本文首先分析了网络上的主要不安全因素,然后对VNP应用以及ISA Sever配合NVNP进行了详细的探讨,对网络安全保障问题给出了具有指导性的看法。
关键词:企业网络安全;VNP;网络防火墙;网络攻击
引言
由于Internet的迅速发展和普及,接入Internet的组织、企业和机构等的不断增加,这也增加了来自互联网的不安全因素。网络是一个虚拟的社会,在很多方面与真实的世界有惊人的相似。在虚拟社会中,也存在有各种各样的冲突和矛盾,同样网络也面临着如病毒、垃圾邮件和不良Web内容等。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。据国际计算机安全协会(简称ICSA)调查,在全球有99%以上的病毒是通过POP3、SMTP和HTTP协议传播的。面对如今Internet网上众多的不安全因素,传统的功能单一网络安全产品已经不能满足企业的安全需求了,企业需要一个整体式的网络方案。
1 网络不安全因素分析
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。在网络攻击类型中看到,攻击者的攻击对象有两类,一类传输中的网络数据;另一类是系统。针对系统的攻击又可以进一步分为两种:一种以获取或者更改系统的数据为目的,另一种是DoS(Denial of Service)攻击,也就是让网络中的重要系统停止服务。针对不同的攻击应该采用相应的网络技术来予以防范。
攻击传输中的数据有多个目的,其一为获得数据内容;其二为更改数据,破坏数据的完整性;其三为分析数据流。保护传输中数据的机密性和完整性的方法有多种,可以在应用层(或者会话层传输层)上实现,也可以在网络层上实现或者物理(数据)链路层上实现。下面是一个示意图:
图1 网络传输中的攻击路线
2 企业网络的基本应用
企业不断发展的同时其网络规模也在不断的扩大,由于其自身业务的需要,在不同的地区建有分公司或分支机构,本地庞大的Intranet和分布在全国各地的Internet之间互相连接形成一个更加庞大的网络。这种网络应用系统,主要包含WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。从整个网络系统的管理上来看,既有内部用户,也有外部用户。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
3 VNP的设置与应用
3.1 VNP的应用
由于大部分企业中心内部网络都是这种情况:存在两套网络系统,其中一套为企业内部网络,为本行业、本系统的内部办公自动化和业务处理系统服务;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。那么如何在这种模式下进行VPN的设置是网络安全保障首先要解决的问题。这种模式下INTERNET缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。
3.2 ISA Sever及其与VNP的集成
图 2 VPN与ISA Server集成
ISA Server的企业策略是在一个组织的总部级别进行配置的,而且可以应用到所有阵列或任一阵列中。阵列策略是在分支级别进行配置,而且可以继承企业策略。对任何给定的阵列来说,ISA Server允许应用企业策略、阵列策略或者同时应用两者。在这里可以通过集成ISA Server和VPN来实现对企业网络的安全保障。本地网络上的计算机要和远程网络上的计算机通过ISA Server计算机进行通信时,数据封装好后,通过一个VPN信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用VPN连接。
4 建立病毒防护体系
对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。
基本的技术包括网络安全技术,比如身份验证、访问控制、安全协议括:行为监视、变化检测和扫描等等。需要对计算机进行好防毒的工作,应用瑞星、卡巴等杀毒软件来实时地监控。此外,一台接入网络的计算机之所以能够被蠕虫病毒侵入,是因为操作系统或者应用软件存在漏洞。这些漏洞就像是墙上的一个个大洞,尽管大门紧锁,但是小偷还是可以轻而易举地从这些大洞爬进房间。所以我们需要将这些漏洞补上“补丁”。
防火墙是目前一种最重要的网络防护设备。选择一款功能强大的防火墙对我们的企业网络安全保障有着重要意义。比如瑞星可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。
参考文献:
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004;
[2]吕锋锋,韩继华, 王秦.计算机网络安全概论[J].通讯世界2002年02期
[3]钱榕.客行为与网络安全[J].电力机车技术.2002年01期
