摘 要:本文提供了企业内部网络安全的几种常见的管理手段,并分别就其作用进行了阐述和探讨。
关键词:DCN网;防火墙;IPS;病毒;网络管理;IP地址管理
1 前言
中国联通DCN网络是集团公司统一部署的业务承载及支撑网络,承载着电信业务综合管理、电信网络资源管理、计费帐务、财务、办公自动化、ERP等多个系统。在当前网络技术迅猛发展、日新月异的情况下,该网络安全问题日渐突出,面临着越来越严峻的安全威胁。对该网络而言,其安全性是否得到保障,直接影响到各承载系统的正常运行和信息安全,某些核心系统(如计费帐务、财务)的安全性直接关系到企业的核心利益。因此,提升DCN网络的安全性将具有重要的意义。
2 DCN网络所面临的安全隐患及应对措施
信息安全主要来自外网的不安全事件、病毒侵害等。企业内部一般有严格的内外网分离制度,但是仍然会有多种途径使得内网终端与互联网有联系。由此会带来非法登陆、入侵攻击、远程控制、恶意代码及病毒感染等各种安全事件的隐患。常见的手段主要是防火墙、DDoS防护、IDS入侵检测及IPS入侵保护等。
信息安全的防护措施一般采用以下几种方式:网络防火墙、黑洞系统及IPS入侵保护系统等,下面分别进行阐述。
2.1 网络防火墙
在公司内网与外部互联网之间架设网络防火墙,可以建立内、外网间的安全屏障,所有进出的信息都通过防火墙,以便于集中实施安全策略。防火墙上面可以制定相应的安全策略,对存在风险的服务实行阻止,防止入侵者利用系统中存在的具有安全缺陷的服务,可有效地保护内部网络。防火墙还可以记录上网行为,一旦追踪异常上网行为。
2.2 黑洞(Collapsar)
DoS(Denial of Service 拒绝服务)攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法,如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源,例如:网络带宽、内存和磁盘空间、CPU使用率等等。通常,网络层的拒绝服务攻击利用了网络协议的漏洞,或者抢占网络或者设备有限的处理能力,造成网络或者服务的瘫痪,而DDoS攻击又可以躲过目前常见的网络安全设备的防护,诸如防火墙、入侵监测系统等,这就使得对拒绝服务攻击的防治,成为了一个令管理员非常头痛的问题。
黑洞(Collapsar)实现 DDoS防护一般包含两个方面:其一是针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;其二,也是最为重要的,就是如何降低对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性。完善的DDoS攻击防护应该从四个方面考虑:
(1)能够从背景流量中精确的区分攻击流量;
(2)降低攻击对服务的影响,而不仅仅是检测;
(3)能够支持在各类网络入口点进行部署,包括性能和体系架构等方面;
(4)系统具备很强的扩展性和良好的可靠性。
""黑洞""抗拒绝服务攻击系统提供了DDoS防护能力,弥补了目前安全设备(防火墙、入侵检测等)对DDoS攻击防护能力的不足,不仅能够检测目前复杂的DDoS攻击,而且能在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品,具备了更细粒度的攻击检测和分析机制,并加以灵活的部署方式,能够有效的阻断攻击,保证合法流量的正常传输,这对于保障内网的安全性、业务系统运行的连续性和完整性有着极为重要的意义。
2.3 入侵保护系统IPS
单纯的防火墙在防护功能上有一定的局限性,这主要表现在,防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的Code Red蠕虫等。二是有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。鉴于防火墙具有以上一些缺陷,所以部署了防火墙的安全保障体系还有进一步完善的需要。而入侵检测系统IDS侧重网络监控,注重安全审计,适合对网络安全状态的了解,这对于防火墙来说是一个重要的增强手段。
入侵保护系统IPS(Intrusion Prevention System)提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络,提供数据流的净化。
2.4 防病毒软件的部署
对于DCN内部网络来说,除了来自外部互联网的安全风险以外,还有内部的安全风险,比如病毒。因此在企业内部网中部署一套网络版的防病毒软件是十分必要的。
防病毒软件的安装与升级是防病毒体系正常运行的基础条件,包括安装和升级两个方面。因此企业内部部署的防病毒软件,要能够自动从管理服务器进行病毒库更新,自动更新失败后, 同时还可以进行手动更新。
3 结语
本文对如何提高企业内部网络安全性,从技术角度提供了一些思路,在实际应用中,可以多个手段结合起来综合运用。当然,技术的运用离不开制度的保障,没有完善的管理制度再好的技术手段作用也会减弱。技术要和制度相结合,才能最大限度的保障企业内部DCN网络安全。
