作者: 熊东旭
针对企业网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改.从内部网向公网传送的信息可能被他人窃听或篡改等等安全隐患,对企业网络安全整体解决方案进行研究.提出中小型企业网络安全解决方案。
一、引言
随着电子信息和计算机技术的发展,计算机网络已逐步成为当今社会发展的一个主题,网络已渗透到经济和生活的各个领域,众多的企业、组织、政府部门与机构都在组建和发展自己的网络。并连接到互联网上,以充分共享、利用网络的信息和瓷源。伴随着网络的发展,也产生各种各样的问题,其中安全隐患日益突出,无论是企业、服务供应商、政府部门还是研究和教育机构,安全性显然决定着网络要求和工作的优先级,本文研究的目的和意义就是在以上这些方面,为中小型企业网络建设及网络安全管理提供参考指导和帮助,同时,在一些安全技术上,给出分析和经过具体实践的解决方案。
二、网络安全方案设计分析
(一)网络系统安全分析
网络入侵者通常有以下步骤进行入侵:
1、信息收集,信息收集是为了了解所要攻击目标的详细信息,通常黑客利用相关的网络协议或实用程序来收集,如用SNWP协议可用来查看路由器的路由表,了解目标主机内部拓扑结构的细节,用TraceRoute程序可获得到达目标主机所要经过的网络数和路由数,用Ping程序可以检测一个指定主机的位置并确定是否可到达等。
2、探测分析系统的安全弱点,在收集到目标的相关信息以后,黑客会探测网络上的每一台主机,以寻求系统的安全漏洞或安全弱点,黑客一般会使用Telnet、FTP等软件向目标主机申请服务,如果目标主机有应答就说明开放了这些端口的服务,其次使用一些公开的工具软件如Internet安全扫描程序ISS、两络安全分析工具SATAN等来对整个网络或子网进行扫描,寻求系统的安全漏洞,获取攻击目标系统的非法访问权。
3、实施攻击在获得了目标系统的非法访问权以后,黑客一般会实施以下的攻击:试图毁掉入侵的痕迹,并在受到攻击的目标系统中建立新的安全漏洞或后门,以便在先前的攻击点被发现以后能继续访问该系统:在目标系统安装探测器软件,如特洛伊木马程序,用来窥探目标系统的活动,继续收集黑客感兴趣的一切信息,如帐号与口令等敏感数据;进一步发现目标系统的信任等级,以展开对整个系统的攻击;如果黑客在被攻击的目标系统上获得了特许访问权,那么他就可以读取邮件,搜索和盗取私人文件,毁坏重要数据以至破坏整个网络系统,那么后果将不堪设想,黑客攻击通常采用以下几种典型的攻击方式:密码破解、IP欺骗(Spoofing)与嗅探(Sniffing),系统漏洞,端口扫描。
(二)网络安全方案分类
通过对网络系统的全面了解,按照网络风险分析结果、安全策略的要求、安全目标及整个网络安全方案的设计原则,整个网络安全措施应按系统整体建立,具体的安全控制系统由以下几个方面组成,保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程,网络结构的安全主要指,网络拓扑结构是否合理;线路是否有冗余:路由是否冗余,防止单点失败等,工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的,对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如UNIX下:/.host、etc/host、passwd、shadow,、group等;WindowsNT下的LMHOST、SAM等)使用权限进行严格限制等等方法。访问控制可以通过如下几个方面来实现,比如制定严格的管理制度,配备相应的安全设备,通过交换机划分VLILN,使用应用代理。数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文,可以选择以下几种方式:链路层加密,网络层加密,入侵检测等,数据保护所包含的内容比较广,除了前面讲过的访问控制和通信保密外,还包括以下几个方面:制定明确的数据保护策略和管理制度保护镱略,可以制定如下管理制度:‘系统信息安全保密等级划分及保护规范、‘数据安全管理办法》、‘上网数据的审批规定》,安全审计主要通过如下几方面实现:制订审计策略和管理制度,使用安全审计设备和软件、网络监视系统等方法,防病毒措施主要包括技术和管理方面,技术上可在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力,在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不至于扩散到其他主机或服务器。管理上应制定一整套有关的规章制度,如:不许使用来历不明的软件或盗版软件,软盘使用前要首先进行杀毒等,只有提高了工作人员的安全意识,并自觉遵守有关规定,才能从根本上防止病毒对网络信息系统的危害,备份恢复,对重要设备系统进行备份。数据备份则主要通过磁盘、磁带、光盘等介质来进行。
三、中小型企业网络安全解决方案分析
(一)中小型企业网络基本情况与应用特点
经过调查研究,从宏观上来看。中小型企业计算机网络的典型应用如下:办公自动化系统;信息查询系统;WWW应用;邮件服务:财务系统;人事、计划系统。
根据中小型企业计算机网络的应用特点,需要保证网络中的数据具有实时性、机密性、安全性、完整性、可用性、不可抵赖性以及可审计性等,又由于公司计算机网络跨越公共网络及与Internet网互联,这就给公司计算机网络带来严峻的安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决,那将会给公司的计算机网络带来严重的安全隐患。
(二)解决方案分析
通过对某中小型企业公司计算机网络结构、网络应用的全面了解,按照安全风险、需求分析结果、安全目标及安全设计原则,本文为某公司计算机网络安全进行规划,构建一个适合于中小型企业公司计算机网络的安全体系。可以根据上述分析,得到某种小型企业的解决方案。这里只给出网路隔离与访问控制解决方案和网络系统安全解决方案的详细分析过程。其余还包括用户与资源管理、网络监控与入侵检测侦测、身份认证、网络病毒解决方案、数据备份与回复、安全管理等方面的问题,参照上述分析可以得出。
对于网路隔离与访问控制解决方案来说,从安全角度来说,是不可以直接与INTERNET公网互联的。从理论上说,只要你的网络直接与INTERNET公网连接,不管采用了什么样的安全产品和安全技术,肯定存在着被黑客攻击的可能性。因此,对此公司计算机网络,从最安全角度来考虑,应该对公司计算机网络内网与公司计算机嗍络外网(接入INTERNET公网部分)之间完全物理隔离,对内部网络中需要上因特网的用户机器安装物理隔离卡,保证内部网络信息不受INTERNET公网用户的攻击。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求,在有可能的情况下。可以利用三层交换机来划分虚拟子网(VLAN)。因为三层交换机具有路由功能,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问,同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。设计方案采用思科公司的专用防火墙产品PIX525和其网管产品SmallNetworkManagementSolutiOil(SNMS),
能够同公司思科网络设备系统有效的集成,并很好地起到网络安全保护作用;整个网的拓扑结构是封闭的,只有唯一的一个出口与防火墙相连。防火墙左侧的网络是在防火墙之外,只有防火墙右侧的网络在防火墙里,防火墙里的server以及其它客户机可以通过NAT协议访问外网,而外网上的客户只能访问到webserver,如果访问内部sever必需经过防火墙静态地址翻译和存取控制表的安全检查,以代理服务的方式连接内部sever,而不能直接与其连接。这样整个内部网的安全可以得到有效保障。对于网络系统安全解决方案来说,系统安全包括网络操作系统安全和应用系统安全,
(1)网络操作系统安全对于网络操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统,并进行必要的安全配置,如:关闭一些并不常用却存在安全隐患的应用、服务及端口。对一些保存有用户信息及其口令的关键文件使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令),并及时给系统打补丁、系统内部的相互调用不对外公开。
(2)应用系统安全,在应用系统安全上,应用服务器尽革不要开放一些没有经常使用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、FTP、TELNET、RLOGlN等服务,还有就是加强登录身份认证,确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。同时还要及时升级各种已经发布的升级补丁程序,减少因为升级过程周期长而带来攻击事件的发生。