论文部分内容阅读
摘要:本文将借助省级创新项目《企业网络的搭建及安全策略的研究部署与实验》的研究,从企业网络安全拓展到整个网络,对网络安全的现状及如何提高企业网络的安全提出可行的建设性思维。依托信息安全企业的产品,如防火墙、Web应用防火墙、上网行为管理、安全审计系统等解决常见的网络安全威胁。
关键词:网络安全;防火墙;入侵防御系统;安全审计
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2013) 06-0000-02
1引言
随着信息化的高速发展,信息化进程的深入和网络的迅速发展,企业对于网络信息的依赖与日俱增,一个企业的信息化程度决定着企业的发展前景,而人们的工作、学习和生活也越来越依赖网络,并达到了前所未有的依赖程度,在我们享受网络所带来便利的同时,也必须认识到紧随网络发展而来的安全问题[1]。网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题,其重要性正随着全球信息化步伐的加快而变得越来越重要。
2网络安全的风险
事物的发展都有两面性,同样网络技术也不例外。网络技术的迅速发展和广泛应用,犹如一把双刃剑,在造福人类的同时,也为很多不法分子提供了高超的技术支持和广阔的作案空间,产生了许多令人心忧的安全问题[2]。究其原因,主要存在以下几个方面:
2.1计算机软硬件功能不完善
由于人类认知能力和技术发展的局限性,在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成安全隐患。如Internet作为全球使用最广的网络,自身协议的开放性虽极大地方便了计算机之间的通信,拓宽了资源共享,但TCP/IP协议建立之初并没有太多地考虑安全问题,没有完善的内置安全机制,现有的安全技术都是以修修补补的形式增加进来的。因此难免会出现安全漏洞[3],带来巨大的安全隐患。
2.2内部网络的安全隐患
(1)内外网计算机的交叉使用;(2)内部IP地址冲突;(3)随意安装、使用可移动存储设备;(4)服务器区域没有进行独立的隔离保护;(5)内部人员恶意攻击。
2.3网络安全技术整体滞后于网络技术的发展
网络技术的发展可谓是日新月异,新技术、新产品层出不穷,世界各国及一些大的跨国公司都在这方面投入了大量的物力和财力,但对于产品本身的安全性技术而言,收效甚微,部分产品甚至还在延续第一代的安全技术。以思科公司产品为例,其低端路由产品从2800系列到高端的12000系列,数据吞吐能力及数据交换能力提高十分显著,但加密算法却没有变化,基本上没有任何改进。
2.4用户缺乏安全意识或操作失误
在一个安全性设计充分的网络系统中,由于用户缺乏安全意识,会给网络系统带来安全隐患,使网络安全机制形同虚设。如网络管理员或网络用户对网络安全配置不当、没有及时下载补丁升级系统或未安装防病毒软件等等都将直接给网络系统带来安全隐患。
3网络安全的应对策略
网络安全是一个复杂的系统工程,需要全方位的防范。它不仅涉及到技术、设备、人员管理等范畴,还要以法律法规作保证。只有这样才能使网络系统避免来自各个方面的威胁及破坏,从而使网络系统的安全得到保障[4]。下面将依据我们的实验研究和现网调研、到网络安全公司实习等多维度的调研行动,对常见的网络安全问题提出以下几点可实施的方案:
3.1防火墙
防火墙是部署在企业网络边界,主要解决访问控制问题。
3.1.1防火墙的工作模式
现网中的防火墙一般可以支持路由模式、网桥模式(相当于二层设备)、混合模式等[5]。采用什么样的模式部署防火墙得根据具体的网络环境而定。比如,(1)某企业网,网络环境较复杂,如果部署路由模式的话需要对网络做很大的修改,需要改大部分的内网IP,路由,甚至要重新规划分配IP地址等。所以,如果是这样的网络环境的话,建议采用网桥模式。(2)如果在网关和内网核心间是使用30位掩码的IP地址,则加入链路中间的防火墙无IP地址可以使用,在这种情况下也建议使用网桥模式。(3)使用路由模式的防火墙具有路由功能,当建设一个新的网络且IP充足的情况下建议使用路由模式,也可以直接替换掉边界的路由器,让防火墙充当访问控制和路由功能。(4)也可以使用混合模式,即内网接口使用路由模式,外网口和DMZ(服务器区)两个接口使用网桥模式,此时的服务器必须使用公网IP。
3.1.2防火墙能够实现的功能
(1)做IP数据包过滤规则:比如,允许外网口的IP访问DMZ,拒绝外网口的IP访问内网。这样,既可以达到开放服务器,又可以保护内网。(2)WEB高级过滤:可以预防SQL攻击。比如内网有一服务器,域名是www.test.net,则在WEB高级过滤规则中,选定源地址是外网口地址,URL写www.test.net/default.aspx?~动作写拒绝。这样就可以防止带有“~”符号的SQL攻击。(3)NAT功能:此项功能是针对使用路由模式的部署方式。可以实现多对一的转换。其中又有,目的地址转换和源地址转换两个配置子项,保证内网与外网的数据交换。(4)VPN功能的实现:为了实现总公司与分部之间的网络互连,为了完成此项功能,需要在VPN的两端分别配置接口管理、节点管理、隧道管理。配置完成后会显示VPN的状态,并显示VPN连接成功。
3.2WEB应用防火墙
传统防火墙只能对第三、四层上实现访问控制,对于应用层的数据虽支持但是效果并不理想。此时可以选择性能较强的WEB应用防火墙来弥补传统防火墙的不足。例如一个常见的功能为了控制内网用户访问互联网的时间:首先定义一个时间域,上班时间(上午、8:30—11:30;下午、14:00—17:30);再新建一个访问控制规则:源地址是内网;目的地址是外网;动作是拒绝;时间选上班时间。
3.3安全审计系统
安全审计系统使用旁路部署模式,对访问服务器、数据库的操作进行审计。保证服务器的安全,对于后期的数据审计有相当大的作用。使得系统出错有地方可查询。并最终找到问题的症结。
3.4入侵防御系统(IPS)
入侵防御系统通过设定病毒库,对数据包进行深层分析,将数据包与病毒库的内容进行比对;如果IPS检测到数据包与病毒库里的病毒特征相似,则对数据包实行相应的措施;比如,直接丢弃该数据包。
3.5安全加固数据库服务器
一旦在网络中部署了以上安全设备,可以说是“相对”安全的网络系统。但是由于网络管理还不够规范,仍然会导致信息泄密或者内部攻击,所以部署了网络安全设备后还应该对数据库、服务器等设备进行安全加固。例如设置访问账户的权限、密码的长度和复杂度等。
4总结
通过对企业网络安全策略的部署与研究,我们更加清晰地认识到由于互联网络的开放性和通信协议存在的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击等后果的严重性。因此建立有效的网络安全防范体系就更为迫切。实际上,保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,才能做到有的放矢。针对社会信息化进程的快速发展,网络安全威胁呈现出了一些新的发展趋势,网络安全的研究任务任重而道远。
参考文献:
[1]石志国.计算机网络安全教程[M].北京:清华大学出版社,2004:35-40.
[2]WilliamStallings著,白国强等译.网络安全基础应用于标准[M].北京:清华大学出版社,2010:134-139.
[3]于清丰.企业一体化防御体系研究[J].计算机安全,2010(12):38-41.
[4]闫海英,黄波.网络安全现状分析及应对策略探讨[J].中国信息技术与应用学术论坛论文集,2009,35(4):138-143.
[5]张瑞.计算机网络安全与防火墙技术分析[J].电脑知识与技术,2012(24):68-71.
[作者简介]王炅(1980-),男,江西九江市人,讲师,硕士,研究方向:移动自组织网络、下一代互联网。
基金项目:1.福建省教育厅科技项目(JB12159);2.福建省大学生创新项目(MJW201241004);3.闽江学院科技育苗项目(YKY12006)。
关键词:网络安全;防火墙;入侵防御系统;安全审计
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2013) 06-0000-02
1引言
随着信息化的高速发展,信息化进程的深入和网络的迅速发展,企业对于网络信息的依赖与日俱增,一个企业的信息化程度决定着企业的发展前景,而人们的工作、学习和生活也越来越依赖网络,并达到了前所未有的依赖程度,在我们享受网络所带来便利的同时,也必须认识到紧随网络发展而来的安全问题[1]。网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题,其重要性正随着全球信息化步伐的加快而变得越来越重要。
2网络安全的风险
事物的发展都有两面性,同样网络技术也不例外。网络技术的迅速发展和广泛应用,犹如一把双刃剑,在造福人类的同时,也为很多不法分子提供了高超的技术支持和广阔的作案空间,产生了许多令人心忧的安全问题[2]。究其原因,主要存在以下几个方面:
2.1计算机软硬件功能不完善
由于人类认知能力和技术发展的局限性,在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成安全隐患。如Internet作为全球使用最广的网络,自身协议的开放性虽极大地方便了计算机之间的通信,拓宽了资源共享,但TCP/IP协议建立之初并没有太多地考虑安全问题,没有完善的内置安全机制,现有的安全技术都是以修修补补的形式增加进来的。因此难免会出现安全漏洞[3],带来巨大的安全隐患。
2.2内部网络的安全隐患
(1)内外网计算机的交叉使用;(2)内部IP地址冲突;(3)随意安装、使用可移动存储设备;(4)服务器区域没有进行独立的隔离保护;(5)内部人员恶意攻击。
2.3网络安全技术整体滞后于网络技术的发展
网络技术的发展可谓是日新月异,新技术、新产品层出不穷,世界各国及一些大的跨国公司都在这方面投入了大量的物力和财力,但对于产品本身的安全性技术而言,收效甚微,部分产品甚至还在延续第一代的安全技术。以思科公司产品为例,其低端路由产品从2800系列到高端的12000系列,数据吞吐能力及数据交换能力提高十分显著,但加密算法却没有变化,基本上没有任何改进。
2.4用户缺乏安全意识或操作失误
在一个安全性设计充分的网络系统中,由于用户缺乏安全意识,会给网络系统带来安全隐患,使网络安全机制形同虚设。如网络管理员或网络用户对网络安全配置不当、没有及时下载补丁升级系统或未安装防病毒软件等等都将直接给网络系统带来安全隐患。
3网络安全的应对策略
网络安全是一个复杂的系统工程,需要全方位的防范。它不仅涉及到技术、设备、人员管理等范畴,还要以法律法规作保证。只有这样才能使网络系统避免来自各个方面的威胁及破坏,从而使网络系统的安全得到保障[4]。下面将依据我们的实验研究和现网调研、到网络安全公司实习等多维度的调研行动,对常见的网络安全问题提出以下几点可实施的方案:
3.1防火墙
防火墙是部署在企业网络边界,主要解决访问控制问题。
3.1.1防火墙的工作模式
现网中的防火墙一般可以支持路由模式、网桥模式(相当于二层设备)、混合模式等[5]。采用什么样的模式部署防火墙得根据具体的网络环境而定。比如,(1)某企业网,网络环境较复杂,如果部署路由模式的话需要对网络做很大的修改,需要改大部分的内网IP,路由,甚至要重新规划分配IP地址等。所以,如果是这样的网络环境的话,建议采用网桥模式。(2)如果在网关和内网核心间是使用30位掩码的IP地址,则加入链路中间的防火墙无IP地址可以使用,在这种情况下也建议使用网桥模式。(3)使用路由模式的防火墙具有路由功能,当建设一个新的网络且IP充足的情况下建议使用路由模式,也可以直接替换掉边界的路由器,让防火墙充当访问控制和路由功能。(4)也可以使用混合模式,即内网接口使用路由模式,外网口和DMZ(服务器区)两个接口使用网桥模式,此时的服务器必须使用公网IP。
3.1.2防火墙能够实现的功能
(1)做IP数据包过滤规则:比如,允许外网口的IP访问DMZ,拒绝外网口的IP访问内网。这样,既可以达到开放服务器,又可以保护内网。(2)WEB高级过滤:可以预防SQL攻击。比如内网有一服务器,域名是www.test.net,则在WEB高级过滤规则中,选定源地址是外网口地址,URL写www.test.net/default.aspx?~动作写拒绝。这样就可以防止带有“~”符号的SQL攻击。(3)NAT功能:此项功能是针对使用路由模式的部署方式。可以实现多对一的转换。其中又有,目的地址转换和源地址转换两个配置子项,保证内网与外网的数据交换。(4)VPN功能的实现:为了实现总公司与分部之间的网络互连,为了完成此项功能,需要在VPN的两端分别配置接口管理、节点管理、隧道管理。配置完成后会显示VPN的状态,并显示VPN连接成功。
3.2WEB应用防火墙
传统防火墙只能对第三、四层上实现访问控制,对于应用层的数据虽支持但是效果并不理想。此时可以选择性能较强的WEB应用防火墙来弥补传统防火墙的不足。例如一个常见的功能为了控制内网用户访问互联网的时间:首先定义一个时间域,上班时间(上午、8:30—11:30;下午、14:00—17:30);再新建一个访问控制规则:源地址是内网;目的地址是外网;动作是拒绝;时间选上班时间。
3.3安全审计系统
安全审计系统使用旁路部署模式,对访问服务器、数据库的操作进行审计。保证服务器的安全,对于后期的数据审计有相当大的作用。使得系统出错有地方可查询。并最终找到问题的症结。
3.4入侵防御系统(IPS)
入侵防御系统通过设定病毒库,对数据包进行深层分析,将数据包与病毒库的内容进行比对;如果IPS检测到数据包与病毒库里的病毒特征相似,则对数据包实行相应的措施;比如,直接丢弃该数据包。
3.5安全加固数据库服务器
一旦在网络中部署了以上安全设备,可以说是“相对”安全的网络系统。但是由于网络管理还不够规范,仍然会导致信息泄密或者内部攻击,所以部署了网络安全设备后还应该对数据库、服务器等设备进行安全加固。例如设置访问账户的权限、密码的长度和复杂度等。
4总结
通过对企业网络安全策略的部署与研究,我们更加清晰地认识到由于互联网络的开放性和通信协议存在的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击等后果的严重性。因此建立有效的网络安全防范体系就更为迫切。实际上,保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,才能做到有的放矢。针对社会信息化进程的快速发展,网络安全威胁呈现出了一些新的发展趋势,网络安全的研究任务任重而道远。
参考文献:
[1]石志国.计算机网络安全教程[M].北京:清华大学出版社,2004:35-40.
[2]WilliamStallings著,白国强等译.网络安全基础应用于标准[M].北京:清华大学出版社,2010:134-139.
[3]于清丰.企业一体化防御体系研究[J].计算机安全,2010(12):38-41.
[4]闫海英,黄波.网络安全现状分析及应对策略探讨[J].中国信息技术与应用学术论坛论文集,2009,35(4):138-143.
[5]张瑞.计算机网络安全与防火墙技术分析[J].电脑知识与技术,2012(24):68-71.
[作者简介]王炅(1980-),男,江西九江市人,讲师,硕士,研究方向:移动自组织网络、下一代互联网。
基金项目:1.福建省教育厅科技项目(JB12159);2.福建省大学生创新项目(MJW201241004);3.闽江学院科技育苗项目(YKY12006)。