论文部分内容阅读
摘 要::企业计算机网络(Intranet)系统的安全将受到越来越多的威胁,企业职员必须进一步提高网络安全意识,高度重视并确保网络的安全、稳定运行。网络中重要数据一旦丢失、损坏或泄露、不能及时送达,都会给企业造成很大的损失、甚至会影响到企业的生存和发展。本文从从网络建设规范性、网络可靠性、网络边界安全性、网络协议安全分析、网络流量分析、网络通信安全、网络安全管理等7个方面对网络架构进行评估,确保网络架构安全。
关键词:Intranet;网络架构;安全评估
在企业信息化建设过程中,必须保证企业网络的安全与稳定,网络是任何信息化建设的基础。然而随着信息技术的发展,企业计算机网络系统的安全将受到更多的威胁,企业领导、技术管理人员和普通工人都必须进一步提高计算机网络安全意识,高度重视,确保网络的安全、稳定运行。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患,一旦丢失、损坏或泄露、不能及时送达,都会给企业造成很大的损失。如果是商业机密信息,给企业造成的损失会更大,甚至会影响到企业的生存和发展。
某央企一直重视网络基础建设,并通过加大投入尽可能采取相关技术手段确保其网络安全,但通过对该公司网络架构安全评估过程中发现仍然存在较多安全缺陷。在更多财力不能充分保障的企业网络中存在的安全威胁可见一斑。
1 Intranet网络架构安全评估方案
根据该公司组织结构和网络系统的特点,采取以顾问访谈、文档分析等方式,辅助安全漏洞扫描、人工安全检查等技术手段,对网络系统各方面的安全状况进行全面考察、充分分析后得到当前网络架构的现状以及评估方案。
1.1网络架构描述
1.1.1网络拓扑图
<E:\123456\速读·上旬201602\Image\image1.jpeg>
图1 网络拓扑图
从安全区域的角度来看,该公司整个网络架构可分为:出口区、DMZ区、内部服务器区以及用户接入区。
1.1.2网络设备清单
[设备名称\&数量\&核心 extreme 6808 交换机\&1\&阿姆瑞特防火墙\&1\&QQview流量控制设备 \&1\&接入交换机\&多台\&]
表1 网络设备清单
1.2网络架构安全评估方案
对该公司网络架构评估从网络建设规范性、网络可靠性、网络边界安全性、网络协议安全分析、网络流量分析、网络通信安全、网络安全管理等7个方面进行全面评估,对存在的安全风险给出了下列相关建议。
1.2.1网络建设规范性
1.2.1.1 IP地址规划
IP地址规划合理,地址分配易于管理,具有连续性。
1.2.1.2网络设备命名
网络设备命名易于识别,但不够规范。
建议采用以下命名方法:AA_xYYYY_zz.其中:AA表示物理位置的全拼;x表示交换机s或路由器r;YYYY表示设备型号;zz表示设备序号,用01、02等表示。
1.2.1.3网络架构
网络架构清晰,层次分明,边界明确。安全边界明确,对敏感系统例如DMZ、财务人事系统同其他系统以防火墙或者划分VLAN的方式进行了有效隔离。VPN用户从外网登录后可以访问整个内网,存在一定的安全隐患。
建议严格限制VPN网段对内网的访问。遵循“缺省关闭,按需求开通”的原则,严格限制VPN网段对内网的访问
1.2.2网络可靠性
1.2.2.1链路可靠性
网通与中电飞华两条互联网链路相互独立,没有充分利用做到链路互备。
建议在防火墙上进行路由设置,实现双链路互备,提高链路可靠性。
1.2.2.2设备可靠性
核心交换机和防火墙没有备份措施,存在单点故障的隐患。
建议增加一台核心交换机和一台防火墙与现网交换机和防火墙组成双机热备的工作模式,增强设备可靠性。
1.2.3网络边界安全性
1.2.3.1防火墙
防火墙配置了严格的访问控制策略,有效保证了内网和DMZ区服务器的安全性。但对互联网开放了radmin、telnet等远程管理服务,存在较大的安全隐患。
建议在防火墙上配置禁止互联网用户访问ramdin、telnet等服务,或者配置只允许可信IP访问。
1.2.3.2内网VLAN划分
核心交换机进行了VLAN 划分,并配置了访问控制列表(ACL)。ACL目前只对财务和人事网段进行了保护,对于客户端访问服务器区没有任何限制措施,部分对外网提供服务的服务器与其他内网服务器在同一VLAN,存在较大的安全隐患,如渗透测试所示,外网攻击者若控制一台外网服务器,就有可能控制整个内网。
建议根据业务需要,配置ACL,严格限制客户端对服务器区的访问;为对外网提供服务的服务器单独划分一个VLAN,并在该VLAN与内网之间部署防火墙,严格限制内外网服务器之间的访问。
1.2.4网络协议安全分析
路由协议:采用高效的静态路由协议和OSPF等动态路由协议相结合,对于目前的网络结构是合理有效的
1.2.5网络流量分析
流量监控、流量分析:部署了QQview对网络中的流量与用户行为进行监测和管理,优化了网络流量。
1.2.6网络通信安全
1.2.6.1入侵检测
没有部署入侵检测设备,在本次的渗透测试过程中,即使测试人员从互联网成功进入了内网,也没有系统对以上攻击行为进行告警。
建议在互联网出口及核心交换机上部署IDS或IPS,监控及阻断来自互联网及内部恶意用户的入侵行为。
1.2.6.2抗拒绝服务
未充分考虑分布式拒绝服务攻击(DDoS)的威胁,缺乏防御日益猖獗的DDoS攻击的有效手段。
建议部署专用的抗拒绝服务设备以增强网络的安全性。
1.2.7网络安全管理
1.2.7.1远程管理
对核心交换机的管理使用的是Telnet明文方式,容易被非法用户窃听、进而获取管理员权限。没有针对Telnet登录IP配置ACL策略,可能导致不可信的IP对设备进行口令猜测、暴力破解。
建议设置Telnet访问控制列表,只允许通过信任IP进行远程管理,使用SSH加密管理方式代替Telnet。
1.2.7.2日志管理
缺乏集中日志分析系统,对设备的访问、常见信息以及异常信息的原始记录,是处理和分析问题的一个重要辅助手段和监控方式。
建议部署集中日志分析系统,协助网络管理员全面、有效地分析网络设备产生的日志。
2 结论
通过对该企业网络系统的全方位调研工作,比较清晰的了解了网络系统的网络现状、业务体系、技术体系等目前的现状,包括现有的安全技术措施和存在的安全问题。根据对网络系统安全状况的分析,结合多年的经验和同类行业组织的管理情况相比较,该公司网络建设比较规范,对外网的防范比较重视,采取了卓有成效的安全措施,有效的提高了网络系统的整体安全水平。但是,该公司网络系统还存在着一些安全隐患和问题,在今后信息安全建设中有待进一步加强,随着今后的安全体系的逐步建立和完善,该公司信息系统安全将达到新的高度。
参考文献:
[1] 袁礼、李平.计算机网络原理与应用.清华大学出版社,2011.2
[2] 程庆梅、徐雪鹏.网络安全工程师.机械工业出版社,2012.7
作者简介:
杨楚华(1973~),男,讲师,从事网络安全研究。
关键词:Intranet;网络架构;安全评估
在企业信息化建设过程中,必须保证企业网络的安全与稳定,网络是任何信息化建设的基础。然而随着信息技术的发展,企业计算机网络系统的安全将受到更多的威胁,企业领导、技术管理人员和普通工人都必须进一步提高计算机网络安全意识,高度重视,确保网络的安全、稳定运行。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患,一旦丢失、损坏或泄露、不能及时送达,都会给企业造成很大的损失。如果是商业机密信息,给企业造成的损失会更大,甚至会影响到企业的生存和发展。
某央企一直重视网络基础建设,并通过加大投入尽可能采取相关技术手段确保其网络安全,但通过对该公司网络架构安全评估过程中发现仍然存在较多安全缺陷。在更多财力不能充分保障的企业网络中存在的安全威胁可见一斑。
1 Intranet网络架构安全评估方案
根据该公司组织结构和网络系统的特点,采取以顾问访谈、文档分析等方式,辅助安全漏洞扫描、人工安全检查等技术手段,对网络系统各方面的安全状况进行全面考察、充分分析后得到当前网络架构的现状以及评估方案。
1.1网络架构描述
1.1.1网络拓扑图
<E:\123456\速读·上旬201602\Image\image1.jpeg>
图1 网络拓扑图
从安全区域的角度来看,该公司整个网络架构可分为:出口区、DMZ区、内部服务器区以及用户接入区。
1.1.2网络设备清单
[设备名称\&数量\&核心 extreme 6808 交换机\&1\&阿姆瑞特防火墙\&1\&QQview流量控制设备 \&1\&接入交换机\&多台\&]
表1 网络设备清单
1.2网络架构安全评估方案
对该公司网络架构评估从网络建设规范性、网络可靠性、网络边界安全性、网络协议安全分析、网络流量分析、网络通信安全、网络安全管理等7个方面进行全面评估,对存在的安全风险给出了下列相关建议。
1.2.1网络建设规范性
1.2.1.1 IP地址规划
IP地址规划合理,地址分配易于管理,具有连续性。
1.2.1.2网络设备命名
网络设备命名易于识别,但不够规范。
建议采用以下命名方法:AA_xYYYY_zz.其中:AA表示物理位置的全拼;x表示交换机s或路由器r;YYYY表示设备型号;zz表示设备序号,用01、02等表示。
1.2.1.3网络架构
网络架构清晰,层次分明,边界明确。安全边界明确,对敏感系统例如DMZ、财务人事系统同其他系统以防火墙或者划分VLAN的方式进行了有效隔离。VPN用户从外网登录后可以访问整个内网,存在一定的安全隐患。
建议严格限制VPN网段对内网的访问。遵循“缺省关闭,按需求开通”的原则,严格限制VPN网段对内网的访问
1.2.2网络可靠性
1.2.2.1链路可靠性
网通与中电飞华两条互联网链路相互独立,没有充分利用做到链路互备。
建议在防火墙上进行路由设置,实现双链路互备,提高链路可靠性。
1.2.2.2设备可靠性
核心交换机和防火墙没有备份措施,存在单点故障的隐患。
建议增加一台核心交换机和一台防火墙与现网交换机和防火墙组成双机热备的工作模式,增强设备可靠性。
1.2.3网络边界安全性
1.2.3.1防火墙
防火墙配置了严格的访问控制策略,有效保证了内网和DMZ区服务器的安全性。但对互联网开放了radmin、telnet等远程管理服务,存在较大的安全隐患。
建议在防火墙上配置禁止互联网用户访问ramdin、telnet等服务,或者配置只允许可信IP访问。
1.2.3.2内网VLAN划分
核心交换机进行了VLAN 划分,并配置了访问控制列表(ACL)。ACL目前只对财务和人事网段进行了保护,对于客户端访问服务器区没有任何限制措施,部分对外网提供服务的服务器与其他内网服务器在同一VLAN,存在较大的安全隐患,如渗透测试所示,外网攻击者若控制一台外网服务器,就有可能控制整个内网。
建议根据业务需要,配置ACL,严格限制客户端对服务器区的访问;为对外网提供服务的服务器单独划分一个VLAN,并在该VLAN与内网之间部署防火墙,严格限制内外网服务器之间的访问。
1.2.4网络协议安全分析
路由协议:采用高效的静态路由协议和OSPF等动态路由协议相结合,对于目前的网络结构是合理有效的
1.2.5网络流量分析
流量监控、流量分析:部署了QQview对网络中的流量与用户行为进行监测和管理,优化了网络流量。
1.2.6网络通信安全
1.2.6.1入侵检测
没有部署入侵检测设备,在本次的渗透测试过程中,即使测试人员从互联网成功进入了内网,也没有系统对以上攻击行为进行告警。
建议在互联网出口及核心交换机上部署IDS或IPS,监控及阻断来自互联网及内部恶意用户的入侵行为。
1.2.6.2抗拒绝服务
未充分考虑分布式拒绝服务攻击(DDoS)的威胁,缺乏防御日益猖獗的DDoS攻击的有效手段。
建议部署专用的抗拒绝服务设备以增强网络的安全性。
1.2.7网络安全管理
1.2.7.1远程管理
对核心交换机的管理使用的是Telnet明文方式,容易被非法用户窃听、进而获取管理员权限。没有针对Telnet登录IP配置ACL策略,可能导致不可信的IP对设备进行口令猜测、暴力破解。
建议设置Telnet访问控制列表,只允许通过信任IP进行远程管理,使用SSH加密管理方式代替Telnet。
1.2.7.2日志管理
缺乏集中日志分析系统,对设备的访问、常见信息以及异常信息的原始记录,是处理和分析问题的一个重要辅助手段和监控方式。
建议部署集中日志分析系统,协助网络管理员全面、有效地分析网络设备产生的日志。
2 结论
通过对该企业网络系统的全方位调研工作,比较清晰的了解了网络系统的网络现状、业务体系、技术体系等目前的现状,包括现有的安全技术措施和存在的安全问题。根据对网络系统安全状况的分析,结合多年的经验和同类行业组织的管理情况相比较,该公司网络建设比较规范,对外网的防范比较重视,采取了卓有成效的安全措施,有效的提高了网络系统的整体安全水平。但是,该公司网络系统还存在着一些安全隐患和问题,在今后信息安全建设中有待进一步加强,随着今后的安全体系的逐步建立和完善,该公司信息系统安全将达到新的高度。
参考文献:
[1] 袁礼、李平.计算机网络原理与应用.清华大学出版社,2011.2
[2] 程庆梅、徐雪鹏.网络安全工程师.机械工业出版社,2012.7
作者简介:
杨楚华(1973~),男,讲师,从事网络安全研究。