企業網絡安全需求與網絡安全方案探討
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了企業網絡安全需求與網絡安全方案探討范文,希望能給你帶來靈感和參考,敬請閱讀。
1企業網絡安全需求分析
1.1網絡安全概念及特征
網絡安全是指為防范網絡攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網絡穩定、安全地運行。其主要特征是保證網絡信息的完整性、可用性和機密性[2]。
1.2企業網絡安全面臨的主要問題
企業網絡安全面臨的問題歸納如下:(1)網絡安全目標不明確。雖然《網絡安全法》已于2017年6月1日起施行,但企業對網絡安全的重要性依然認識不足,缺乏網絡安全規劃,沒有明確的網絡安全目標[3]。(2)網絡安全意識不足。從企業的決策者到普通員工并沒有充分意識到網絡安全的重要性,企業網絡安全存在很大隱患。(3)網絡安全設施不健全。無論大型企業,還是中小企業,都存在網絡安全基礎設施投入不足的問題,以致設施陳舊、不完整,面對外部攻擊和各種漏洞很容易發生信息丟失、泄露、竊用等現象。(4)缺乏完整的網絡安全解決方案。企業網絡安全防護呈現碎片化、分散化等特點[4],缺乏系統性、協同性、靈活性,面對萬物互聯和更高級的威脅,傳統防護手段捉襟見肘、防不勝防[5]。
1.3企業網絡安全需求
企業因網絡安全需要而產生的要求即為企業網絡安全需求,這是由企業內部網絡因素與外部網絡形勢共同決定的,內外都不會一成不變,所以企業網絡安全需求是一個動態過程,具有時效性。基于此,要準確把握企業網絡安全需求,必須對企業網絡安全現狀進行調查分析,一般而言,企業網絡安全主要包括內網安全、邊界安全及文件傳輸安全等方面[6],具體體現在以下幾個方面:(1)網絡安全策略需求。安全策略的有效性、完整性和實用性是企業網絡安全的一個重要需求。目前的企業網絡安全策略文檔過于簡單,而且沒有形成完整的體系,對企業網絡安全的指導性不足。(2)網絡安全組織需求。企業應建立結構完整、職能清晰的網絡安全組織機構,負責企業網絡安全策略制定、網絡安全培訓、網絡安全運行管理等。(3)網絡安全運行管理需求。企業應建立科學高效的運行管理體系,采用實用的運行管理方法,對服務器安全、網絡訪問可控性、網絡監控等進行管理。
2企業網絡安全解決方案
2.1企業網絡安全方案設計原則
網絡安全方案的設計原則旨在指導企業科學合理地設計網絡安全方案,避免失于偏頗和“詞不達意”,設計原則可以有很多,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。(2)簡單適用原則。過于復雜的方案漏洞多,本身就不安全。(3)系統性原則。企業網絡安全面對的威脅是多方面的,只專注于一點無法保障網絡安全。(4)需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學會取舍,平衡風險與代價。(5)可維護性原則。沒有任何系統可以做到無懈可擊,要做到能隨時調整、升級、擴充。(6)技術與管理相結合原則。在改善安全技術的同時也要加強管理,減少管理漏洞,對于復雜的安全形勢,要多做預案,提前防范突發事件。
2.2企業網絡安全解決方案
2.2.1網絡分域防護方案網絡分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網絡邊界、分級防護等。從企業網絡安全需求及特點出發,將網絡組織架構從邏輯上分為互聯網域、服務區域、外聯域和內網核心區域,如圖1所示。互聯網域接入互聯網服務,服務區域即企業服務器放置區域,外聯域接入分公司區域,內網核心區域是指企業內部網絡互聯的核心設備區域。如此劃分的目的是保證具有相同防護需求的網絡及系統處于同一安全子域內,便于各個安全子域內部署相應等級的防護策略。2.2.2部署安全網關方案在外網與內網之間設置安全網關(如圖1所示),作為企業網絡系統的物理屏障,以保護內網安全。安全網關不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設備。該設備運用統一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護策略整合到統一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網絡技術組成。UTM在硬件上可以采用X86、ASIC、NP架構中的一種,X86架構適于百兆網絡,若是千兆網絡應采用ASIC架構或NP架構。在升級、維護及開發周期方面,NP架構比ASIC架構更有優勢。UTM軟件上可以集成防病毒、入侵檢測、內容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現特征庫統一和效率提升。UTM管理結構基于管理分層、功能分級思想,包含集中管理與單機管理的雙重管理機制,實現功能設置管理和數據分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(intrusionpreventionsystem)的英文縮寫,用于監視網絡或網絡設備上的數據傳輸,發現異常數據可以即時中斷傳輸或進行隔離,先于攻擊達成實現防護,與防火墻功能上互補,并支持串行接入模式,采用基于策略的防護方式,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區域與內網核心區域之間,或核心交換機與內部服務器之間(如圖1所示),可實時監測外部數據向內部服務器的傳輸過程,發現入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(intrusiondetectionsystem)的英文縮寫,能對網絡數據傳輸實時監視,發現可疑報警或采取其他主動反應措施,屬于監聽設備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機上,對進出內網與內部服務器的數據進行監測,如圖1所示。
2.2.4部署漏洞掃描系統方案漏洞掃描是基于漏洞數據庫,通過掃描檢測遠程系統或本地系統漏洞行為,與防火墻、IDS配合以提高網絡安全性,掃描對象包括網絡、主機和數據庫。漏洞掃描運用的技術有主機在線掃描、端口掃描、操作系統識別、漏洞監測數據采集、智能端口識別、多重服務檢測、系統滲透掃描等。漏洞掃描系統部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網絡結構,例如電子商務、中小企業等;后者適于復雜、分布點多、數據相對分散的網絡結構,例如政府、電力行業、金融行業、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統方案。
2.2.5部署網絡安全審計系統網絡安全審計是指基于設定的安全策略,實時跟蹤記錄網絡動態,查找入侵和違規訪問受保護資源的行為,為網絡安全管理提供入侵或違規訪問的證據。根據審計對象,網絡安全審計分為主機審計、設備審計、網絡審計、數據庫審計、用戶行為審計、終端審計等類型。網絡安全審計系統功能包括信息采集、信息分析、信息存儲、信息展示、自身安全性、可審計性等。根據部署方式,安全審計系統分為集中部署和分布式部署。集中部署方式同漏洞掃描系統,可布置在核心交換機上。
2.2.6網絡安全管理方案網絡安全管理的原則是職責分離和責任關聯。職責分離是指參與信息處理系統的人,不能從事本職工作以外與安全相關的工作,例如系統開發、機密文件傳送等。責任關聯是指與安全相關的活動需多人在場,而且一個人也不能長期擔任與安全相關的職務,需強制輪換和輪流培訓。最重要的環節是建立健全安全管理制度,包括設備安全管理制度、軟件安全管理制度、數據安全管理制度、網絡信息安全管理制度、病毒防護管理制度、下載安全管理制度等。其次,加強人員安全管理,包括加強網絡安全教育、開展網絡安全技能培訓、不斷更新升級安全技術等。
參考文獻
[1]屈正庚,呂鵬.中小型企業網絡安全方案的設計[J].太赫茲科學與電子信息學報,2019,17(1):158-161.
[2]趙俊.工業4.0時代企業網絡安全系統的研究與設計[D].徐州:中國礦業大學,2019:6-18.
[3]郭磊.中央企業網絡安全風險分析和對策[J].上海船舶運輸科學研究所學報,2019,42(3):56-61.
[4]黃仁亮,李瑞.中央企業網絡安全整體保障解決方案[J].信息技術與標準化,2019(9):11-14.
[5]周鴻祎.打造萬物互聯時代應對網絡安全新挑戰的國之重器[J].網信軍民融合,2019(10):47-49.
[6]李東儒.中小型企業網絡安全策略的設計與實現[D].沈陽:沈陽理工大學,2018:18-21.
作者:張偉宏 黃麟 陳媛 單位:云南電網有限責任公司大理供電局
