淺析如何加強中小型企業網絡安全建設 下篇
中小型企業網絡安全解決方案分析
(一)中小型企業網絡基本情況與應用特點
經過調查研究,從宏觀上來看。中小型企業計算機網絡的典型應用如下:辦公自動化系統;信息查詢系統;WWW應用;郵件服務:財務系統;人事、計劃系統。
根據中小型企業計算機網絡的應用特點,需要保證網絡中的數據具有實時性、機密性、安全性、完整性、可用性、不可抵賴性以及可審計性等,又由于公司計算機網絡跨越公共網絡及與Internet網互聯,這就給公司計算機網絡帶來嚴峻的安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決,那將會給公司的計算機網絡帶來嚴重的安全隱患。
(二)解決方案分析
通過對某中小型企業公司計算機網絡結構、網絡應用的全面了解,按照安全風險、需求分析結果、安全目標及安全設計原則,本文為某公司計算機網絡安全進行規劃,構建一個適合于中小型企業公司計算機網絡的安全體系。可以根據上述分析,得到某種小型企業的解決方案。這里只給出網路隔離與訪問控制解決方案和網絡系統安全解決方案的詳細分析過程。其余還包括用戶與資源管理、網絡監控與入侵檢測偵測、身份認證、網絡病毒解決方案、數據備份與回復、安全管理等方面的問題,參照上述分析可以得出。
對于網路隔離與訪問控制解決方案來說,從安全角度來說,是不可以直接與INTERNET公網互聯的。從理論上說,只要你的網絡直接與INTERNET公網連接,不管采用了什么樣的安全產品和安全技術,肯定存在著被黑客攻擊的可能性。因此,對此公司計算機網絡,從最安全角度來考慮,應該對公司計算機網絡內網與公司計算機嗍絡外網(接入INTERNET公網部分)之間完全物理隔離,對內部網絡中需要上因特網的用戶機器安裝物理隔離卡,保證內部網絡信息不受INTERNET公網用戶的攻擊。
內部辦公自動化網絡根據不同用戶安全級別或者根據不同部門的安全訪問需求,在有可能的情況下。可以利用三層交換機來劃分虛擬子網(VLAN)。因為三層交換機具有路由功能,在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問,同時通過在不同VLAN間做限制來實現不同資源的訪問控制。通過虛擬子網的劃分,既方便局域網絡的互聯,又能夠實現訪問控制。設計方案采用思科公司的專用防火墻產品PIX 525和其網管產品Small Network Management SolutiOil(SNMS),
能夠同公司思科網絡設備系統有效的集成,并很好地起到網絡安全保護作用;整個網的拓撲結構是封閉的,只有唯一的一個出口與防火墻相連。防火墻左側的網絡是在防火墻之外,只有防火墻右側的網絡在防火墻里,防火墻里的server以及其它客戶機可以通過NAT協議訪問外網,而外網上的客戶只能訪問到web server,如果訪問內部sever必需經過防火墻靜態地址翻譯和存取控制表的安全檢查,以代理服務的方式連接內部sever,而不能直接與其連接。這樣整個內部網的安全可以得到有效保障。對于網絡系統安全解決方案來說,系統安全包括網絡操作系統安全和應用系統安全,
(1)網絡操作系統安全對于網絡操作系統的安全防范可以采取如下策略:盡量采用安全性較高的網絡操作系統,并進行必要的安全配置,如:關閉一些并不常用卻存在安全隱患的應用、服務及端口。對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制;加強口令字的使用(增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令),并及時給系統打補丁、系統內部的相互調用不對外公開。
(2)應用系統安全,在應用系統安全上,應用服務器盡革不要開放一些沒有經常使用的協議及協議端口號。如文件服務、電子郵件服務器等應用系統,可以關閉服務器上如HTTP、FTP、TELNET、RLOGlN等服務,還有就是加強登錄身份認證,確保用戶使用的合法性;并嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。同時還要及時升級各種已經發布的升級補丁程序,減少因為升級過程周期長而帶來攻擊事件的發生。
【編輯推薦】
