構建企業計算機網絡安全防御體系的組成部分
企業計算機網絡安全防御體系的組成部分如下所述:
目前,雖然企業計算機網絡的生產網和辦公網之間有防火墻的隔離,但是二者交換數據時并沒有進行IP 轉換,從本質上來說,二者都屬于統一網絡,所以我們這里將因此把生產網安全域和辦公網安全域都稱為內部安全域。每一個內部安全域都配有一套完整的平臺,部署在辦公網,該平臺負責用戶管理和辦公網與生產網認證授權,外網平臺負責對外部用戶的身份認證和授權。
1 路由器
架構網絡的第一層設備就是路由器,它也是網絡入侵者攻擊的首要目標,因此路由器有必要設置一定的過濾規則,濾掉被屏蔽的IP 地址和服務。
2 防火墻
剛才我們在上文中已經介紹過防火墻了。其執行一種訪問控制尺度,可以通過設置,分出可訪問的IP地址和數據和不可訪問的IP地址和數據,可訪問的IP和數據進入防火墻的內部網絡,同時將禁止的用戶與數據拒絕,它可以最大限度地阻止網絡入侵者訪問自己的網絡,并防止對內網信息和數據進行訪問、修改和刪除。所以,防火墻是一種得到廣泛應用且公認安全高效的的網絡安全手段,是保證網絡安全的最重要的環節之一。
3 入侵監測系統
在計算機網絡的關鍵部位安裝網絡入侵檢測系統(IDS),可以對網絡和信息系統訪問的異常行為進行實時監測和報警。IDS可以監測網絡上所有的包(packets),捕捉危險或有惡意的動作,并及時發出報警信息。
入侵監測系統可以按照用戶指定的規則對端口進行監測、掃描。立體安全防御體系中普遍采用入侵監測系統,以識別防火墻不能識別的攻擊,如來自企業計算機網絡內部的攻擊。目前,入侵檢測系統被認為是對防火墻的必要補充,可對網絡資源進行實時監測,及時發現入侵者,防治合法用戶對資源的錯誤操作,與其他安全產品一起構筑立體的安全防御體系。
4 物理隔離與信息交換系統
物理隔離與信息交換系統又稱網閘,是運用物理隔離網絡安全技術設計的安全隔離系統。當企業計算機網絡內部的生產系統因為信息化建設過程中對外網訪問的需求而影響內部網絡系統的安全性及可用性時,物理隔離與信息交換系統能夠對內部網絡與不可信網絡進行物理隔斷,可以及時阻止各種已知和未知的網絡層和操作系統層攻擊,它提供的安全性能比防火墻、入侵檢測系統等技術更好,既保證了物理的隔離,又實現了在線實時訪問不可信網絡所必需的數據交換。
5 交換機
局域網通常采用以交換機為中心、路由器為邊界的網絡格局。交換機是該格局的核心,其最關鍵的工作是實現訪問控制功能和3 層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL 來實現用戶對數據包按照源和目的地址、協議、源和目的端口等各項的不同要求進行篩選和過濾。
6 應用系統的認證和授權支持
建立應用系統能夠提升支撐平臺的安全性,應用系統的保護功能包括以下幾個方面:
①應用系統網絡訪問漏洞控制。應用系統要求軟件按照安全軟件標準開發,在輸入級、對話路徑級和事務處理級做到安全無漏洞;集成的系統必須具有良好的自我恢復能力,避免內部生產網中的系統因受攻擊而導致癱瘓、數據破壞或丟失。
②數字簽名與認證。應用系統須利用CA 提供的數字證書進行應用級的身份認證,對文件和數據進行數字簽名和認證,保證文件和數據的完整性以及防止源發送者抵賴。
③數據加密。對重要的數據進行加密存儲。
7 操作系統的安全
將所有不使用的服務和端口關閉,并將不使用的磁盤文件清除,建立一個內部網操作系統漏洞管理服務器,提供對官方補丁下載,以保證操作系統的安全性。
8 病毒防護
將系統診斷工具(如360)與網絡版的殺毒軟件(如NOD)相結合,可以構成比較完整的病毒防護體系,能夠有效地防控病毒的傳播,保證網絡運行的安全性和穩定性。
9 網絡隔離度保障
對未經過安全過濾和檢查就違規接入內部網的移動設備(筆記本電腦等)和新增設備進行監控;對內部網中繞過防火墻的計算機或其他設備,違規接入網絡的行為進行監測;對物理隔離的網絡內部設備違規接入因特網的行為進行監控;對違反規定將專網專用的計算機帶出網絡進入到其他網絡的行為進行監控;可提供IP 和MAC 地址綁定功能。
企業計算機網絡的組成就為大家介紹完了,關于企業計算機網絡安全防御體系的不安全因素和策略請讀者閱讀。
【編輯推薦】
- 陜西省地稅層次化分布式網絡管理方案
- Falconet網絡管理軟件2.3
- 用只讀域控制器提高網絡管理效率
- 如何應對新的數據中心網絡管理問題
- 網絡管理系統也要“量體裁衣”
- 應對五大網絡安全威脅,你準備好了嗎?
