趙菁

摘要：本文討論了企業(yè)網(wǎng)絡(luò)安全解決方案中的三大技術(shù)，給出企業(yè)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)的方法：在充分做好企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行需求分析，進(jìn)而從邊界安全、身份安全和訪問管理、數(shù)據(jù)保密、安全監(jiān)控和安全管理5部分給出了網(wǎng)絡(luò)安全方案設(shè)計(jì)的依據(jù)。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)；風(fēng)險(xiǎn)評(píng)估；防火墻；VPN；入侵防御；安全；解決方案

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）09-0195-01

1 相關(guān)技術(shù)

（1）防火墻。防火墻是不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流。

（2）VPN。VPN（Virtual Private Network）即虛擬專用網(wǎng)，被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過非安全網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。根據(jù)VPN的服務(wù)類型，VPN業(yè)務(wù)大致分為三類：接入VPN（Access VPN）、內(nèi)聯(lián)網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)VPN（Extranet VPN）。

（3）Ips。IPS（Intrusion Prevention System，入侵防御系統(tǒng)），是一種基于應(yīng)用層、主動(dòng)預(yù)防的產(chǎn)品，它以在線方式部署于網(wǎng)絡(luò)關(guān)鍵路徑，通過對(duì)數(shù)據(jù)報(bào)文的深度檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)威脅并主動(dòng)進(jìn)行處理，目前已成為應(yīng)用層安全防護(hù)的主流設(shè)備。入侵防御系統(tǒng)的兩大基本技術(shù)點(diǎn)：DPI（深度報(bào)文檢測(cè)）與在線模式。

2 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及風(fēng)險(xiǎn)評(píng)估

（1）了解企業(yè)安全現(xiàn)狀。要做好這一步工作，首先應(yīng)充分了解企業(yè)的業(yè)務(wù)背景，如企業(yè)的網(wǎng)絡(luò)規(guī)模與信息應(yīng)用的情況？業(yè)務(wù)系統(tǒng)有哪些，它們的網(wǎng)絡(luò)應(yīng)用情況？根據(jù)這些情況，調(diào)研該企業(yè)對(duì)目前的應(yīng)用情況，并進(jìn)行分析，客觀地得出企業(yè)的應(yīng)用及網(wǎng)絡(luò)情況，如企業(yè)的核心應(yīng)用與企業(yè)局域網(wǎng)、互聯(lián)網(wǎng)的連接情況如何？核心數(shù)據(jù)的存儲(chǔ)方式與訪問方式如何？企業(yè)對(duì)網(wǎng)絡(luò)或計(jì)算機(jī)故障的潛在風(fēng)險(xiǎn)的承受力如何？在調(diào)研以上基本情況的前提下，調(diào)研并分析該企業(yè)的基本網(wǎng)絡(luò)結(jié)構(gòu)。

（2）風(fēng)險(xiǎn)評(píng)估。在企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析的基礎(chǔ)上，分析并評(píng)估企業(yè)網(wǎng)絡(luò)安全情況。這項(xiàng)工作應(yīng)給出具體風(fēng)險(xiǎn)，包括企業(yè)內(nèi)網(wǎng)安全控制方面，網(wǎng)絡(luò)邊界的防護(hù)情況；對(duì)用戶的訪問控制；防病毒；企業(yè)的遠(yuǎn)程用戶、分支機(jī)構(gòu)或合作伙伴對(duì)企業(yè)資源的訪問、網(wǎng)絡(luò)平臺(tái)安全等情況。

3 企業(yè)網(wǎng)絡(luò)安全需求分析

針對(duì)當(dāng)前網(wǎng)絡(luò)系統(tǒng)存在的安全隱患，提出具體的要求，從而保障網(wǎng)絡(luò)環(huán)境的安全。網(wǎng)絡(luò)安全需求分析可以從邊界安全、身份安全和訪問管理、數(shù)據(jù)保密、安全監(jiān)控和安全管理5部分考慮。并應(yīng)根據(jù)企業(yè)的實(shí)際情況進(jìn)行具體分析，根據(jù)對(duì)企業(yè)安全評(píng)估的結(jié)果進(jìn)行具體分析。

4 方案設(shè)計(jì)

4.1 邊界安全

邊界的復(fù)雜性：除了指內(nèi)部網(wǎng)絡(luò)和公網(wǎng)之間的界線，也可以建立在網(wǎng)絡(luò)內(nèi)部的任何位置，或者建立在公司的網(wǎng)絡(luò)與合作伙伴的網(wǎng)絡(luò)之間。

可靠的邊界安全解決方案：應(yīng)做到放行那些由安全策略所定義的通信，同時(shí)保護(hù)網(wǎng)絡(luò)資源免遭破壞、攻擊和非法使用。它可以控制網(wǎng)絡(luò)的各個(gè)出入口，也可以通過實(shí)施多層安全措施來保護(hù)用戶的通信。

防御的分層：即把網(wǎng)絡(luò)分為邊界、分布層、核心層和接入層。多層邊界解決方案如圖1所示。

在邊界安全問題上，應(yīng)充分考慮網(wǎng)絡(luò)二層、三層的安全特性。在網(wǎng)絡(luò)設(shè)備之間進(jìn)行數(shù)據(jù)傳輸時(shí)，如果二層不能得到有效的保護(hù)，那么即使在上層實(shí)施最好的安全策略也無濟(jì)于事。因此加固數(shù)據(jù)鏈路層勢(shì)在必行。

4.2 身份安全和訪問管理

當(dāng)網(wǎng)絡(luò)延伸到園區(qū)之外時(shí)，網(wǎng)絡(luò)安全的重要性和管理網(wǎng)絡(luò)的復(fù)雜性隨之增加。訪問管理解決方案是一個(gè)基于策略的實(shí)施模型，它可以確保用戶是在以安全的方式管理網(wǎng)絡(luò)。如在網(wǎng)絡(luò)設(shè)計(jì)時(shí)提供AAA安全服務(wù)，以控制用戶對(duì)網(wǎng)絡(luò)和資源的訪問。還可以根據(jù)需要，設(shè)計(jì)更加強(qiáng)大的用戶認(rèn)證方式，如多重認(rèn)證系統(tǒng)、硬件標(biāo)記、S/KEY和智能卡等方式進(jìn)行認(rèn)證。另外，還應(yīng)考慮WLAN的安全接入問題。

4.3 數(shù)據(jù)保密

VPN有兩大類型：安全VPN（也稱作加密VPN），包括IPSEC、基于IPSEC的L2TP、SSL；可信VPN（也稱作非加密VPN），包括MPLS VPN（L3 VPN）、LPLS（虛擬專用LAN服務(wù)，L2VPN）等。可信VPN最主要的特點(diǎn)是依賴于運(yùn)營(yíng)商來為客戶提供專用電路或通道。當(dāng)企業(yè)的分支機(jī)構(gòu)、合作伙伴、出差用戶等需要訪問企業(yè)的資源時(shí)，對(duì)于企業(yè)網(wǎng)絡(luò)來說，常見的包括IPSEC VPN、SSL VPN。

4.4 安全監(jiān)控

當(dāng)今的企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)能實(shí)時(shí)檢測(cè)并緩解由病毒、蠕蟲及其他入侵代碼和程序造成的網(wǎng)絡(luò)威脅。在網(wǎng)絡(luò)中合理地設(shè)計(jì)IPS解決方案，可以有效解決以上威脅，IPS 可以部署在數(shù)據(jù)中心、部署在廣域網(wǎng)邊界、部署在外網(wǎng)Internet邊界、旁路部署在DMZ、部署在內(nèi)部局域網(wǎng)段之間。另一個(gè)重要的部分是主機(jī)層面的安全，相關(guān)的安全產(chǎn)品可以解決終端設(shè)備的安全，如Cisco安全代理（CSA）。

4.5 安全管理

安全管理通常包括兩大方面，一是安全和策略管理，主要指對(duì)網(wǎng)絡(luò)中的各種設(shè)備的管理；二是指在管理企業(yè)時(shí)，相關(guān)人員必須對(duì)信息的機(jī)密性和完整性進(jìn)行有效的控制和管理。

5 結(jié)語

本文從邊界安全、身份安全和訪問管理、數(shù)據(jù)保密、安全監(jiān)控和安全管理5部分討論了企業(yè)網(wǎng)絡(luò)安全整體解決方案的設(shè)計(jì)方法，在設(shè)計(jì)網(wǎng)絡(luò)方案時(shí)，應(yīng)綜合考慮這些方面，以降低企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)，為擴(kuò)展企業(yè)內(nèi)部網(wǎng)、外部網(wǎng)和電子商務(wù)網(wǎng)等業(yè)務(wù)提供基本保障，并保護(hù)敏感數(shù)據(jù)及公司資源，使它們免遭黑客的入侵和破壞。endprint