免费咨询热线:0755-82965177
业务领域
您现在的位置: 首页 >> 业务领域 >> 网络安全

网络安全

网络安全

2024-11-15 | 发布者: admin | 查看: 557 |

一、引言

        随着国内计算机和网络技术的飞速发展及其广泛普及,企业的各类业务系统逐渐建立在Internet/Intranet环境之上。然而,随之而来的安全问题也给用户带来了巨大困扰。Internet的开放性、全球性和自由性在提升应用灵活性的同时,也对网络安全提出了更高的要求。一旦网络系统的安全受到严重威胁甚至瘫痪,不仅会给企业本身,也会对社会乃至国家带来巨大的经济损失。因此,如何确保企业信息网络系统免受黑客和病毒的侵害,已成为信息产业健康发展的重要议题之一。

        企业网络的应用系统通常包括WEB、电子邮件(E-mail)、办公自动化(OA)、管理信息系统(MIS)、财务系统及人事系统等。随着企业规模的扩大,网络架构愈加复杂,应用系统数量也不断增加。从网络系统管理的角度看,企业网络涉及内部用户、外部用户以及内外网之间的连接,这使得企业网络面临三大主要安全问题:

(1)Internet的安全性:随着互联网的迅猛发展,各类网络安全事件频发。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥及敏感信息泄露等问题已成为常见的安全威胁。这些威胁对企业用户的影响尤为显著,可能导致数据损坏、系统异常、网络瘫痪、信息泄漏,甚至严重降低工作效率,同时带来直接或间接的经济损失。

(2)企业内网的安全性:调查显示,超过60%的企业员工利用内部网络处理私人事务,这种不当使用不仅降低了生产效率,还可能造成网络资源浪费、引入病毒与间谍软件,甚至为不法员工泄露企业机密提供了途径,由此可能给企业造成高额损失。企业内网的安全隐患主要包括:

  • 未授权访问

  • 数据完整性破坏

  • 拒绝服务(DoS)攻击

  • 计算机病毒传播

  • 缺乏完善的安全策略与监控手段

  • 无有效评估网络系统及操作系统安全性的措施

  • 缺乏自动化的数据备份和灾难恢复机制

  (3)内部网络之间、内外网络之间的连接安全:随着企业的扩展以及移动办公的普及,形成了总部、分支机构与移动办公人员间的互动运营模式。如何在保障信息共享及时性的同时防止机密泄露,已成为企业在成长过程中必须面对的挑战。特别是总部与各地分支机构间的网络连接安全,直接影响着企业的高效运作。


二、以某客户为例,综合型企业网络简图如下,分析现状并分析需求:

网络安全1.jpg

图说明 图一 企业网络简图

该公司的信息安全系统,无论从整体构成,还是信息安全产品的功能与性能来看,都可能存在一定缺陷,具体表现在以下几个方面::

  1. 系统性不足
    当前的安全防护范围仅局限于网络层面,而系统、应用和数据层的安全保障较为薄弱,存在较大的潜在风险。

  2. 产品功能与性能落后
    原有的网络安全产品在功能和性能上难以适应新的安全形势,暴露出较多安全隐患,亟需进行升级或替换。

  3. 依赖性与复杂性增强
    随着经营管理对计算机应用系统依赖性的增强,以及计算机应用系统对网络的依赖性加剧,网络规模不断扩大,结构日益复杂,正常运行对网络安全提出了更高的要求。

  4. 关键数据安全性不足
    企业关键数据集中于公司总部的数据中心,对数据安全提出了更高的需求。现有措施在用户管理、身份认证、数据备份及数据的机密性、完整性和可用性保障方面尚有不足,需要进一步加强。

由以上分析可知该公司信息系统存在较大的风险,该公司信息系统的主要需求集中在以下几方面:

  1. 构建全面的安全防护体系
    信息系统不仅需要提供安全可靠的计算机网络,还需覆盖系统、应用及数据的全方位安全防护。应加强安全防护的整体规划,扩大覆盖范围,增加先进的防护手段,提升系统安全性。

  2. 适应网络规模与复杂性发展
    随着网络规模扩大和结构复杂性增加,以及新型攻击手段的不断涌现,公司需对现有网络安全产品进行升级或重新部署,以应对更大的安全挑战。

  3. 强化安全管理
    随着信息安全工作复杂性和重要性的提升,安全管理需更加规范化与系统化。应加快建立健全相关规章制度和技术规范,确保各项安全防范工作有序推进。

  4. 实现动态安全防范
    信息安全是一个动态、循环的过程。公司需要引入专业安全服务,从事前防范到事中监控再到事后响应,形成完整的安全防护闭环,以应对不断演变的各类安全威胁

 

三、设计原则

安全体系的建设应遵循“统一规划、统筹安排、统一标准、分步实施”的原则,以避免重复投入和建设,最大限度地兼顾整体效益与局部利益。具体原则如下:

  1. 标准化原则
    制定统一的技术和管理标准,确保各环节之间的兼容性和协同效应,从而形成统一、高效的安全体系。

  2. 系统化原则
    将信息安全视为一个整体,全面覆盖网络、系统、应用和数据层,建立端到端的安全防护架构,提升整体安全能力。

  3. 规避风险原则
    基于风险评估和预防性措施的实施,优先解决高风险领域的问题,有效降低信息系统遭受威胁的可能性。

  4. 保护投资原则
    在安全体系建设中,充分利用现有资源,避免资源浪费,同时选择兼容性和扩展性强的解决方案,为未来升级和发展保留空间。

  5. 多重保护原则
    采用多层次、多维度的安全防护手段,通过纵深防御策略构建完善的安全体系,为系统提供全面而强大的保障。

  6. 分步实施原则
    根据企业实际情况,分阶段、有重点地推进安全体系建设,确保每个阶段目标明确、成果可见,逐步实现整体安全目标。

 

四、企业网络安全解决方案的思路

1.安全系统架构

构建科学的网络安全系统架构是设计和实施安全解决方案的基础。

随着针对应用层攻击的频率和威胁不断增加,仅依靠网络层以下的传统安全措施已难以应对。例如,携带后门程序的蠕虫病毒往往能够绕过传统的防火墙和VPN安全体系,造成严重威胁。因此,企业应采用立体多层次的安全系统架构

这种多层次的架构不仅要求在网络边界部署防火墙和VPN,还需要在网络边缘部署专门针对网络病毒、垃圾邮件及其他应用层攻击的防护措施。通过主动防护技术,可以有效地将攻击内容阻挡在企业内部网络之外,显著提高整体安全性。

2.安全防护体系

信息安全防护应从整体角度进行规划,覆盖信息系统的各个层次,针对网络、系统、应用和数据等方面进行全面防护。

信息安全防护体系强调动态性,其防护过程包括事前预防、事中监控和事后响应,各阶段应配备完备的技术手段,同时加强管理措施,确保安全管理贯穿始终。如图二所示:

  • 事前防护:通过风险评估、漏洞扫描和防御策略制定,提前降低潜在威胁。

  • 事中监控:利用实时监控技术,发现并阻止攻击行为,确保系统稳定运行。

  • 事后响应:快速进行事件分析和恢复,保障业务的连续性和数据完整性。


网络安全2.jpg

图说明 图二 网络与信息安全防范体系模型

3.企业网络安全结构图

通过以上分析可得总体安全结构应实现大致如图三所示的功能:

网络安全3.jpg

图说明 图三 总体安全结构图

 

五、整体网络安全方案

1.网络安全认证平台

证书认证系统是企业内部信息网络和外部网络平台构建安全可信环境的基础。目前,应用PKI/CA数字认证服务是解决网络安全问题的最佳选择。

PKI(Public Key Infrastructure,公钥基础设施)是一种基于公钥理论和技术的在线身份认证安全体系,能够从技术层面解决网络身份认证、信息完整性保障及抗抵赖性等问题,为网络应用提供全面的安全保障。通过构建证书认证中心系统,建立完善的网络安全认证平台,可以实现以下目标:


1)身份认证(Authentication)
确认通信双方的真实身份,防止身份被假冒或伪装。利用数字证书可有效验证通信双方的身份真实性。

2)数据机密性(Confidentiality)
对敏感信息进行加密,防止信息泄露。通过数字证书实现数据加密,保障信息的机密性。

3)数据完整性(Integrity)
确保通信过程中信息未被截断或篡改。通过哈希函数和数字签名技术实现数据的完整性保护。

4)不可抵赖性(Non-Repudiation)
确保通信方不能否认其行为。利用数字签名作为法律证据,确保通信方对其行为负责。

2. VPN系统

VPN(Virtual Private Network,虚拟专用网络)是一种利用公共网络(如Internet)将分布在不同地点的网络连接为逻辑上的虚拟专用网络的技术。与传统物理专线相比,VPN具有以下优势:

  • 成本与维护费用低

  • 易于扩展

  • 数据传输安全性高

通过部署VPN系统,企业可以实现以下目标:

  • 安全数据传输:在公网上开辟一条通过加密、认证、封装和密钥交换技术建立的安全隧道,确保合法用户能够安全访问企业私有数据。

  • 替代物理专线:支持移动用户及远程LAN的安全连接,实现成本更低且更灵活的网络访问。

  • 集中管理:提供统一的安全策略管理和配置能力,对整个VPN网络进行集中式安全控制。

3. 网络防火墙

通过部署防火墙系统,实现对内部网络与广域网的隔离与保护。对于内部网络中的服务器子网,可采用专用防火墙设备进行针对性防护。其典型的网络结构如下:

网络安全4.jpg
图说明 图四 防火墙

此外,在实际应用中可以增加入侵检测系统(IDS),作为防火墙功能的有效补充。入侵检测系统能够实时监控网络流量,对监控网段的攻击行为进行报警,并提供积极的响应措施,从而进一步增强网络安全防护能力。

4. 病毒防护系统

强化病毒防护系统的应用策略与管理机制是提升网络安全的重要举措。例如,可以采用瑞星网络版杀毒软件企业版,这是一款专门针对网络病毒传播特点设计的防病毒解决方案。

通过瑞星网络防病毒体系,企业能够在客户端和服务器上建立统一的反病毒系统。其主要功能包括:

  • 统一、集中管理:实现对整个网络的病毒防护策略统一配置和集中管理。

  • 实时监控:随时掌握网络内病毒事件,快速响应潜在威胁。

  • 远程管理:支持对网络内所有计算机的远程防病毒策略设置与安全操作。

5. 服务器保护

在企业环境中,服务器的安全防护至关重要。以下以电子邮件服务器为例,说明保护服务器的重要性与方法:

电子邮件的安全隐患

电子邮件作为Internet上最早的应用之一,随着网络的发展已成为人们日常交流的重要工具。然而,由于网络的开放性和电子邮件协议的局限性,大量敏感信息在传输过程中可能面临泄露、篡改等风险。

S/MIME的保护机制

目前,主流电子邮件客户端软件(如Outlook)支持S/MIME(Secure Multipurpose Internet Mail Extensions)协议。该协议源自PEM(Privacy Enhanced Mail)和MIME(Internet邮件附件标准),具有以下特点:

  1. 认证机制
    基于分层结构的证书认证体系。下级组织和个人证书由上级机构认证,顶级机构(根证书)间进行互相认证,形成树状信任关系,确保身份可信。

  2. 加密与签名
    S/MIME对邮件内容进行加密和数字签名处理,并将其作为特殊附件发送,从而有效保障邮件内容的机密性和完整性。

下图五是邮件系统保护的简图(透明方式):

网络安全5.jpg

图说明 图五 邮件系统保护

6. 关键网段保护

企业中某些网段传输的数据和信息至关重要,因此需要对外保持严格的保密性。这些关键网段应得到特别的安全防护。其网络结构示意图如图六所示。

网络安全6.jpg

图说明 图六 关键网段的防护

7. 日志分析和统计报表能力

所有网络安全事件应详细记录日志,内容包括事件名称、描述、相关主机IP地址等关键信息。此外,报表系统应自动生成各种形式的统计报表,例如日报、月报和年报。通过来源分析、目标分析、类别分析等多种方式,报表可以直观、清晰地展示网络中发生的安全事件,从而帮助管理人员全面分析和评估网络安全态势,提升安全管理能力。

8. 内部网络行为的管理和监控

除了对外部的防护外,企业还应规范和监控内部员工的上网行为。这包括过滤网页访问、限制邮件使用、禁止不当聊天行为以及阻止不正当文件的下载。企业内部用户的上网行为应得到精确识别,确保每个URL请求及其响应都能被记录和监控。

通过对内部网络行为的有效监控,不仅能够规范员工的上网行为、提高工作效率,还能减少潜在的安全隐患。桌面安全管理和监控是防范和消除内部威胁的有效手段。

桌面安全系统结合了电子签章、文件加密、身份验证和智能卡管理工具,形成一个完整的客户端安全解决方案。该系统包括以下几种功能:

  1. 电子签章系统
    通过非对称密钥体系,确保文档的完整性和不可抵赖性。该系统采用组件技术,可以无缝集成到Office系统中,用户在编辑完文档后可以进行签章,或在打开文档时验证其完整性并查看文档作者。

  2. 安全登录系统
    安全登录系统提供系统和网络登录的身份认证功能。只有持有指定智能密码钥匙的用户才能登录计算机和网络。如果用户离开计算机,只需拔出智能密码钥匙即可锁定计算机,确保设备安全。

  3. 文件加密系统
    文件加密系统确保数据的安全存储。密钥保存在智能密码钥匙中,采用国际标准的加密算法或国家密码管理机构指定的安全算法,保障存储数据的安全性。

则内网综合保护简图如下图七所示:

网络安全7.jpg

图说明 图七 内网综合保护

9. 移动用户管理系统

对于企业内部的笔记本电脑,尤其是在外出工作时,接入企业内部网络时必须进行严格的安全控制,以确保设备的安全性。这样可以有效防止病毒或黑客程序被携带进内网,从而避免外部威胁对企业网络安全造成潜在风险。

10. 身份认证解决方案

身份认证是计算机及网络系统用于确认操作人员身份的过程。近年来,基于PKI(公钥基础设施)的身份认证技术迅速发展,成为一种便捷且安全的认证方式。该技术结合软硬件并采用“一次一密”的强双因子认证模式,解决了安全性与易用性之间的矛盾。

USB Key是一种通过USB接口连接的硬件设备,内置单片机或智能卡芯片,能够存储用户的密钥或数字证书。通过USB Key的密码算法,可以实现对用户身份的安全认证。

基于PKI的USB Key解决方案不仅可以提供身份认证功能,还可以构建一个包括用户集中管理与认证系统、应用安全组件、客户端安全组件以及证书管理系统等组成的综合安全技术体系。这一体系通过层次化关系和逻辑联接,满足身份认证、授权与访问控制、安全审计、数据机密性、完整性及抗抵赖等多方面的安全需求。 

六、方案的组织与实施方式

根据以上分析与设计,网络与信息安全防范体系的流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理流程如图八所示。该流程图不仅展示了安全防范的动态过程,还为本方案的实施提供了重要参考。

网络安全8.jpg

图说明 图八 安全管理贯穿全流程图

因此,在本方案的组织和实施过程中,除了工程实施本身外,还应重视以下几个方面的工作:

  1. 风险评估与需求明确:在初步风险分析的基础上,方案实施方应进一步进行风险评估,明确具体需求,确保方案的针对性,并确保投资回报的最大化。

  2. 应急响应与事故恢复:应将应急响应和事故恢复纳入技术方案的一部分。必要时,可以借助专业安全服务公司,提升应对重大安全事件的能力。

  3. 分阶段实施:鉴于该方案的投资规模较大且覆盖范围广泛,可以根据实际情况采取分地区、分阶段实施的方式,以确保实施过程更加高效和灵活。

  4. 规章制度与技术规范建设:在方案实施过程中,要加强规章制度和技术规范的建设,使信息安全的日常工作更加制度化和规范化。

     

七、总结

本设计以某客户为例,分析了其网络安全现状,识别了当前存在的风险,并提出了一整套完整的解决方案。该方案涵盖了各个方面,从技术手段的改进到规章制度的完善;从单机系统的安全加固到整体网络的安全管理。通过本方案的实施,旨在建立一个完善的信息安全体系,有效防范信息系统面临的各类攻击和威胁,最大程度地降低风险。

 







上一篇:没有了!

下一篇:没有了!

推荐产品

关注微信