淺談企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用

時間:2022-02-24 03:21:05

導(dǎo)語:淺談企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

淺談企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用

0引言

隨著企業(yè)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用,社會信息化進(jìn)程不斷加快,生產(chǎn)制造、物流網(wǎng)絡(luò)、自動化辦公系統(tǒng)對信息系統(tǒng)的依賴程度越來越大,因此,保證信息系統(tǒng)的安全穩(wěn)定運行也越來越重要。如何保證企業(yè)網(wǎng)絡(luò)信息化安全、穩(wěn)定運行就需要網(wǎng)絡(luò)規(guī)劃設(shè)計師在設(shè)計初始周全的考慮到網(wǎng)絡(luò)安全所需達(dá)到的條件(包括硬件、OSI/RM各層、各種系統(tǒng)操作和應(yīng)用)。

1網(wǎng)絡(luò)安全、信息安全標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)是指為了規(guī)范網(wǎng)絡(luò)行為,凈化網(wǎng)絡(luò)環(huán)境而制定的強制性或指導(dǎo)性的規(guī)定。目前,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有針對系統(tǒng)安全等級、系統(tǒng)安全等級評定方法、系統(tǒng)安全使用和操作規(guī)范等方面的標(biāo)準(zhǔn)。世界各國紛紛頒布了計算機網(wǎng)絡(luò)的安全管理條例,我國也頒布了《計算機網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全管理方法》等多個國家標(biāo)準(zhǔn),用來制止網(wǎng)絡(luò)污染,規(guī)范網(wǎng)絡(luò)行為,同時各種網(wǎng)絡(luò)技術(shù)在不斷的改進(jìn)和完善。1999年9月13日,中國頒布了《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859:1999),定義了計算機信息系統(tǒng)安全保護(hù)能力的5個等級,分別如下:(1)第一級:用戶自主保護(hù)級。它的安全保護(hù)機制使用戶具備自主安全保護(hù)的能力,保護(hù)用戶的信息免受非法的讀寫破壞。(2)第二級:系統(tǒng)審計保護(hù)級。除繼承前一個級別的安全功能外,還要求創(chuàng)建和維護(hù)訪問的審計蹤記錄,使所有的用戶對自己行為的合法性負(fù)責(zé)。(3)第三級:安全標(biāo)記保護(hù)級。除繼承前一個級別的安全功能外,還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限,實現(xiàn)對訪問對象的強制訪問。(4)第四級:結(jié)構(gòu)化保護(hù)級。除繼承前一個級別的安全功能外,將安全保護(hù)機制劃分為關(guān)鍵部分和非關(guān)鍵部分,對關(guān)鍵部分直接控制訪問者對訪問對象的存取,從而加強系統(tǒng)的抗?jié)B透能力。(5)第五級:訪問驗證保護(hù)級。除繼承前一個級別的安全功能外,還特別增設(shè)了訪問驗證功能,負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。

2企業(yè)網(wǎng)絡(luò)主要安全隱患

企業(yè)網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)和外網(wǎng),網(wǎng)絡(luò)安全體系防范的不僅是病毒感染,還有基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問,但這些非法入侵、攻擊、訪問的途徑非常多,涉及到整個網(wǎng)絡(luò)通信過程的每個細(xì)節(jié)。從以往的網(wǎng)絡(luò)入侵、攻擊等可以總結(jié)出,內(nèi)部網(wǎng)絡(luò)的安全威脅要多于外部網(wǎng)絡(luò),因為內(nèi)網(wǎng)受到的入侵和攻擊更加容易,所以做為網(wǎng)絡(luò)安全體系設(shè)計人員要全面地考慮,注重內(nèi)部網(wǎng)絡(luò)中存在的安全隱患。

3企業(yè)網(wǎng)絡(luò)安全防護(hù)策略

設(shè)計一個更加安全的網(wǎng)絡(luò)安全系統(tǒng)包括網(wǎng)絡(luò)通信過程中對OSI/RM的全部層次的安全保護(hù)和系統(tǒng)的安全保護(hù)。七層網(wǎng)絡(luò)各個層次的安全防護(hù)是為了預(yù)防非法入侵、非法訪問、病毒感染和黑客攻擊,而非計算機通信過程中的安全保護(hù)是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護(hù)措施及系統(tǒng)層的安全防護(hù)如圖1所示。

4OSI/RM各層主要安全方案

4.1物理層安全

通信線路的屏蔽主要體現(xiàn)在兩個方面:一方面是采用屏蔽性能好的傳輸介質(zhì),另一方面是把傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機房等整個通信線路安裝在屏蔽的環(huán)境中。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條(4對)芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外,還有這些屏蔽層就是用來進(jìn)行電磁屏蔽的,一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。(2)屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜、金屬網(wǎng)或者金屬板材(主要是鋼板)包圍,其中包括六面板體和一面屏蔽門。根據(jù)機房屏蔽性能的不同,可以將屏蔽機房分為A、B、C三個級別,最高級為C級。機柜的屏蔽是用采用冷扎鋼板圍閉而成,這些機柜的結(jié)構(gòu)與普通的機柜是一樣的,都是標(biāo)準(zhǔn)尺寸的。(3)WLAN的物理層安全保護(hù)對于無線網(wǎng)絡(luò),因為采用的傳輸介質(zhì)是大氣,大氣是非固定有形線路,安全風(fēng)險比有線網(wǎng)絡(luò)更高,所以在無線網(wǎng)絡(luò)中的物理層安全保護(hù)就顯得更加重要了。如果將機房等整個屏蔽起來,成本太高,現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰、WPA/WPA2動態(tài)密鑰、IEEE802.1X身份驗證等。現(xiàn)在最新的無線寬帶接入技術(shù)——WiMAX對于來自物理層的攻擊,如網(wǎng)絡(luò)阻塞、干擾,顯得很脆弱,以后將提高發(fā)射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴(kuò)頻技術(shù)。

4.2數(shù)據(jù)鏈路層安全

在數(shù)據(jù)鏈路層可以采用的安全保護(hù)方案主要包括:數(shù)據(jù)鏈路加密、MAC地址綁定(防止MAC地址欺騙)、VLAN網(wǎng)段劃分、網(wǎng)絡(luò)嗅探預(yù)防、交換機保護(hù)。VLAN隔離技術(shù)是現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)中用的最多的技術(shù),該技術(shù)可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。

4.3網(wǎng)絡(luò)層安全

在網(wǎng)絡(luò)層首先是身份的認(rèn)證,最簡單的身份認(rèn)證方式是密碼認(rèn)證,它是基于windows服務(wù)器系統(tǒng)的身份認(rèn)證可針對網(wǎng)絡(luò)資源的訪問啟用“單點登錄”,采用單點登錄后,用戶可以使用一個密碼或智能卡一次登錄到windows域,然后向域中的任何計算機驗證身份。網(wǎng)絡(luò)上各種服務(wù)器提供的認(rèn)證服務(wù),使得口令不再是以明文方式在網(wǎng)絡(luò)上傳輸,連接之間的通信是加密的。加密認(rèn)證分為PKI公鑰機制(非對稱加密機制),Kerberos基于私鑰機制(對稱加密機制)。IPSec是針對IP網(wǎng)絡(luò)所提出的安全性協(xié)議,用途就是保護(hù)IP網(wǎng)絡(luò)通信安全。它支持網(wǎng)絡(luò)數(shù)據(jù)完整性檢查、數(shù)據(jù)機密保護(hù)、數(shù)據(jù)源身份認(rèn)證和重發(fā)保護(hù),可為絕大部分TCP/IP族協(xié)議提供安全服務(wù)。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)。

4.4傳輸層安全

傳輸層的主要作用是保證數(shù)據(jù)安全、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議,它不僅可以為網(wǎng)絡(luò)通信中的數(shù)據(jù)提供強健的安全加密保護(hù),還可以結(jié)合證書服務(wù),提供強大的身份誰、數(shù)據(jù)簽名和隱私保護(hù)。TLS/SSL協(xié)議廣泛應(yīng)用于Web瀏覽器和Web服務(wù)器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸。

4.5防火墻

因防火墻技術(shù)在OSI/RM各層均有體現(xiàn),在這里簡單分析一下防火墻,防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻,網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器,運作在底層的TCP/IP協(xié)議堆棧上。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作,應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包。目前70%的攻擊是發(fā)生在應(yīng)用層,而不是網(wǎng)絡(luò)層。對于這類攻擊,傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)效果,并不太理想。

5結(jié)語

以上對于實現(xiàn)企業(yè)網(wǎng)絡(luò)建設(shè)安全技術(shù)及信息安全的簡單論述,是基于網(wǎng)絡(luò)OSI/RM各層相應(yīng)的安全防護(hù)分析,重點分析了物理層所必須做好的各項工作,其余各層簡單分析了應(yīng)加強的主要技術(shù)。因網(wǎng)絡(luò)技術(shù)日新月益,很多新的網(wǎng)絡(luò)技術(shù)在本文中未有體現(xiàn),實則由于本人時間、水平有限,請各位讀者給予見解。文章中部分內(nèi)容借簽于參考文獻(xiàn),在此非常感謝各位作者的好書籍。

作者:單位:西山煤電(集團(tuán))有限公司物資供應(yīng)分公司

引用:

[1]李磊.網(wǎng)絡(luò)工程師考試輔導(dǎo).北京:清華大學(xué)出版社,2009.

[2]王達(dá),闞京茂.網(wǎng)絡(luò)工程方案規(guī)劃與設(shè)計.北京:中國水利水電出版社,2010.

[3]黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計師教程.北京:清華大學(xué)出版社,2009.

[4]林果園.操作系統(tǒng)安全.北京:北京郵電大學(xué)出版社,2010.