摘要:文章从网络信息安全的发展现状和发展前景去看,对我国中小型企业的网络安全现况进行了剖析。大多数中小型企业由于资金、技术问题,安全问题一直隐含重重。有些中小型企业抱着侥幸的心理对待网络入侵、病毒问题以及数据丢失,这种心态导致企业本身对安全问题的轻视,以致问题一旦出现造成巨大的经济损失。通过分析中小型企业计算机网络的安全需求,以及对网络安全构成威胁的各种隐患,制定出基本的安全策略,提出了一个网络安全的总体解决方案,适用于中小型企业的网络组建。
关键词:中小企业;网络安全;网络入侵;防火墙;防病毒
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3350-03
Minor Enterprises Overall Network Security Solutions
WANG Nan
(School of Software Engineering, Tongji University, Shanghai 201804, China)
Abstract: This issue based on the development of network information security status analyzes small and medium-sized enterprises of China"s network security status. Most small and medium-sized enterprises because of funding, technical issues, security issues have been heavily implied. Some small and medium enterprises luck with the psychological treatment of network intrusion, viruses and data loss problem, this attitude led to the enterprise itself ignored the question of safety so that once the problem caused enormous economic losses. This paper introduces a security solution applicable to small and medium enterprises network systems. The basic security policy can be made through analyzing the security demand and various potential threats to the computer networks of small and medium enterprises. According to this policy, we propose a total solution for network security of small- and medium-sized enterprise network systems.
Key words: minor enterprise; network security; network intrusion; firewall; Anti-virus
伴随着计算机网络的发展,网络安全似乎是一个亘古不变的问题伴随在每个网络用户左右。长期以来,黑客们不断地分析操作系统和应用程序,以发现更多的安全漏洞,并编写相应的脚本加以利用。各大安全厂商却是不断地开发更新的安全防范技术和产品来应对这些不断推陈出新的安全威胁。可以肯定的是,现在中小企业在网络安全方面的认识和投入,以及实施的案值防范措施要比以前有了很大的进步。但是,防火墙软件、入侵检测和防御系统、反间谍软件和反病毒软件,以及身份认证、访问控制系统、内容过滤、行为监控和垃圾邮件过滤等产品。然后各网络系统用户跟随着这些安全厂商的步伐,不断地将这些安全产品添加到自身的网络结构、服务器和工作站之上。而与此同时,如何建立一个有效的安全防范策略;如何妥善地管理这些安全设备,让它们发挥应有的作用,以及如何计即便是这样,现在的中小企业网络是否比以前更安全呢?
1 网络信息安全概述
1.1 网络信息安全
网络信息安全可以从五个方面来定义:机密性、可控性、完整性、可用性与可审查性。机密性:确保信息不暴露给未授权的实体或进程。完整性:仅得到允许的人才能修改数据,并能够判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控性:可以控制授权范围内的信息流向及行为方式。可审查性: 对出现的网络安全问题提供调查的依据和手段。可以看出,上述定义既说明了计算机网络安全的本质和核心,又考虑了安全所涉及的方方面面。
1.2 网络信息安全发展现状
我国网络安全现状随着网络尤其是因特网在我国的迅速普及,针对我国境内信息系统的攻击正在呈现快速增长的势头。据了解,从1997年底到现在,我国的政府部门、证券公司、银行、ISP、ICP等机构的计算机网络相继遭到多次攻击。因此,加强网络信息安全保障已成为当前的迫切任务。目前我国网络安全的现状和面临的威胁主要是:
1) 计算机网络系统使用的软、硬件很大一部分是国外产品,我们对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。
2) 全社会的信息安全意识虽然有所提高,但将其提到实际日程中来的依然很少。
3) 目前关于网络犯罪的法律还不健全。因特网毕竟是新生事物,它对传统的法律提出了挑战。
4) 中国信息安全人才培养体系虽已初步形成,但随着信息化进程加快和计算机的广泛应用,目前我国信息安全人才培养还远远不能满足需要。
1.3 防火墙技术
1.3.1 防火墙的概念
防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软件系统集合,是实现网络安全策略的有效工具之一,被广泛地应用到Internet与Intranet之间。通常防火墙建立在内部网和Internet之间的一个路由器或计算机上,该计算机也叫堡垒主机。它就如同一堵带有安全门的墙,可以阻止外界对内部网资源的非法访问和通行合法访问,也可以防止内部对外部网的不安全访问和通行安全访问。
1.3.2 防火墙的位置
图1为 防火墙的位置。
1.3.3 中小企业防火墙应具有的功能
1) 动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤;
2) 可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题;
3) 可以设置信任域与不信任域之间数据出入的策略;
4) 可以定义规则计划,使得系统在某一时可以自动启用和关闭策略;
5) 具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出;
6) 具有IPSec VPN功能,可以实现跨互联网安全的远程访问;
7) 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;
2 目前中小型企业及崔庄煤矿网络安全现况
2.1 国内中小型企业网络安全现况
随着计算机网络的快速发展,计算机系统和网络技术已经成为信息化社会发展的重要通信保证。在网络中存储、传输和处理各种各样的网络信息,一旦遭到攻击,如信息泄密、信息失窃、数据篡改、计算机病毒等,就会给企业造成巨大的经济损失,同时也阻碍了我国快速信息化发展和企业的发展。
目前,国内外厂商推出了网络版的杀毒软件, 但是由于功能单一, 并不完全能为中小企业提供一定的安全防护。其实, 安全的漏洞往往存在于系统中最薄弱的环节,Mail System、Gateway无不直接威胁企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的修改或破坏可能造成的重要数据文件的丢失、系统崩溃等问题, 而这些都不是单一的防病毒软件和服务器就能够解决的。因此无论是当今网络安全的现状, 还是中小企业自身都向广大网络安全厂商提出了更高的要求。
2.2 崔庄煤矿综合信息管理系统网络安全管理设计方案
2.2.1 局域网系统升级
1) 主干光纤改造
图2为光纤主干升级后的连线示意图。
说明:
a、①至③已经铺设完成,但该段光纤只到达办公楼四楼,再由四楼使用超五类双绞线连接到六楼机房,大大降低了主干网络速度。本方案设计由四楼架设光纤融接至六楼,提高主干网络数据传输带宽。
b、新铺设光纤④和⑤。
c、办公楼主网重新布线,增加备用线路。机房使用6U标准机柜,使用机架式配线架以方便网络线路的管理。。
d、数据交换设备使用标准机架式24口交换机。办公楼原有计算机网络信息点,没有任何标识,需要对信息点检测,排序,标注。另外需要增加部分点位的综合布线。
2) 网络拓扑结构优化
图3为网络拓扑。
a、在现有核心交换机的基础上,增加两台骨干交换机(推荐是使用CISCO 36系列三层交换机),合理分配网络流量。
b、关键业务点直接接入骨干交换机,尽可能避免三级甚至四级交换。
c、主机系统(包括财务主机)接入防火墙DMZ区,财务系统单独子网。
d、数据库系统与应用系统分开,首要保障数据库系统的安全和可靠运行。
2.2.2 网络防火墙
国内市场上硬件防火墙的发展,经历了一系列变革。国内用户普遍接受的是硬件防火墙,从单一主机防火墙、路由集成式防火墙和分布式防火墙;性能上也从百兆级向千兆级防火墙发展;在架构方面,从最初的X86架构向NP以及ASIC架构发展。华为业务领域涉猎众多,在网络安全方面,Eudemon防火墙系列产品基于电信级的硬件平台以及专用VRP软件平台,在攻击防范、VPN、NAT以及P2P应用监控等方面都有卓越的表现。基于网络处理器NP的 高速防火墙Eudemon 300/500/1000和专业的硬件平台以及VRP软件平台的Eudemon 100E/200/200S。值得一提的是,华为的Eudemon 防火墙无故障间隔时间为37年。华为的两大产品系列,其中Eudemon 300/500/1000是基于网络处理器NP技术的硬件高速状态防火墙,定位于电信级别及企业高端用户。Eudemon 100E/200/200S,基于专业的硬件平台以及VRP软件平台,是中小型企业理想的选择。为此,我们选择E200S作为硬件防火墙配置。
2.2.3 网络防病毒
网络防病毒系统可以最大限度地控制网内计算机病毒发作,避免信息资源遭受破坏。网络防病毒系统要选择性价比合适的产品。要求价格适中、产品性能优越、管理灵活,最好能具备远程管理(WEB方式)功能。本方案使SOHO100江民杀毒软件KV网络版,最多可以支持100User。
2.2.4 员工培训
员工培训,是人力资源管理与开发的重要组成部分和关键职能,是人力资源资产增值的重要途径,也是企业组织效益提高的重要途径。员工培训包括岗位培训,其中岗位规范、专业知识和专业能力水平的要求被视为岗位培训的重要目标。岗位人员上岗后需要坚持努力、提高自身能力专业知识,参加高水平的技术升级和职务晋升等方面的培训,使各自的专业知识、技术能力达到岗位规范的高一层标准,以适应未来岗位的需要。员工培训工作非常重要,实践证明它也是达到预期目标的一条有效途径。
由于网络安全产品的技术含量大,对操作管理人员的培训显得尤为重要,使安全设备能够尽量发挥其作用,避免使用上的漏洞。因为信息的安全的风险也包括人为的因素,如管理人员的专业素质方面、企业对涉密资料的保密措施、人员数据的管理防护及人员之间的联系和操作审核等。针对企业的网络安全问题对员工进行培训,加强员工的安全意识以预防和识别网络攻击行为,减少人为失误所带来的安全隐患。
3 结论
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。 网络安全受到威胁,其主要原因是网络系统内在的安全脆弱性和黑客技术的迅速发展,其次还在于人们缺乏安全意识,没有采取有效的安全策略和安全机制,以及缺乏先进的网络安全技术。 网络安全管理模式不成熟,缺乏网络安全管理经验等原因。我国网络安全研究起步晚,网络安全技术还有待整体提高和发展。当然,企业网络安全也不要走入另一个误区,一谈到网络安全,总想到网络上存在着这样或那样的技术漏洞,容易被人通过这样或那样的技术途径切入到网络内部,似乎攻击无孔不入,事实往往并不是如此。一个网络的管理,重要的在于一些关键点的管理,因此企业的网管人员首先要抓住影响网络安全的主要问题。 一般来说,安全性越高,其实现就越复杂,费用也相应的越高。因此各企业应在可以接受的成本范围内,对症下药,同时可以采用整体防御与重点保护相结合的方法,维护网络安全。
参考文献:
[1] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2004.
[2] 卿斯汉.安全协议[M].北京:清华大学出版社,2005.
[3] 刘渊.因特网防火墙技术[M].北京:机械工业出版社,2001.
[4] 宋红,吴建军,岳俊梅.计算机安全技术[M].北京:中国铁道出版社,2003.
[5] 李浪.当今国内计算机网络安全脆弱性分析[J].网络安全技术与应用,2004(11).
[6] 王预.企业网络信息安全存在的问题及对策[J].合肥工业大学报,2003,(26):788-791.
[7] 吴海燕,戚丽.校园数据中心网络安全防范体系研究[J].实验技术与管理,2004(3):91-95.
[8] 朱鸣.网络安全现状和发展趋势[J].计算机应用与软件,2004(5):121-123.
[9] 王盈英.网络信息安全技术[J].教育信息化,2002,(11):32.
[10] 黄贤英,龚箭.大型企业计算机网络安全实施方案[J].计算机安全,2003,(2):69-71.
[11] 李振银.网络管理与维护[M].北京:中国铁道出版社,2004.