快生活 - 生活常识大全

论企业信息网络系统安全方案


  摘要:在网络攻击手段日益增多,攻击频率日益增高的背景下,为了确保企业的信息资源、生产数据资料的安全保密,解决企业计算机网络中存在的安全隐患。需要一种静态技术和动态技术相结合的安全解决方案,即在网络中的各个部分采取多种安全防范技术来构筑企业网络整体安全体系。包括防病毒技术;防火墙技术;入侵检测技术;网络性能监控及故障分析技术;漏洞扫描安全评估技术;主机访问控制等。
  关键词:网络安全;病毒防火墙;入侵检测;整体防护
  一、防病毒技术
  对于企业网络及网内大量的计算机,各种病毒更是防不胜防,如宏病毒和变形病毒。彻底清除病毒,必须采用多层的病毒防护体系。企业网络防病毒系统采用多层的病毒防卫体系和层次化的管理结构,即在企业信息中心设防病毒控制台,通过该控制台控制各二级网络中各个服务器和工作站的防病毒策略,监督整个网络系统的防病毒软件配置和运行情况,并且能够进行相应策略的统一调整和管理:在较大的下属子公司设置防病毒服务器,负责防病毒策略的设置、病毒代码分发等工作。管理服务器负责收集网络中的客户端的实时信息,分发管理员制定的防毒安全策略等。
  配套软件:冠群金辰KILL6.0。KILL采用服务器/客户端构架,实时保护Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系统的服务器及Internet网关服务器,防止各种引导型病毒、文件型病毒、宏病毒、传播速度快且破坏性很大的蠕虫病毒进入企业内部网,阻止不怀好意的Java、ActiveX小程序等攻击企业内部网络系统。它通过全方位的网络管理、多种报警机制、完整的病毒报告、支持远程服务器、软件自动分发,帮助管理员更好的实施网络防病毒工作。
  二、防火墙技术
  防火墙是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而抵御网络外部安全威胁,保护内部网络免受非法用户的侵入,它是一个把互联网与内部网(局域网或城域网)隔开的屏障,控制客户机和真实服务器之间的通讯,主要包括以下几方面的功能:①隔离不信任网段间的直接通讯;②拒绝非法访问;③系统认证;④日志功能。在计算机网络中设置防火墙后,可以有效防止非法访问,保护重要主机上的数据,提高网络的安全性。
  配套软件:NetScreen。NetScreen是唯一把防火墙、负载均衡及流量控制结合起来,且提供100M的线速性能的软硬件相结合的产品,在Internet出口、拨号接入入口、企业关键服务器的前端及与电信、联通的连接出口处增设NetScreen- 100f防火墙,可以实现企业网络与外界的安全隔离,保护企业的关键信息。
  三、入侵检测系统
  入侵检测系统(IDS)是一种为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是对防火墙的必要补充,它可以对系统或网络资源进行实时检测,及时发现恶意入侵者或识别出对计算机的非法访问行为,并对其进行隔离,并能收集可以用来诉讼的犯罪证据。
  配套软件: eTrust Intrusion Detection(Sessionwall- 3)。利用基于网络的eTrust Intrusion Detection建立入侵檢测系统来保证企业网络系统的安全性。
  首先,信息管理中心设立整个网络监控系统的控制中心。通过该控制台,管理员能够对其它网络入侵检测系统进行监控和配置。在该机器上安装集中控制的eID中央控制台模块、eID日志服务器模块和eID日志浏览器模块,使所有eTrust Intrusion Detection监控工作站处于集中控制之下,该安全主控台也被用于集中管理所有的主机保护系统软件。
  其次,在Internet出口路由器和防火墙之间部署一套eTrust Intrusion Detection的监控工作站,重点解决与Internet的边界安全问题,在这些工作站上安装代理软件,包括eID基本模块、eID代理模块和日志数据库客户端。
  四、网络性能监控及故障分析
  性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面,它自动接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。
  配套软件——NAI Sniffer。NAI Sniffer是一套功能强大的网络故障侦测工具,它可以帮助用户快速诊断网络故障原因,并提出具体的解决办法。在信息中心安装这样的工具,用于对网络流量和状态进行监控,而且无论全网任何地方发生问题时,都可以利用它及时诊断并排除故障。
  五、网络系统的安全评估
  网络安全性之所以这么低的一个主要原因就是系统漏洞。
  网络安全扫描的主要性能应该考虑以下方面:①速度。在网络内进行安全扫描非常耗时;②网络拓扑。通过GUI的图形界面,可选择一个或某些区域的设备;③能够发现的漏洞数量;④是否支持可定制的攻击方法;⑤扫描器应该能够给出清楚的安全漏洞报告。⑥更新周期。提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特性升级,并给出相应的改进建议。
  配套软件:Symantec Enterprise Security Manger 5.5。
  六、主机防护系统
  在一个企业的网络环境中,大部分信息是以文件、数据库的形式存放在服务器中的。在信息中心,使用WWW、Mail、文件服务器、数据库服务器来对内部、外部用户提供信息。但无论是UNIX还是Windows 9X/NT/2K,都存在着这样和那样的安全薄弱环节,存放在这些机器上的关键业务数据存在着被破坏和窃取的风险[1]。
  通过以上几种安全措施的实施,从系统级安全到桌面级安全,从静态访问控制到动态入侵检测主要层面:方案覆盖网络安全的事前弱点漏洞分析修正、事中入侵行为监控响应和事后信息监控取证的全过程,从而全面解决企业的信息安全问题,使企业网络避免来自内外部的攻击,防止病毒对主机的侵害和在网络中的传播。使整个网络的安全水平有很大程度的提高。
  参考文献
  [1] 戴丽莉. 企业信息网络系统安全方案[J]. 新西部(下半月),2008,(06):228+230.
网站目录投稿:山桃