時(shí)間:2023-09-15 17:31:24
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇小型企業(yè)網(wǎng)絡(luò)安全解決方案,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
[關(guān)鍵詞] 企業(yè)網(wǎng)絡(luò)信息安全信息保障
計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性使聯(lián)入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)很容易受到黑客、惡意軟件和非法授權(quán)的入侵和攻擊,信息系統(tǒng)中的存儲數(shù)據(jù)暴露無遺,從而使用戶信息資源的安全和保密受到嚴(yán)重威脅。目前互聯(lián)網(wǎng)使用TCP/IP協(xié)議的設(shè)計(jì)原則,只實(shí)現(xiàn)簡單的互聯(lián)功能,所有復(fù)雜的數(shù)據(jù)處理都留給終端承擔(dān),這是互聯(lián)網(wǎng)成功的因素,但它也暴露出數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C(jī)密性受到威脅,任何人都可以通過監(jiān)聽的方法去獲得經(jīng)過自己網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時(shí)候,對互聯(lián)網(wǎng)的安全狀況進(jìn)行研究與分析已迫在眉睫。
一、 國外企業(yè)信息安全現(xiàn)狀
調(diào)查顯示,歐美等國在網(wǎng)絡(luò)安全建設(shè)投入的資金占網(wǎng)絡(luò)建設(shè)資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)比中國完善,網(wǎng)絡(luò)安全建設(shè)的起步時(shí)間也比中國早,因此發(fā)生的網(wǎng)絡(luò)攻擊、盜竊和犯罪問題也比國內(nèi)嚴(yán)重,這也致使這些國家的企業(yè)對網(wǎng)絡(luò)安全問題有更加全面的認(rèn)識和足夠的重視,但縱觀全世界范圍,企業(yè)的網(wǎng)絡(luò)安全建設(shè)步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級速度。
國外信息安全現(xiàn)狀具有兩個(gè)特點(diǎn):
(1)各行業(yè)的企業(yè)越來越認(rèn)識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業(yè)的一項(xiàng)重要工作之一。
(2)企業(yè)對于網(wǎng)絡(luò)安全的資金投入與網(wǎng)絡(luò)建設(shè)的資金投入按比例增長,而且各項(xiàng)指標(biāo)均明顯高于國內(nèi)水平。
二、 國內(nèi)企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析
2005年全國各行業(yè)受眾對網(wǎng)絡(luò)安全技術(shù)的應(yīng)用狀況數(shù)據(jù)顯示,在各類網(wǎng)絡(luò)安全技術(shù)使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應(yīng)用(占53.1%)。2005年較2004年相比加大了其他網(wǎng)絡(luò)安全技術(shù)的投入,“物理隔離”、“路由器ACL”等技術(shù)已經(jīng)得到了應(yīng)用。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜、易安裝,并可在線升級等特點(diǎn)。值得注意的是,2005年企事業(yè)單位對“使用用戶名和密碼登陸系統(tǒng)”、“業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)進(jìn)行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網(wǎng)絡(luò)安全和信息的保護(hù)意識也越來越高。生物識別技術(shù)、虛擬專用網(wǎng)絡(luò)及數(shù)字簽名證書的使用率較低,有相當(dāng)一部分人不清楚這些技術(shù),還需要一些時(shí)間才能得到市場的認(rèn)可。
根據(jù)調(diào)查顯示,我國在網(wǎng)絡(luò)安全建設(shè)投入的資金還不到網(wǎng)絡(luò)建設(shè)資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業(yè)占多數(shù),而中小型企業(yè)由于資金預(yù)算有限,基本上只注重有直接利益回報(bào)的投資項(xiàng)目,對于網(wǎng)絡(luò)安全這種看不到實(shí)在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。另外,企業(yè)經(jīng)營者對于安全問題經(jīng)常會抱有僥幸的心理,加上缺少專門的技術(shù)人員和專業(yè)指導(dǎo),致使國內(nèi)企業(yè)目前的網(wǎng)絡(luò)安全建設(shè)情況參差不齊,普遍處于不容樂觀的狀況。
三、 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全對策分析
“三分技術(shù),七分管理”是技術(shù)與管理策略在整個(gè)信息安全保障策略中各自重要性的體現(xiàn),沒有完善的管理,技術(shù)就是再先進(jìn),也是無濟(jì)于事的。以往傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是某一種信息安全產(chǎn)品的某一方面的應(yīng)用方案,只能應(yīng)對網(wǎng)絡(luò)中存在的某一方面的信息安全問題。中國企業(yè)網(wǎng)絡(luò)的信息安全建設(shè)中經(jīng)常存在這樣一種不正常的現(xiàn)象,就是企業(yè)的整體安全意識普遍不強(qiáng),信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網(wǎng)絡(luò)安全問題的日益突顯,國內(nèi)網(wǎng)絡(luò)的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設(shè)發(fā)展的瓶頸。因此應(yīng)對企業(yè)網(wǎng)絡(luò)做到全方位的立體防護(hù),立體化的解決方案才能真正解決企業(yè)網(wǎng)絡(luò)的安全問題,立體化是未來企業(yè)網(wǎng)絡(luò)安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現(xiàn)。信息保障是最近幾年西方一些計(jì)算機(jī)科學(xué)及信息安全專家提出的與信息安全有關(guān)的新概念,也是信息安全領(lǐng)域一個(gè)最新的發(fā)展方向。
信息保障是信息安全發(fā)展的新階段,用保障(Assurance)來取代平時(shí)我們用的安全一詞,不僅僅是體現(xiàn)了信息安全理論發(fā)展到了一個(gè)新階段,更是信息安全理念的一種提升與轉(zhuǎn)變。人們開始認(rèn)識到安全的概念已經(jīng)不局限于信息的保護(hù),人們需要的是對整個(gè)信息和信息系統(tǒng)的保護(hù)和防御,包括了對信息的保護(hù)、檢測、反應(yīng)和恢復(fù)能力。為了保障信息安全,除了要進(jìn)行信息的安全保護(hù),還應(yīng)該重視提高安全預(yù)警能力、系統(tǒng)的入侵檢測能力,系統(tǒng)的事件反應(yīng)能力和系統(tǒng)遭到入侵引起破壞的快速恢復(fù)能力。區(qū)別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻、安全路由等技術(shù),信息保障強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù),同時(shí)安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測、反應(yīng)和恢復(fù)五個(gè)環(huán)節(jié)的信息保障概念。
所以一個(gè)全方位的企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù),在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數(shù)量,同時(shí)利用這些審核信息還可以跟蹤入侵者。
參考文獻(xiàn):
[1]付正:安全――我們共同的責(zé)任[J].計(jì)算機(jī)世界,2006,(19)
[2]李理:解剖您身邊的安全[N].中國計(jì)算機(jī)報(bào),2006-4-13
關(guān)鍵詞:中小型企業(yè);信息網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全架構(gòu)
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號:TN915.08文獻(xiàn)標(biāo)識碼:A文章編號:2095-2104(2013)
1、中小型企業(yè)網(wǎng)絡(luò)安全問題的研究背景
隨著企業(yè)信息化的推廣和計(jì)算機(jī)網(wǎng)絡(luò)的成熟和擴(kuò)大,企業(yè)的發(fā)展越來越離不開網(wǎng)絡(luò),而伴隨著企業(yè)對網(wǎng)絡(luò)的依賴性與日俱增,企業(yè)網(wǎng)絡(luò)的安全性問題越來越嚴(yán)重,大量的入侵、蠕蟲、木馬、后門、拒絕服務(wù)、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前。近些年來頻繁出現(xiàn)在媒體報(bào)道中的網(wǎng)絡(luò)安全案例無疑是為我們敲響了警鐘,在信息網(wǎng)絡(luò)越來越發(fā)達(dá)的今天,企業(yè)要發(fā)展就必須重視自身網(wǎng)絡(luò)的安全問題。網(wǎng)絡(luò)安全不僅關(guān)系到企業(yè)的發(fā)展,甚至關(guān)乎到了企業(yè)的存亡。
2 、中小型企業(yè)網(wǎng)絡(luò)安全的主要問題
2.1什么是網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全的一個(gè)通用定義:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的軟、硬件設(shè)施及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷。網(wǎng)絡(luò)安全從本質(zhì)上說就是網(wǎng)絡(luò)上的信息安全。廣義地說,凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性(抗抵賴性)和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全主要研究的領(lǐng)域。
2.2網(wǎng)絡(luò)安全架構(gòu)的基本功能
網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性(抗抵賴性)和可控性又被稱為網(wǎng)絡(luò)安全目標(biāo),對于任何一個(gè)企業(yè)網(wǎng)絡(luò)來講,都應(yīng)該實(shí)現(xiàn)這五個(gè)網(wǎng)絡(luò)安全基本目標(biāo),這就需要企業(yè)的網(wǎng)絡(luò)應(yīng)用架構(gòu)具備防御、監(jiān)測、應(yīng)急、恢復(fù)等基本功能。
2.3中小型企業(yè)的主要網(wǎng)絡(luò)安全問題
中小型企業(yè)主要的網(wǎng)絡(luò)安全問題主要體現(xiàn)在3個(gè)方面.
1、木馬和病毒
計(jì)算機(jī)木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴(yán)重破壞企業(yè)業(yè)務(wù)的連續(xù)性和有效性,某些木馬和病毒甚至能在片刻之間感染整個(gè)辦公場所從而導(dǎo)致企業(yè)業(yè)務(wù)徹底癱瘓。與此同時(shí),公司員工也可能通過訪問惡意網(wǎng)站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡(luò)并進(jìn)行傳播,進(jìn)而給企業(yè)造成巨大的經(jīng)濟(jì)損失。由此可見,網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點(diǎn)對蠕蟲、病毒和間諜軟件進(jìn)行檢測和防范。這里提到的每一點(diǎn),包括網(wǎng)絡(luò)的邊界位置以及內(nèi)部網(wǎng)絡(luò)環(huán)境。
2、信息竊取
信息竊取是企業(yè)面臨的一個(gè)重大問題,也可以說是企業(yè)最急需解決的問題。網(wǎng)絡(luò)黑客通過入侵企業(yè)網(wǎng)絡(luò)盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題,僅僅靠在網(wǎng)絡(luò)邊緣位置加強(qiáng)防范還遠(yuǎn)遠(yuǎn)不夠,因?yàn)楹诳涂赡軙锿緝?nèi)部人員(如員工或承包商)一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴(yán)重影響,它不僅會破壞中小型企業(yè)賴以生存的企業(yè)商譽(yù)和客戶關(guān)系。還會令企業(yè)陷入面臨負(fù)面報(bào)道、政府罰金和法律訴訟等問題的困境。
3、業(yè)務(wù)有效性
計(jì)算機(jī)木馬和病毒并不是威脅業(yè)務(wù)有效性的唯一因素。隨著企業(yè)發(fā)展與網(wǎng)絡(luò)越來越密不可分,網(wǎng)絡(luò)開始以破壞公司網(wǎng)站和電子商務(wù)運(yùn)行為威脅條件,對企業(yè)進(jìn)行敲詐勒索。其中,以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊占用企業(yè)網(wǎng)絡(luò)的大量帶寬,使其無法正常處理用戶的服務(wù)請求。而這一現(xiàn)象的結(jié)果是災(zāi)難性的:數(shù)據(jù)和訂單丟失,客戶請求被拒絕……同時(shí),當(dāng)被攻擊的消息公之于眾后,企業(yè)的聲譽(yù)也會隨之受到影響。
3如何打造安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)
通過對中小型企業(yè)網(wǎng)絡(luò)存在的安全問題的分析,同時(shí)考慮到中小型企業(yè)資金有限的情況,我認(rèn)為打造一個(gè)安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)應(yīng)遵循以下的過程:首先要建立企業(yè)自己的網(wǎng)絡(luò)安全策略;其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境對企業(yè)可能存在的網(wǎng)絡(luò)隱患進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估,確定企業(yè)需要保護(hù)的重點(diǎn);最后選擇合適的設(shè)備。
3.1建立網(wǎng)絡(luò)安全策略
一個(gè)企業(yè)的網(wǎng)絡(luò)絕不能簡簡單單的就定義為安全或者是不安全,每個(gè)企業(yè)在建立網(wǎng)絡(luò)安全體系的第一步應(yīng)該是定義安全策略,該策略不會去指導(dǎo)如何獲得安全,而是將企業(yè)需要的應(yīng)用清單羅列出來,再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略,企業(yè)需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。對關(guān)鍵數(shù)據(jù)的防護(hù)要采取包括“進(jìn)不來、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進(jìn)不來”——可用性: 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù),讓非法的用戶不能夠進(jìn)入企業(yè)網(wǎng)。
2.“出不去”——可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式,讓企業(yè)網(wǎng)內(nèi)的商業(yè)機(jī)密不被泄密。
3.“讀不懂”——機(jī)密性: 信息不暴露給未授權(quán)實(shí)體或進(jìn)程,讓未被授權(quán)的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數(shù)據(jù)不被未授權(quán)修改。
5.“走不脫”——可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段。
在“五不原則”的基礎(chǔ)上,再針對企業(yè)網(wǎng)絡(luò)內(nèi)的不同環(huán)節(jié)采取不同的策略。
3.2 信息安全等級劃分
根據(jù)我國《信息安全等級保護(hù)管理辦法》,我國所有的企業(yè)都必須對信息系統(tǒng)分等級實(shí)行安全保護(hù),對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。具體劃分情況如下:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。
因此,中小型企業(yè)在構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)之前,都應(yīng)該根據(jù)《信息安全等級保護(hù)管理辦法》,經(jīng)由相關(guān)部門確定企業(yè)的信息安全等級,并依據(jù)界定的企業(yè)信息安全等級對企業(yè)可能存在的網(wǎng)絡(luò)安全問題進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估。
3.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估
根據(jù)國家信息安全保護(hù)管理辦法,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是指由于網(wǎng)絡(luò)系統(tǒng)所存在的脆弱性,因人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的可能性影響。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估就是指依據(jù)有關(guān)信息安全技術(shù)和管理標(biāo)準(zhǔn),對網(wǎng)絡(luò)系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進(jìn)行科學(xué)評價(jià)的過程。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估對企業(yè)的網(wǎng)絡(luò)安全意義重大。首先,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估是網(wǎng)絡(luò)安全的基礎(chǔ)工作,它有利于網(wǎng)絡(luò)安全的規(guī)劃和設(shè)計(jì)以及明確網(wǎng)絡(luò)安全的保障需求;另外,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估有利于網(wǎng)絡(luò)的安全防護(hù),使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡(luò)做到突出防護(hù)重點(diǎn),分級保護(hù)。
3.4確定企業(yè)需要保護(hù)的重點(diǎn)
針對不同的企業(yè),其需要保護(hù)的網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)是不同的。但是企業(yè)信息網(wǎng)絡(luò)中需要保護(hù)的重點(diǎn)在大體上是相同的,我認(rèn)為主要包括以下幾點(diǎn):
1.要著重保護(hù)服務(wù)器、存儲的安全,較輕保護(hù)單機(jī)安全。
企業(yè)的運(yùn)作中,信息是靈魂,一般來說,大量有用的信息都保存在服務(wù)器或者存儲設(shè)備上。在實(shí)際工作中,企業(yè)應(yīng)該要求員工把相關(guān)的資料存儲在企業(yè)服務(wù)器中。企業(yè)可以對服務(wù)器采取統(tǒng)一的安全策略,如果管理策略定義的好的話,在服務(wù)器上文件的安全性比單機(jī)上要高的多。所以在安全管理中,企業(yè)應(yīng)該把管理的重心放到這些服務(wù)器中,要采用一切必要的措施,讓員工把信息存儲在文件服務(wù)器上。在投資上也應(yīng)著重考慮企業(yè)服務(wù)器的防護(hù)。
2.邊界防護(hù)是重點(diǎn)。
當(dāng)然著重保護(hù)服務(wù)器、存儲設(shè)備的安全并不是說整體的防護(hù)并不需要,相反的邊界防護(hù)是網(wǎng)絡(luò)防護(hù)的重點(diǎn)。網(wǎng)絡(luò)邊界是企業(yè)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線,對網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù),首先必須明確到底哪些網(wǎng)絡(luò)邊界需要防護(hù),這可以通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估來確定。網(wǎng)絡(luò)邊界是一個(gè)網(wǎng)絡(luò)的重要組成部分,負(fù)責(zé)對網(wǎng)絡(luò)流量進(jìn)行最初及最后的過濾,對一些公共服務(wù)器區(qū)進(jìn)行保護(hù),VPN技術(shù)也是在網(wǎng)絡(luò)邊界設(shè)備建立和終結(jié)的,因此邊界安全的有效部署對整網(wǎng)安全意義重大。
3.“”保護(hù)。
企業(yè)還要注意到,對于某些極其重要的部門,要將其劃為,例如一些研發(fā)部門。類似的部門一旦發(fā)生網(wǎng)絡(luò)安全事件,往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術(shù)或者干脆做到物理隔離。
4.終端計(jì)算機(jī)的防護(hù)。
最后作者還是要提到終端計(jì)算機(jī)的防護(hù),雖然對比服務(wù)器、存儲和邊界防護(hù),終端計(jì)算機(jī)的安全級別相對較低,但最基本的病毒防護(hù),和策略審計(jì)是必不可少的。
3.5選擇合適的網(wǎng)絡(luò)安全設(shè)備
企業(yè)應(yīng)該根據(jù)自身的需求和實(shí)際情況選擇適合的網(wǎng)絡(luò)安全設(shè)備,并不是越貴越好,或者是越先進(jìn)越好。在這里作者重點(diǎn)介紹一下邊界防護(hù)產(chǎn)品——防火墻的性能參數(shù)的實(shí)際應(yīng)用。
作為網(wǎng)絡(luò)安全重要的一環(huán),防火墻是在任何整體網(wǎng)絡(luò)安全建設(shè)中都是不能缺少的主角之一,并且?guī)缀跛械木W(wǎng)絡(luò)安全公司都會推出自己品牌的防火墻。在防火墻的參數(shù)中,最常看到的是并發(fā)連接數(shù)、網(wǎng)絡(luò)吞吐量兩個(gè)指標(biāo).
并發(fā)連接數(shù):是指防火墻或服務(wù)器對其業(yè)務(wù)信息流的處理能力,是防火墻能夠同時(shí)處理的點(diǎn)對點(diǎn)連接的最大數(shù)目,它反映出防火墻設(shè)備對多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力,這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。由于計(jì)算機(jī)用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個(gè)臺計(jì)算機(jī)發(fā)生20個(gè)并發(fā)連接數(shù)計(jì)算(很多文章中提到一個(gè)經(jīng)驗(yàn)數(shù)據(jù)是15,但這個(gè)數(shù)值在集中辦公的地方往往會出現(xiàn)不足),假設(shè)企業(yè)中的計(jì)算機(jī)用戶為500人,這個(gè)企業(yè)需要的防火墻的并發(fā)連接數(shù)是:20*500*3/4=7500,也就是說在其他指標(biāo)符合的情況下,購買一臺并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了,如果再規(guī)范了終端用戶的瀏覽限制,甚至可以更低。
網(wǎng)絡(luò)吞吐量:是指在沒有幀丟失的情況下,設(shè)備能夠接受的最大速率。隨著Internet的日益普及,內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加,一些企業(yè)也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務(wù),這些因素會導(dǎo)致網(wǎng)絡(luò)流量的急劇增加,而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小,就會成為網(wǎng)絡(luò)瓶頸,給整個(gè)網(wǎng)絡(luò)的傳輸效率帶來負(fù)面影響。因此,考察防火墻的吞吐能力有助于企業(yè)更好的評價(jià)其性能表現(xiàn)。這也是測量防火墻性能的重要指標(biāo)。
吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統(tǒng)進(jìn)行大量運(yùn)算,通信量大打折扣。因此,大多數(shù)防火墻雖號稱100M防火墻,由于其算法依靠軟件實(shí)現(xiàn),通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實(shí)際只有10M-20M。純硬件防火墻,由于采用硬件進(jìn)行運(yùn)算,因此吞吐量可以達(dá)到線性90-95M,才是真正的100M防火墻。
從實(shí)際情況來看,中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因,一般選擇百兆防火墻就已經(jīng)足夠了。
3.6投資回報(bào)率
在之前作者曾提到的中小企業(yè)的網(wǎng)絡(luò)特點(diǎn)中資金少是最重要的一個(gè)問題。不論企業(yè)如何做安全策略以及劃分保護(hù)重點(diǎn),最終都要落實(shí)到一個(gè)實(shí)際問題上——企業(yè)網(wǎng)絡(luò)安全的投資資金。這里就涉及到了一個(gè)名詞——投資回報(bào)率。在網(wǎng)絡(luò)安全的投資上,是看不到任何產(chǎn)出的,那么網(wǎng)絡(luò)安全的投資回報(bào)率該如何計(jì)算呢?
首先,企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進(jìn)行WEB瀏覽時(shí),可能會違反公司網(wǎng)絡(luò)行為規(guī)范的概率。可以將這個(gè)概率稱為暴光值(exposure value (EV))。根據(jù)一些機(jī)構(gòu)對中小企業(yè)做的調(diào)查報(bào)告可知,通常有25%—30%的員工會違反企業(yè)的使用策略,作者在此選擇25%作為計(jì)算安全投資回報(bào)率的暴光值。那么,一個(gè)擁有100名員工的企業(yè)就有100x 25% = 25名違反者。
下一步,必需確定一個(gè)因素——當(dāng)發(fā)現(xiàn)單一事件時(shí)將損失多少人民幣。可以將它稱為預(yù)期單一損失(single loss expectancy (SLE))。由于公司中的100個(gè)員工都有可能會違反公司的使用規(guī)定,因此,可以用這100個(gè)員工的平均小時(shí)工資作為每小時(shí)造成工作站停機(jī)的預(yù)期單一最小損失值。例如,作者在此可以用每小時(shí)10元人民幣作為預(yù)期單一最小損失值。然后,企業(yè)需要確定在一周的工作時(shí)間之內(nèi),處理25名違規(guī)員工帶來的影響需要花費(fèi)多少時(shí)間。這個(gè)時(shí)間可以用每周總工作量40小時(shí)乘以暴光值25%可以得出為10小時(shí)。這樣,就可以按下列公式來計(jì)算單一預(yù)期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業(yè)要確定這樣的事情在一年中可能會發(fā)生多少次。可以叫它為預(yù)期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個(gè)星期都會發(fā)生,一年有52周,如果除去我國的春節(jié)和十一黃金周的兩個(gè)假期,這意味著一個(gè)企業(yè)在一年中可能會發(fā)生50次這樣的事件,可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預(yù)期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預(yù)期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說,該公司在沒有使用安全技術(shù)防范措施的情況下,內(nèi)部員工的違規(guī)網(wǎng)絡(luò)操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道,如果公司只需要花費(fèi)10000元人民幣來實(shí)施一個(gè)具體的網(wǎng)絡(luò)行為監(jiān)控解決方案,就可能讓企業(yè)每年減少12.5萬元人民幣的損失,這個(gè)安全防范方案當(dāng)然是值得去做的。
當(dāng)然,事實(shí)卻并不是這么簡單的。這是由于安全并不是某種安全技術(shù)就可以解決的,安全防范是一個(gè)持續(xù)過程,其中必然會牽扯到人力和管理成本等因素。而且,任何一種安全技術(shù)或安全解決方案并不能保證絕對的安全,因?yàn)檫@是不可能完成的任務(wù)。
就拿本例來說,實(shí)施這個(gè)網(wǎng)絡(luò)行為監(jiān)控方案之后,能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為,也就是暴光值(EV)降低到2%就已經(jīng)相當(dāng)不錯(cuò)了。而這,需要在此安全防范方案實(shí)施一段時(shí)間之后,例如半年或一年,企業(yè)才可能知道實(shí)施此安全方案后的最終效果,也就是此次安全投資的具體投資回報(bào)率是多少。
有數(shù)據(jù)表明在國外,安全投入一般占企業(yè)基礎(chǔ)投入的5%~20%,在國內(nèi)一般很少超過2%,而網(wǎng)絡(luò)安全事件不論在國內(nèi)外都層出不窮,企業(yè)可能在安全方面投入了很多,但是仍然頻頻發(fā)生網(wǎng)絡(luò)安全事故。很多企業(yè)的高層管理者對于這個(gè)問題都比較頭疼。其實(shí)網(wǎng)絡(luò)安全理論中著名的木桶理論,很好的解釋了這種現(xiàn)象。企業(yè)在信息安全方面的預(yù)算不夠進(jìn)而導(dǎo)致了投資報(bào)酬不成比例,另外很多企業(yè)每年在安全產(chǎn)品上投入大量資金,但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素。缺乏系統(tǒng)的、科學(xué)的管理體系的支持,也是導(dǎo)致這種結(jié)果產(chǎn)生的原因。
關(guān)鍵詞:無線網(wǎng)絡(luò);數(shù)據(jù)安全;思考
1 無線網(wǎng)絡(luò)安全問題的表現(xiàn)
1.1 插入攻擊 插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ),這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對接入點(diǎn)進(jìn)行配置,要求客戶端接入時(shí)輸入口令。如果沒有口令,入侵者就可以通過啟用一個(gè)無線客戶端與接入點(diǎn)通信,從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶端的訪問口令竟然完全相同。這是很危險(xiǎn)的。
1.2 漫游攻擊者 攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部,他們可以使用網(wǎng)絡(luò)掃描器,如netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設(shè)備嗅探出無線網(wǎng)絡(luò),這種活動稱為“wardriving”;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù),這稱為“warwalking”。
1.3 欺詐性接入點(diǎn) 所謂欺詐性接入點(diǎn)是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下,就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn),其目的是為了避開已安裝的安全手段,創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害,但它卻可以構(gòu)造出一個(gè)無保護(hù)措施的網(wǎng)絡(luò),并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開放門戶。
1.4 雙面惡魔攻擊 這種攻擊有時(shí)也被稱為“無線釣魚”,雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn),然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。
1.5 竊取網(wǎng)絡(luò)資源 有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會利用這種連接從公司范圍內(nèi)發(fā)送郵件,或下載盜版內(nèi)容,這會產(chǎn)生一些法律問題。
1.6 對無線通信的劫持和監(jiān)視 正如在有線網(wǎng)絡(luò)中一樣,劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況,一是無線數(shù)據(jù)包分析,即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數(shù)據(jù)一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個(gè)合法用戶,并劫持用戶會話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴于集線器,所以很少見。
2 保障無線網(wǎng)絡(luò)安全的技術(shù)方法
2.1 隱藏ssid ssid,即service set identifier的簡稱,讓無線客戶端對不同無線網(wǎng)絡(luò)的識別,類似我們的手機(jī)識別不同的移動運(yùn)營商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被ap無線接入點(diǎn)廣播出去的,客戶端只有收到這個(gè)參數(shù)或者手動設(shè)定與ap相同的ssid才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止,一般的漫游用戶在無法找到ssid的情況下是無法連接到網(wǎng)絡(luò)的。需要注意的是,如果黑客利用其他手段獲取相應(yīng)參數(shù),仍可接入目標(biāo)網(wǎng)絡(luò),因此,隱藏ssid適用于一般soho環(huán)境當(dāng)作簡單口令安全方式。
2.2 mac地址過濾 顧名思義,這種方式就是通過對ap的設(shè)定,將指定的無線網(wǎng)卡的物理地址(mac地址)輸入到ap中。而ap對收到的每個(gè)數(shù)據(jù)包都會做出判斷,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的mac地址信息,仍可以通過各種方法適用假冒的mac地址登陸網(wǎng)絡(luò),一般soho,小型企業(yè)工作室可以采用該安全手段。
2.3 wep加密 wep是wired equivalent privacy的簡稱,所有經(jīng)過wifi認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的rc4加密算法,保證傳輸數(shù)據(jù)不會以明文方式被截獲。該方法需要在每套移動設(shè)備和ap上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質(zhì)疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于soho、中小型企業(yè)的安全加密。
2.4 ap隔離 類似于有線網(wǎng)絡(luò)的vlan,將所有的無線客戶端設(shè)備完全隔離,使之只能訪問ap連接的固定網(wǎng)絡(luò)。該方法用于對酒店和機(jī)場等公共熱點(diǎn)hot spot的架設(shè),讓接入的無線客戶端保持隔離,提供安全的internet接入。
2.5 802.1x協(xié)議 802.1x協(xié)議由ieee定義,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了ppp協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議eap。作為擴(kuò)展認(rèn)證協(xié)議,eap可以采用md5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級別的安全。
2.6 wpa wpa即wi-fi protected access的簡稱,下一代無線規(guī)格802.11i之前的過渡方案,也是該標(biāo)準(zhǔn)內(nèi)的一小部分。wpa率先使用802.11i中的加密技術(shù)-tkip (temporal key integrity protocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用wep所隱藏的安全問題。很多客戶端和ap并不支持wpa協(xié)議,而且tkip加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡(luò)部署。
2.7 wpa2 wpa2與wpa后向兼容,支持更高級的aes加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。由于部分ap和大多數(shù)移動客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的wpa2補(bǔ)丁,但是仍需要對客戶端逐一部署。該方法適用于企業(yè)、政府及soho用戶。
2.8 02.11i ieee 正在開發(fā)的新一代的無線規(guī)格,致力于徹底解決無線網(wǎng)絡(luò)的安全問題,草案中包含加密技術(shù)aes(advanced encryption standard)與tkip,以及認(rèn)證協(xié)議ieee802.1x。盡管理論上講此協(xié)議可以徹底解決無線網(wǎng)絡(luò)安全問題,適用于所有企業(yè)網(wǎng)絡(luò)的無線部署,但是目前為止尚未有支持此協(xié)議的產(chǎn)品問世。
3 結(jié)語
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò); 信息網(wǎng)絡(luò); 網(wǎng)絡(luò)設(shè)計(jì); 網(wǎng)絡(luò)建設(shè); 網(wǎng)絡(luò)安全
中圖分類號:TP303 文獻(xiàn)標(biāo)識碼:A 文章編號:16727800(2013)009000103
作者簡介:洪光華(1983-),男,江西省煙草公司上饒市公司高級工程師、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師,研究方向?yàn)槲锪髯詣踊⑿畔⒐芾怼⒕W(wǎng)絡(luò)規(guī)劃設(shè)計(jì)。
0引言
企業(yè)信息網(wǎng)絡(luò)為員工提供快速交換訪問、企業(yè)資源計(jì)劃(ERP)、客戶資源管理(CRM)、項(xiàng)目管理(PM)、辦公協(xié)同(IOA)、電子郵件、互聯(lián)網(wǎng)訪問、遠(yuǎn)程接入VPN、視頻會議、IP電話等,能提高生產(chǎn)效率,降低生產(chǎn)成本。企業(yè)信息網(wǎng)絡(luò)是一個(gè)復(fù)雜的環(huán)境,牽涉到多種介質(zhì)、多種協(xié)議,并且還能與某組織中心辦公室外部的網(wǎng)絡(luò)互聯(lián)。設(shè)計(jì)精良并仔細(xì)安裝的網(wǎng)絡(luò)能減少隨著網(wǎng)絡(luò)環(huán)境的發(fā)展帶來的問題,包括速率升級、設(shè)備更換、網(wǎng)絡(luò)冗余防范、訪問控制的設(shè)計(jì)-實(shí)施-變更,保障網(wǎng)絡(luò)連續(xù)運(yùn)行。正確設(shè)計(jì)和維護(hù)網(wǎng)絡(luò)對企業(yè)正常運(yùn)作非常重要。一個(gè)設(shè)計(jì)和維護(hù)水平都較差的網(wǎng)絡(luò),會在與對手的競爭中面臨許多危險(xiǎn)。
1企業(yè)信息網(wǎng)絡(luò)基本特點(diǎn)
設(shè)計(jì)一個(gè)復(fù)雜系統(tǒng)最困難的地方就是決定從哪里開始,也就是對于最基本的企業(yè)信息網(wǎng)絡(luò)而言所應(yīng)該有的最基本的立足點(diǎn)和設(shè)計(jì)原則:①快速收斂,網(wǎng)絡(luò)必須在最短的時(shí)間內(nèi)找到源和目的之間的可用路徑;②確定的路徑,分組報(bào)文在網(wǎng)絡(luò)中經(jīng)過的路徑在某種程度上應(yīng)該是靜止的。如果網(wǎng)絡(luò)中的路由經(jīng)常發(fā)生變化,那么用戶通過網(wǎng)絡(luò)使用應(yīng)用程序和服務(wù)時(shí)就難以穩(wěn)定;③確定的錯(cuò)誤恢復(fù),當(dāng)鏈接或設(shè)備失效,應(yīng)當(dāng)存在已知的錯(cuò)誤恢復(fù)備份,這有助于排除疑難問題。更重要的是,在網(wǎng)絡(luò)出錯(cuò)的情況下,能創(chuàng)造一個(gè)穩(wěn)定的環(huán)境;④規(guī)模和吞吐量具有擴(kuò)展性,當(dāng)網(wǎng)絡(luò)需要的服務(wù)和信息逐漸增長時(shí),網(wǎng)絡(luò)會越來越大,需要更大的容量。網(wǎng)絡(luò)應(yīng)該有足夠的設(shè)計(jì),以便允許網(wǎng)絡(luò)中設(shè)備數(shù)目和設(shè)備連接鏈路容量的增長;⑤集中存儲,企業(yè)信息網(wǎng)絡(luò)必須能支持公共的文件和應(yīng)用程序存儲區(qū)域。即提供一種環(huán)境,在這種環(huán)境下能以更低的代價(jià)支持這些服務(wù);⑥更高效的信息傳輸,按照流量的二八原則,在當(dāng)前,與早期的網(wǎng)絡(luò)相比,傳輸模式明顯不同,如今的網(wǎng)絡(luò)設(shè)計(jì)必須基于如下假設(shè),即20%的流量在局域網(wǎng)絡(luò)內(nèi)部進(jìn)行,剩下的80%到達(dá)局域網(wǎng)絡(luò)外的主機(jī);⑦具有異種網(wǎng)絡(luò)兼容性,支持多種協(xié)議。企業(yè)信息網(wǎng)絡(luò)(EIN)必須支持多種不同類型的網(wǎng)絡(luò)協(xié)議,比如:IP、Novell IPX、Apple APPLETALK以及DECnet、VINES等,雖然當(dāng)前網(wǎng)絡(luò)主要為純IP網(wǎng)絡(luò),但不能排除某些傳統(tǒng)應(yīng)用程序和主機(jī)需要其他類型的網(wǎng)絡(luò)協(xié)議,并且在純IP網(wǎng)絡(luò)中,網(wǎng)絡(luò)也必須支持高層協(xié)議;⑧組播支持,現(xiàn)有的網(wǎng)絡(luò)必須支持組播。組播是一種能使用戶以更有效的方式進(jìn)行傳輸和接收網(wǎng)絡(luò)視頻信息的機(jī)制。
在單個(gè)網(wǎng)絡(luò)中把所有必須的功能都集成以滿足需求是十分困難的,而通過拓?fù)鋵右约皹?gòu)建塊等將網(wǎng)絡(luò)功能組件化,可以對網(wǎng)絡(luò)功能進(jìn)行修改重組,進(jìn)而滿足特定的網(wǎng)絡(luò)設(shè)計(jì)要求。
2企業(yè)信息網(wǎng)絡(luò)建設(shè)要求
盡管每個(gè)企業(yè)信息網(wǎng)絡(luò)都有其獨(dú)有的特性,但所有的企業(yè)信息網(wǎng)絡(luò)還是具有共同的基本要求:①可靠性和可用性:企業(yè)信息網(wǎng)絡(luò)應(yīng)當(dāng)24小時(shí)全年可靠可用,故障發(fā)生時(shí)可以被迅速隔離,且故障的修復(fù)對于最終用戶應(yīng)當(dāng)透明;②響應(yīng)性:企業(yè)信息網(wǎng)絡(luò)應(yīng)為各種業(yè)務(wù)應(yīng)用和協(xié)議提供質(zhì)量保證(QoS),并不影響桌面計(jì)算機(jī)的響應(yīng);③高效性:企業(yè)信息網(wǎng)絡(luò)可以優(yōu)化資源,尤其是帶寬的使用,減少額外數(shù)據(jù)流開銷,比如不必要的廣播、服務(wù)定位和路由更新,應(yīng)當(dāng)使數(shù)據(jù)吞吐率在不增加硬件成本或不添加廣域網(wǎng)服務(wù)的前提下得到提高;④可適應(yīng)性:一個(gè)適應(yīng)性強(qiáng)的企業(yè)信息網(wǎng)絡(luò)利用層次化、開放式的結(jié)構(gòu)可以容納完全不同的協(xié)議、應(yīng)用、硬件技術(shù),從而實(shí)現(xiàn)不同業(yè)務(wù)程序的運(yùn)行;⑤可訪問性和安全性:一個(gè)可訪問的企業(yè)信息網(wǎng)絡(luò)允許通過多種方式連接,實(shí)現(xiàn)全業(yè)務(wù)接入,保持業(yè)務(wù)隨時(shí)可以訪問,同時(shí)網(wǎng)絡(luò)的策略還能維護(hù)網(wǎng)絡(luò)的完整性。
3層次化設(shè)計(jì)企業(yè)信息網(wǎng)絡(luò)
通過劃分層次,可以將復(fù)雜的問題分解,是企業(yè)信息網(wǎng)絡(luò)設(shè)計(jì)中基本的設(shè)計(jì)思想。可以分別從網(wǎng)絡(luò)的結(jié)構(gòu)方式對網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)功能、網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)構(gòu)建塊、網(wǎng)絡(luò)地址劃分層次。
(1)網(wǎng)絡(luò)規(guī)模。對于企業(yè)信息網(wǎng)絡(luò)而言可劃分為:LAN(Local Area Network),微小型企業(yè)及工作組規(guī)模,一個(gè)房間到一棟建筑,由單個(gè)組織擁有和管理;CAN(Campus Area Network),多個(gè)局域網(wǎng)的集合,由坐落在固定區(qū)域內(nèi)的一棟或多棟建筑物組成,也是由單個(gè)組織擁有和管理,或每一處由組織的一部分擁有和管理。
(2)網(wǎng)絡(luò)功能。企業(yè)信息網(wǎng)絡(luò)的主要建設(shè)集中在OSI模型的2~4層,第二層交換在數(shù)據(jù)鏈路層進(jìn)行,第三層交換在網(wǎng)絡(luò)層進(jìn)行,訪問控制在二、三、四層實(shí)現(xiàn),均可以使用軟件或硬件的方式實(shí)現(xiàn),在復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中,由于功能的硬件實(shí)現(xiàn)比軟件迅速,一般在此使用多層交換機(jī)、路由器。
(3)網(wǎng)絡(luò)流量的規(guī)劃設(shè)計(jì)。網(wǎng)絡(luò)通常與用戶數(shù)和個(gè)人需求同步增長。這意味著用戶的網(wǎng)絡(luò)設(shè)計(jì)必須能夠處理連接數(shù)目的增長,也能處理網(wǎng)絡(luò)內(nèi)部鏈路帶寬。①利用橋接避免沖突,一般通過網(wǎng)橋/交換機(jī)提供端到端的雙向帶寬獨(dú)占的通信模式;②對廣播域進(jìn)行分割,實(shí)現(xiàn)方式為劃分VLAN或使用三層交換機(jī)、路由器。一個(gè)好的原則是一個(gè)廣播域內(nèi)不應(yīng)超過240臺設(shè)備,避免廣播風(fēng)暴;③流量可管理,企業(yè)信息網(wǎng)絡(luò)應(yīng)當(dāng)使流量處于可管理的狀態(tài),使用純交換技術(shù),并對網(wǎng)絡(luò)進(jìn)行邏輯地址的劃分,減少廣播流量,制定流量的策略規(guī)劃。
(4)網(wǎng)絡(luò)服務(wù)規(guī)劃設(shè)計(jì)。企業(yè)信息網(wǎng)絡(luò)的應(yīng)用是由連接在一起的服務(wù)所組成的,且連接的方式能提供高效的通信流。其服務(wù)可分為3類:本地服務(wù)、遠(yuǎn)程服務(wù)、企業(yè)服務(wù),企業(yè)信息網(wǎng)絡(luò)應(yīng)當(dāng)有效容納這些服務(wù),并有效規(guī)劃。①本地服務(wù),是同一個(gè)本地工作組可以訪問的網(wǎng)絡(luò)服務(wù)(例如:網(wǎng)絡(luò)打印服務(wù)、工作組文件共享等)。這些服務(wù)流量的特征是保持在同一個(gè)廣播域內(nèi),在第二層進(jìn)行數(shù)據(jù)交換,不應(yīng)出現(xiàn)在網(wǎng)絡(luò)主干之上,即不進(jìn)行三層路由;②遠(yuǎn)程服務(wù),用戶主動發(fā)起的,在其廣播域之外的服務(wù),例如文件應(yīng)用程序、遠(yuǎn)程控制、IP電話、視頻會議、互聯(lián)網(wǎng)訪問等,這些服務(wù)會跨越廣播域,通信過程由第三層路由器轉(zhuǎn)發(fā);③企業(yè)服務(wù),網(wǎng)絡(luò)內(nèi)所有用戶都可以訪問(例如企業(yè)級中央存儲、企業(yè)級業(yè)務(wù)應(yīng)用包,含ERP、PM、CRM、MIS、EMAIL以及內(nèi)部網(wǎng)服務(wù)),這些服務(wù)一般都放置在接近網(wǎng)絡(luò)邏輯中心的地方,以允許所有用戶平等訪問。依據(jù)企業(yè)服務(wù)的規(guī)模,這些服務(wù)可能在同一個(gè)廣播域分組,也可能不分組。
(5)網(wǎng)絡(luò)拓?fù)洹=鉀Q任何系統(tǒng)設(shè)計(jì)的第一種方法是確定系統(tǒng)的主要模塊。為了滿足企業(yè)信息網(wǎng)絡(luò)設(shè)計(jì)需求,數(shù)據(jù)報(bào)文服務(wù)和用戶連接在一起,從而為用戶優(yōu)化帶寬,確保可靠性和公正性。可以使用三層網(wǎng)絡(luò)設(shè)計(jì)體系,模塊化設(shè)計(jì)各層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。①接入層(訪問層):接入層模塊處理用戶對網(wǎng)絡(luò)的訪問。通常,接入層由第二層交換機(jī)組成,雖然集線器也能代替交換機(jī)共享以太網(wǎng)段的帶寬。在接入層使用交換式還是共享式第二層網(wǎng)絡(luò)取決于用戶的需求和開銷。虛擬局域網(wǎng)(VLAN)可以配置成把用戶按功能分組而不是按地理位置分組。在外層,接入層在用戶和企業(yè)信息網(wǎng)絡(luò)之間提供高密度的端口和廉價(jià)的訪問,也能夠通過廣域網(wǎng)技術(shù),例如ADSL、ISDN、DDN等,讓遠(yuǎn)程場點(diǎn)訪問網(wǎng)絡(luò);②集散層(分發(fā)層):集散層是核心和接入層的邊界。從邏輯角度上說,集散層的主要作用是把工作組中的用戶聚合在一起,用來提供廣播域之間的鏈接、VLAN間的路由選擇及安全性。一般處理企業(yè)信息網(wǎng)絡(luò)的第三層路由功能,主要實(shí)施措施有以下幾項(xiàng):路由協(xié)議的部署、訪問策略的設(shè)置、為進(jìn)入核心層的數(shù)據(jù)提供過濾功能、提供多種網(wǎng)絡(luò)類型的數(shù)據(jù)接入轉(zhuǎn)換以及防火墻的部署;③核心層:核心層和集散層模塊一般綁定在一起,作為網(wǎng)絡(luò)的主干存在。在這一層不會設(shè)置任何策略及路由選擇。核心層最大的設(shè)計(jì)需求是獲得盡可能快的轉(zhuǎn)發(fā)速度和鏈路冗余保障可靠性。
(6)按分割網(wǎng)絡(luò)構(gòu)建模塊:按照設(shè)備群和拓?fù)浣Y(jié)構(gòu),在層次化企業(yè)信息網(wǎng)絡(luò)實(shí)施過程中需要進(jìn)一步把網(wǎng)絡(luò)分割成網(wǎng)絡(luò)構(gòu)建塊(交換塊、核心塊)。
交換塊:由一組具有二層和三層功能的交換機(jī)組(一組連接訪問設(shè)備的分發(fā)設(shè)備)作為交換塊,其可以跨越接入層和集散層。
核心塊:作為整個(gè)網(wǎng)絡(luò)的集合點(diǎn)用來連接多個(gè)交換塊,具有足夠的處理能力和帶寬處理主干上的大量通信流,盡可能提高速度和減小延遲,通過核心層設(shè)備進(jìn)行橋接,使轉(zhuǎn)發(fā)速率得到最大化,把路由選擇留給集散層。
(7)科學(xué)合理規(guī)劃網(wǎng)絡(luò)地址分配方案。企業(yè)信息網(wǎng)絡(luò)需要一種能夠易于擴(kuò)展的編址方案,以適用于網(wǎng)絡(luò)的擴(kuò)展需求。通過對可擴(kuò)展型網(wǎng)絡(luò)編址系統(tǒng)的認(rèn)真計(jì)劃和部署,可以避免在為企業(yè)添加新節(jié)點(diǎn)和新的網(wǎng)絡(luò)時(shí),現(xiàn)存的地址可能需要被重新分配,膨脹的路由表使路由器陷入困境。網(wǎng)絡(luò)地址規(guī)劃時(shí)可以適時(shí)考慮結(jié)合子網(wǎng)劃分可變長度子網(wǎng)掩碼(VLSM)、路由歸納、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、無編號IP地址、動態(tài)主機(jī)分配協(xié)議(DHCP)。
4部門級交換式以太網(wǎng)建設(shè)
對于部門、小型公司的所需網(wǎng)絡(luò)技術(shù)確定將要連接的設(shè)備數(shù),通常要保證解決方案允許一定程度的增長。①確定將要連接的設(shè)備數(shù),部署交換設(shè)備,讓所有用戶與之相連,這樣構(gòu)成的網(wǎng)絡(luò)就能滿足要求。由于設(shè)備的數(shù)量少,以及交換機(jī)的使用,沖突和廣播流量不予考慮;②將來它可能投資購買本地文件服務(wù)器提供存儲和備份,并對遠(yuǎn)程連接有實(shí)際需求,那么在網(wǎng)絡(luò)增長時(shí),只需要將添購的設(shè)備連入交換機(jī),并在交換機(jī)上外聯(lián)一部小型路由器,使之通過配置廣域網(wǎng)接口,利用廣域網(wǎng)與遠(yuǎn)端連接,并建立一條廣域網(wǎng)冗余鏈路,配置為熱備份路由。由于外聯(lián)網(wǎng)絡(luò)的單一性,在客戶端指定路由器為默認(rèn)網(wǎng)關(guān),在交換塊邊界路由設(shè)置,即可實(shí)現(xiàn)接入層與集散層的結(jié)構(gòu)設(shè)計(jì),擴(kuò)展簡便。
企業(yè)VLAN、VLAN間路由:
(1)VLAN將物理上的設(shè)備組和用戶組通過邏輯的方式重新劃分,為控制和減少網(wǎng)絡(luò)管理開支提供有效的方法,并控制廣播活動,支持工作組和網(wǎng)絡(luò)的安全性。
(2)增加、移動或改變用戶的位置。公司重組和人員流動帶來的新的終端地址和集線器以及路由器的重新配置,成為網(wǎng)絡(luò)管理中最大開銷之一。VLAN用戶位置的改變只簡單將用戶的終端插接到相應(yīng)VLAN端口并簡單配置即可,路由器配制不做任何修改。
(3)控制廣播活動,通過應(yīng)用及廣播的數(shù)量確定VLAN的數(shù)目,使受廣播活動影響的用戶減少,通過VLAN將防火墻技術(shù)從路由器擴(kuò)展到交換,大大減少廣播流量,為用戶流量釋放帶寬,彌補(bǔ)網(wǎng)絡(luò)易受廣播風(fēng)暴影響的弱點(diǎn)。
(4)VLAN將網(wǎng)絡(luò)劃分為多個(gè)廣播域是提高安全性的一個(gè)經(jīng)濟(jì)實(shí)惠和便于管理的技術(shù),它可以限制VLAN網(wǎng)絡(luò)用戶的數(shù)目,拒絕用戶在VLAN應(yīng)用認(rèn)證之前的連接,以及可以將空閑的端口配置到默認(rèn)的低層服務(wù)的VLAN。
在企業(yè)信息網(wǎng)絡(luò)中可以通過路由器低成本實(shí)現(xiàn)VLAN間的通信,高效實(shí)現(xiàn)則可利用交換機(jī)路由模塊進(jìn)行交換。
5業(yè)務(wù)擴(kuò)展:WAN接入的設(shè)計(jì)、企業(yè)路由
隨著使用IP協(xié)議和Web的應(yīng)用軟件不斷增長,在企業(yè)信息網(wǎng)絡(luò)中必須處理復(fù)雜的廣域網(wǎng),而廣域網(wǎng)有復(fù)雜的環(huán)境,包括多種介質(zhì)、多種協(xié)議以及其他網(wǎng)絡(luò)的互聯(lián),通信發(fā)生在不同地域之間,信息傳遞需經(jīng)過一條或多條廣域網(wǎng)鏈路,特點(diǎn)是相對較低的通信流量、高延遲和高差錯(cuò)率,由于租用性質(zhì),廣域網(wǎng)的設(shè)計(jì)需要將帶寬的花費(fèi)和效率優(yōu)化處理。利用廣域網(wǎng)技術(shù)和路由器連接多個(gè)企業(yè)事業(yè)部網(wǎng)絡(luò)以支持新的業(yè)務(wù)開展,應(yīng)當(dāng)著重于通信流量的最佳化、提供多條冗余的路由、災(zāi)難恢復(fù)需要的后備撥號業(yè)務(wù)。
在企業(yè)使用的事務(wù)中,利用廣域網(wǎng)的流量包含:語音、傳真、事務(wù)數(shù)據(jù)(SNA)、客戶機(jī)/服務(wù)器數(shù)據(jù)、信息傳遞、文件傳輸、批量數(shù)據(jù)、網(wǎng)絡(luò)管理、視頻會議。通過收集需求,確定應(yīng)使用的廣域網(wǎng)線路。
路由部署:企業(yè)信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要為星型結(jié)構(gòu),在接入層與集散層間是平面的物理結(jié)構(gòu),冗余一般以二層交換VTP為主,鏈路狀態(tài)穩(wěn)定,帶寬等資源基本相當(dāng),可以在內(nèi)部信息網(wǎng)絡(luò)中使用靜態(tài)路由以及開銷小的路由,進(jìn)行手工指定或簡單配置。
在網(wǎng)絡(luò)的外部接口進(jìn)行路由配置的時(shí)候,可以依據(jù)距離矢量或鏈路狀態(tài)決定使用何種協(xié)議,并依照外部接口的數(shù)量進(jìn)行負(fù)載均衡與熱備份,外部接口在規(guī)模較大,結(jié)構(gòu)復(fù)雜的情況下可以使用OSPF協(xié)議,一般可使用IGRP協(xié)議,進(jìn)行路由熱備份時(shí)應(yīng)在其先配置按需撥號。
6網(wǎng)絡(luò)安全:防火墻和ACL應(yīng)用
在企業(yè)信息網(wǎng)絡(luò)中,應(yīng)盡可能保證業(yè)務(wù)數(shù)據(jù)的流通和優(yōu)先性,必須設(shè)法拒絕不希望的訪問連接,同時(shí)保障允許的訪問連接正常、響應(yīng)迅速、穩(wěn)定,而通過設(shè)置密碼、回叫信號設(shè)備以及硬件保密裝置可以幫助做到這些,但這些缺乏基本的通信流量過濾的靈活性和特定的控制手段。在信息網(wǎng)絡(luò)管理中,需要作出的策略往往是對用戶、服務(wù)、數(shù)據(jù)流向、前端應(yīng)用和數(shù)據(jù)流量進(jìn)行靈活控制。
(1)使用路由器阻止特定通信流量。路由器提供基本的通信流量過濾能力,可將其作為安全解決方案的一部分,通過訪問控制列表(Access Control List,ACL)實(shí)現(xiàn)企業(yè)信息網(wǎng)絡(luò)基本安全需求。
ACL是一系列允許和拒絕陳述句的集合,通過條件篩選和邏輯判斷,對數(shù)據(jù)包的協(xié)議或上層協(xié)議(網(wǎng)絡(luò)層以上)進(jìn)行控制。這些指令列表由類似于源地址、目的地址、端口號等特定指示條件決定路由器接收或拒絕數(shù)據(jù)包。
通過ACL部署,可以做到:限制網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)性能,提供對特定類型數(shù)據(jù)的優(yōu)先級;提供對通信流量的控制手段,限定或簡化路由更新、限制某網(wǎng)段;提供網(wǎng)絡(luò)訪問的基本安全手段,基于篩選條件的安全認(rèn)證;在路由接口處決定通信流量類型的過濾、篩選。
(2)部署企業(yè)防火墻,進(jìn)一步保障企業(yè)信息安全。網(wǎng)絡(luò)邊界可部署多功能防火墻,實(shí)現(xiàn)高層協(xié)議應(yīng)用的控制、過濾和攻擊防范。專業(yè)防火墻能夠在ACL列表過濾的基礎(chǔ)上更精準(zhǔn)地對網(wǎng)絡(luò)用戶和桌面計(jì)算機(jī)進(jìn)行數(shù)據(jù)流量、數(shù)據(jù)安全控制。
通過路由和NAT功能提供可控的互聯(lián)網(wǎng)訪問、映射企業(yè)內(nèi)部服務(wù)器;開放特定服務(wù)器特定端口;對內(nèi)網(wǎng)用戶訪問過程進(jìn)行惡意代碼檢測,也可對用戶收發(fā)的郵件中存在的病毒進(jìn)行過濾。
通過IPSEC VPN功能,能夠?qū)崿F(xiàn)分部的安全互連,作為專線鏈路的補(bǔ)充和備份,防止專線鏈路故障導(dǎo)致異地部門的業(yè)務(wù)應(yīng)用無法進(jìn)行的情況發(fā)生。
通過上網(wǎng)行為管理功能改善網(wǎng)絡(luò)使用規(guī)范。對URL分類過濾,規(guī)范內(nèi)網(wǎng)用戶網(wǎng)頁訪問行為。行為審計(jì)功能,則記錄內(nèi)網(wǎng)用戶訪問的網(wǎng)頁地址、BBS發(fā)表的言論內(nèi)容、收發(fā)的郵件內(nèi)容及其他上網(wǎng)行為。通過應(yīng)用控制功能,保證用戶的網(wǎng)絡(luò)應(yīng)用同實(shí)際業(yè)務(wù)的相關(guān)性,確保工作效率。
