敖愕姆衿骷校愕氖菁校饪梢越谑〈罅康墓芾沓杀尽!苯裉欤芏喙┯ι陶庋痰加没А!熬」艽右滴窨刂频慕嵌壤纯矗庵肿龇ㄓ衅浜侠硇裕油绨踩慕嵌壤纯矗獠⒉皇亲詈玫淖龇ā!彼伎乒靖涸鸢踩滴竦腂arbara Fraser女士说:“我们认为,应当将不同的应用放置在不同的服务器上。也就是说,最好是每一台服务器上仅仅支持一种服务。比如,相互独立的邮件服务器、部门服务器、语音邮件服务器等等。同时,每台服务器还需要使用全冗余,即使某一台服务器万一被攻破也不会影响大局。”
但这并不是全部。为保证企业的网络坚固性,网络管理员还应当在内部网中添加NIDS(网络入侵检测系统),在关键服务器上添加HIDS(主机入侵检测系统),在关键业务主机上部署防火墙,在必要的地方部署SSH/SSL,管理和提高第2层的安全性。对于某些关键模块,比如企业的管理模块,还需要采用VLAN技术来隔离流量。为了避免外部发起的攻击,网络管理员应当采取特殊过滤手段,使与互联网相接的公共服务器不能与内部网中的服务器有主动连接。
而对于一个包含了语音、数据以及IP的混合网络来说,由于不同的技术有不同的安全级别,这给网络管理带来了困难。针对这种状况,思科建议在应用安全方面采用分层的方式来进行管理――阶梯递升方式有助于整体的安全。通过分离Web及应用服务器,确保由应用层接入内部数据都要经过身份验证,所有的应用都经由InfoSec认可,这种层层认证的方式可以避免用户在某一层中驻留病毒。 多层防范模式则是公司在整体安全方面所提倡的。比如,思科将公司的应用分为3个层面(客户介面/应用层/网络层)、3种类型(验证/加密/病毒防范),分别由活动目录、DES、SSL、IP-Sec、McAfee防火墙、Trend Micro病毒软件、ACL等执行相应的功能。思科也同时采用了例如PKI、注册工具等其它安全措施。
而对于能够通过互联网直接访问公司内部局域网的VPN链接来说,思科也采用了3种技术来防止数据泄密。首先是Block技术,通过这种数据包过滤技术,可以阻止非授权用户进入到网络中来。其次是CA技术和密匙技术。在思科公司的实际网络中,就是通过符合VPN 3.02规范的设备与总部进行通讯,客户端上的VPN软件会产生一次性密码,验证后即建立VPN通道。
显然,这是一套高成本的解决方案。但是,思科也同样为中小企业提出了自己的安全建议。“由于中小企业本身的规模比较小,受到攻击的可能性也相对较小,中小企业并不需要安全级别非常高的网络。安全投资应当与自己的安全风险直接挂钩,在极端情况下,中小企业甚至仅仅是简单地在互联网和公司的局域网之间安装一个防火墙就可以满足需求。假如它们需要更高的安全级别,它们应当尽量按照以上的安全原则来设计自己的网络,思科都能够提供相应的产品。”Barbara Fraser说。
