摘 要: 随着计算机网络的发展,基于宽带企业网络的数据业务在社会经济生活中占有重要地位,网络安全性越来越重要。本文从网络互连七层协议、企业网的分层和网络安全管理体系三个方面来阐述企业网络的安全性。并以具体的相关产品为例来阐述如何构建一个安全的企业网络
[前言]
随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。宽带网作为企业主要的数据业务承载网络,特别是电子商务(E-Commerce)、企业数据专线、网络互联、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如,2003年1月份的SQL杀手蠕虫事件,中国有两万多台数据库服务器受到影响,使国内众多企业网络全部处于瘫痪或半瘫痪状态;2003年8月份的冲击波蠕虫,使成千上万的用户计算机变慢,被感染的计算机反复重启,有的还导致了系统崩溃,受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。
随着网络安全问题重要性增加,如何设计一个稳定、可靠、安全和经济的企业网,应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为企业网络建设和运营所关注的重点。本文从网络互连七层协议、城域网的分层和网络安全管理体系三个方面来阐述宽带网络的安全性。
[网络安全服务层次模型]
国际标准化组织ISO在开放系统互连标准中定义了七个层次的网络互连参考模型,它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次有不同的功能,例如链路层负责建立点到点通信,网络层负责路由,传输层负责建立端到端的进程通信信道。相应地,在各层需要提供不同的安全机制和安全服务。
在物理层要保证通信线路的可靠,不易被窃听。在链路层可以采用加密技术,保证通信的安全。在Internet、Intranet环境中,地域分布很广,物理层的安全难以保证,链路层的加密技术也不完全适用。
在网络层,可以采用传统的防火墙技术,如TCP/IP 网络中。采用IP过滤功能的路由器,以控制信息在内外网络边界的流动。还可使用IP加密传输信道技术IP SEC,在两个网络结点间建立透明的安全加密信道。这种技术对应用透明,提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的专用网。这种方法需要建立标准密钥管理,目前在产品兼容性和性能上尚存在较多问题。
在传输层可以实现进程到进程的安全通信,如现在流行的安全套接字层SSL技术,是在两个通信结点间建立安全的TCP连接。这种技术实现了基于进程对进程的安全服务和加密传输信道,采用公钥体系做身份认证;有高的安全强度。但这种技术对应用层不透明,需要证书授权中心,它本身不提供访问控制。
针对专门的应用,在应用层实施安全机制,对特定的应用是有效的,如基于SMTP电子邮件的安全增强型邮件PEM提供了安全服务的电子邮件。又如用于Web的安全增强型超文本传输协议S-HTTP提供了文件级的安全服务机制。由于它是针对特定应用的,缺乏通用性,且须修改应用程序。
[企业宽带网的层次安全模型]
企业宽带网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击,与业务相关的数据库服务器受到病毒的攻击,影响业务的正常运行,安全建设应更多地采用技术来保证网络和设备安全,并以用户管理作为辅助手段。
安全模型将企业宽带网分成三个区域:信任域、非信任域和隔离区域(非军事区)。信任域是企业内部的基础网络,通常采用防火墙等设备与企业业务网隔离,包括企业内部的各个不同的域;隔离区域是信任域和非信任域之间进行数据交互的平台,包括企业对外提供的各种业务平台,如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是指企业之外的广泛的互联网络,是企业不能完全控制的网络。作为安全模型中的非信任域,需要重点考虑。
[企业宽带网的层次安全分析]
1. 信任域的安全
信任域由企业ERP系统、网管系统、财务系统等组成,是企业网安全运营的核心所在,因而,必须采取最严密的安全措施。在一般情况下,信任域可能面临的威胁包括网络攻击、网络入侵、病毒(造成拒绝服务攻击)等。为了避免这些威胁,保证信任域的安全,可采取以下手段:
(1)部署防火墙,制定严格的安全访问策略,严格限制对此区域的访问;
(2)认真配置好系统软件和应用软件,跟踪操作系统和应用系统的漏洞及补丁进展情况,严格限定系统和应用所服务对象的范围;
(3)部署网络入侵监测系统(IDS),对核心服务实施监控,对网络攻击和病毒及时报警;
(4)建立网管系统和日志系统;
(5)对重要的主机系统应采用双机热备份方式,对重要的应用系统和数据做好完善的备份工作,根据具体情况和需要设置灾难恢复系统。
2. 隔离域的安全
隔离域是企业网对外开放的平台,包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等,所有业务必须对外开放,因而安全威胁最大,也是最容易受到攻击的区域。为保证安全,可采取以下手段:
(1)部署防火墙,制定安全访问策略,特别是拒绝服务攻击(DDOS);
(2)及时修补服务器的安全漏洞,关闭不必要的网络服务等;
(3)系统备份和日志系统等等。
3. 非信任域的安全
非信任域是网络业务的传输网络,主要由电信营运商负责其安全:
企业网需要重点考虑的是隔离域的安全问题,加强设备自身的安全和日常维护流程,从技术和流程两方面来保证。
[下面阐述如何以具体的网络设备为基层建设安全的企业网]
目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和SSN。硬件平台具有可扩展和可升级性等特性,研祥智能科技股份有限公司专为网络行业用户研发生产了多款单网口、双网口、四网口的工业级主板,为所有的网络客户提供了完备的选择。下图是以该公司的产品为例的系统说明:
[系统配置]
防火墙: 机箱IPC-8101/主板NET-1611V4N/CPU PIII 850/内存 256M/硬盘 40G
路由器:机箱IPC-8206/主板FSC-1711VN/CPU P4 2.0G/内存256DDR/硬盘40G
WEB服务器:机箱IPC-8101/主板FSC-1613VN/PIII 1.0G/内存256M/硬盘70G
终端:机箱IPC-810/主板FSC-1711VN/CPU P4 2.0G/内存256DDR/硬盘40G
[系统评价]
1、所有安全和服务由工业级的硬件设备完成:
安全软件在运行、存储中是不能保障安全的,软件运行时很多重要信息都会在某个时间清晰地出现于计算机的存储器中,因而"高水平"的不法分子窃取并利用这些重要信息十分容易,所以采用由"EVOC"特种计算机搭建的硬件平台,保障了整个系统的安全。
2.整个系统实用可靠:
"EVOC" 特种计算机是基于PC总线的特种计算机,能满足综合业务系统的实际需要,运行可靠稳定。
3.整体化的系统设计:
系统不仅依靠独立的安全保密设备,而且从整个防火墙系统的安全角度进行考虑,进行了整体化的设计,保证了系统的安全性、保密性。
4.使用方便、操作简单、维护方便。
[总结]
宽带企业网的网络安全是一项非常艰巨和持久的任务。对网络安全问题必须通盘考虑,进行体系化的整体安全设计和实施。既要充分考虑网络的安全性能,考虑设备防攻击的健壮性,有效实施设备相关安全特性,又要结合专用的安全产品,采取分域、多层安全保护措施。既要考虑设备安全和技术的因素,又要重视网络安全人员在网络安全方面所起决定性的作用。