目前很多中小型公司的网络结构为非常简单的路由器光纤接入,内连交换机,终端计算机服务器直接通过路由器接入internet,如下图:
这是一个基本的网络结构,仅仅保证了一个网络的联通性,但是内网用户及服务器完全暴露在网络上,没有任何防护,在安全方面存在有很大的漏洞。
网络的攻击主要来源于两方面:黑客的攻击,我们每天都会面临很多的DOS,DDOS攻击。另一方面,因为蠕虫病毒大规模的爆发或者内部人员恶意或无恶意攻击;内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;由于粗心、无知以及其它非恶意的原因而造成的破坏。以上有些威胁可以通过防火墙、杀毒软件来屏蔽,但是在日常行为中的管理弊端却是很难通过这些设备和软件进行防护。
针对中小企业的上述网络安全问题,我们提出网络改造的三个步骤。
第一步 防火墙——基本防御
比较简单的方法就是在网络出口处架设防火墙设备,对端口进行管理。封闭没用的端口只开放有用的端口。
添加防火墙的方法有两种,放在路由器的前方,或是直接将路由器代替,建议直接将路由器代替,不仅可以减少路由跳数,还可以减少单点故障概率。如下图
一般企业还会部署网络版杀毒软件,为企业终端计算机的正常使用增加安全系数。
如果服务器有重要数据需要分公司或移动办公人员访问,应当使数据在传输过程中被加密,这就要用到ipsec vpn或ssl vpn,防止在传输的过程中不被侦听、篡,保证了数据的安全、可靠。
第二步 双网隔离卡——硬防御
企业内部大量的网络设备、主机、服务器需要进行管理,本就忙于日常终端维护的网管更是容易顾此失彼。每台主机,尤其是与互联网相连处理对外业务的主机,在运行过程中,如果遭遇攻击,病毒,或者被黑客、不良居心的员工装载了木马,后门程序,不良插件都会对整个单位造成不可估量的损失。
目前企业一般信息安全会面临的威胁如下:
1,员工离职,带走公司团队核心技术;
2,工作人员疏忽,将装有机密文件的U盘或手提电脑遗失;
3,竞争对手对公司机密文件的窃取;
4,内部员工通过复制,发送,木马,QQ,截屏,U盘,刻录等手段对机密文件进行窃取;
基于以上的考虑,整个中小企业的网络安全还可以使用一种新的模式来构造,就是建立物理隔离的双网系统。一套系统用于联接互联网,资料查询,用户查询,我们称之为外网。外部网络主要包括各种应用服务器和代理服务器,并通过ADSL与互联网(Internet)相连;而另外一套系统则是用于员工的内部办公,客户资料和信息的存储与共享,我们称之为内网。内网主要是信息中心的内部办公网,包括OA系统、应用服务器、数据库服务器等。具体拓朴图如下:
目前最经济有效的双网隔离方法是:双网隔离卡。
隔离卡目前在政府部门应用的比较广泛,多年的实践证明该产品安全度高,至今尚无不安全的记录;部署成本经济,隔离卡+硬盘购置成本不足千元;简单易行,任何IT工程师都可以根据产品说明书安装部署;稳定可靠,一旦安装,无须维护,产品使用寿命长。
该产品主要对计算机的硬盘进行物理隔离,每个客户端安装一块隔离卡,二个硬盘、操作系统、网络接口,分别一一对应企业办公内网和互联网外网,实现了一机双网物理隔离,既加强安全防止泄密,也为连接和使用互联网提供了方便。
第三步 网闸——数据交换防御
完成了上述改造之后,很多中小型的企业就可以构造出双网的结构,实现了内外网物理隔离。
但是内外网之间常有些重要信息需要传输或备份,双网系统之间存在数据交换需求:外网用户可以访问内网的数据库,并且能够保护内网安全。
如果使用U盘等移动设备来拷贝,就会面临病毒的威胁。但是如果开放网络,让内网与外网之间互通,又会使双网的意义丧失。
目前,市场上一种隔离交换产品可以解决这个矛盾,这就是安全隔离与信息交换系统(俗称网闸)。它应用在用户双网之间,主要负责数据的安全交换,阻止已知的以及未知的入侵和内部信息的泄漏,并且把内外网传来的数据掌控在可控的范围内,实现了可控的、高效的、实时的、安全的信息交换。
对于中小型企业来说,它放置在机房或者路由器的地方,安装和使用都是极为便利。内网与外网之间部署网闸来取代原有的人工拷贝,使内外网的数据库实现了实时安全的信息交换。
外网用户可以通过网闸访问内网的文件服务器,并且能够保护内网安全;内网用户也可以通过网闸访问外网的邮件服务器或者手机平台等其他服务器,满足内网与外网之间的一些数据交换需求。
总之,中小型企业的网络安全就是要以经济、效率和实用为出发点,避免耗资巨大又难以达到实际效果的方式。因此我们提出了以上的步骤。至于每个企业能够达到怎样的安全步骤,要根据企业本身的需求来制定了。
