单位文秘网 2021-10-25 08:10:39 点击: 次
摘要:企业局域网是企业信息服务和数据通信的主要承载,网络安全威胁的复杂化和多样化使企业局域网安全防范问题倍受关注,本文重点关注基础设施安全和网络应用安全,从技术防范层面提出对企业局域网安全的防范措施。
计算机技术和互联网技术的发展催生了网络安全这一重要技术课题,随着互联网应用的越来越普及,网络安全逐渐与每个人的生活息息相关,社会各界对网络安全风险的关注度明显上升。对于企业局域网来说,所面临的安全风险主要有病毒破坏,非法入侵、信息窃取、内容篡改、服务瘫痪、外部攻击以及越权访问等,要从根本上保护企业局域网数据通信和信息资源的安全可靠,就必须建立从入口到核心,从局部到全局的网络安全体系架构,坚持技术安全与制度安全并举,部署高等级安全设备,制定高可靠安全制度,从技术和管理两方面维护好局域网安全。本文重點研究和讨论企业局域网安全技术防范措施。
一、边界安全防范
局域网边界从广义上来说是网络内部信息资源和数据通信的外围,其中包括防火墙,安全网关,入侵检测和防御等设备和应用,以及人机界面和接入层交换机的接入端口以外的范围。也可以从狭义上理解为局域网与广域网连接的位置。这里从狭义的局域网边界提出安全防范措施。
1.部署防火墙。解决企业网入口安全问题,首选设备必然是防火墙,目前防火墙设备依其设备性能和使用环境可分为四类,分别是定位于统一威胁管理(UTM)的防火墙,下一代防火墙(NGFW)以及AI防火墙,还有用于数据中心安全的高端防火墙。对于中小企业、SOHO企业来说,内部网络结构简单,网络服务单一,应用统一威胁管理类防火墙是经济有效的选择。在分支机构多,业务部门多,网络服务种类多,且对数据服务要求较高的内部网络则需要选择NGFW,这一类防火墙具有精准控制访问、防护范围全面、安全管理操作简便、安全防护性能可靠等优势,是互联网出口防护,数据中心边界防护,以及VPN远程互联网首选安全设备。但在云计算、大数据技术以及新一代互联网技术(5G)广泛应用下,企业数字化转型发展迅速,业务的智能化升级迫切需要在提升服务能力的同时提升安全性能,静态规则模式下的基于策略设置对数据流进行过滤、分析、检查在算力和对未知安全威胁的检测上显得能力不足,过多过高等级的策略设置和使用也会在一定程度上提高管理维护成本并影响网络服务效率,这样的场景之下,AI防火墙是最好的选择。AI防火墙在安全事件分析和安全策略择优方面主要基于智能分析技术,通过使用高性能AI处理芯片,对海量的安全日志和安全策略进行智能化分析比对,实现了安全运维的自动化管理。当然AI防火墙也并非是边界安全的终极设备,对于主要以数据服务、云服务为主的网络结构,比如数据中心,云服务提供等业务场景下,高端防火墙类设备依然是最专业的选择,它不仅拥有基于六个维度的安全管控和防护能力,还集成了NAT、VPN、IPS、虚拟化、业务感知等多种安全特性,为面向云计算时代的数据业务和云服务业务提供优秀的边界安全防护。防火墙的安装和部署的关键在于合理划分信任区和非信任区以及DMZ区,对信任区还需根据业务定义和划分信任等级,合理配置ACL和NAT。
2.入侵检测和防御系统。对于企业、数据中心、校园网用户来说,入侵检测和防御系统以其强大的网络环境感知能力和应用感知、内容感知以及对未知威胁的预测和防御能力,不仅能够实现更精准的网络安全防护还能够实现对网络基础设施,网络带宽性能的全面防护,是对网络入口安全的进一步加固。
3.应用安全网关。《2018年全球网络安全威胁现状与趋势报告》指出未来网络安全威胁趋势位居第一位的就是IOT物联网设备的安全问题,第四位的是应用软件供应链。物联网中的各种各类的传感器普遍存在于更新困难,漏洞修复不及时的问题,被攻击和利用风险极高。同时处于应用开发的爆发期,应用软件的安全问题也是极易被网络攻击利用的,因此类似于视频安全网关、数据库审计系统这样的专用应用安全网关的使用显得很必要。另外面向综合业务的虚拟综合性网关和安全接入类网关具有识别多种应用,实现基于业务需求的按需部署,实现远程接入,移动办公,机构互联等功能,也是一般企业网安全网关的理想选择。
4.DDOS攻击防御。DDOS攻击的低成本使此种攻击手段一直是网络安全面临的主要威胁,并且DDOS带宽占用型攻击流量趋势进一步扩大,资源占用型攻击拟人化程度也更高,这些特点对防御系统的时延要求越来越高,混合网络攻击手段成为主流,分层分布的网络防御和专业的DDOS网络防御在网络安全部署上必不可少。
二、内部安全防范
企业网内部安全威胁主要集中在网内的主动攻击,病毒复制传播,服务的越权访问,非授权终端和存储介质的接入使用、信息安全风险等方面,相应的安全防范措施主要以下几个方面
1.交换网络的安全防范。企业网内部汇聚层和核心层交换网络主要依赖冗余配置和堆叠配置来实现负载均衡和容错,维护其网络的稳定性;通过QinQ配置实现VLAN基础上的业务划分和用户区分,避免骨干网络上VLAN可风的安全风险;通过配置QOS功能,定义流分类、流行为、定义和应用流策略实现流量监管,监控和管理异常流量对于分析网络安全事件有重大意义;另外合理配置访问控制列表也是必要的措施,尤其针对密级较高的部门子网的出入列表都应进行相应配置。企业网接入层交换网络的安全防范也同等重要,可通过VLAN划分实现业务区分和隔离,通过IP、MAC、端口三者的结合绑定、合理设置ARP表项老化、检查ARP报文合法性、使用基于MAC 的端口安全配置以及交换机管理端口访问的AAA认证等方式实现接入端安全防范。最后对于交换网络的管理端要通过链路聚合配置高带宽连接,可在不断网的前提下对异常端口进行镜像监控。
2.操作系统安全配置。操作系统是服务器资源管理平台,也是信息安全的重要基础,因此操作系统的选用是企业网安全的重要因素。对于高涉密的业务来说,比如军队和政府某些业务应当首选我国自主研制开发的操作系统,防止在设计开发阶段预留的后门造成的信息和网络安全风险;其次对于操作系统来说及时安装安全补丁,进行账户安全设置和文件系统的安全设置也是同等重要。
3.WEB服务器安全配置。WEB服务器为信息共享提供巨大便利,但也是非法截获和黑客攻击的主要目标,对于WEB服务器的安全配置主要集中在更改远端服务端口号,避免使用默认端口号;同时关闭不需要的服务和端口,及时修补已知漏洞,设置访问列表,设置高可靠性的密码确保账户安全,使用IIS安全机制确保数据服务安全,防止SQL注入攻击等。
三、物理安全
物理安全主要指网络核心设备的场所和环境安全,主要包括机房的温度和湿度,粉尘,电磁辐射和干扰,电源供电,消防安全,监控设施配备等一系列的安全措施。同时健全的安全管理制度也是确保企业网络安全必不可少的,总之企业网的网络安全要在安全技术措施和制度措施双重保障下形成闭环。
参考文献
[1]杨陟卓,杨威,王赛 网络工程设计与系统集成[M].3版.北京:人民邮电出版社.2010.
[2]杨威,高立同,杨陟卓等.网站组建、管理与维护[M].北京:电子工业出版社.2011.
[3]《2018年全球网络安全威胁现状与趋势报告》.e-file.huawei.com.
(责任编辑:单位文秘网) )地址:https://www.kgf8887.com/show-160-96842-1.html
下一篇:是谁在播报飞机在哪里
版权声明:
本站由单位文秘网原创策划制作,欢迎订阅或转载,但请注明出处。违者必究。单位文秘网独家运营 版权所有 未经许可不得转载使用