構建企業(yè)計算機網絡安全防御體系的組成部分
企業(yè)計算機網絡安全防御體系的組成部分如下所述:
目前,雖然企業(yè)計算機網絡的生產網和辦公網之間有防火墻的隔離,但是二者交換數(shù)據(jù)時并沒有進行IP 轉換,從本質上來說,二者都屬于統(tǒng)一網絡,所以我們這里將因此把生產網安全域和辦公網安全域都稱為內部安全域。每一個內部安全域都配有一套完整的平臺,部署在辦公網,該平臺負責用戶管理和辦公網與生產網認證授權,外網平臺負責對外部用戶的身份認證和授權。
1 路由器
架構網絡的第一層設備就是路由器,它也是網絡入侵者攻擊的首要目標,因此路由器有必要設置一定的過濾規(guī)則,濾掉被屏蔽的IP 地址和服務。
2 防火墻
剛才我們在上文中已經介紹過防火墻了。其執(zhí)行一種訪問控制尺度,可以通過設置,分出可訪問的IP地址和數(shù)據(jù)和不可訪問的IP地址和數(shù)據(jù),可訪問的IP和數(shù)據(jù)進入防火墻的內部網絡,同時將禁止的用戶與數(shù)據(jù)拒絕,它可以最大限度地阻止網絡入侵者訪問自己的網絡,并防止對內網信息和數(shù)據(jù)進行訪問、修改和刪除。所以,防火墻是一種得到廣泛應用且公認安全高效的的網絡安全手段,是保證網絡安全的最重要的環(huán)節(jié)之一。
3 入侵監(jiān)測系統(tǒng)
在計算機網絡的關鍵部位安裝網絡入侵檢測系統(tǒng)(IDS),可以對網絡和信息系統(tǒng)訪問的異常行為進行實時監(jiān)測和報警。IDS可以監(jiān)測網絡上所有的包(packets),捕捉危險或有惡意的動作,并及時發(fā)出報警信息。
入侵監(jiān)測系統(tǒng)可以按照用戶指定的規(guī)則對端口進行監(jiān)測、掃描。立體安全防御體系中普遍采用入侵監(jiān)測系統(tǒng),以識別防火墻不能識別的攻擊,如來自企業(yè)計算機網絡內部的攻擊。目前,入侵檢測系統(tǒng)被認為是對防火墻的必要補充,可對網絡資源進行實時監(jiān)測,及時發(fā)現(xiàn)入侵者,防治合法用戶對資源的錯誤操作,與其他安全產品一起構筑立體的安全防御體系。
4 物理隔離與信息交換系統(tǒng)
物理隔離與信息交換系統(tǒng)又稱網閘,是運用物理隔離網絡安全技術設計的安全隔離系統(tǒng)。當企業(yè)計算機網絡內部的生產系統(tǒng)因為信息化建設過程中對外網訪問的需求而影響內部網絡系統(tǒng)的安全性及可用性時,物理隔離與信息交換系統(tǒng)能夠對內部網絡與不可信網絡進行物理隔斷,可以及時阻止各種已知和未知的網絡層和操作系統(tǒng)層攻擊,它提供的安全性能比防火墻、入侵檢測系統(tǒng)等技術更好,既保證了物理的隔離,又實現(xiàn)了在線實時訪問不可信網絡所必需的數(shù)據(jù)交換。
5 交換機
局域網通常采用以交換機為中心、路由器為邊界的網絡格局。交換機是該格局的核心,其最關鍵的工作是實現(xiàn)訪問控制功能和3 層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL 來實現(xiàn)用戶對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進行篩選和過濾。
6 應用系統(tǒng)的認證和授權支持
建立應用系統(tǒng)能夠提升支撐平臺的安全性,應用系統(tǒng)的保護功能包括以下幾個方面:
①應用系統(tǒng)網絡訪問漏洞控制。應用系統(tǒng)要求軟件按照安全軟件標準開發(fā),在輸入級、對話路徑級和事務處理級做到安全無漏洞;集成的系統(tǒng)必須具有良好的自我恢復能力,避免內部生產網中的系統(tǒng)因受攻擊而導致癱瘓、數(shù)據(jù)破壞或丟失。
②數(shù)字簽名與認證。應用系統(tǒng)須利用CA 提供的數(shù)字證書進行應用級的身份認證,對文件和數(shù)據(jù)進行數(shù)字簽名和認證,保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴。
③數(shù)據(jù)加密。對重要的數(shù)據(jù)進行加密存儲。
7 操作系統(tǒng)的安全
將所有不使用的服務和端口關閉,并將不使用的磁盤文件清除,建立一個內部網操作系統(tǒng)漏洞管理服務器,提供對官方補丁下載,以保證操作系統(tǒng)的安全性。
8 病毒防護
將系統(tǒng)診斷工具(如360)與網絡版的殺毒軟件(如NOD)相結合,可以構成比較完整的病毒防護體系,能夠有效地防控病毒的傳播,保證網絡運行的安全性和穩(wěn)定性。
9 網絡隔離度保障
對未經過安全過濾和檢查就違規(guī)接入內部網的移動設備(筆記本電腦等)和新增設備進行監(jiān)控;對內部網中繞過防火墻的計算機或其他設備,違規(guī)接入網絡的行為進行監(jiān)測;對物理隔離的網絡內部設備違規(guī)接入因特網的行為進行監(jiān)控;對違反規(guī)定將專網專用的計算機帶出網絡進入到其他網絡的行為進行監(jiān)控;可提供IP 和MAC 地址綁定功能。
企業(yè)計算機網絡的組成就為大家介紹完了,關于企業(yè)計算機網絡安全防御體系的不安全因素和策略請讀者閱讀。
【編輯推薦】
- 陜西省地稅層次化分布式網絡管理方案
- Falconet網絡管理軟件2.3
- 用只讀域控制器提高網絡管理效率
- 如何應對新的數(shù)據(jù)中心網絡管理問題
- 網絡管理系統(tǒng)也要“量體裁衣”
- 應對五大網絡安全威脅,你準備好了嗎?
