中小型企业网络安全解决方案分析
(一)中小型企业网络基本情况与应用特点
经过调查研究,从宏观上来看。中小型企业计算机网络的典型应用如下:办公自动化系统;信息查询系统;WWW应用;邮件服务:财务系统;人事、计划系统。
根据中小型企业计算机网络的应用特点,需要保证网络中的数据具有实时性、机密性、安全性、完整性、可用性、不可抵赖性以及可审计性等,又由于公司计算机网络跨越公共网络及与Internet网互联,这就给公司计算机网络带来严峻的安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决,那将会给公司的计算机网络带来严重的安全隐患。
(二)解决方案分析
通过对某中小型企业公司计算机网络结构、网络应用的全面了解,按照安全风险、需求分析结果、安全目标及安全设计原则,本文为某公司计算机网络安全进行规划,构建一个适合于中小型企业公司计算机网络的安全体系。可以根据上述分析,得到某种小型企业的解决方案。这里只给出网路隔离与访问控制解决方案和网络系统安全解决方案的详细分析过程。其余还包括用户与资源管理、网络监控与入侵检测侦测、身份认证、网络病毒解决方案、数据备份与回复、安全管理等方面的问题,参照上述分析可以得出。
对于网路隔离与访问控制解决方案来说,从安全角度来说,是不可以直接与INTERNET公网互联的。从理论上说,只要你的网络直接与INTERNET公网连接,不管采用了什么样的安全产品和安全技术,肯定存在着被黑客攻击的可能性。因此,对此公司计算机网络,从最安全角度来考虑,应该对公司计算机网络内网与公司计算机嗍络外网(接入INTERNET公网部分)之间完全物理隔离,对内部网络中需要上因特网的用户机器安装物理隔离卡,保证内部网络信息不受INTERNET公网用户的攻击。
内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求,在有可能的情况下。可以利用三层交换机来划分虚拟子网(VLAN)。因为三层交换机具有路由功能,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问,同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。设计方案采用思科公司的专用防火墙产品PIX 525和其网管产品Small Network Management SolutiOil(SNMS),
能够同公司思科网络设备系统有效的集成,并很好地起到网络安全保护作用;整个网的拓扑结构是封闭的,只有唯一的一个出口与防火墙相连。防火墙左侧的网络是在防火墙之外,只有防火墙右侧的网络在防火墙里,防火墙里的server以及其它客户机可以通过NAT协议访问外网,而外网上的客户只能访问到web server,如果访问内部sever必需经过防火墙静态地址翻译和存取控制表的安全检查,以代理服务的方式连接内部sever,而不能直接与其连接。这样整个内部网的安全可以得到有效保障。对于网络系统安全解决方案来说,系统安全包括网络操作系统安全和应用系统安全,
(1)网络操作系统安全对于网络操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统,并进行必要的安全配置,如:关闭一些并不常用却存在安全隐患的应用、服务及端口。对一些保存有用户信息及其口令的关键文件使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令),并及时给系统打补丁、系统内部的相互调用不对外公开。
(2)应用系统安全,在应用系统安全上,应用服务器尽革不要开放一些没有经常使用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、FTP、TELNET、RLOGlN等服务,还有就是加强登录身份认证,确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。同时还要及时升级各种已经发布的升级补丁程序,减少因为升级过程周期长而带来攻击事件的发生。
【编辑推荐】
