時間:2023-09-15 17:31:24
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇小型企業網絡安全解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞] 企業網絡信息安全信息保障
計算機網絡的多樣性、終端分布不均勻性和網絡的開放性、互連性使聯入網絡的計算機系統很容易受到黑客、惡意軟件和非法授權的入侵和攻擊,信息系統中的存儲數據暴露無遺,從而使用戶信息資源的安全和保密受到嚴重威脅。目前互聯網使用TCP/IP協議的設計原則,只實現簡單的互聯功能,所有復雜的數據處理都留給終端承擔,這是互聯網成功的因素,但它也暴露出數據在網上傳輸的機密性受到威脅,任何人都可以通過監聽的方法去獲得經過自己網絡傳輸的數據。在目前不斷發生互聯網安全事故的時候,對互聯網的安全狀況進行研究與分析已迫在眉睫。
一、 國外企業信息安全現狀
調查顯示,歐美等國在網絡安全建設投入的資金占網絡建設資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網絡基礎設施的建設比中國完善,網絡安全建設的起步時間也比中國早,因此發生的網絡攻擊、盜竊和犯罪問題也比國內嚴重,這也致使這些國家的企業對網絡安全問題有更加全面的認識和足夠的重視,但縱觀全世界范圍,企業的網絡安全建設步伐仍然跟不上企業發展步伐和安全危害的升級速度。
國外信息安全現狀具有兩個特點:
(1)各行業的企業越來越認識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業的一項重要工作之一。
(2)企業對于網絡安全的資金投入與網絡建設的資金投入按比例增長,而且各項指標均明顯高于國內水平。
二、 國內企業網絡信息安全現狀分析
2005年全國各行業受眾對網絡安全技術的應用狀況數據顯示,在各類網絡安全技術使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應用(占53.1%)。2005年較2004年相比加大了其他網絡安全技術的投入,“物理隔離”、“路由器ACL”等技術已經得到了應用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝,并可在線升級等特點。值得注意的是,2005年企事業單位對“使用用戶名和密碼登陸系統”、“業務網和互聯網進行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網絡安全和信息的保護意識也越來越高。生物識別技術、虛擬專用網絡及數字簽名證書的使用率較低,有相當一部分人不清楚這些技術,還需要一些時間才能得到市場的認可。
根據調查顯示,我國在網絡安全建設投入的資金還不到網絡建設資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業占多數,而中小型企業由于資金預算有限,基本上只注重有直接利益回報的投資項目,對于網絡安全這種看不到實在回饋的資金投入方式普遍表現出不積極態度。另外,企業經營者對于安全問題經常會抱有僥幸的心理,加上缺少專門的技術人員和專業指導,致使國內企業目前的網絡安全建設情況參差不齊,普遍處于不容樂觀的狀況。
三、 企業網絡信息系統安全對策分析
“三分技術,七分管理”是技術與管理策略在整個信息安全保障策略中各自重要性的體現,沒有完善的管理,技術就是再先進,也是無濟于事的。以往傳統的網絡安全解決方案是某一種信息安全產品的某一方面的應用方案,只能應對網絡中存在的某一方面的信息安全問題。中國企業網絡的信息安全建設中經常存在這樣一種不正常的現象,就是企業的整體安全意識普遍不強,信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網絡安全問題的日益突顯,國內網絡的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設發展的瓶頸。因此應對企業網絡做到全方位的立體防護,立體化的解決方案才能真正解決企業網絡的安全問題,立體化是未來企業網絡安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現。信息保障是最近幾年西方一些計算機科學及信息安全專家提出的與信息安全有關的新概念,也是信息安全領域一個最新的發展方向。
信息保障是信息安全發展的新階段,用保障(Assurance)來取代平時我們用的安全一詞,不僅僅是體現了信息安全理論發展到了一個新階段,更是信息安全理念的一種提升與轉變。人們開始認識到安全的概念已經不局限于信息的保護,人們需要的是對整個信息和信息系統的保護和防御,包括了對信息的保護、檢測、反應和恢復能力。為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統的入侵檢測能力,系統的事件反應能力和系統遭到入侵引起破壞的快速恢復能力。區別于傳統的加密、身份認證、訪問控制、防火墻、安全路由等技術,信息保障強調信息系統整個生命周期的防御和恢復,同時安全問題的出現和解決方案也超越了純技術范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環節的信息保障概念。
所以一個全方位的企業網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數量,同時利用這些審核信息還可以跟蹤入侵者。
參考文獻:
[1]付正:安全――我們共同的責任[J].計算機世界,2006,(19)
[2]李理:解剖您身邊的安全[N].中國計算機報,2006-4-13
關鍵詞:中小型企業;信息網絡安全;網絡安全架構
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號:TN915.08文獻標識碼:A文章編號:2095-2104(2013)
1、中小型企業網絡安全問題的研究背景
隨著企業信息化的推廣和計算機網絡的成熟和擴大,企業的發展越來越離不開網絡,而伴隨著企業對網絡的依賴性與日俱增,企業網絡的安全性問題越來越嚴重,大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現在企業面前。近些年來頻繁出現在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘,在信息網絡越來越發達的今天,企業要發展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業的發展,甚至關乎到了企業的存亡。
2 、中小型企業網絡安全的主要問題
2.1什么是網絡安全
網絡安全的一個通用定義:網絡安全是指網絡系統中的軟、硬件設施及其系統中的數據受到保護,不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統能夠連續、可靠地正常運行,網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性的相關技術和理論,都是網絡安全主要研究的領域。
2.2網絡安全架構的基本功能
網絡信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性又被稱為網絡安全目標,對于任何一個企業網絡來講,都應該實現這五個網絡安全基本目標,這就需要企業的網絡應用架構具備防御、監測、應急、恢復等基本功能。
2.3中小型企業的主要網絡安全問題
中小型企業主要的網絡安全問題主要體現在3個方面.
1、木馬和病毒
計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業業務的連續性和有效性,某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業業務徹底癱瘓。與此同時,公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經意間將病毒和木馬帶入企業網絡并進行傳播,進而給企業造成巨大的經濟損失。由此可見,網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點,包括網絡的邊界位置以及內部網絡環境。
2、信息竊取
信息竊取是企業面臨的一個重大問題,也可以說是企業最急需解決的問題。網絡黑客通過入侵企業網絡盜取企業信息和企業的客戶信息而牟利。解決這一問題,僅僅靠在網絡邊緣位置加強防范還遠遠不夠,因為黑客可能會伙同公司內部人員(如員工或承包商)一起作案。信息竊取會對中小型企業的發展造成嚴重影響,它不僅會破壞中小型企業賴以生存的企業商譽和客戶關系。還會令企業陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。
3、業務有效性
計算機木馬和病毒并不是威脅業務有效性的唯一因素。隨著企業發展與網絡越來越密不可分,網絡開始以破壞公司網站和電子商務運行為威脅條件,對企業進行敲詐勒索。其中,以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業網絡的大量帶寬,使其無法正常處理用戶的服務請求。而這一現象的結果是災難性的:數據和訂單丟失,客戶請求被拒絕……同時,當被攻擊的消息公之于眾后,企業的聲譽也會隨之受到影響。
3如何打造安全的中小型企業網絡架構
通過對中小型企業網絡存在的安全問題的分析,同時考慮到中小型企業資金有限的情況,我認為打造一個安全的中小型企業網絡架構應遵循以下的過程:首先要建立企業自己的網絡安全策略;其次根據企業現有網絡環境對企業可能存在的網絡隱患進行網絡安全風險評估,確定企業需要保護的重點;最后選擇合適的設備。
3.1建立網絡安全策略
一個企業的網絡絕不能簡簡單單的就定義為安全或者是不安全,每個企業在建立網絡安全體系的第一步應該是定義安全策略,該策略不會去指導如何獲得安全,而是將企業需要的應用清單羅列出來,再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略,企業需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。對關鍵數據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進不來”——可用性: 授權實體有權訪問數據,讓非法的用戶不能夠進入企業網。
2.“出不去”——可控性: 控制授權范圍內的信息流向及操作方式,讓企業網內的商業機密不被泄密。
3.“讀不懂”——機密性: 信息不暴露給未授權實體或進程,讓未被授權的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數據不被未授權修改。
5.“走不脫”——可審查性:對出現的安全問題提供依據與手段。
在“五不原則”的基礎上,再針對企業網絡內的不同環節采取不同的策略。
3.2 信息安全等級劃分
根據我國《信息安全等級保護管理辦法》,我國所有的企業都必須對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。具體劃分情況如下:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
因此,中小型企業在構建企業信息網絡安全架構之前,都應該根據《信息安全等級保護管理辦法》,經由相關部門確定企業的信息安全等級,并依據界定的企業信息安全等級對企業可能存在的網絡安全問題進行網絡安全風險評估。
3.3 網絡安全風險評估
根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統所存在的脆弱性,因人為或自然的威脅導致安全事件發生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準,對網絡系統的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。
網絡安全風險評估對企業的網絡安全意義重大。首先,網絡安全風險評估是網絡安全的基礎工作,它有利于網絡安全的規劃和設計以及明確網絡安全的保障需求;另外,網絡安全風險評估有利于網絡的安全防護,使得企業能夠對自己的網絡做到突出防護重點,分級保護。
3.4確定企業需要保護的重點
針對不同的企業,其需要保護的網絡設備和節點是不同的。但是企業信息網絡中需要保護的重點在大體上是相同的,我認為主要包括以下幾點:
1.要著重保護服務器、存儲的安全,較輕保護單機安全。
企業的運作中,信息是靈魂,一般來說,大量有用的信息都保存在服務器或者存儲設備上。在實際工作中,企業應該要求員工把相關的資料存儲在企業服務器中。企業可以對服務器采取統一的安全策略,如果管理策略定義的好的話,在服務器上文件的安全性比單機上要高的多。所以在安全管理中,企業應該把管理的重心放到這些服務器中,要采用一切必要的措施,讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業服務器的防護。
2.邊界防護是重點。
當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要,相反的邊界防護是網絡防護的重點。網絡邊界是企業網絡與其他網絡的分界線,對網絡邊界進行安全防護,首先必須明確到底哪些網絡邊界需要防護,這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分,負責對網絡流量進行最初及最后的過濾,對一些公共服務器區進行保護,VPN技術也是在網絡邊界設備建立和終結的,因此邊界安全的有效部署對整網安全意義重大。
3.“”保護。
企業還要注意到,對于某些極其重要的部門,要將其劃為,例如一些研發部門。類似的部門一旦發生網絡安全事件,往往很難估量損失。在這些區域可以采用虛擬局域網技術或者干脆做到物理隔離。
4.終端計算機的防護。
最后作者還是要提到終端計算機的防護,雖然對比服務器、存儲和邊界防護,終端計算機的安全級別相對較低,但最基本的病毒防護,和策略審計是必不可少的。
3.5選擇合適的網絡安全設備
企業應該根據自身的需求和實際情況選擇適合的網絡安全設備,并不是越貴越好,或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數的實際應用。
作為網絡安全重要的一環,防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一,并且幾乎所有的網絡安全公司都會推出自己品牌的防火墻。在防火墻的參數中,最常看到的是并發連接數、網絡吞吐量兩個指標.
并發連接數:是指防火墻或服務器對其業務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數目,它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力,這個參數的大小直接影響到防火墻所能支持的最大信息點數。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個臺計算機發生20個并發連接數計算(很多文章中提到一個經驗數據是15,但這個數值在集中辦公的地方往往會出現不足),假設企業中的計算機用戶為500人,這個企業需要的防火墻的并發連接數是:20*500*3/4=7500,也就是說在其他指標符合的情況下,購買一臺并發連接數在10000~15000之間的防火墻就已經足夠了,如果再規范了終端用戶的瀏覽限制,甚至可以更低。
網絡吞吐量:是指在沒有幀丟失的情況下,設備能夠接受的最大速率。隨著Internet的日益普及,內部網用戶訪問Internet的需求在不斷增加,一些企業也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務,這些因素會導致網絡流量的急劇增加,而防火墻作為內外網之間的唯一數據通道,如果吞吐量太小,就會成為網絡瓶頸,給整個網絡的傳輸效率帶來負面影響。因此,考察防火墻的吞吐能力有助于企業更好的評價其性能表現。這也是測量防火墻性能的重要指標。
吞吐量的大小主要由防火墻內網卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大打折扣。因此,大多數防火墻雖號稱100M防火墻,由于其算法依靠軟件實現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。
從實際情況來看,中小型企業由于企業規模和人數的原因,一般選擇百兆防火墻就已經足夠了。
3.6投資回報率
在之前作者曾提到的中小企業的網絡特點中資金少是最重要的一個問題。不論企業如何做安全策略以及劃分保護重點,最終都要落實到一個實際問題上——企業網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上,是看不到任何產出的,那么網絡安全的投資回報率該如何計算呢?
首先,企業要確定公司內部員工在使用電子郵件和進行WEB瀏覽時,可能會違反公司網絡行為規范的概率。可以將這個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業做的調查報告可知,通常有25%—30%的員工會違反企業的使用策略,作者在此選擇25%作為計算安全投資回報率的暴光值。那么,一個擁有100名員工的企業就有100x 25% = 25名違反者。
下一步,必需確定一個因素——當發現單一事件時將損失多少人民幣。可以將它稱為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規定,因此,可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如,作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后,企業需要確定在一周的工作時間之內,處理25名違規員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣,就可以按下列公式來計算單一預期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業要確定這樣的事情在一年中可能會發生多少次。可以叫它為預期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發生,一年有52周,如果除去我國的春節和十一黃金周的兩個假期,這意味著一個企業在一年中可能會發生50次這樣的事件,可以將它稱之為年發生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發生率(ARO)乘以預期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說,該公司在沒有使用安全技術防范措施的情況下,內部員工的違規網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道,如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監控解決方案,就可能讓企業每年減少12.5萬元人民幣的損失,這個安全防范方案當然是值得去做的。
當然,事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的,安全防范是一個持續過程,其中必然會牽扯到人力和管理成本等因素。而且,任何一種安全技術或安全解決方案并不能保證絕對的安全,因為這是不可能完成的任務。
就拿本例來說,實施這個網絡行為監控方案之后,能夠將企業內部員工的違規行為,也就是暴光值(EV)降低到2%就已經相當不錯了。而這,需要在此安全防范方案實施一段時間之后,例如半年或一年,企業才可能知道實施此安全方案后的最終效果,也就是此次安全投資的具體投資回報率是多少。
有數據表明在國外,安全投入一般占企業基礎投入的5%~20%,在國內一般很少超過2%,而網絡安全事件不論在國內外都層出不窮,企業可能在安全方面投入了很多,但是仍然頻頻發生網絡安全事故。很多企業的高層管理者對于這個問題都比較頭疼。其實網絡安全理論中著名的木桶理論,很好的解釋了這種現象。企業在信息安全方面的預算不夠進而導致了投資報酬不成比例,另外很多企業每年在安全產品上投入大量資金,但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素。缺乏系統的、科學的管理體系的支持,也是導致這種結果產生的原因。
關鍵詞:無線網絡;數據安全;思考
1 無線網絡安全問題的表現
1.1 插入攻擊 插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2 漫游攻擊者 攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。
1.3 欺詐性接入點 所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
1.4 雙面惡魔攻擊 這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
1.5 竊取網絡資源 有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
1.6 對無線通信的劫持和監視 正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
2 保障無線網絡安全的技術方法
2.1 隱藏ssid ssid,即service set identifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被ap無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與ap相同的ssid才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到ssid的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏ssid適用于一般soho環境當作簡單口令安全方式。
2.2 mac地址過濾 顧名思義,這種方式就是通過對ap的設定,將指定的無線網卡的物理地址(mac地址)輸入到ap中。而ap對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的mac地址信息,仍可以通過各種方法適用假冒的mac地址登陸網絡,一般soho,小型企業工作室可以采用該安全手段。
2.3 wep加密 wep是wired equivalent privacy的簡稱,所有經過wifi認證的設備都支持該安全協定。采用64位或128位加密密鑰的rc4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和ap上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于soho、中小型企業的安全加密。
2.4 ap隔離 類似于有線網絡的vlan,將所有的無線客戶端設備完全隔離,使之只能訪問ap連接的固定網絡。該方法用于對酒店和機場等公共熱點hot spot的架設,讓接入的無線客戶端保持隔離,提供安全的internet接入。
2.5 802.1x協議 802.1x協議由ieee定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了ppp協議定義的擴展認證協議eap。作為擴展認證協議,eap可以采用md5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6 wpa wpa即wi-fi protected access的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。wpa率先使用802.11i中的加密技術-tkip (temporal key integrity protocol),這項技術可大幅解決802.11原先使用wep所隱藏的安全問題。很多客戶端和ap并不支持wpa協議,而且tkip加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。
2.7 wpa2 wpa2與wpa后向兼容,支持更高級的aes加密,能夠更好地解決無線網絡的安全問題。由于部分ap和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的wpa2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及soho用戶。
2.8 02.11i ieee 正在開發的新一代的無線規格,致力于徹底解決無線網絡的安全問題,草案中包含加密技術aes(advanced encryption standard)與tkip,以及認證協議ieee802.1x。盡管理論上講此協議可以徹底解決無線網絡安全問題,適用于所有企業網絡的無線部署,但是目前為止尚未有支持此協議的產品問世。
3 結語
關鍵詞:企業網絡; 信息網絡; 網絡設計; 網絡建設; 網絡安全
中圖分類號:TP303 文獻標識碼:A 文章編號:16727800(2013)009000103
作者簡介:洪光華(1983-),男,江西省煙草公司上饒市公司高級工程師、網絡規劃設計師,研究方向為物流自動化、信息管理、網絡規劃設計。
0引言
企業信息網絡為員工提供快速交換訪問、企業資源計劃(ERP)、客戶資源管理(CRM)、項目管理(PM)、辦公協同(IOA)、電子郵件、互聯網訪問、遠程接入VPN、視頻會議、IP電話等,能提高生產效率,降低生產成本。企業信息網絡是一個復雜的環境,牽涉到多種介質、多種協議,并且還能與某組織中心辦公室外部的網絡互聯。設計精良并仔細安裝的網絡能減少隨著網絡環境的發展帶來的問題,包括速率升級、設備更換、網絡冗余防范、訪問控制的設計-實施-變更,保障網絡連續運行。正確設計和維護網絡對企業正常運作非常重要。一個設計和維護水平都較差的網絡,會在與對手的競爭中面臨許多危險。
1企業信息網絡基本特點
設計一個復雜系統最困難的地方就是決定從哪里開始,也就是對于最基本的企業信息網絡而言所應該有的最基本的立足點和設計原則:①快速收斂,網絡必須在最短的時間內找到源和目的之間的可用路徑;②確定的路徑,分組報文在網絡中經過的路徑在某種程度上應該是靜止的。如果網絡中的路由經常發生變化,那么用戶通過網絡使用應用程序和服務時就難以穩定;③確定的錯誤恢復,當鏈接或設備失效,應當存在已知的錯誤恢復備份,這有助于排除疑難問題。更重要的是,在網絡出錯的情況下,能創造一個穩定的環境;④規模和吞吐量具有擴展性,當網絡需要的服務和信息逐漸增長時,網絡會越來越大,需要更大的容量。網絡應該有足夠的設計,以便允許網絡中設備數目和設備連接鏈路容量的增長;⑤集中存儲,企業信息網絡必須能支持公共的文件和應用程序存儲區域。即提供一種環境,在這種環境下能以更低的代價支持這些服務;⑥更高效的信息傳輸,按照流量的二八原則,在當前,與早期的網絡相比,傳輸模式明顯不同,如今的網絡設計必須基于如下假設,即20%的流量在局域網絡內部進行,剩下的80%到達局域網絡外的主機;⑦具有異種網絡兼容性,支持多種協議。企業信息網絡(EIN)必須支持多種不同類型的網絡協議,比如:IP、Novell IPX、Apple APPLETALK以及DECnet、VINES等,雖然當前網絡主要為純IP網絡,但不能排除某些傳統應用程序和主機需要其他類型的網絡協議,并且在純IP網絡中,網絡也必須支持高層協議;⑧組播支持,現有的網絡必須支持組播。組播是一種能使用戶以更有效的方式進行傳輸和接收網絡視頻信息的機制。
在單個網絡中把所有必須的功能都集成以滿足需求是十分困難的,而通過拓撲層以及構建塊等將網絡功能組件化,可以對網絡功能進行修改重組,進而滿足特定的網絡設計要求。
2企業信息網絡建設要求
盡管每個企業信息網絡都有其獨有的特性,但所有的企業信息網絡還是具有共同的基本要求:①可靠性和可用性:企業信息網絡應當24小時全年可靠可用,故障發生時可以被迅速隔離,且故障的修復對于最終用戶應當透明;②響應性:企業信息網絡應為各種業務應用和協議提供質量保證(QoS),并不影響桌面計算機的響應;③高效性:企業信息網絡可以優化資源,尤其是帶寬的使用,減少額外數據流開銷,比如不必要的廣播、服務定位和路由更新,應當使數據吞吐率在不增加硬件成本或不添加廣域網服務的前提下得到提高;④可適應性:一個適應性強的企業信息網絡利用層次化、開放式的結構可以容納完全不同的協議、應用、硬件技術,從而實現不同業務程序的運行;⑤可訪問性和安全性:一個可訪問的企業信息網絡允許通過多種方式連接,實現全業務接入,保持業務隨時可以訪問,同時網絡的策略還能維護網絡的完整性。
3層次化設計企業信息網絡
通過劃分層次,可以將復雜的問題分解,是企業信息網絡設計中基本的設計思想。可以分別從網絡的結構方式對網絡規模、網絡功能、網絡拓撲、網絡構建塊、網絡地址劃分層次。
(1)網絡規模。對于企業信息網絡而言可劃分為:LAN(Local Area Network),微小型企業及工作組規模,一個房間到一棟建筑,由單個組織擁有和管理;CAN(Campus Area Network),多個局域網的集合,由坐落在固定區域內的一棟或多棟建筑物組成,也是由單個組織擁有和管理,或每一處由組織的一部分擁有和管理。
(2)網絡功能。企業信息網絡的主要建設集中在OSI模型的2~4層,第二層交換在數據鏈路層進行,第三層交換在網絡層進行,訪問控制在二、三、四層實現,均可以使用軟件或硬件的方式實現,在復雜的網絡結構中,由于功能的硬件實現比軟件迅速,一般在此使用多層交換機、路由器。
(3)網絡流量的規劃設計。網絡通常與用戶數和個人需求同步增長。這意味著用戶的網絡設計必須能夠處理連接數目的增長,也能處理網絡內部鏈路帶寬。①利用橋接避免沖突,一般通過網橋/交換機提供端到端的雙向帶寬獨占的通信模式;②對廣播域進行分割,實現方式為劃分VLAN或使用三層交換機、路由器。一個好的原則是一個廣播域內不應超過240臺設備,避免廣播風暴;③流量可管理,企業信息網絡應當使流量處于可管理的狀態,使用純交換技術,并對網絡進行邏輯地址的劃分,減少廣播流量,制定流量的策略規劃。
(4)網絡服務規劃設計。企業信息網絡的應用是由連接在一起的服務所組成的,且連接的方式能提供高效的通信流。其服務可分為3類:本地服務、遠程服務、企業服務,企業信息網絡應當有效容納這些服務,并有效規劃。①本地服務,是同一個本地工作組可以訪問的網絡服務(例如:網絡打印服務、工作組文件共享等)。這些服務流量的特征是保持在同一個廣播域內,在第二層進行數據交換,不應出現在網絡主干之上,即不進行三層路由;②遠程服務,用戶主動發起的,在其廣播域之外的服務,例如文件應用程序、遠程控制、IP電話、視頻會議、互聯網訪問等,這些服務會跨越廣播域,通信過程由第三層路由器轉發;③企業服務,網絡內所有用戶都可以訪問(例如企業級中央存儲、企業級業務應用包,含ERP、PM、CRM、MIS、EMAIL以及內部網服務),這些服務一般都放置在接近網絡邏輯中心的地方,以允許所有用戶平等訪問。依據企業服務的規模,這些服務可能在同一個廣播域分組,也可能不分組。
(5)網絡拓撲。解決任何系統設計的第一種方法是確定系統的主要模塊。為了滿足企業信息網絡設計需求,數據報文服務和用戶連接在一起,從而為用戶優化帶寬,確保可靠性和公正性。可以使用三層網絡設計體系,模塊化設計各層網絡拓撲結構。①接入層(訪問層):接入層模塊處理用戶對網絡的訪問。通常,接入層由第二層交換機組成,雖然集線器也能代替交換機共享以太網段的帶寬。在接入層使用交換式還是共享式第二層網絡取決于用戶的需求和開銷。虛擬局域網(VLAN)可以配置成把用戶按功能分組而不是按地理位置分組。在外層,接入層在用戶和企業信息網絡之間提供高密度的端口和廉價的訪問,也能夠通過廣域網技術,例如ADSL、ISDN、DDN等,讓遠程場點訪問網絡;②集散層(分發層):集散層是核心和接入層的邊界。從邏輯角度上說,集散層的主要作用是把工作組中的用戶聚合在一起,用來提供廣播域之間的鏈接、VLAN間的路由選擇及安全性。一般處理企業信息網絡的第三層路由功能,主要實施措施有以下幾項:路由協議的部署、訪問策略的設置、為進入核心層的數據提供過濾功能、提供多種網絡類型的數據接入轉換以及防火墻的部署;③核心層:核心層和集散層模塊一般綁定在一起,作為網絡的主干存在。在這一層不會設置任何策略及路由選擇。核心層最大的設計需求是獲得盡可能快的轉發速度和鏈路冗余保障可靠性。
(6)按分割網絡構建模塊:按照設備群和拓撲結構,在層次化企業信息網絡實施過程中需要進一步把網絡分割成網絡構建塊(交換塊、核心塊)。
交換塊:由一組具有二層和三層功能的交換機組(一組連接訪問設備的分發設備)作為交換塊,其可以跨越接入層和集散層。
核心塊:作為整個網絡的集合點用來連接多個交換塊,具有足夠的處理能力和帶寬處理主干上的大量通信流,盡可能提高速度和減小延遲,通過核心層設備進行橋接,使轉發速率得到最大化,把路由選擇留給集散層。
(7)科學合理規劃網絡地址分配方案。企業信息網絡需要一種能夠易于擴展的編址方案,以適用于網絡的擴展需求。通過對可擴展型網絡編址系統的認真計劃和部署,可以避免在為企業添加新節點和新的網絡時,現存的地址可能需要被重新分配,膨脹的路由表使路由器陷入困境。網絡地址規劃時可以適時考慮結合子網劃分可變長度子網掩碼(VLSM)、路由歸納、網絡地址轉換(NAT)、無編號IP地址、動態主機分配協議(DHCP)。
4部門級交換式以太網建設
對于部門、小型公司的所需網絡技術確定將要連接的設備數,通常要保證解決方案允許一定程度的增長。①確定將要連接的設備數,部署交換設備,讓所有用戶與之相連,這樣構成的網絡就能滿足要求。由于設備的數量少,以及交換機的使用,沖突和廣播流量不予考慮;②將來它可能投資購買本地文件服務器提供存儲和備份,并對遠程連接有實際需求,那么在網絡增長時,只需要將添購的設備連入交換機,并在交換機上外聯一部小型路由器,使之通過配置廣域網接口,利用廣域網與遠端連接,并建立一條廣域網冗余鏈路,配置為熱備份路由。由于外聯網絡的單一性,在客戶端指定路由器為默認網關,在交換塊邊界路由設置,即可實現接入層與集散層的結構設計,擴展簡便。
企業VLAN、VLAN間路由:
(1)VLAN將物理上的設備組和用戶組通過邏輯的方式重新劃分,為控制和減少網絡管理開支提供有效的方法,并控制廣播活動,支持工作組和網絡的安全性。
(2)增加、移動或改變用戶的位置。公司重組和人員流動帶來的新的終端地址和集線器以及路由器的重新配置,成為網絡管理中最大開銷之一。VLAN用戶位置的改變只簡單將用戶的終端插接到相應VLAN端口并簡單配置即可,路由器配制不做任何修改。
(3)控制廣播活動,通過應用及廣播的數量確定VLAN的數目,使受廣播活動影響的用戶減少,通過VLAN將防火墻技術從路由器擴展到交換,大大減少廣播流量,為用戶流量釋放帶寬,彌補網絡易受廣播風暴影響的弱點。
(4)VLAN將網絡劃分為多個廣播域是提高安全性的一個經濟實惠和便于管理的技術,它可以限制VLAN網絡用戶的數目,拒絕用戶在VLAN應用認證之前的連接,以及可以將空閑的端口配置到默認的低層服務的VLAN。
在企業信息網絡中可以通過路由器低成本實現VLAN間的通信,高效實現則可利用交換機路由模塊進行交換。
5業務擴展:WAN接入的設計、企業路由
隨著使用IP協議和Web的應用軟件不斷增長,在企業信息網絡中必須處理復雜的廣域網,而廣域網有復雜的環境,包括多種介質、多種協議以及其他網絡的互聯,通信發生在不同地域之間,信息傳遞需經過一條或多條廣域網鏈路,特點是相對較低的通信流量、高延遲和高差錯率,由于租用性質,廣域網的設計需要將帶寬的花費和效率優化處理。利用廣域網技術和路由器連接多個企業事業部網絡以支持新的業務開展,應當著重于通信流量的最佳化、提供多條冗余的路由、災難恢復需要的后備撥號業務。
在企業使用的事務中,利用廣域網的流量包含:語音、傳真、事務數據(SNA)、客戶機/服務器數據、信息傳遞、文件傳輸、批量數據、網絡管理、視頻會議。通過收集需求,確定應使用的廣域網線路。
路由部署:企業信息網絡拓撲結構主要為星型結構,在接入層與集散層間是平面的物理結構,冗余一般以二層交換VTP為主,鏈路狀態穩定,帶寬等資源基本相當,可以在內部信息網絡中使用靜態路由以及開銷小的路由,進行手工指定或簡單配置。
在網絡的外部接口進行路由配置的時候,可以依據距離矢量或鏈路狀態決定使用何種協議,并依照外部接口的數量進行負載均衡與熱備份,外部接口在規模較大,結構復雜的情況下可以使用OSPF協議,一般可使用IGRP協議,進行路由熱備份時應在其先配置按需撥號。
6網絡安全:防火墻和ACL應用
在企業信息網絡中,應盡可能保證業務數據的流通和優先性,必須設法拒絕不希望的訪問連接,同時保障允許的訪問連接正常、響應迅速、穩定,而通過設置密碼、回叫信號設備以及硬件保密裝置可以幫助做到這些,但這些缺乏基本的通信流量過濾的靈活性和特定的控制手段。在信息網絡管理中,需要作出的策略往往是對用戶、服務、數據流向、前端應用和數據流量進行靈活控制。
(1)使用路由器阻止特定通信流量。路由器提供基本的通信流量過濾能力,可將其作為安全解決方案的一部分,通過訪問控制列表(Access Control List,ACL)實現企業信息網絡基本安全需求。
ACL是一系列允許和拒絕陳述句的集合,通過條件篩選和邏輯判斷,對數據包的協議或上層協議(網絡層以上)進行控制。這些指令列表由類似于源地址、目的地址、端口號等特定指示條件決定路由器接收或拒絕數據包。
通過ACL部署,可以做到:限制網絡流量,提高網絡性能,提供對特定類型數據的優先級;提供對通信流量的控制手段,限定或簡化路由更新、限制某網段;提供網絡訪問的基本安全手段,基于篩選條件的安全認證;在路由接口處決定通信流量類型的過濾、篩選。
(2)部署企業防火墻,進一步保障企業信息安全。網絡邊界可部署多功能防火墻,實現高層協議應用的控制、過濾和攻擊防范。專業防火墻能夠在ACL列表過濾的基礎上更精準地對網絡用戶和桌面計算機進行數據流量、數據安全控制。
通過路由和NAT功能提供可控的互聯網訪問、映射企業內部服務器;開放特定服務器特定端口;對內網用戶訪問過程進行惡意代碼檢測,也可對用戶收發的郵件中存在的病毒進行過濾。
通過IPSEC VPN功能,能夠實現分部的安全互連,作為專線鏈路的補充和備份,防止專線鏈路故障導致異地部門的業務應用無法進行的情況發生。
通過上網行為管理功能改善網絡使用規范。對URL分類過濾,規范內網用戶網頁訪問行為。行為審計功能,則記錄內網用戶訪問的網頁地址、BBS發表的言論內容、收發的郵件內容及其他上網行為。通過應用控制功能,保證用戶的網絡應用同實際業務的相關性,確保工作效率。
