衣述燕康丽荣陈玲
中国人民解放军69026部队新疆乌鲁木齐830000
摘要:随着我国网络技术的快速发展,信息共享与交流越来越方便的同时企业网络面临的安全威胁也越来越多,网络攻击手段不断向多样化发展,针对企业网络安全防护体系的研究对企业安全稳定发展有着深远意义。本文就安全域在构建企业网络安全防护体系中的应用进行了探析。
关键词:安全域;等级保护;安全防护
引言
近年来,网络安全威胁不断出现与增加,例如木马、病毒、蠕虫等。这种威胁网络安全的手段,以破坏企业网络安全获取经济利益,对企业发展造成了极大危害,可能造成巨大损失。一个企业网包含大量运行与办公系统,它关乎企业的经济效益与正常发展运行,保障企业网络安全对企业的正常运行有重要作用与意义。
1企业网络安全的现状探究
1.1网络边界不够清晰
信息系统和网络建设都是基于不同需求和应用而开发建设的,建设初期对安全方面的考虑不足,安全需求没有统一的规划,核心业务系统缺少有效的访问控制,也缺乏有效隔离。
1.2安全技术的单一
企业的网络安全防护意识弱,部分企业只在企业网络安全防护中使用了单一的防火墙或者防病毒软件,这些措施虽然对网络安全有一定的保护作用,但这只对企业网络安全做到了部分保护,对企业网络安全无法实现全方位保护。
1.3缺乏系统的管理
随着企业发展,企业的Internet用户数量逐渐增多,这就使得企业网络Internet出口增多,在这种情况下,对企业网络的安全很难实现系统性管理,网络安全管理没有实现统一。并且企业业务发展迅速,企业员工流动频繁,员工对企业网络使用不规范,都对企业网络安全带来极大安全威胁。
1.4系统的脆弱性和数据保护
在商业信息系统中,使用了多种操作系统和多种数据库,应用系统开发相互独立,体系繁杂,安全性没有保证,各个业务系统之间频繁的数据交互、利用和访问也增加了管理风险。信息系统如何保证数据的完整性,如何做到有效的监管已是当务之急。
2基于安全域的网络安全防护体系
2.1安全域划分
按业务系统、系统行为和防护等级划分为目前企业网络安全域的三种基本方式。不同行业由于业务不同,划分方法也不同,需要根据企业实际发展情况来划分企业网络安全域,并且在划分中要以企业的正常运行为基础,然后再考虑安全域划分方式是否可行。根据企业发展实际情况可以选择多种安全域划分方式并且有机综合应用,实现企业网络安全域合理划分,最终达到对用户业务系统全方位防护的目的,满足用户实际需求。网络安全域一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。而在不同安全域之间需要设置防火墙进行安全保护,这样就在一定程度上降低了网络安全威胁。企业的核心业务与数据信息放在内网中,实现企业网络内、外运行与服务的分离,也避免了与外网接触带来的安全威胁。
2.2安全防护体系
结合行业信息安全“分区分域、安全接入、整体防御”的建设策略,综合考虑网络安全策略、防护、检测、响应和恢复能力,参考P2DR2模型,从终端、网络、应用、系统、数据安全5个层面构建商业系统动态安全防护体系。该体系采用分层纵深防护的策略纵向划分(终端层、网络层、应用层、系统层和数据层),并以P2DR2模型为基础,对不同防护层从检查、防护、响应和备份等方面进行有效动态安全防护。根据不同子域特点部署防护策略。1)边界接入域边界接入域涉及终端安全和网络边界安全,其所面临的威胁主要是来自外部的攻击行为(如客攻击、病毒蠕虫、非授权接入等)和内部办公终端自身安全。因此边界接入域的安全防护策略有网络边界防护和办公终端防护。(1)网络边界防护在边界处部署防火墙设备进行访问控制,实施区域边界保护,确保只允许指定业务应用和管理数据流通过;启用防火墙设备的病毒过滤功能,对恶意代码进行过滤;在互联网出口部署入侵防范系统,防范外部扫描,针对主机漏洞的恶意攻击和木马蠕虫等应用层攻击,实现应用层防护;在互联网出口部署防DDoS攻击系统,防止DDoS的攻击。(2)办公终端防护采用终端安全准入管理系统加强办公终端外设管理,实现补丁统一分发和应用程序安装的标准规范;同时采用网络防病毒软件对终端常见病毒和木马进行查杀,保障终端正常使用。2)网络通信域网络通信域作为网络的核心,承载着应用系统数据访问和各业务区域的互联互通,其面临的威胁主要是网络设备故障、网络泄密等。因此网络通信域的安全防护策略如下:在网络拓扑结构设计中采用冗余技术以避免单点故障;在基础网络域中部署入侵检测系统以监控网络攻击行为;对网络设备管理员采用双因素认证方式进行身份鉴别,确保只有授权的网络管理员可以进行配置管理;为避免身份鉴别信息在网络传输过程中被窃取,采用“hhtps”或“ssh”等安全方式对网络设备进行管理;定期对相关网络设备进行周期性安全漏洞检查和安全配置核查检查和修补,防止利用漏洞的攻击;同时定期对核心设备运行情况和资源占用情况进行检查和监控,避免性能瓶颈出现。3)计算环境域计算环境域涉及应用层、系统层和数据层,处于信息系统内部,来自内部人员越权和滥用、操作失误、篡改数据、抵赖行为等是其所面临的主要威胁。因此,针对该区域的防护策略如下。(1)应用安全防护针对互联网运行的应用系统,采用专用的Web防护系统对可能存在的扫描攻击、挂马、代码修改以及恶意攻击进行防范;对Web系统进行定期的安全扫描,及时发现可能存在的安全隐患;对线上应用系统进行代码、数据、开发、外包、测试、部署和安全功能等方面进行预防和发现性安全防护;采用密码技术以保证通信过程中数据的完整性和保密性;采取门户集成、单点登录、统一认证等模式,对重要系统使用安全网关和数字证书认证。(2)系统安全防护定期对操作系统等进行漏洞扫描和配置核查,及时发现安全隐患,并及时进行安全加固,尤其是加强对操作系统的弱口令和非必要服务的检查;在网络中部署防病毒系统,对服务器常见病毒和木马进行查杀,保障正常使用。(3)数据安全防护采用数据防泄密系统对重要数据进行安全防护;建立统一的灾备中心,采用多种备份和传输方式的数据库容灾技术,将重要系统的核心数据库异地备份到灾备中心;建立灾备中心,正常业务系统故障可快速切换到备用业务系统。(4)建立统一集中管理的审计系统,针对应用、系统和数据安全,对用户行为、系统资源的异常使用和重要系统功能的执行等进行审计。4)支撑设施域支撑设施域主要包括网管系统、安全管理系统、其他支撑系统,其所面临的威胁主要是来自运维人员的操作失误,越权访问和行为抵赖等,主要的防护手段是部署集中监控系统。对主机和网络设备的运行状况、用户行为、网络流量等进行全面的监测和记录;部署集中审计系统,对网络管理行为等进行安全审计;部署漏洞扫描和配置核查设备,定期对网络设备和服务器进行扫描,及时发现网络设备、服务器操作系统和应用软件的安全漏洞和脆弱性;对网络设备管理员和用户部署集中身份认证系统。通过对网络纵向分层,并对不同层次和方位进行动态立体的安全防护,形成一个动态的安全防护体系,网络安全综合性能大幅提高。
结语
企业网络安全防护体系的建立与完善,是保证一个企业正常发展的关键与重点,针对企业网络的应用实际,可以划分企业网络的安全域与完善安全防护体系,构建多层次、动态的网络安全防护体系和策略。企业网络的安全防护不仅需要依靠防护技术,还要更多从管理制度与防护策略入手,为整个企业提供及时、高效、安全的服务基础与保障。
参考文献:
[1]张伟.浅谈基于安全域的网络安全防护研究[J].信息系统工程,2013(11):83-84.
[2]张静静.云计算安全防护设计[J].现代电信科技,2015(6):62-67.