淺談企業網絡安全系統的應用

導語：淺談企業網絡安全系統的應用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

0引言

隨著企業網絡信息技術的快速發展和廣泛應用，社會信息化進程不斷加快，生產制造、物流網絡、自動化辦公系統對信息系統的依賴程度越來越大，因此，保證信息系統的安全穩定運行也越來越重要。如何保證企業網絡信息化安全、穩定運行就需要網絡規劃設計師在設計初始周全的考慮到網絡安全所需達到的條件（包括硬件、OSI/RM各層、各種系統操作和應用）。

1網絡安全、信息安全標準

網絡安全性標準是指為了規范網絡行為，凈化網絡環境而制定的強制性或指導性的規定。目前，網絡安全標準主要有針對系統安全等級、系統安全等級評定方法、系統安全使用和操作規范等方面的標準。世界各國紛紛頒布了計算機網絡的安全管理條例，我國也頒布了《計算機網絡國際互聯網安全管理方法》等多個國家標準，用來制止網絡污染，規范網絡行為，同時各種網絡技術在不斷的改進和完善。1999年9月13日，中國頒布了《計算機信息系統安全保護等級劃分準則》（GB17859：1999），定義了計算機信息系統安全保護能力的5個等級，分別如下：（1）第一級：用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。（2）第二級：系統審計保護級。除繼承前一個級別的安全功能外，還要求創建和維護訪問的審計蹤記錄，使所有的用戶對自己行為的合法性負責。（3）第三級：安全標記保護級。除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制訪問。（4）第四級：結構化保護級。除繼承前一個級別的安全功能外，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。（5）第五級：訪問驗證保護級。除繼承前一個級別的安全功能外，還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。

2企業網絡主要安全隱患

企業網絡主要分為內網和外網，網絡安全體系防范的不僅是病毒感染，還有基于網絡的非法入侵、攻擊和訪問，但這些非法入侵、攻擊、訪問的途徑非常多，涉及到整個網絡通信過程的每個細節。從以往的網絡入侵、攻擊等可以總結出，內部網絡的安全威脅要多于外部網絡，因為內網受到的入侵和攻擊更加容易，所以做為網絡安全體系設計人員要全面地考慮，注重內部網絡中存在的安全隱患。

3企業網絡安全防護策略

設計一個更加安全的網絡安全系統包括網絡通信過程中對OSI/RM的全部層次的安全保護和系統的安全保護。七層網絡各個層次的安全防護是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊，而非計算機通信過程中的安全保護是為了預防網絡的物理癱瘓和網絡數據損壞的。OSI/RM各層采取的安全保護措施及系統層的安全防護如圖1所示。

4OSI/RM各層主要安全方案

4.1物理層安全

通信線路的屏蔽主要體現在兩個方面：一方面是采用屏蔽性能好的傳輸介質，另一方面是把傳輸介質、網絡設備、機房等整個通信線路安裝在屏蔽的環境中。（1）屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區別是屏蔽類雙絞線中8條（4對）芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統一屏蔽層外，還有這些屏蔽層就是用來進行電磁屏蔽的，一方面防止外部環境干擾網線中的數據傳輸，另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。（2）屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜、金屬網或者金屬板材（主要是鋼板）包圍，其中包括六面板體和一面屏蔽門。根據機房屏蔽性能的不同，可以將屏蔽機房分為A、B、C三個級別，最高級為C級。機柜的屏蔽是用采用冷扎鋼板圍閉而成，這些機柜的結構與普通的機柜是一樣的，都是標準尺寸的。（3）WLAN的物理層安全保護對于無線網絡，因為采用的傳輸介質是大氣，大氣是非固定有形線路，安全風險比有線網絡更高，所以在無線網絡中的物理層安全保護就顯得更加重要了。如果將機房等整個屏蔽起來，成本太高，現在主要采用其他方式如多位數共享密鑰、WPA/WPA2動態密鑰、IEEE802.1X身份驗證等。現在最新的無線寬帶接入技術——WiMAX對于來自物理層的攻擊，如網絡阻塞、干擾，顯得很脆弱，以后將提高發射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴頻技術。

4.2數據鏈路層安全

在數據鏈路層可以采用的安全保護方案主要包括：數據鏈路加密、MAC地址綁定（防止MAC地址欺騙）、VLAN網段劃分、網絡嗅探預防、交換機保護。VLAN隔離技術是現代企業網絡建設中用的最多的技術，該技術可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。

4.3網絡層安全

在網絡層首先是身份的認證，最簡單的身份認證方式是密碼認證，它是基于windows服務器系統的身份認證可針對網絡資源的訪問啟用“單點登錄”，采用單點登錄后，用戶可以使用一個密碼或智能卡一次登錄到windows域，然后向域中的任何計算機驗證身份。網絡上各種服務器提供的認證服務，使得口令不再是以明文方式在網絡上傳輸，連接之間的通信是加密的。加密認證分為PKI公鑰機制（非對稱加密機制），Kerberos基于私鑰機制（對稱加密機制）。IPSec是針對IP網絡所提出的安全性協議，用途就是保護IP網絡通信安全。它支持網絡數據完整性檢查、數據機密保護、數據源身份認證和重發保護，可為絕大部分TCP/IP族協議提供安全服務。IPSec提供了兩種使用模式：傳輸模式（TransportMode）和隧道模式（TUNNELMode）。

4.4傳輸層安全

傳輸層的主要作用是保證數據安全、可靠的從一端傳到另一端。TLS/SSL協議是工作在傳輸層的安全協議，它不僅可以為網絡通信中的數據提供強健的安全加密保護，還可以結合證書服務，提供強大的身份誰、數據簽名和隱私保護。TLS/SSL協議廣泛應用于Web瀏覽器和Web服務器之間基于HTTPS協議的互聯網安全傳輸。

4.5防火墻

因防火墻技術在OSI/RM各層均有體現，在這里簡單分析一下防火墻，防火墻分為網絡層防火墻和應用層防火墻，網絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協議堆棧上。應用層防火墻是在TCP/IP堆棧的“應用層”上運作，應用層防火墻可以攔截進出某應用程序的所有封包。目前70%的攻擊是發生在應用層，而不是網絡層。對于這類攻擊，傳統網絡防火墻的防護效果，并不太理想。

5結語

以上對于實現企業網絡建設安全技術及信息安全的簡單論述，是基于網絡OSI/RM各層相應的安全防護分析，重點分析了物理層所必須做好的各項工作，其余各層簡單分析了應加強的主要技術。因網絡技術日新月益，很多新的網絡技術在本文中未有體現，實則由于本人時間、水平有限，請各位讀者給予見解。文章中部分內容借簽于參考文獻,在此非常感謝各位作者的好書籍。

作者:單位:西山煤電（集團）有限公司物資供應分公司

引用：

[1]李磊.網絡工程師考試輔導.北京：清華大學出版社，2009．

[2]王達，闞京茂.網絡工程方案規劃與設計.北京：中國水利水電出版社，2010．

[3]黃傳河.網絡規劃設計師教程.北京：清華大學出版社，2009．

[4]林果園.操作系統安全.北京：北京郵電大學出版社，2010．