企业网络安全需求与网络安全方案探讨.docx

企业网络安全需求与网络安全方案探讨 企业网络平安需求与网络平安方案探讨 关键词：企业；网络平安；需求；网络平安方案 1 企业网络平安需求分析 1.1 网络平安概念及特征 网络平安是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所实行的各种必要措施，以确保信息完整、可用、无泄露，保持网络稳定、平安地运行。其主要特征是保证网络信息的完整性、可用性和机密性2。 1.2 企业网络平安面临的主要问题 企业网络平安面临的问题归纳如下：网络平安目标不明确。虽然网络平安法已于 2022 年 6 月 1 日起施行，但企业对网络平安的重要性依旧相识不足，缺乏网络平安规划，没有明确的网络平安目标3。网络平安意识不足。从企业的决策者到一般员工并没有充分意识到网络平安的重要性，企业网络平安存在很大隐患。网络平安设施不健全。无论大型企业，还是中小企业，都存在网络平安基础设施投入不足的问题，以致设施陈旧、不完整，面对外部攻击和各种漏洞很简单发生信息丢失、泄露、窃用等现象。缺乏完整的网络平安解决方案。企业网络平安防护呈现碎片化、分散化等特点4，缺乏系统性、协同性、敏捷性，面对万物互联和更高级的威逼，传统防护手段捉襟见肘、防不胜防5。 1.3 企业网络平安需求 企业因网络平安须要而产生的要求即为企业网络平安需求，这是由企业内部网络因素与外部网络形势共同确定的，内外都不会一成不变，所以企业网络平安需求是一个动态过程，具有时效性。基于此，要精确把握企业网络平安需求，必需对企业网络平安现状进行调查分析，一般而言，企业网络平安主要包括内网平安、边界平安及文件传输平安等方面6，详细体现在以下几个方面：网络平安策略需求。平安策略的有效性、完整性和好用性是企业网络平安的一个重要需求。目前的企业网络平安策略文档过于简洁，而且没有形成完整的体系，对企业网络平安的指导性不足。网络平安组织需求。企业应建立结构完整、职能清楚的网络平安组织机构，负责企业网络平安策略制定、网络平安培训、网络平安运行管理等。网络平安运行管理需求。企业应建立科学高效的运行管理体系，采纳好用的运行管理方法，对服务器平安、网络访问可控性、网络监控等进行管理。 2 企业网络平安解决方案 2.1 企业网络平安方案设计原则 网络平安方案的设计原则旨在指导企业科学合理地设计网络平安方案，避开失于偏颇和词不达意，设计原则可以有许多，笔者认为最重要的原则如下：多重防护原则。突破单一防护机制要比突破多重防护机制简单得多。简洁适用原则。过于困难的方案漏洞多，本身就担心全。系统性原则。企业网络平安面对的威逼是多方面的，只专注于一点无法保障网络平安。需求、风险与代价平衡原则。没有任何方案可以做到肯定平安，追求过高的平安性要付出巨大代价，所以要学会取舍，平衡风险与代价。可维护性原则。没有任何系统可以做到无懈可击，要做到能随时调整、升级、扩充。技术与管理相结合原则。在改善平安技术的同时也要加强管理，削减管理漏洞，对于困难的平安形势，要多做预案，提前防范突发事务。 2.2 企业网络平安解决方案 2.2.1 网络分域防护方案网络分域防护的原则是落实平安域的防护策略、制定访问限制策略、检查网络边界、分级防护等。从企业网络平安需求及特点动身，将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域，如图 1 所示。互联网域接入互联网服务，服务区域即企业服务器放置区域，外联域接入分公司区域，内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一平安子域内，便于各个平安子域内部署相应等级的防护策略。2.2.2 部署平安网关方案在外网与内网之间设置平安网关，作为企业网络系统的物理屏障，以爱护内网平安。平安网关不是单一的防火墙，而是综合了防病毒、入侵检测和防火墙的一体化平安设备。该设备运用统一威逼管理概念，将多种平安特性的防护策略整合到统一的管理平台上，按需开启多种功能，其由硬件、软件、网络技术组成。UTM 在硬件上可以采纳 X86、ASIC、NP 架构中的一种，X86 架构适于一百零一兆网络，若是千兆网络应采纳 ASIC 架构或 NP 架构。在升级、维护及开发周期方面，NP 架构比 ASIC 架构更有优势。UTM 软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能，通过模式匹配实现特征库统一和效率提升。UTM 管理结构基于管理分层、功能分级思想，包含集中管理与单机管理的双重管理机制，实现功能设置管理和数据分析实力。 2.2.3 部署 IPS 与 IDS 方案 IPS 是入侵防卫系统的英文缩写，用于监视网络或网络设备上的数据传输，发觉异样数据可以即时中断传输或进行隔离，先于攻击达成实现防护，与防火墙功能上互补，并支持串行接入模式，采纳基于策略的防护方式，用户可以选择最适合策略达到最佳防护效果。IPS 部署在服务区域与内网核心区域之间，或核心交换机与内部服务器之间，可实时监测外部数据向内部服务器的传输过程，发觉入侵行为即报警、阻断，同时还能精确阻击 SQL 注入攻击。IDS 是入侵检 测系统的英文缩写，能对网络数据传输实时监视，发觉可疑报警或实行其他主动反应措施，属于监听设备，其平安策略包括异样入侵检测、误用入侵检测两种方式，可部署在核心交换机上，对进出内网与内部服务器的数据进行监测，如图 1 所示。 2.2.4 部署漏洞扫描系统方案漏洞扫描是基于漏洞数据库，通过扫描检测远程系统或本地系统漏洞行为，与防火墙、IDS 协作以提高网络平安性，扫描对象包括网络、主机和数据库。漏洞扫描运用的技术有主机在线扫描、端口扫描、操作系统识别、漏洞监测数据采集、智能端口识别、多重服务检测、系统渗透扫描等。漏洞扫描系统部署方式包括独立式部署和分布式部署。前者适于比较简洁的网络结构，例如电子商务、中小企业等；后者适于困难、分布点多、数据相对分散的网络结构，例如政府、电力行业、金融行业、电信运营商等。图1 为采纳独立式部署的漏洞扫描系统方案。 2.2.5 部署网络平安审计系统网络平安审计是指基于设定的平安策略，实时跟踪记录网络动态，查找入侵和违规访问受爱护资源的行为，为网络平安管理供应入侵或违规访问的证据。依据审计对象，网络平安审计分为主机审计、设备审计、网络审计、数据库审计、用户行为审计、终端审计等类型。网络平安审计系统功能包括信息采集、信息分析、信息存储、信息展示、自身平安性、可审计性等。依据部署方式，平安审计系统分为集中部署和分布式部署。集中部署方式同漏洞扫描系统，可布置在核心交换机上。 2.2.6 网络平安管理方案网络平安管理的原则是职责分别和责任关联。职责分别是指参加信息处理系统的人，不能从事本职工作以外与平安相关的工作，例如系统开发、机密文件传送等。责任关联是指与平安相关的活动需多人在场，而且一个人也不能长期担当与平安相关的职务，需强制轮换和轮番培训。最重要的环节是建立健全平安管理制度，包括设备平安管理制度、软件平安管理制度、数据平安管理制度、网络信息平安管理制度、病毒防护管理制度、下载平安管理制度等。其次，加强人员平安管理，包括加强网络平安教化、开展网络平安技能培训、不断更新升级平安技术等。 参考文献 1屈正庚,吕鹏.中小型企业网络平安方案的设计J.太赫兹科学与电子信息学报,2022,17(1):158-161. 2赵俊.工业 4.0 时代企业网络平安系统的探讨与设计D.徐州:中国矿业高校,2022:6-18. 3郭磊.中心企业网络平安风险分析和对策J.上海船舶运输科学探讨所学报,2022,42(3):56-61. 4黄仁亮,李瑞.中心企业网络平安整体保障解决方案J.信息技术与标准化,2022(9):11-14. 5周鸿祎.打造万物互联时代应对网络平安新挑战的国之重器J.网信军民融合,2022(10):47-49. 6李东儒.中小型企业网络平安策略的设计与实现D.沈阳:沈阳理工高校,2022:18-21. 第6页 共6页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页第 6 页 共 6 页