企业网络安全解决方案

《NEWT770网络安全管理》结课考核

企业网络安全解决方案

班级：

姓名：

学号：

日期：

【摘要】随着信息技术和信息产业的发展，企业面临日益增加的网络安全威胁，采取措施加强安全防护愈显重要，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。网络安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。

【关键字】信息安全；网络入侵；PKI；VPN；数据加密

1 引言

以Internet为代表的全球性信息化浪潮，使得信息网络技术的应用日益普及，越来越多的企业建立了自己的企业网络，并与Internet相联。在网络中存储、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息。这些有的是敏感性信息，有的甚至是国家机密。所以不可避免会受到各种主动或被动的人为攻击，如信息泄漏、信息窃取、数据篡改、数据增删、计算机病毒等。近年来，垃圾邮件日益蔓延，企业网页不时遭到黑客篡改攻击，计算机病毒泛滥成灾，网络信息系统中的各种犯罪活动已经严重危害着社会的发展和企业的安全，给全球的企业造成了巨大的损失。下面将以某企业为例主要对网络入侵进行分析并提出解决方案。

2 网络整体分析

2.1信息化整体状况

1)计算机网络

某企业计算机通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。在内部网络中，各计算机在同一网段，通过交换机连接。

2)应用系统

经过多年的积累，该企业的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2 信息安全现状

为保障计算机网络的安全，公司实施计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，防止网络入侵、防病毒服务器等网络安全产品，为提升了公司计算机网络的安全性，使其在范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥作用。

2.3网络入侵行为分析

网络入侵威胁归类来源主要分三大类：

1）物理访问：指非法用户能接触机器，坐在了计算机面前，可以直接控制终端乃至整个系统。

2）局域网内用户威胁：一般指局域网内用户，具有了一般权限后对主机进行非法访问。

3）远程入侵：外部人员在通过Internet或者拨号的方式远程非法访问主机获取非法访问。

2.4防火墙的局限性分析

网络服务器上各种各样的应用程序的弱点和操作系统的很类似，一个被开放的服务，如果存在漏洞，防火墙是无能为力的。防火墙技术是内部网最重要的安全技术之一，是一个很好的安全策略，其主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。但防火墙也有其明显的局限性，有一种普遍存在的观念认为，防火墙可以识别攻击并且冻结这些攻击，这是其实是不对的。这里我们做一些介绍。

1）防火墙难以防止应用程序的漏洞：

如果被防火墙视为正常服务的程序存在漏洞（如web服务），那么黑客利用这种漏洞成功就等于已经绕过了防火墙。在这种情况下，他可以用最高的权限做任何事情，窃取数据，破解密码，启动任何一个程序，甚至是任意转帐，最后将系统日志删去而轻松离去。在入侵者特别小心的情况下，如果不采取特殊措施，这种破坏无任何蛛丝马迹可循。

2)防火墙难于防内：

防火墙的安全控制只能作用于外对内或内对外，即：对外可屏蔽内部网的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问题。即防外不防内。而据权威部门统计结果表明，网络上的安全攻击事件有70%以上来自内部攻击，而对于金融证券业来说，这种内部的入侵行为更达到了80%以上。

3）防火墙难于管理和配置，易造成安全漏洞

防火墙的管理及配置相当复杂，要想成功地维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说，由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，管理上有所疏忽是在所难免的。而过于严密的过滤规则必将影响到系统的正常服务。随着利用系统致命漏洞获取最高权限的入侵方法的流行，根据美国财经杂志统计资料表明，以前只有30%的入侵发生在有防火墙的情况下，而现在上升到超过了45%。

4）防火墙安全控制的弱点

防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内外提供一致的安全策略，许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。

5）防火墙不是一种动态的防御系统：

比如低级的入侵技术如Back Orifice后门，很多最新的防火墙版本能阻止这些行为，但只能做到80%。因为防火墙是靠识别入侵者发送的包中的头8个字节来断定它是Back Orifice的入侵的。有经验的黑客完全可以利用更改包头的办法来进行欺骗，绕过防火墙的访问控制。而相比之下，网络入侵预警检测系统能识别和分析可疑报文，从而达到防止未知入侵行为的目的（在已知的黑客攻击手段中，大多数的攻击行为都具有某种相似的特征）。

3 风险与需求分析

3.1 风险分析

通过对我们信息系统现状的分析，可得出如下结论：

1)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

2)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析，也可以看出：随着计算机技术的发展、安全威胁种类的增加，某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部