企业信息网络系统安全方案

企业信息网络系统安全方案

作者：戴丽莉

来源：《新西部下半月》2008年第06期

【摘要】在网络攻击手段日益增多，攻击频率日益增高的背景下，为了确保企业的信息资源、生产数据资料的安全保密，解决企业计算机网络中存在的安全隐患。需要一种静态技术和动态技术相结合的安全解决方案，即在网络中的各个部分采取多种安全防范技术来构筑企业网络整体安全体系。包括防病毒技术；防火墙技术；入侵检测技术；网络性能监控及故障分析技术；漏洞扫描安全评估技术；主机访问控制等。

【关键词】网络安全；病毒防火墙；入侵检测；整体防护

信息技术正以其广泛的渗透性和无与伦比的先进性与传统产业结合，随着Internet网络的飞速发展，使网络的重要性和对社会的影响越来越大。企业的办公自动化、生产业务系统及电子商务系统对网络系统的依赖性尤其突出，但病毒及黑客对网络系统的恶意入侵使企业的信息网络系统面临着强大的生存压力，网络安全问题变得越来越重要。

企业网络安全主要来自以下几个方面：①来自INTERNET的安全问题；②来自外部网络的安全威胁；③来自内部网络的安全威胁。

针对以上安全威胁，为了确保企业的信息资源、生产数据资料的安全保密，解决企业计算机网络中存在的安全隐患，本文介绍一种静态技术和动态技术相结合的安全解决方案，即在网络中的各个部分采取多种安全防范技术来构筑企业网络整体安全体系：①防病毒技术；②防火墙技术；③入侵检测技术；④网络性能监控及故障分析技术；⑤漏洞扫描安全评估技术；⑥主机访问控制。

一、防病毒技术

对于企业网络及网内大量的计算机，各种病毒更是防不胜防，如宏病毒和变形病毒。彻底清除病毒，必须采用多层的病毒防护体系。企业网络防病毒系统采用多层的病毒防卫体系和层次化的管理结构，即在企业信息中心设防病毒控制台，通过该控制台控制各二级网络中各个服务器和工作站的防病毒策略，监督整个网络系统的防病毒软件配置和运行情况，并且能够进行相应策略的统一调整和管理：在较大的下属子公司设置防病毒服务器，负责防病毒策略的设置、病毒代码分发等工作。其中信息中心控制台作为中央控制台负责控制各分控制台的防病毒

策略，采集网络中所有客户端防毒软件的运行状态和配置参数，对客户端实施分组管理等。管理员可以通过管理员客户端远程登录到网络中的所有管理服务器上，实现对整个网络的管理。根据需要各个管理服务器还可以由专门的区域管理员管理。管理服务器负责收集网络中的客户端的实时信息，分发管理员制定的防毒安全策略等。

配套软件：冠群金辰KILL6.0。KILL采用服务器/客户端构架，实时保护Windows

NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系统的服务器及Internet网关服务器，防止各种引导型病毒、文件型病毒、宏病毒、传播速度快且破坏性很大的蠕虫病毒进入企业内部网，阻止不怀好意的Java、ActiveX小程序等攻击企业内部网络系统。它通过全方位的网络管理、多种报警机制、完整的病毒报告、支持远程服务器、软件自动分发，帮助管理员更好的实施网络防病毒工作。

二、防火墙技术

防火墙是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而抵御网络外部安全威胁，保护内部网络免受非法用户的侵入，它是一个把互联网与内部网（局域网或城域网）隔开的屏障，控制客户机和真实服务器之间的通讯，主要包括以下几方面的功能：①隔离不信任网段间的直接通讯；②拒绝非法访问；③系统认证；④日志功能。在计算机网络中设置防火墙后，可以有效防止非法访问，保护重要主机上的数据，提高网络的安全性。

配套软件：NetScreen。NetScreen是唯一把防火墙、负载均衡及流量控制结合起来，且提供100M的线速性能的软硬件相结合的产品，在Internet出口、拨号接入入口、企业关键服务器的前端及与电信、联通的连接出口处增设NetScreen-100f防火墙，可以实现企业网络与外界的安全隔离，保护企业的关键信息。

三、入侵检测系统

入侵检测系统（IDS）是一种为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是对防火墙的必要补充，它可以对系统或网络资源进行实时检测，及时发现恶意入侵者或识别出对计算机的非法访问行为，并对其进行隔离，并能收集可以用来诉讼的犯罪证据。

配套软件： eTrust Intrusion Detection(Sessionwall-3)。利用基于网络的eTrust Intrusion Detection建立入侵检测系统来保证企业网络系统的安全性。

首先，信息管理中心设立整个网络监控系统的控制中心。通过该控制台，管理员能够对其它网络入侵检测系统进行监控和配置。在该机器上安装集中控制的eID中央控制台模块、eID 日志服务器模块和eID日志浏览器模块，使所有eTrust Intrusion Detection监控工作站处于集中控制之下，该安全主控台也被用于集中管理所有的主机保护系统软件。

其次，在Internet出口路由器和防火墙之间部署一套eTrust Intrusion Detection的监控工作站，重点解决与Internet的边界安全问题，在这些工作站上安装代理软件，包括eID基本模块、eID代理模块和日志数据库客户端。

四、网络性能监控及故障分析

性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面，它自动接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

配套软件——NAI Sniffer。NAI Sniffer 是一套功能强大的网络故障侦测工具，它可以帮助用户快速诊断网络故障原因，并提出具体的解决办法。在信息中心安装这样的工具，用于对网络流量和状态进行监控，而且无论全网任何地方发生问题时，都可以利用它及时诊断并排除故障。

五、网络系统的安全评估

网络安全性之所以这么低的一个主要原因就是系统漏洞。譬如管理漏洞、软件漏洞、结构漏洞、信任漏洞。采用安全扫描技术与防火墙、安全监控系统互相配合来检测系统安全漏洞。

网络安全漏洞扫描系统通常安装在一台与网络有连接的主机上。系统中配有一个信息库，其中存放着大量有关系统安全漏洞和可能的黑客攻击行为的数据。扫描系统根据这些信息向网络上的其他主机和网络设备发送数据包，观察被扫描的设备是否存在与信息库中记录的内容相