浅谈中心机房内外网隔离的解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈中心机房内外网隔离的解决方案
作者:徐帆
来源:《科教导刊·电子版》2015年第18期
摘要随着技术的发展,黑客们利用内外网隔离存在的漏洞,通过植入病毒入侵控制电脑,修改控制系统配置、程序和指令,这类网络攻击可导致中心机房信息系统奔溃、用户资料丢失,造成经济上的损失。
中心机房的管理需要针对内外网隔离中存在的问题研究可行的解决方案。
本文先介绍了XXX公司中心机房网络管理的现状。
然后分析了硬件网络监控、自主开发监控软件和采购成熟的网络安全软件三种解决方案。
为完善内外网隔离提出了可行的建议。
关键词内外网隔离中心机房
中图分类号:TP393.1 文献标识码:A
中心机房是整个企业信息系统管理的核心,病毒、蠕虫和间谍软件等时刻威胁着用户信息的安全,与此同时,WIFI热点的普及,使计算机能随意接入互联网和企业办公网,甚至同时接入内网和外网,这进一步加剧了内网私有信息泄漏的威胁。
如何采用新技术完善中心机房的内外网隔离,保护信息系统的安全,具有重要的现实意义。
1网络管理现状
由于360随时WIFI、无线上网卡等新设备的普及使得网络安全防护防不胜防。
而工作人员计算机使用的不安全行为会引起信息泄密、病毒传播、黑客攻击等问题,这些都是信息安全的严重隐患。
企业内部网络的信息安全主要存在以下问题:
(1)笔记本电脑等新增设备未经过安全检查和处理违规接入内部网络,缺乏完善的计算机入网注册登记监管手段和注册管理机制,以致未经允许擅自接入的电脑设备带来的病毒传播、黑客入侵等不安全因素;
(2)网络出现病毒、蠕虫攻击等安全问题后,被感染终端成为了网络内部的传染源,使得更多的终端遭到病毒、木马和蠕虫等侵袭,对此不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作;
(3)缺乏终端操作系统和应用软件的漏洞监测、补丁下载安装等防护手段;
(4)内网用户行为监管不利导致的设备安全措施(杀毒软件安装与升级、防火墙设置、系统漏洞、违规联网等)脆弱。
2可选方案概述
(1)硬件解决方案:这类方案的优点表现在不需要专门的服务器部署网络监控软件,节约了购置服务器的费用;不易感染病毒提高了系统的稳定性;监控内网中所有数据,加大了过滤强度。
缺点表现在增加一台专用设备,购置费用较高;过滤强度大导致了网络负荷增大;设备和普通服务器不通用,一旦损坏维修周期长;随着硬件的发展,性能问题会日渐突出,一旦需要更换会增加采购成本。
综合考虑优缺点,该方案适合预算较高的大型企业,并不适合中小型企业中心机房使用。
(2)自行开发软件:自行开发软件需要承担开发人员的人力成本,如果外包给软件开发公司的话,费用比直接购买成熟产品高好几倍,虽然需求方面能根据企业实际情况定制,但功能设计不够成熟。
按企业中心机房的管理需要,初步整理了内外网管理软件的需求如下:
①客户端部分:开机后台运行(最好是无法结束进程),先测试数据库连接,如果数据库连接失败,则在记录中插入一条数据连接异常。
如果连接成功,读本地txt,和数据库进行比较,如果当天记录已存在,则删除该记录。
如果当天记录不存在,则插入数据库后删除该记录。
5分钟测试一次数据库连接,通的话,更新数据库中该电脑ip状态为连接,并记录连接时间。
然后ping一次。
如果通,则往本地文件中写入一条记录。
再向数据库中插入一条记录。
5分钟查一次电脑上所有的网卡mac,并在数据库mac白名单中查找,如果返回结果是错误,则禁用该网卡。
②更新程序部分:开机后后台运行,先读取服务器固定文件中的版本号,如果版本号相同,则程序关闭,如果版本号不同,则先关闭客户端程序,下载固定地址中的文件夹到本地,替换客户端。
然后启动客户端程序。
③服务器端部分:B/S结构,报警模块和查询模块。
默认页面为报警页面,查询当天的,连通外网的记录和昨天的数据连接异常记录和连续3天未登陆电脑记录(最新连接时间为三天前)。
查询模块包括,查询当前所有电脑的最新登录时间;查询外网连接异常记录(包括数据连接错误和能连外网的记录);查询所有登记的电脑的计算机名、ip、mac;查询固定网段内所有的电脑、ip、mac。
(3)购买成熟的监控软件:目前,国内上网管理系统中软件架构的网管软件各种功能已经较为成熟。
具备以下优点:首先能对所有的上网行为进行管理;其次不必专门采购硬件网络监控从而降低了使用成本;最后网络负荷小,系统易维护升级。
例如“北信源”网络安全软件。
北信源切实分析了网络安全监控中遇到的具体的情况和可能发生的各种因素,能够考虑企业安全防护级别的具体要求,合理进行系统功能剪裁,设计出北信源内网安全管理方案,在完成大规模部署、节约成本的同时大幅度提升了网络的安全性能和可用性能。
3总结和展望
通过对本公司中心机房网络环境现状的分析,讨论了内外网隔离监控三种解决方案的优缺点。
但光有方案是远远不够的,必须结合本单位中心机房管理的实际情况,实施好方案,才能做好信息安全工作。
技术在不断进步,只有不断更新知识才能做好本职工作,保障企业安全供应。
参考文献
[1] 李冬梅.运用双网隔离技术打造内外网新模式[J].信息化建设,2011(06):50-52.
[2] 纪兆琳.内外网双网隔离方案浅析[J].内燃机车,2011(09):32-34+41.
[3] 伏晓,蔡圣闻,谢立.网络安全管理技术研究[J].计算机科学,2009(02):15-19+54.
[4] 王明刚,赵军.浅析内外网隔离方案[J].广播与电视技术,2009(04):108-110.
[5] 贾同凯.内外网物理隔离在企业中的主要应用[J].网络安全技术与应用,2014(05):195+197.。