企業(yè)數(shù)據(jù)網(wǎng)安全防護體系的研究與實現(xiàn)

【摘要】隨著信息時代的到來，由于計算機系統(tǒng)極易受病毒侵害、黑客的普遍存在、網(wǎng)絡(luò)基礎(chǔ)設(shè)施受各項互聯(lián)網(wǎng)網(wǎng)絡(luò)的攻擊等問題的存在，網(wǎng)絡(luò)安全防護問題早已成為急需人類共同解決的問題，如果這一問題沒有得到解決，企業(yè)的數(shù)據(jù)信息受到侵害就會嚴(yán)重阻礙企業(yè)的健康發(fā)展，甚至?xí)p害我國信息化發(fā)展的進程。本文從企業(yè)數(shù)據(jù)網(wǎng)安全防范體系的現(xiàn)狀出發(fā)，提出建設(shè)企業(yè)數(shù)據(jù)網(wǎng)安全防護體系的策略。

【關(guān)鍵詞】企業(yè)數(shù)據(jù)網(wǎng)；信息安全；防護

計算機網(wǎng)絡(luò)的發(fā)展日理萬機，“地球村”的實現(xiàn)早已不是夢想，人類的生活越來越離不開網(wǎng)絡(luò)，受自身開放性和共享性等特征的影響，網(wǎng)絡(luò)極易受黑客、病毒、惡意軟件等侵害，因此網(wǎng)絡(luò)數(shù)據(jù)信息的安全防護十分關(guān)鍵。企業(yè)的數(shù)據(jù)網(wǎng)包含企業(yè)內(nèi)部的全部數(shù)據(jù)信息，對企業(yè)的正常運轉(zhuǎn)起著決定性作用，因此企業(yè)的數(shù)據(jù)網(wǎng)安全防護體系的建立是企業(yè)健康發(fā)展的核心。

一、企業(yè)監(jiān)測攻擊行為的系統(tǒng)現(xiàn)狀

就目前而言，網(wǎng)絡(luò)攻擊行為的技術(shù)特征主要為拒絕服務(wù)、惡意軟件的安裝、利用計算機網(wǎng)絡(luò)的脆弱性偽裝欺騙、內(nèi)部攻擊、高低級CGI攻擊等，企業(yè)對于這些攻擊行為的檢測存在一些不足。第一，企業(yè)缺乏解決大型集體攻擊情況方案，攻擊者的技術(shù)不斷提高，企業(yè)的安全防護技術(shù)沒有及時跟上腳步；第二，目前的網(wǎng)絡(luò)攻擊檢測系統(tǒng)有待完善，通常攻擊者會利用更改信息或重新編碼等欺騙手段來獲取攻擊檢測系統(tǒng)的通行；第三，網(wǎng)絡(luò)設(shè)備趨于復(fù)雜多樣化，相應(yīng)的檢測攻擊行為的系統(tǒng)就必須及時更新技術(shù)手段以適應(yīng)外部日新月異的環(huán)境；第四，攻擊行為檢測系統(tǒng)的自行反應(yīng)活動會給自身帶來一定困擾，影響自身的工作效應(yīng)，因為它一般與防火墻的工作互相配合，一旦其發(fā)現(xiàn)有入侵行為時就會將所有網(wǎng)絡(luò)攻擊者的IP數(shù)據(jù)包過濾掉，若同一個攻擊者冒充大批不一樣的IP來虛擬進攻，那么檢測系統(tǒng)就將實質(zhì)上并沒有產(chǎn)生進攻的IP過濾掉，導(dǎo)致新的拒絕服務(wù)訪問產(chǎn)生；第五，IDS自身存在一些安全漏洞，如果對IDS進行入侵并且取得成功，那么就會致使報警無效，攻擊者的后臺行為就沒有記錄下來，所以系統(tǒng)應(yīng)當(dāng)結(jié)合多種安全產(chǎn)品以形成聯(lián)合防護機制。

二、網(wǎng)絡(luò)安全防護體系實現(xiàn)策略

企業(yè)建立了基礎(chǔ)的防護體系，其中包囊防火墻、攻擊行為檢測系統(tǒng)、病毒防范、集中認(rèn)證、終端管理、漏洞掃描、安全數(shù)據(jù)庫等，而隨著企業(yè)網(wǎng)絡(luò)完全防護體系建設(shè)的不斷深入開展，對于安全建設(shè)的要求僅靠安全基礎(chǔ)層的防護無法達到，如何使現(xiàn)有的安全設(shè)備的功效發(fā)揮出來、使安全的管理與安全防護技術(shù)完美結(jié)合以及如何快速有效地發(fā)現(xiàn)并解決漏洞和攻擊行為等安全隱患是我們急需解決的問題。就企業(yè)數(shù)據(jù)網(wǎng)安全防護系統(tǒng)的現(xiàn)狀，得出企業(yè)需要從網(wǎng)絡(luò)安全防護和數(shù)據(jù)安全防護兩方面來建設(shè)網(wǎng)絡(luò)安全防護體系。

網(wǎng)絡(luò)安全防護策略為建立全面的網(wǎng)絡(luò)拓?fù)洌唤⑦吘壏阑饓?、網(wǎng)絡(luò)防火墻、主機防火墻等多重防火墻；改進VPN技術(shù)的功能；加大對漏洞的掃描力度；加強安全檢測儀對網(wǎng)絡(luò)數(shù)據(jù)的檢測和審計功能。

數(shù)據(jù)安全的防護策略為利用可靠的操作系統(tǒng)來操縱全部服務(wù)器以保證數(shù)據(jù)的完整性；開通SSL加密通道、使用為通信進行加密的軟件、應(yīng)用內(nèi)容監(jiān)控的軟件以阻止內(nèi)部人員查看非法網(wǎng)頁來確保數(shù)據(jù)的保密性；數(shù)據(jù)即使遭到破壞也能通過備份的數(shù)據(jù)來恢復(fù)，因此系統(tǒng)設(shè)備應(yīng)該將所有數(shù)據(jù)都儲存到一個專門的容量大、不再工作時所有的網(wǎng)絡(luò)連接都能中斷、質(zhì)量可靠且用戶信息及口令都有安全保密的服務(wù)器中，確保整個系統(tǒng)能夠安全、正常運轉(zhuǎn)。

三、企業(yè)數(shù)據(jù)網(wǎng)安全防護體系的實現(xiàn)

（一）安全管理系統(tǒng)建設(shè)的內(nèi)容

1.日志審計的管理

在安全管理區(qū)增添日志審計系統(tǒng)來審計網(wǎng)管中心、短信中心以及智能網(wǎng)的日志，該系統(tǒng)需要負(fù)責(zé)審計所有日志的核心服務(wù)器、負(fù)責(zé)收集網(wǎng)管中心本地運行日志的服務(wù)器、記錄網(wǎng)管中心本地的安全訪問網(wǎng)關(guān)以記錄管理員的操作日志并將其發(fā)到審計日志的核心服務(wù)器上的服務(wù)器。

2.安全事件監(jiān)控系統(tǒng)

擴充現(xiàn)有的安全信息庫，添加安全事件統(tǒng)一監(jiān)控模塊以及自主掃描漏洞管理系統(tǒng)，與當(dāng)下的資產(chǎn)管理模塊相結(jié)合，形成全面動態(tài)的安全威脅管理以及安全漏洞管理系統(tǒng)。

3.賬號口令的管理

賬號口令管理系統(tǒng)以薩班斯法案對審計信息化的要求作為方向，建立一個智能化、自動化的賬號和口令管理的信息平臺。在安全管理服務(wù)區(qū)內(nèi)增加兩臺服務(wù)器，以備后用，保障網(wǎng)管中心賬號的集中管理。

4.日志的保存

日志的保存期限是半年，要提供3T的儲存空間。儲存設(shè)備應(yīng)當(dāng)達到既能將日志直接通過網(wǎng)絡(luò)全部備份保存起來，又能直接連接到服務(wù)器上以提供日志審計系統(tǒng)在線保存日志的功能的雙重目的。

（二）完善安全基礎(chǔ)設(shè)施

1.優(yōu)化安全域

首先，要調(diào)整安全服務(wù)區(qū)，把同安全管理有關(guān)的服務(wù)器轉(zhuǎn)至安全管理服務(wù)區(qū)，上述所添加的服務(wù)器也集中布置在該區(qū)域。安全服務(wù)區(qū)的劃分居于核心交換機6509上，添設(shè)一臺防火墻并與6509相連接，還要增設(shè)一臺24口的百兆交換機來接替。此外，在網(wǎng)絡(luò)入口可以設(shè)立能夠過濾網(wǎng)絡(luò)傳輸過程中的病毒的設(shè)備。

其次，在VPN接入?yún)^(qū)的防火墻可以更新為提供硬件加速功能的VPN高性能防火墻。

再者，將于核心交換機6509上獨立劃分的信令檢測VLAN由原有的接入到網(wǎng)管網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榻尤氲叫帕顧z測系統(tǒng)，并且在信令檢測系統(tǒng)的接口處增設(shè)一臺IDS用來對該區(qū)域的網(wǎng)絡(luò)攻擊行為進行檢測。

最后，盡管兩臺防火墻已經(jīng)在網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)業(yè)務(wù)系統(tǒng)的接口處增設(shè)，但是對于攻擊行為仍舊難以及時發(fā)現(xiàn)，所以要增設(shè)一臺具備兩個監(jiān)聽口的攻擊行為檢測設(shè)備，接口接入交換機上，將管理口接到安全管理區(qū)域以便統(tǒng)一管理。

2.完善入侵檢測系統(tǒng)

隨著技術(shù)的不斷更近以及網(wǎng)絡(luò)的日益復(fù)雜，防火墻的諸多漏洞逐漸暴露出來，防火墻的缺陷可以由網(wǎng)絡(luò)入侵檢測系統(tǒng)來提供后續(xù)幫助，因此開發(fā)出完善的入侵檢測系統(tǒng)尤為重要，它可以為網(wǎng)絡(luò)安全提供具體、及時的入侵檢測和相關(guān)的防護措施，例如，斷開網(wǎng)絡(luò)連接、記錄下入侵證據(jù)、跟蹤入侵行蹤等。該系統(tǒng)具有以下幾點優(yōu)點：檢測無訪問權(quán)限的非法入侵行為；系統(tǒng)出現(xiàn)故障不會對正常的業(yè)務(wù)運行產(chǎn)生影響；不會影響服務(wù)器等主機的內(nèi)存、磁盤等空間資源的使用；安裝簡便。同時，該系統(tǒng)也有一些不足之處：該系統(tǒng)只能檢測與它直接相連的網(wǎng)段的網(wǎng)絡(luò)包；對某些必須經(jīng)過大量計算和分析的入侵難以檢測出；有傳輸回大量數(shù)據(jù)到分析系統(tǒng)中的可能等。

3.保證終端安全

由于現(xiàn)階段的LANDESK系統(tǒng)不能自主分發(fā)和管理補丁，并且沒有桌面安全管理的功能，所以要升級該軟件至安全套件，自動查殺修復(fù)漏洞，為桌面安全提供保障。

（三）服務(wù)器性能管理系統(tǒng)

在安全管理服務(wù)區(qū)增設(shè)性能管理的服務(wù)器以對性能數(shù)據(jù)進行分析、處理和保存。安裝性能管理門戶到該服務(wù)器上，該門戶要統(tǒng)一標(biāo)準(zhǔn)，以用戶為對象，以瀏覽器為基礎(chǔ)。可以在各服務(wù)器上裝置監(jiān)控代理用來保存系統(tǒng)的各項性能和可利用的信息，傳輸至管理服務(wù)器上。

四、總結(jié)

經(jīng)濟社會的發(fā)展趨向網(wǎng)絡(luò)信息化，是社會現(xiàn)代化進程的主要標(biāo)志。由于網(wǎng)絡(luò)的開放性和共享性等自帶特征的存在，網(wǎng)絡(luò)信息安全犯罪事件也在不斷上升，對數(shù)據(jù)網(wǎng)的入侵技術(shù)手段也在不斷變更，對于企業(yè)來說，無疑是其信息化發(fā)展的障礙物，因此，健全企業(yè)數(shù)據(jù)網(wǎng)安全防護體系迫在眉睫。網(wǎng)絡(luò)的安全防護問題并非易事，某項技術(shù)的成功研發(fā)或某個制度的頒布并不能起到遏制作用，必須將網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理等結(jié)合起來，才能解決網(wǎng)絡(luò)安全問題。

參考文獻

[1]喬偉.企業(yè)數(shù)據(jù)網(wǎng)安全防護體系的研究與實現(xiàn)[M].計算機科學(xué)與技術(shù)，2009.

[2]唐曉蘭，劉中臨，劉嘉勇.一種基于知識庫的行為特征檢測模型[J].信息安全與通信保密，2012（02）.

[3]羅麗華.上海電力數(shù)據(jù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)[J].中國電機工程學(xué)全電力通信專業(yè)委員第5屆學(xué)術(shù)會議論文，2009（11）.

[4]張明浩.計算機病毒防范藝術(shù)[J].科技信息，2007（04）.

[5]（美）斯?jié)芍?段新海譯.計算機病毒防范藝術(shù)[M].機械工業(yè)出版社，2007.

[6]曹軍.電力企業(yè)網(wǎng)絡(luò)安全架構(gòu)的探索與實踐[J].電力信息化，2006（11）.