基于企業(yè)網(wǎng)絡(luò)安全防護系統(tǒng)的設(shè)計與實施

摘 要：隨著計算機網(wǎng)絡(luò)技術(shù)快速發(fā)展，為企業(yè)提供全球信息資源共享的同時，網(wǎng)絡(luò)安全系統(tǒng)面臨著巨大考驗。傳統(tǒng)網(wǎng)絡(luò)安全體系已不能滿足當前現(xiàn)代企業(yè)網(wǎng)絡(luò)安全性能的要求，為確保萊鋼網(wǎng)絡(luò)安全運行，通過分析企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)及功能特點，并設(shè)計了計算機網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)目標及實施，確保了企業(yè)的網(wǎng)絡(luò)信息安全。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；安全管理；EAD

中圖分類號：TP393.08

1 安全管理體系結(jié)構(gòu)及功能

1.1 安全管理體系結(jié)構(gòu)

網(wǎng)絡(luò)安全是企業(yè)安全有效運行的保障，安全管理體系主要包括安全策略、安全運作、安全管理等。安全策略管理是企業(yè)網(wǎng)絡(luò)安全運行的體系基礎(chǔ)，有利于項目建設(shè)規(guī)范化管理和運行和安全工作的開展。安全基礎(chǔ)設(shè)施系統(tǒng)主要有訪問控制、桌面管理、認證管理、防垃圾系統(tǒng)、服務(wù)器監(jiān)控與日志統(tǒng)一管理系統(tǒng)、漏洞掃描系統(tǒng)、服務(wù)器加固系統(tǒng)等。萊鋼計算機網(wǎng)絡(luò)整體架構(gòu)圖如圖1所示。

1.2 安全管理系統(tǒng)功能

安全管理系統(tǒng)的功能將所管轄的IP計算機信息根據(jù)分類登記，有利于其他安全管理模塊進行數(shù)據(jù)連接和信息共享，并配備服務(wù)器和交換機加固工具，及時掌握網(wǎng)絡(luò)中各個系統(tǒng)的最新安全風險動態(tài)，并及時的對服務(wù)器文件、進程、注冊表等進行保護。安全監(jiān)控系統(tǒng)是監(jiān)控全網(wǎng)事件報警信息，對當前事件進行安全監(jiān)督和實時監(jiān)控，有利于企業(yè)網(wǎng)絡(luò)安全運行和業(yè)務(wù)系統(tǒng)的安全性，監(jiān)控的產(chǎn)品主要包括網(wǎng)絡(luò)中的設(shè)備、日志相關(guān)信息、相關(guān)事件的報警信息等。

2 網(wǎng)絡(luò)系統(tǒng)安全體系的設(shè)計與實施

2.1 身份認證系統(tǒng)設(shè)計分析

網(wǎng)絡(luò)安全運維管理中心設(shè)置在信息中心，擔負全網(wǎng)桌面安全管理，通過制定相關(guān)策略、委派安全角色，對全網(wǎng)數(shù)據(jù)進行統(tǒng)計分析和安全管理，并通過一系列的安全運行策略建立安全身份認證體系。萊鋼統(tǒng)一身份認證系統(tǒng)架構(gòu)圖如圖2所示。

RSA SeucrID由認證服務(wù)器RSA ACE/Server、代理軟件RSA ACE/Agent、認證設(shè)備以及認證應(yīng)用編程接口（API）組成。RSA ACE/Server軟件是網(wǎng)絡(luò)中的認證引擎，由安全管理員或網(wǎng)絡(luò)管理員進行維護。

2.2 計算機資產(chǎn)安全管理系統(tǒng)

計算機資產(chǎn)安全管理為萊鋼的高層管理人員提供全網(wǎng)資源的多維度分析報表。信息中心成為萊鋼的IT系統(tǒng)的“安全策略中心”、“安全管理中心”、“數(shù)據(jù)匯聚中心”和“報表總中心”。下設(shè)一級管理中心，分布在各分部，由總中心授權(quán)負責對分部人員權(quán)限管理和桌面系統(tǒng)管理，并具體實現(xiàn)對各終端桌面目錄、桌面管理、軟件分發(fā)、系統(tǒng)自動升級管理、信息安全和管理監(jiān)控功能。軟件分發(fā)工具大大提高了萊鋼桌面計算機管理的自動化程度，提高管理效率。自動化的工作流程還可以避免人工操作帶來的風險，使萊鋼的桌面計算機上的資產(chǎn)得到更好的保護。通過軟件分發(fā)機制，從桌面計算機標準化支撐平臺將軟件分發(fā)到指定的桌面計算機和支撐平臺內(nèi)部指定的服務(wù)器，消除對桌面計算機和服務(wù)器的訪問等人為因素導(dǎo)致的錯誤。及時安裝操作系統(tǒng)更新補丁，避免成為黑客和病毒的攻擊對象。及時安裝應(yīng)用程序的補丁，減少安全隱患，增加應(yīng)用程序穩(wěn)定性和功能。對服務(wù)器系統(tǒng)的補丁需要經(jīng)過評估對現(xiàn)有系統(tǒng)的影響，避免出現(xiàn)業(yè)務(wù)系統(tǒng)故障。服務(wù)器系統(tǒng)的補丁需要利用自動檢測技術(shù)，通過人工的評估，再實現(xiàn)自動分發(fā)和手工安裝。

2.3 EAD端點準入防御體系

EAD安全準入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網(wǎng)絡(luò)隔離，并幫助終端進行安全修復(fù)，以達到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。

2.4 網(wǎng)絡(luò)安全模型的設(shè)計

從網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全的角度出發(fā)，設(shè)計歸納萊鋼網(wǎng)絡(luò)系統(tǒng)安全模型，主要包括：（1）網(wǎng)絡(luò)架構(gòu)防護：采用網(wǎng)絡(luò)邊界防毒、統(tǒng)一身份認證技術(shù)和針對于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)器的漏洞掃描技術(shù)；（2）應(yīng)用系統(tǒng)風險防護：采用的主要技術(shù)包括防病毒技術(shù)、服務(wù)器系統(tǒng)加固技術(shù)、計算機資產(chǎn)安全管理技術(shù)、補丁管理技術(shù)、主頁防篡改技術(shù)、防垃圾郵件技術(shù)、災(zāi)難備份恢復(fù)技術(shù)及統(tǒng)一日志管理技術(shù)；（3）安全管理體系建立：通過對安全策略進行有效的發(fā)布和貫徹執(zhí)行，可以規(guī)范項目建設(shè)、運行維護相關(guān)的安全內(nèi)容，指導(dǎo)各種安全工作的開展和流程，確保IP網(wǎng)的安全；（4）集中管理、整合監(jiān)控：對計算機系統(tǒng)進行綜合集中管理，對日常的系統(tǒng)、網(wǎng)絡(luò)、資產(chǎn)以及安全等日常運行能夠擁有較為統(tǒng)一的管理入口，對系統(tǒng)網(wǎng)絡(luò)可用性、資產(chǎn)有效性、安全防范諸多管理功能的組件進行事件級的整合、分析和響應(yīng)。

3 結(jié)束語

互聯(lián)網(wǎng)已經(jīng)深度滲透到各個領(lǐng)域，成為事關(guān)國家安全的基礎(chǔ)設(shè)施和斗爭，網(wǎng)絡(luò)安全是保證各種應(yīng)用系統(tǒng)數(shù)據(jù)安全的重要基礎(chǔ)，必須加強和采取有效的預(yù)防措施，掌握網(wǎng)絡(luò)資源狀況及實用信息，可提高網(wǎng)絡(luò)管理的效率。

參考文獻：

[1]溫貴江.基于數(shù)據(jù)包過濾技術(shù)的個人防火墻系統(tǒng)設(shè)計與研究[D].吉林大學，2010.

[2]衷奇.計算機網(wǎng)絡(luò)信息安全及應(yīng)對策略研究[D].南昌大學，2010.

[3]姜文超.企業(yè)內(nèi)網(wǎng)防毒策略設(shè)計與實現(xiàn)[D].大連交通大學，2010.

作者單位：山東鋼鐵股份有限公司萊蕪分公司自動化部，山東萊蕪 271104