企业网络安全对策

摘要：本文针对企业信息系统安全性作了分析，提出信息系统安全实施方案，建立防病毒、防火墙、系统保护以及入侵检测的多级多方位的安全防御系统，以达到保护信息系统安全运行的目的，保证网络上运行的数据安全、信息完整，防范各种安全风险。
关键词： 防火墙 入侵检测 安全性 完整性 风险 认证
0 引言
随着信息技术的飞速发展，为了更好地适应信息化建设的要求，提高企业竞争能力和工作效益，企业利用先进的信息技术建立网络信息系统，提高办公自动化水平，提高宏观决策水平，提高信息共享水平和管理水平，以满足企业的需要。但是多个部门、多个企业和个人使用信息系统工作，必然存在许多不安全因素，企业的信息系统给企业带来巨大效益的同时存在着多方面的安全风险，例如：信息泄露、计算机病毒、非法访问系统等，给企业造成一定的损失。因此，人们逐渐改变不重视信息系统安全性的看法，在建立企业信息系统的同时，建立企业信息系统的安全系统，以达到保护信息系统安全运行，确保信息的完整性和可靠性，保护合法用户的利益和隐私，保证重要文件和个人信息以数字化形式安全存储、处理、传输。
1 系统安全分析
我单位的信息系统是基于WEB的分布式共享信息系统，总公司与分公司分别建立网络信息系统，各单位通过远程宽带传输连接，企业、个人信息以数字化形式被存储、处理，数字化信息以多种形式在网络上迅速便捷地传输，充分利用高技术来实现办公自动化。鉴于此，网络与信息系统的安全直接关系到企业的正常运转。通过对企业信息系统的安全风险分析，认为存在操作系统的安全风险、系统操作管理和信息系统的安全风险、重要部门信息的安全风险、信息传输的安全风险等几项安全风险。为保证企业网络系统正常运行，保证企业的重要数据的安全，企业必须建立可管理的、可靠的、稳定安全的系统，当瘫痪时，能迅速、及时地恢复。
2 系统安全对策及具体措施
2．1 系统安全的总体设计
在保护企业系统安全时，协调好风险、投资和功能三者之间的关系是很重要的，对网络中的每一部分都建立安全性高的系统是不现实的，因此在建立企业网络安全系统时需要考虑以下几个因素：
（1）减少风险，减少企业系统被攻击或侵害的风险，但不能消除风险。
（2）系统安全的建立可能会使信息系统的灵活性和功能性方面降低，用户和管理人员
需要逐渐适应新的安全的系统和管理规程。
（3）企业信息系统和企业安全系统应当隔离不同的机器，以降低风险提高易维护性，更
好地监视系统的安全。
（4）对企业安全系统做好文档记录、系统测试和监视工作。
（5）做好系统的备份和恢复工作，当系统遭到破坏时能及时恢复系统到正常状态，为企业挽回不必要的损失。
针对企业系统安全风险的分析和企业实际情况，改变过去只防病毒的做法，制定了防病毒软件、防火墙以及入侵检测相结合的多方位多级统一的防御体系，重要数据计算机不连接网络，客户机采用物理隔离卡分别连接不同网络，对需要保护的客户机定时更换密码,采用唯一无关联的密码策略。防病毒软件采用瑞星网络版杀毒软件，防火墙采用Microsoft 的Isa server 2000软件，同时还采用Microsoft 的VPN虚拟专网模拟专用连接对数据做可靠加密，对Windows 2000操作系统采用主机加固系统保护系统安全，利用windows2000附带的程序建立系统的备份和恢复系统，定期、及时对系统数据作备份。由于企业采用分布式信息系统，攻击者可控制多台Master主机对系统进行攻击，因此对每一子系统分别采用安全模块，总公司系统和分公司系统分别建立安全体系模块,全网监控统一管理，当一台Master主机遭到攻击，立即切断与其他系统的联系，防止攻击蔓延以至系统瘫痪。
2.2 ISA SERVER企业防火墙系统
防火墙是一种通过实施安全性策略来阻止外界对你的网络进行非法访问的设备。这种设备通常是路由器、运行包过滤软件或代理软件的独立计算机、专用防火墙或可以过滤和代理网络数据流的专用硬件设备。[1]Microsoft Internet Security and Acceleration Server 2000(也称ISA server)是一个可扩展的企业防火墙和WEB缓存服务器，可与WINDOWS 2000集成以便于联网实现基于策略的安全、加速和管理。[2] ISA SERVER 2000是Microsoft .Net Enterprise服务器系列的一部分，它具有全面的服务器应用程序集,可快速构建、布署和管理基于WEB的解决方案和服务。ISA SERVER防火墙和缓存单独地部署在专用服务器上便于管理、简化策略定义、增强网络安全性，运行 ISA SERVER 的计算机一个网络连接连接到 Internet，另一个网络连接连接到内部网络，每一个计算机都必须经过ISA SERVER防火墙才能访问Internet（见图2），ISA防火墙通过阻止 Internet 上的其他人访问内部网络或您的计算机上的机密信息，来充当企业 Intranet 与 Internet 之间的安全屏障,同时，加快Internet访问速度，使各单位可方便自由地彼此通讯，员工能通过Internet快速访问信息，提高员工工作效率和积极性，满足企业高容量、可伸缩性、信息完整、安全性等各方面需求。通过权限和协议管理，控制网络用户对网络使用的不同权限和协议，通过对网络不同用户的分组和权限分配，管理不同用户上网。通过规则设置控制网络流量、网络使用资源及网络时间。ISA SERVER的多层防火墙安全包括数据筛选、电路层筛选和应用程序筛选三种方法，支持动态包过滤和NAT功能，为企业提供高效的安全保护。在数据包层，ISA SERVER 通过状态检查检查通过防火墙的协议环境中的数据以及连接的状态。通过配置ISA SERVER可关闭某些端口，可对用户访问的端口做限制，某些端口在允许情况下打开，通讯结束时关闭。ISA SERVER还集成了入侵检测技术，在数据包筛选器层和应用程序筛选器层实施入侵检测。利用基于WINDOWS 2000的管理控制台使管理更容易，通过一个控制台同时对分布式环境使用一致的策略来集中管理防火墙和WEB 缓存，确保所有服务器使用相同的访问策略，具有更高的安全性。


2．3 VPN虚拟专网
企业信息系统的网络用户可能夸地域和不同的网络系统，企业的安全系统应保证用户即能远程访问系统，又要保持连接的安全。WINDOWS 2000 虚拟专网（VPN）通过借助不安全的网络来提供对企业网络资源的安全访问，取得了较好的效果。VPN 是虚拟的，它不是一个物理网络，同时又是专用的，可以防止未授权用户的访问，它比拨号解决方案不仅连接速度快，而且花费低。VPN的体系结构见图3。虚拟专用网络是通过在 Internet 或另外的公用网络上"建立隧道"来实现的，可提供与专用网络相同的安全性和功能。有了 VPN，通过公用网络的连接可以使用 Internet 的路由架构传输数据，而对用户来说，数据好像是通过一个专门的专用链路传送的。[3]Windows 2000 VPN主要使用两种网络协议：第二层隧道协议（L2TP）和点对点隧道协议（PPTP）。L2TP具有更好地灵活性，可以封装PPP帧在网络上传输。L2TP通过IPSec来保证安全性，具有认证和加密功能。PPTP 通过为每个远程客户创建虚拟网络，直接连接到目标服务器。PPTP使用IP数据包在Internet的隧道终结点之间路由PPP数据帧，对隧道终结点之间的数据进行加密，在数据离开隧道后，便不再被保护，并且将以其原始格式在网络上传输。如果希望从服务器到客户机都进行加密，则可以在客户端和服务器端同时使用IPSec。IPSec数据流以PPTP数据包形式在客户机和服务器之间封装传输。VPN 使用了高技术如：封装，认证，数据加密，内部地址和名称的综合。 WINDOWS 2000 VPN提供了高效安全地配置管理策略，允许网络管理员更灵活的设置远程访问权限和连接。网络安全系统采用ISA SERVER 2000防火墙，则ISA 服务器可以被配置为L2TP隧道的终结点，同时利用ISA服务器和L2TP所具有的安全性优点。

2.4 WINDOWS 2000系统的安全性
企业和用户的信息、数据是以数字化形式存储在服务器上，服务器系统的安全性在整个网络系统中起着重要的作用。保护WINDOWS 2000操作系统普遍采用配置安全的方法。在配置服务器时充分利用系统自身的特点，即保证操作系统的安全又使用户容易使用。使用安全套接字SSL来保护邮件系统。SSL 利用公钥加密法，在客户机和服务器之间提供了（经过加密和身份验证的）高度安全的通讯方式。要发送加密邮件，发件人必须用收件方的公钥加密邮件，收件人用他自己的私钥对邮件解密。因为只有收件人有能解密邮件的私钥，所有邮件得到了安全保护。[4]对硬盘的文件系统格式设置为NTFS，对管理员的权限设置更细化，采用组策略对象实施安全配置，基于策略实行分层管理。安装时删除所有不必要的组件，禁用所有不必要的服务。及时安装服务补丁包和升级软件来消除安全性漏洞，对密码和帐号定期更换，严格控制访问用户以及用户的访问权限。Windows 2000 中使用 IPSec 的 IP 通讯加密，“IP 安全”是一种安全服务，它让系统管理员能够监视通信、检查地址，以及将各种安全方法应用到 IP 数据包，无论数据是由何种程序生成的， IPSec 使用 IP 筛选，来检查所有 IP 数据包的地址、端口和传输协议。[5]WINDOWS2000建立审核、事件记录、监视策略，定期利用扫描软件对操作系统进行安全性扫描评估，检测系统中存在的安全漏洞，定期检查服务器以确保安装最新补丁程序，分析系统的安全性，提出补救措施。
2.5数据备份和恢复
数据备份和恢复对整个企业信息系统是非常重要的。企业制定有效的备份恢复策略，在日常备份数据，当遇到灾难时恢复数据。在制定备份恢复策略时需要考虑系统的软件和硬件，尽量备份关键数据，把备份数据存储在不同的目录中。备份的数据存储在与主服务器相同或相似的机器上，并定期把数据存储在可移动存储设备上，使用相同或相似的硬件设备，可以使数据很容易地恢复到原来的系统上。备份恢复使用的软件是WINDOWS 2000的内置工具Backup Operator,该工具可对需要备份的文件和目录设置用户权限，定置备份恢复的目录和文件。Backup Operator具有强大的管理功能，例如为减少数据的冗余性，备份时可选择差分或增量备份，定置备份的时间可自动备份数据，自动排除一些不需备份的数据，备份日志可记录备份恢复情况。
3 结束语
企业网络安全系统的建立，有效地保护了企业信息系统的安全，防止信息被网络外部和内部非法的攻击，保证了信息系统上运行数据的完整性、可靠性、稳定性，保证了数据传输的安全性、快捷性。企业信息系统的真正安全需要管理人员、用户等多方面地共同努力才能达到，只要管理人员和用户采用先进的技术，制定切实可行地管理制度，预防胜于补救，一定能保证企业信息系统的安全。