论文部分内容阅读
摘 要: 确保计算机网络信息的安全己成为企业网络管理和维护工作中最为关注的焦点问题。基于此,对针对企业局域网的特点,分析企业局域网现存的数据安全问题以及现有防护方案的局限,最后提出安全数据访问控制的总体设计构想。
关键词: 企业;局域网;安全
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2011)0810034-01
目前市场上网络安全产品层出不穷,其中最受欢迎的网络安全产品是防火墙、杀毒软件和入侵检测系统,特别是入侵检测系统,随着被动防御向主动防御的转变,在市场上占有的份额越来越大。但无论是作为被动防御的防火墙和杀毒软件,还是作为主动防御的入侵检测系统,几乎都是针对来自于外部网络攻击所进行的防护,如病毒和木马查杀等,但是对于企业局域网的整体安全防护却没有得到足够的重视,致使企业虽然应用了一些安全防护的产品,但企业局域网仍然存在数据安全问题。
1 企业局域网存在的数据安全问题
许多企业在构建局域网时都会购买并安装一些常见的安全防护产品,应用最为广泛的就是杀毒软件和防火墙,并且作到了及时更新,但企业局域网仍然存在数据安全,突出表现为如下三个方面:
1)企业局域网的客户端被Internet上的木马程序所侵入,并且随着该客户端和其他客户端的数据交换,导致企业局域网内网各终端交叉感染并持续地向Internet发包,从而堵塞局域网接入Internet的出口,使防火墙处理量过大而瘫痪,最终通过向Internet发包来窃取企业局域网内的数据。
2)杀毒软件的更新存在滞后性。目前企业应用的所有杀毒软件都仅仅能够查杀杀毒软件病毒库里存在的病毒,而对于新出的病毒或者旧有病毒的变种则无能为力。特别是在目前新病毒层出不穷的情况下,企业局域网被某种新病毒感染后,杀毒软件才在病毒库里加入有关此病毒的代码,但却为时已晚,企业局域网的数据早就因该病毒的感染而泄露或者遭到破坏。
3)缺乏集成化的网络终端管理系统。随着企业移动终端和特权用户的增多,企业局域网的数据安全也就越来越受到威胁,极大地增加了网络终端管理的难度,许多需要保密的数据,都要求在企业局域网建立一个网络终端管理系统,从而适时地监控企业局域网的数据操作日志,避免遭受人为的删除、破坏和泄露。
由此可见,企业局域网数据的安全也会受到来自于内网的威胁,因此企业不仅要作好对外的网络安全防护工作,更要加强局域网的安全数据访问控制,以避免受到来自内网的交叉感染及人为破坏。
2 企业局域网的特点及可采用的安全防护方案
2.1 企业局域网的特点。一般来说,企业网络都具有效率高、信息量大的特点。而且普通企业不同于政府、研究机构等单位,其局域网除企业核心业务外,通常不会含有其他保密级别较高的数据。如果针对所有数据来进行安全防范,势必会影响到网络高效率的特点,企业局域网也就失去了快速传递信息的意义。因此,笔者认为,企业局域网安全防护的重点就在于对企业核心业务的安全数据访问控制。
2.2 企业局域网常用的安全数据访问控制措施及问题。基于上述企业局域网的特点,通常企业都组合应用如下三种防护措施以实现企业局域网的安全数据访问控制:
2.2.1 制定安全管理策略。通常企业对局域网内部进行安全数据访问控制都会要求局域网各用户根据自身可能存在的不安全因素来选择相应的安全防护方法,并据此先制定一个安全管理策略来强化对局域网内网的监管,并且以该策略作为指导思想来提升局域网各用户维护网络终端数据安全的意识。企业局域网各用户一般都会根据自身可能存在的不安全因素来选择采取何种安全服务。但是,由于企业管理层缺乏局域网内网安全防护意识以及特权用户大量存在等原因,致使企业制订的安全管理策略变成了纸上谈兵,难以有效执行。
2.2.2 边界防护。边界防护是目前企业采用最多的防护手段,是利用防火墙,VPN,身份认证等技术监控网络边界,使核心业务的访问权限受到严格限制,从而实现了局域网的安全数据访问控制,确保了核心业务的数据不被删除、破坏、篡改以及泄露。特别是在防火墙技术已经非常成熟的今天,大多数企业都选择了兼有防病毒功能的防火墙进行边界防护。
尽管边界防护对来自局域网外部的网络攻击具有很强的防护作用,但由于许多企业在设置防火墙时,都将局域网的网络终端设置成为可信任对象,这就为局域网各网络终端交叉感染滋生了土壤。尤其是当局域网的网络终端被感染而成为宿主机器时,就会持续地向Internet发包,从而致使防火墙监控量剧增,最终会因处理能力有限而瘫痪,防火墙的边界防护也就变得形同虚设。
2.2.3 内网防护。企业在采取边界防护的同时还会根据企业局域网存在的安全弱点采取一些内网防护措施,主要包括防病毒和漏洞扫描。但由于目前病毒更新换代越来越快,且大都伴随着木马和恶意代码一起进行传播,而企业所用的杀毒软件的更新总是存在一定的滞后性,导致企业病毒防护系统不能对新病毒和病毒中含有的木马进行有效查杀,待病毒防护系统更新时,往往局域网已经被病毒感染甚至遭到了破坏。
3 局域网安全数据访问控制的设计构想
终端安全管理系统应当设计分为两部分,即主控端与受控端。
1)由受控端首先提供系统信息,通过注册模块将受控端纳入LDAP的目录管理体系。
2)在终端运行的过程中,通过系统监视模块报告其正在进行的网络活动,日志模块将其记入主控端日志。
3)如发生异常活动,则开始报警,建议修改规则,通过规则发送模块发送给受控端,受控端接收到新的规则后通过规则执行引擎使得受控端的NDIS中间层驱动防火墙执行新规则。
4)当受控端需要发起一个连接请求时,通过连接重定向模块连接到主控端的连接监听器,主控端对比规则库后,发现是正常的服务请求,则通过主控端的连接重定向模块连接到目标地址,如果是非正常请求,则丢弃该连接的数据包。
5)翻译模块包含有两种翻译器,日志翻译器和规则翻译器。日志翻译器将系统日志或网络节点发送的日志翻译成本系统固定的日志格式;规则翻译器将规则翻译成受控端可理解的格式。
4 结语
根据上述设计,就可以通过主控端的策略服务器将终端安全策略分发给客户端,达到统一管理的目标,从而弥补目前企业局域网数据访问控制措施相互孤立、手段被动、相对静态等问题。由于篇幅的关系,本文仅提出了局域网安全数据访问控制的总体设计构想,还需要在实践中进一步探索和完善,但笔者坚信,在企业局域网安全数据访问控制中引入终端安全管理系统,必将引起具有变被动为主动、纵深化与集成化相结合、点面兼顾、灵活主动以及节约成本等特点而成为未来企业局域网安全数据访问控制最为有效的措施之一。
参考文献:
[1]王群,网络安全[M].北京:人民邮电出版社,2008.
[2]张宇,企业网防火墙的设计与实现[J].中小企业管理与科技,2007(11).
关键词: 企业;局域网;安全
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2011)0810034-01
目前市场上网络安全产品层出不穷,其中最受欢迎的网络安全产品是防火墙、杀毒软件和入侵检测系统,特别是入侵检测系统,随着被动防御向主动防御的转变,在市场上占有的份额越来越大。但无论是作为被动防御的防火墙和杀毒软件,还是作为主动防御的入侵检测系统,几乎都是针对来自于外部网络攻击所进行的防护,如病毒和木马查杀等,但是对于企业局域网的整体安全防护却没有得到足够的重视,致使企业虽然应用了一些安全防护的产品,但企业局域网仍然存在数据安全问题。
1 企业局域网存在的数据安全问题
许多企业在构建局域网时都会购买并安装一些常见的安全防护产品,应用最为广泛的就是杀毒软件和防火墙,并且作到了及时更新,但企业局域网仍然存在数据安全,突出表现为如下三个方面:
1)企业局域网的客户端被Internet上的木马程序所侵入,并且随着该客户端和其他客户端的数据交换,导致企业局域网内网各终端交叉感染并持续地向Internet发包,从而堵塞局域网接入Internet的出口,使防火墙处理量过大而瘫痪,最终通过向Internet发包来窃取企业局域网内的数据。
2)杀毒软件的更新存在滞后性。目前企业应用的所有杀毒软件都仅仅能够查杀杀毒软件病毒库里存在的病毒,而对于新出的病毒或者旧有病毒的变种则无能为力。特别是在目前新病毒层出不穷的情况下,企业局域网被某种新病毒感染后,杀毒软件才在病毒库里加入有关此病毒的代码,但却为时已晚,企业局域网的数据早就因该病毒的感染而泄露或者遭到破坏。
3)缺乏集成化的网络终端管理系统。随着企业移动终端和特权用户的增多,企业局域网的数据安全也就越来越受到威胁,极大地增加了网络终端管理的难度,许多需要保密的数据,都要求在企业局域网建立一个网络终端管理系统,从而适时地监控企业局域网的数据操作日志,避免遭受人为的删除、破坏和泄露。
由此可见,企业局域网数据的安全也会受到来自于内网的威胁,因此企业不仅要作好对外的网络安全防护工作,更要加强局域网的安全数据访问控制,以避免受到来自内网的交叉感染及人为破坏。
2 企业局域网的特点及可采用的安全防护方案
2.1 企业局域网的特点。一般来说,企业网络都具有效率高、信息量大的特点。而且普通企业不同于政府、研究机构等单位,其局域网除企业核心业务外,通常不会含有其他保密级别较高的数据。如果针对所有数据来进行安全防范,势必会影响到网络高效率的特点,企业局域网也就失去了快速传递信息的意义。因此,笔者认为,企业局域网安全防护的重点就在于对企业核心业务的安全数据访问控制。
2.2 企业局域网常用的安全数据访问控制措施及问题。基于上述企业局域网的特点,通常企业都组合应用如下三种防护措施以实现企业局域网的安全数据访问控制:
2.2.1 制定安全管理策略。通常企业对局域网内部进行安全数据访问控制都会要求局域网各用户根据自身可能存在的不安全因素来选择相应的安全防护方法,并据此先制定一个安全管理策略来强化对局域网内网的监管,并且以该策略作为指导思想来提升局域网各用户维护网络终端数据安全的意识。企业局域网各用户一般都会根据自身可能存在的不安全因素来选择采取何种安全服务。但是,由于企业管理层缺乏局域网内网安全防护意识以及特权用户大量存在等原因,致使企业制订的安全管理策略变成了纸上谈兵,难以有效执行。
2.2.2 边界防护。边界防护是目前企业采用最多的防护手段,是利用防火墙,VPN,身份认证等技术监控网络边界,使核心业务的访问权限受到严格限制,从而实现了局域网的安全数据访问控制,确保了核心业务的数据不被删除、破坏、篡改以及泄露。特别是在防火墙技术已经非常成熟的今天,大多数企业都选择了兼有防病毒功能的防火墙进行边界防护。
尽管边界防护对来自局域网外部的网络攻击具有很强的防护作用,但由于许多企业在设置防火墙时,都将局域网的网络终端设置成为可信任对象,这就为局域网各网络终端交叉感染滋生了土壤。尤其是当局域网的网络终端被感染而成为宿主机器时,就会持续地向Internet发包,从而致使防火墙监控量剧增,最终会因处理能力有限而瘫痪,防火墙的边界防护也就变得形同虚设。
2.2.3 内网防护。企业在采取边界防护的同时还会根据企业局域网存在的安全弱点采取一些内网防护措施,主要包括防病毒和漏洞扫描。但由于目前病毒更新换代越来越快,且大都伴随着木马和恶意代码一起进行传播,而企业所用的杀毒软件的更新总是存在一定的滞后性,导致企业病毒防护系统不能对新病毒和病毒中含有的木马进行有效查杀,待病毒防护系统更新时,往往局域网已经被病毒感染甚至遭到了破坏。
3 局域网安全数据访问控制的设计构想
终端安全管理系统应当设计分为两部分,即主控端与受控端。
1)由受控端首先提供系统信息,通过注册模块将受控端纳入LDAP的目录管理体系。
2)在终端运行的过程中,通过系统监视模块报告其正在进行的网络活动,日志模块将其记入主控端日志。
3)如发生异常活动,则开始报警,建议修改规则,通过规则发送模块发送给受控端,受控端接收到新的规则后通过规则执行引擎使得受控端的NDIS中间层驱动防火墙执行新规则。
4)当受控端需要发起一个连接请求时,通过连接重定向模块连接到主控端的连接监听器,主控端对比规则库后,发现是正常的服务请求,则通过主控端的连接重定向模块连接到目标地址,如果是非正常请求,则丢弃该连接的数据包。
5)翻译模块包含有两种翻译器,日志翻译器和规则翻译器。日志翻译器将系统日志或网络节点发送的日志翻译成本系统固定的日志格式;规则翻译器将规则翻译成受控端可理解的格式。
4 结语
根据上述设计,就可以通过主控端的策略服务器将终端安全策略分发给客户端,达到统一管理的目标,从而弥补目前企业局域网数据访问控制措施相互孤立、手段被动、相对静态等问题。由于篇幅的关系,本文仅提出了局域网安全数据访问控制的总体设计构想,还需要在实践中进一步探索和完善,但笔者坚信,在企业局域网安全数据访问控制中引入终端安全管理系统,必将引起具有变被动为主动、纵深化与集成化相结合、点面兼顾、灵活主动以及节约成本等特点而成为未来企业局域网安全数据访问控制最为有效的措施之一。
参考文献:
[1]王群,网络安全[M].北京:人民邮电出版社,2008.
[2]张宇,企业网防火墙的设计与实现[J].中小企业管理与科技,2007(11).