企业网络安全规划

企业网络安全规划移动计算给人们的生活带来了极大的方便。但在移动办公条件下如何保障内网安全是当前各企业所面临的问题，内网的安全直接关系着企业信息和内部系统的安全。本文从技术角度出发，配合管理制度给出了内部网络的安全管理方案。标签：安全；内部网络长期以来，从管理层到IT管理人员都把保证系统的安全作为其关注的焦点，并实施了丰富的解决方案。但是实施的效果并不理想。除了因为影响企业安全的因素比较复杂，更重要的是以往安全解决方案大多是构建企业网络边界的安全屏障，而且往往针对某种特定的安全防护技术，缺乏前瞻性的预防。统计表明，企业安全威胁大部分来自内部，而攻击产生的原因除少量内部恶意攻击外，往往由于用户对设备和应用使用的不规范造成的。1.企业内部网络安全风险分析为方便数据传输和共享，各企业单位组成了自己的内部办公网络，并提供各种接入内部网渠道。这种网络的开放特性也导致了内部网络安全隐患的存在，加之目前国内、国际黑客技术的迅速发展病毒程序泛滥，内部网络随时存在被入侵和被攻击破坏的可能。总结起来，当前内部网络的主要安全问题有以下几方面：（1）无法实现对办公终端用户有效的监控，使得终端安全接入问题成为办公网中最难以克服的主要问题。（2）无法有效地检测和防范病毒和黑客的攻击。（3）无法保障用户终端数据的安全，造成企业重要数据丢失。（4）无法确保用户的操作系统和办公软件的补丁更新及时。从一个漏洞发现到攻击代码实现，到蠕虫病毒产生，几年前可能是几个月甚至半年多，而现在几周甚至一天就可以完成。因此补丁管理需要有很强的及时性，如果补丁管理工作晚于攻击程序，那么企业就有可能被攻击，造成机密信息泄漏，比如2003年9月份发生的HalfLife2源代码泄漏事件就是由于企业内部的客户端没有及时打补丁，而导致被IE漏洞攻击，造成重大损失。2.内部网络安全需求分析为了避免上面风险分析的安全问题发生，考虑投资回报，下面给出内部网络安全的基本需求：1)对所有办公终端的集中化内控管理和监控2)对办公终端的补丁自动分发管理3)对办公终端的安全接入策略集中管理信任访问可以为整个企业网络提高终端的符合性安全。健康的设备可以被授权访问网络，而不符合企业安全策略的设备将被隔离。在隔离区，这些设备可以修复，满足企业定义的安全策略后可以访问网络，或者根据企业的具体定义，可以使隔离区的设备访问有限的网络资源。a)对办公终端是否使用合法的IP/MAC地址进行监控管理b)对办公终端是否安装防病毒软件和病毒码版本进行监控管理c)对办公终端是否安装要求的操作系统和办公软件补丁进行监控管理d)对办公终端是否安装终端管理软件进行监控管理4)提高用户安全意识，提供安全知识学习途径，提供最新安全动态。5)提供远程桌面支持，当客户端有故障时，IT技术人员通过远程控制提供帮助，降低支持中心费用。6)统计和查询管理。3.内部网络安全规划美国联邦调查局2006年完成的一份调查报告显示，如果人们在使用网络时采取了基本的网络安全措施，那么，80％以上受网络攻击的事件就可以被避免。事实上，要提高网络安全性，最重要的有两点：一是从技术出发，做好内部网络的安全防护；二是增强每个员工的安全意识和掌握网络安全的基本技能。从这两方面入手，基于”纵深防御、动态体系化建设、集中管理”的设计思想，着力于解决企业内部信息安全方面的常见病、多发病和关键病，以获得最佳的安全性能、获得最高的安全投资回报，从以下三个方面给出解决方案。3.1制度和教育在人员方面，制定严格的网络使用规章制度，包括员工终端的接入审批流程。制定规章制度是管理的一方面，推行和让员工接受并执行制度同样是重要的。3.2统一互联网出口统一内部网的互联网出口，一方面从制度上不允许内网客户端直接上互联网，另一方面提供统一的互联网访问出口，在互联网出口架设防火墙，在互联网访问软件上指定允许访问的站点和端口，针对不同的岗位开放不同的访问权限，从而对互联网访问进行管理，避免互联网访问造成的安全隐患。3.3技术实现通过管理支持802.1X的交换机。由交换机主动认证接入的终端设备（PC、便携机），检查终端设备上是否安装客户端管理软件，或者其主机安全状况检查是否达标，则交换机可以发送指令，容许或拒绝其接入内部网络。将允许接入但不符合安全指标的终端隔离到一个隔离（修补）区，用户可以在隔离区修复安全状况，一旦安全修复完成，管理台通知交换机将该终端设备从隔离区切换到工作的VLAN之中。局域网接入部分详细设计如下： 通过对IP/MAC地址、VLAN的收集、规划，在内部网络的所有交换设备上配置IP/MAC地址绑定和VLAN策略； 通过将Cisco二层智能交换（29XX系列、65XX系列）的IOS升级到支持IEEE802.1X协议的版本，并启用该功能，以达到实现终端安全管理产品安全策略接入控制的网络要求； 通过集中架设CiscoSecureACS，来实现对Cisco二层智能交换和终端安全管理产品的协调联动； 通过集中部署管理工具的终端接入服务器、CiscoSecureACS服务器、数据库服务器，对所有内部网络所属的终端设备进行集中安全控管，图2为网络拓扑图。 在内部网络所有终端设备安装终端管理客户端。通过以上的安全规划