前言：本站為你精心整理了企業(yè)安全防護(hù)管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

[摘要]本文詳細(xì)分析了企業(yè)內(nèi)部網(wǎng)現(xiàn)有的安全防護(hù)體系存在的問(wèn)題，提出了一種新的網(wǎng)絡(luò)安全防護(hù)體系，并闡述了該體系的構(gòu)架及工作原理。

[關(guān)鍵詞]Intranet網(wǎng)絡(luò)安全防護(hù)體系統(tǒng)一安全管理平臺(tái)

一、前言

內(nèi)部網(wǎng)（Intranet）指采用Internet技術(shù)建立的企業(yè)內(nèi)部專用網(wǎng)絡(luò)。它以TCP/IP協(xié)議作為基礎(chǔ)，以Web為核心應(yīng)用，構(gòu)成統(tǒng)一和便利的信息交換平臺(tái)。內(nèi)部網(wǎng)在企業(yè)信息、銷售服務(wù)、提高工作群體的生產(chǎn)力、內(nèi)部交流與支持、員工的培訓(xùn)和數(shù)據(jù)庫(kù)開(kāi)發(fā)等方面，發(fā)揮著不可缺少的作用。它能夠幫助企業(yè)協(xié)調(diào)內(nèi)部通訊和提高企業(yè)生產(chǎn)力。

但是，隨著Intranet在企業(yè)的廣泛應(yīng)用，內(nèi)部網(wǎng)的安全問(wèn)題也得到越來(lái)越多的關(guān)注，特別是網(wǎng)絡(luò)病毒的泛濫、網(wǎng)絡(luò)黑客的攻擊、企業(yè)信息的泄密等，無(wú)不牽動(dòng)著企業(yè)領(lǐng)導(dǎo)敏感的神經(jīng)。如果沒(méi)有一個(gè)高效的網(wǎng)絡(luò)管理系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行管理，保障內(nèi)部網(wǎng)絡(luò)安全有效的運(yùn)行。將直接影響到企業(yè)的正常運(yùn)作，最終影響到企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益。

二、現(xiàn)有內(nèi)部網(wǎng)安全防護(hù)體系存在的問(wèn)題

當(dāng)前企業(yè)內(nèi)部網(wǎng)普遍采用在網(wǎng)絡(luò)出口部署IDS（IntrusionDetectionSystem，入侵檢測(cè)系統(tǒng)）和硬件防火墻，在內(nèi)部網(wǎng)服務(wù)器上安裝殺毒、防火墻軟件輔以一定的訪問(wèn)控制策略并及時(shí)更新補(bǔ)丁等多項(xiàng)安全措施相結(jié)合的綜合安全防護(hù)體系。當(dāng)發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí)，由于大部分交換機(jī)以及路由器不具備或只具備較弱的安全防護(hù)功能，只能依靠防火墻來(lái)抵御攻擊和入侵，并由IDS來(lái)予以跟蹤。但是這種安全體系存在以下幾個(gè)明顯的弱點(diǎn)：

1.隨著網(wǎng)絡(luò)流量的持續(xù)增長(zhǎng)，特別是大型內(nèi)部網(wǎng)內(nèi)數(shù)據(jù)流量的爆炸性增長(zhǎng)，單純的依靠在內(nèi)部網(wǎng)的某一點(diǎn)安裝某一網(wǎng)絡(luò)安全設(shè)備來(lái)進(jìn)行全網(wǎng)的防護(hù)已顯得力不從心，容易發(fā)生單點(diǎn)故障，并且造成內(nèi)部網(wǎng)整體通信的瓶頸。

2.來(lái)自于內(nèi)部的誤操作和濫用對(duì)內(nèi)部網(wǎng)的影響是最為致命的，通常的比例高達(dá)70%。當(dāng)攻擊者與被攻擊者均處于Intranet內(nèi)部時(shí)，如果攻擊流不經(jīng)過(guò)IDS的監(jiān)控點(diǎn)，就不能被IDS捕獲，此時(shí)IDS無(wú)法跟蹤，部署在網(wǎng)絡(luò)出口的硬件防火墻則失去了作用，只能靠服務(wù)器以及用戶電腦上安裝的防火墻來(lái)抵御攻擊。如果此時(shí)用戶的攻擊為虛擬IP攻擊，則網(wǎng)絡(luò)管理人員只能依靠將局域網(wǎng)逐片斷開(kāi)的原始方式逐步地進(jìn)行故障定位，影響的范圍大，排查的時(shí)間長(zhǎng)，過(guò)程繁瑣。

3.IDS+防火墻的組合模式在進(jìn)行病毒和攻擊方式識(shí)別時(shí)需要產(chǎn)品廠家的支持，具有一定的滯后性，對(duì)新出現(xiàn)的病毒和攻擊行為基本無(wú)能為力，且誤報(bào)的情況也是時(shí)有發(fā)生。

4.啟用基于802.1x協(xié)議的用戶接入認(rèn)證，能夠保障Intranet用戶接入的合法性，較好地解決IP地址盜用、用戶私自架設(shè)服務(wù)器等一系列困擾內(nèi)部網(wǎng)管理者的問(wèn)題，但是基于802.1x協(xié)議的系統(tǒng)對(duì)于用戶的計(jì)算機(jī)系統(tǒng)是否安全、用戶是否存在網(wǎng)絡(luò)攻擊行為則無(wú)法進(jìn)行判別。

基于以上幾點(diǎn)，最安全的辦法就是采取讓所有接入Intranet的計(jì)算機(jī)安裝殺毒和防火墻軟件并及時(shí)更新補(bǔ)丁。但由于用戶的網(wǎng)絡(luò)應(yīng)用水平參差不齊，作為網(wǎng)絡(luò)管理部門(mén)，只能督促用戶及時(shí)更新操作系統(tǒng)補(bǔ)丁和安裝防火墻及殺毒軟件，而且操作系統(tǒng)或者應(yīng)用程序的補(bǔ)丁更新方式，若直接從互聯(lián)網(wǎng)上更新則比較慢，若在企業(yè)內(nèi)部架設(shè)WSUS服務(wù)器，則需要用戶修改配置，過(guò)程相對(duì)復(fù)雜很多，用戶會(huì)覺(jué)得麻煩。無(wú)法從技術(shù)層面上強(qiáng)制執(zhí)行，要保證用戶系統(tǒng)的安全和統(tǒng)一非常困難。

以上幾點(diǎn)充分說(shuō)明了當(dāng)前Intranet普遍采用的安全體系存在諸多漏洞，已不能很好地滿足日益增長(zhǎng)的網(wǎng)絡(luò)安全需求。

三、統(tǒng)一安全管理平臺(tái)的體系架構(gòu)及工作原理

1.統(tǒng)一安全管理平臺(tái)的架構(gòu)

構(gòu)建一個(gè)統(tǒng)一的安全管理平臺(tái)，用以實(shí)現(xiàn)對(duì)Intranet內(nèi)所有網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理和調(diào)配，確保接入Intranet的所有網(wǎng)絡(luò)終端設(shè)備的安全可信，是在現(xiàn)有網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)上發(fā)展建立的新的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)思想。

統(tǒng)一安全管理平臺(tái)系統(tǒng)具體構(gòu)架（如圖1所示），由三個(gè)層面、五個(gè)部分組成：

(1)后臺(tái)服務(wù)層面

身份認(rèn)證系統(tǒng)——身份認(rèn)證系統(tǒng)能夠提供嚴(yán)格的用戶接入控制，通過(guò)準(zhǔn)確的身份認(rèn)證和物理定位來(lái)確保接入用戶的可靠性。用戶認(rèn)證系統(tǒng)針對(duì)用戶的入網(wǎng)行為，提供入網(wǎng)控制功能，同時(shí)，認(rèn)證系統(tǒng)還可以實(shí)現(xiàn)用戶帳號(hào)、用戶IP、用戶MAC、設(shè)備IP、設(shè)備端口的靜態(tài)綁定、動(dòng)態(tài)綁定以及自動(dòng)綁定，保證用戶入網(wǎng)身份的唯一性。

安全管理平臺(tái)——安全管理平臺(tái)是安全防護(hù)體系的管理與控制中心，是統(tǒng)一安全管理平臺(tái)的核心組成部分。通過(guò)安全管理平臺(tái)，可以對(duì)系統(tǒng)內(nèi)的安全設(shè)備與系統(tǒng)安全策略進(jìn)行管理，實(shí)現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效地配置和管理全網(wǎng)安全設(shè)備，從而實(shí)現(xiàn)全網(wǎng)安全設(shè)備的集中管理，起到安全網(wǎng)管的作用。通過(guò)統(tǒng)一的技術(shù)方法，將系統(tǒng)所有的安全日志、安全事件集中收集管理，實(shí)現(xiàn)集中的日志分析、審計(jì)與報(bào)告。同時(shí)通過(guò)集中的分析審計(jì)，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨勢(shì)，確保安全事件、事故得到及時(shí)的響應(yīng)和處理。

安全修復(fù)系統(tǒng)——安全修復(fù)系統(tǒng)的作用是跟蹤安全漏洞的變化，能夠有效地進(jìn)行系統(tǒng)補(bǔ)丁、病毒特征碼或者用戶指定應(yīng)用程序補(bǔ)丁的管理。針對(duì)不同的安全策略，點(diǎn)到面地自動(dòng)強(qiáng)制分發(fā)部署補(bǔ)丁程序。

(2)網(wǎng)絡(luò)層面

安全聯(lián)動(dòng)設(shè)備——安全聯(lián)動(dòng)設(shè)備是Intranet中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。由安全管理平臺(tái)提供標(biāo)準(zhǔn)的協(xié)議接口，同交換機(jī)、路由器、防火墻、IDS等各類網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)安全聯(lián)動(dòng)。

(3)用戶層面

安全客戶端——安全客戶端是安裝在個(gè)人電腦和服務(wù)器上的端點(diǎn)保護(hù)軟件。安全客戶端負(fù)責(zé)收集不同用戶的安全軟件的狀態(tài)信息，包括對(duì)防病毒軟件信息的收集。同時(shí)，安全客戶端可以評(píng)估操作系統(tǒng)的版本、補(bǔ)丁程度等信息，并且把這些信息傳遞到安全管理平臺(tái)，沒(méi)有進(jìn)行適當(dāng)升級(jí)的主機(jī)將被隔離到網(wǎng)絡(luò)修復(fù)區(qū)域，從而保障網(wǎng)絡(luò)的安全運(yùn)行。與傳統(tǒng)的解決方案不同，安全客戶端通過(guò)對(duì)用戶終端設(shè)備信息的搜集，可預(yù)先識(shí)別和防止用戶對(duì)網(wǎng)絡(luò)的惡意行為，排除潛在的已知和未知的安全風(fēng)險(xiǎn)。

2.統(tǒng)一安全管理平臺(tái)的工作原理

統(tǒng)一安全管理平臺(tái)的工作原理如圖2所示。

統(tǒng)一安全管理平臺(tái)系統(tǒng)實(shí)現(xiàn)終端用戶安全準(zhǔn)入的工作流程如下：

(1)用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)安全客戶端上傳用戶信息至用戶認(rèn)證服務(wù)器進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。

(2)合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全管理平臺(tái)驗(yàn)證補(bǔ)丁版本、病毒庫(kù)版本等信息是否合格，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)。

(3)進(jìn)入隔離區(qū)的用戶可以根據(jù)企業(yè)網(wǎng)絡(luò)安全策略，通過(guò)安全修復(fù)系統(tǒng)安裝系統(tǒng)補(bǔ)丁、升級(jí)病毒庫(kù)、檢查終端系統(tǒng)信息，直到接入終端符合企業(yè)網(wǎng)絡(luò)安全策略。

(4)安全狀態(tài)合格的用戶將實(shí)施由安全管理平臺(tái)下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

四、結(jié)束語(yǔ)

保障Intranet安全、有效運(yùn)行，是一項(xiàng)復(fù)雜的系統(tǒng)工程。它既是一個(gè)技術(shù)問(wèn)題，但更是一個(gè)管理問(wèn)題，所謂“三分技術(shù)，七分管理”。所以，除了采用上述技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)安全的管理：制定有關(guān)規(guī)章制度；確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施；對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面的安全問(wèn)題，進(jìn)行安全教育，提高工作人員的保密觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能等，也將起到十分有效的作用。

參考文獻(xiàn)：

[1]思科系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司.思科自防御網(wǎng)絡(luò)[EB/OL].[2006-04-03].

[2]微軟中國(guó)技術(shù)支持中心.網(wǎng)絡(luò)訪問(wèn)保護(hù)平臺(tái)體系結(jié)構(gòu)[EB／OL].[2004-11-15].