浅谈企业网络安全系统的应用

0引言

随着企业网络信息技术的快速发展和广泛应用，社会信息化进程不断加快，生产制造、物流网络、自动化办公系统对信息系统的依赖程度越来越大，因此，保证信息系统的安全稳定运行也越来越重要。如何保证企业网络信息化安全、稳定运行就需要网络规划设计师在设计初始周全的考虑到网络安全所需达到的条件（包括硬件、OSI/RM各层、各种系统操作和应用）。

1网络安全、信息安全标准

网络安全性标准是指为了规范网络行为，净化网络环境而制定的强制性或指导性的规定。目前，网络安全标准主要有针对系统安全等级、系统安全等级评定方法、系统安全使用和操作规范等方面的标准。世界各国纷纷颁布了计算机网络的安全管理条例，我国也颁布了《计算机网络国际互联网安全管理方法》等多个国家标准，用来制止网络污染，规范网络行为，同时各种网络技术在不断的改进和完善。1999年9月13日，中国颁布了《计算机信息系统安全保护等级划分准则》（GB17859：1999），定义了计算机信息系统安全保护能力的5个等级，分别如下：（1）第一级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。（2）第二级：系统审计保护级。除继承前一个级别的安全功能外，还要求创建和维护访问的审计踪记录，使所有的用户对自己行为的合法性负责。（3）第三级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。（4）第四级：结构化保护级。除继承前一个级别的安全功能外，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。（5）第五级：访问验证保护级。除继承前一个级别的安全功能外，还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

2企业网络主要安全隐患

企业网络主要分为内网和外网，网络安全体系防范的不仅是病毒感染，还有基于网络的非法入侵、攻击和访问，但这些非法入侵、攻击、访问的途径非常多，涉及到整个网络通信过程的每个细节。从以往的网络入侵、攻击等可以总结出，内部网络的安全威胁要多于外部网络，因为内网受到的入侵和攻击更加容易，所以做为网络安全体系设计人员要全面地考虑，注重内部网络中存在的安全隐患。

3企业网络安全防护策略

设计一个更加安全的网络安全系统包括网络通信过程中对OSI/RM的全部层次的安全保护和系统的安全保护。七层网络各个层次的安全防护是为了预防非法入侵、非法访问、病毒感染和黑客攻击，而非计算机通信过程中的安全保护是为了预防网络的物理瘫痪和网络数据损坏的。OSI/RM各层采取的安全保护措施及系统层的安全防护如图1所示。

4OSI/RM各层主要安全方案

4.1物理层安全

通信线路的屏蔽主要体现在两个方面：一方面是采用屏蔽性能好的传输介质，另一方面是把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中。（1）屏蔽双绞线屏蔽与非屏蔽的普通五类、超五类双绞线的主要区别是屏蔽类双绞线中8条（4对）芯线外集中包裹了一屏蔽层。而六类屏蔽双绞和七类双绞线除了五类、超五类屏蔽双绞线的这一层统一屏蔽层外，还有这些屏蔽层就是用来进行电磁屏蔽的，一方面防止外部环境干扰网线中的数据传输，另一方防止传输途中的电磁泄漏而被一些别有用心的人侦听到。（2）屏蔽机房和机柜机房屏蔽的方法是在机房外部以接地良好的金属膜、金属网或者金属板材（主要是钢板）包围，其中包括六面板体和一面屏蔽门。根据机房屏蔽性能的不同，可以将屏蔽机房分为A、B、C三个级别，最高级为C级。机柜的屏蔽是用采用冷扎钢板围闭而成，这些机柜的结构与普通的机柜是一样的，都是标准尺寸的。（3）WLAN的物理层安全保护对于无线网络，因为采用的传输介质是大气，大气是非固定有形线路，安全风险比有线网络更高，所以在无线网络中的物理层安全保护就显得更加重要了。如果将机房等整个屏蔽起来，成本太高，现在主要采用其他方式如多位数共享密钥、WPA/WPA2动态密钥、IEEE802.1X身份验证等。现在最新的无线宽带接入技术——WiMAX对于来自物理层的攻击，如网络阻塞、干扰，显得很脆弱，以后将提高发射信号功率、增加信号带宽和使用包括跳频、直接序列等扩频技术。

4.2数据链路层安全

在数据链路层可以采用的安全保护方案主要包括：数据链路加密、MAC地址绑定（防止MAC地址欺骗）、VLAN网段划分、网络嗅探预防、交换机保护。VLAN隔离技术是现代企业网络建设中用的最多的技术，该技术可分为基于端口的VLAN、基于MAC地址的VLAN、基于第三层的VLAN和基于策略的VLAN。

4.3网络层安全

在网络层首先是身份的认证，最简单的身份认证方式是密码认证，它是基于windows服务器系统的身份认证可针对网络资源的访问启用“单点登录”，采用单点登录后，用户可以使用一个密码或智能卡一次登录到windows域，然后向域中的任何计算机验证身份。网络上各种服务器提供的认证服务，使得口令不再是以明文方式在网络上传输，连接之间的通信是加密的。加密认证分为PKI公钥机制（非对称加密机制），Kerberos基于私钥机制（对称加密机制）。IPSec是针对IP网络所提出的安全性协议，用途就是保护IP网络通信安全。它支持网络数据完整性检查、数据机密保护、数据源身份认证和重发保护，可为绝大部分TCP/IP族协议提供安全服务。IPSec提供了两种使用模式：传输模式（TransportMode）和隧道模式（TUNNELMode）。

4.4传输层安全

传输层的主要作用是保证数据安全、可靠的从一端传到另一端。TLS/SSL协议是工作在传输层的安全协议，它不仅可以为网络通信中的数据提供强健的安全加密保护，还可以结合证书服务，提供强大的身份谁、数据签名和隐私保护。TLS/SSL协议广泛应用于Web浏览器和Web服务器之间基于HTTPS协议的互联网安全传输。

4.5防火墙

因防火墙技术在OSI/RM各层均有体现，在这里简单分析一下防火墙，防火墙分为网络层防火墙和应用层防火墙，网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。应用层防火墙是在TCP/IP堆栈的“应用层”上运作，应用层防火墙可以拦截进出某应用程序的所有封包。目前70%的攻击是发生在应用层，而不是网络层。对于这类攻击，传统网络防火墙的防护效果，并不太理想。

5结语

以上对于实现企业网络建设安全技术及信息安全的简单论述，是基于网络OSI/RM各层相应的安全防护分析，重点分析了物理层所必须做好的各项工作，其余各层简单分析了应加强的主要技术。因网络技术日新月益，很多新的网络技术在本文中未有体现，实则由于本人时间、水平有限，请各位读者给予见解。文章中部分内容借签于参考文献,在此非常感谢各位作者的好书籍。

作者:单位:西山煤电（集团）有限公司物资供应分公司

引用：

[1]李磊.网络工程师考试辅导.北京：清华大学出版社，2009．

[2]王达，阚京茂.网络工程方案规划与设计.北京：中国水利水电出版社，2010．

[3]黄传河.网络规划设计师教程.北京：清华大学出版社，2009．

[4]林果园.操作系统安全.北京：北京邮电大学出版社，2010．