试论安全的企业网络结构设计

摘要　在电子政务和电子商务应用快速发展的今天，信息安全问题越来越突出。本文主要讨论了安全的企业网络结构设计问题，主要分析了企业网络模块化构成，以及网络安全管理模块的设计中的统一管理平台的系统架构设计关键技术。

关键词　网络安全　企业网络　电子政务　网络安全管理

一、引言

在电子政务和电子商务应用快速发展的今天，信息安全问题越来越突出。据权威统计显示，80％以上的企业内部网络曾遭受过病毒的肆虐，60％以上的企业网站受过黑客的攻击，因此企业网络安全的形势相当严峻。深入分析企业网络可能存在的问题和正在遭受的安全威胁，是设计安全方案的前提，只有了解企业环境和面临的问题，才能发现并分析企业网络所处的风险环境，并在此基础上提出可能的安全保障措施。这是解决企业网络安全问题的关键，也是设计面向企业的网络安全体系的前提，它能使我们有的放矢地采用安全防范技术和安全措施。网络是整个企业信息资源的基础，也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计，安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分。网络设备个体作为网络的最基本构成，其个体的安全关系重大，往往个别设备的安全漏洞或者错误的配置，就可能造成网络的中断或者瘫患。所以最后从网络设备个体的角度出发，介绍了如何有针对性的采取有效的安全措施。

二、企业网络模块化构成

随着企业的不断壮大，企业网络发展要求也日益提高，因此本文在设计网络安全体系结构时，采用了模块化的方式。即将企业的网络划分成不同的功能模块，在整体网络安全设计时实现网络各功能块之间的安全关系，同时，也可以让设计者逐个模块的实施安全措施，而并不需要在一个阶段就完成整个安全体系结构。

我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中，企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化，这些模块在网络中扮演特定角色，都有特定的安全需求，但图中的模块规模并不代表其在实际网络中的大小。例如，代表最终用户设备的接入层网络可能包括80％的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块，但此方式可以指导我们在网络中实施不同安全功能。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中，可能有些模块不存在，或者两个模块相合并了，也可以根据后面的安全设计方式结合实际，找到安全解决方案。

三、网络安全管理模块的设计

从体系结构的角度来说，提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。带外是指无生产信息流驻留的网络，设备应尽可能的与这样一个网络建立直接本地连接，在由于地理原因或系统相关问题无法实现的情况下，设备应经由生产网络上一条专用加密隧道与其连接。这样的隧道应预先配置，仅在管理和报告所需的特定端口上通信。整个企业管理网络模块由一个防火墙和一个路由器分成两个网段。防火墙外的网段连接到所有需要管理的设备。防火墙内的网段包括管理主机本身以及作为终端服务器的路由器。其余的接口接到生产网络，但仅用于接收来自预定义主机、受IPSec保护的管理信息流。两个管理子网均在完全与生产网络的其余部分独立的IP地址空间下运行。这可以确保管理网络不受任何路由协议的影响。另外，SNMP管理仅从设备获取信息而不允许更改，即每个设备仅配置“只读”字串。

当然，完全的带外管理并非总是可行的，可能因为部分设备不支持，或者有地理差别，需带内管理。当需要带内管理时，注意的重点更应放在保护管理协议的传输上。这可通过IPSec、SSH、SSL或其他加密认证的方式实现。当管理恰巧即是设备用于用户数据的接口时，应多注意口令、公共字串、加密密钥和控制到管理服务器的通信的访问列表。

主要设备：SNMP管理主机――提供SNMP管理；NIDS主机――为网络中所有NIDS设备提供报警集中；系统日志主机――几种防火墙和NIDS主机的记录信息；接人控制服务器――向网络设备提供一次性、双因素认证服务；一次性口令(OTP)服务器――授权从接入服务器转接的一次性口令信息；系统管理主机――提供设备的配置、软件和内容变更；NIDS应用――提供对模块中主要网段的第4～7层监控；防火墙――对管理主机和受控设备间信息流动的控制；第2层防火墙(带专用VLAN支持)――确保来自受监控设备的数据仅可直接传输到防火墙；

所缓解的威胁：未授权接入――在防火墙处的过滤中止了两个方向的大多数未授权信息流；中间人攻击――管理数据穿过专用网络，使中间人攻击较为困难；网络侦察――因为所有管理信息流穿越此网络，它不通过有可能在其中被截获的生产网络；口令攻击――接入控制服务器使每台设备都拥有强大的双因素认证；IP电子欺骗――在防火墙两端均中止了欺骗流量；分组窃听――交换基础设施限制了窃听的有效性；信息管理利用――专用VLAN可防止任何一个受破坏的设备伪装成一台管理主机。

四、统一管理平台的系统架构设计

由于目前企业网络中各种厂商的网络设备越来越多，仅仅利用个别设备厂商的网络管理软件(如Ciscoworks 2000等)很难完全达到上述的种种要求，因此在网络设计时要么都采用同一厂商的设备(包括网络设备和安全设备)，要么利用第三方厂商开发的网络管理软件，通过各种客户化和集成工作，将不同厂商的设备更好的管理起来，作为搭建网络安全管理平台的主要工具。

统一管理平台的基本构架设计分为三个层面：视图(Wodd View)、企业管理(En-terprt’se Management)、客户端(Ageats)，其中：World View显而易见是提供图形化界面的应用程序，将管理对象的信息通过图形(二维图或者三维图)的方式形象的呈现给用户；企业管理层则通过智能化的手段，来提供处理各种信息、安全、存储、工作计划、事件管理等的复杂功能，这部分是整个平台的关键，可能包括了事件管理、故障管理、性能管理、网络发现等多个功能模块；客户端可以看作是一些系统进程或者内嵌代码(比如各种SNMP信息，MIB库信息)，用来监控各种系统资源，比如操作系统、数据库、网络设备等等。客户端可以从管理层面接受各种指令进行操作，或者向管理层上报相关的系统状态。

从各个部分的数据交换方式可以看出，其中DSM(Distributed State Machine)负责管理各种客户端。CCI(common Commu―nicafions Interface)是一个为系统管理平台内部特有的独立于网络协议的接口，负责协调内部各个管理组件的数据通讯。还可以简要看出DSM通过SNMP的方式从各种客户端获取信息，信息经过处理汇总到数据库中，从而更新视图中每个被管理设备或者资源的状态。

五、结语

在分析企业网络目前存在的问题和面临的安全威胁的基础上，提出关于解决这些问题的思路，给出了面向企业网络安全体系的设计目标进行相关探讨。