企业数据网安全防护体系的研究与实现

【摘要】随着信息时代的到来，由于计算机系统极易受病毒侵害、黑客的普遍存在、网络基础设施受各项互联网网络的攻击等问题的存在，网络安全防护问题早已成为急需人类共同解决的问题，如果这一问题没有得到解决，企业的数据信息受到侵害就会严重阻碍企业的健康发展，甚至会损害我国信息化发展的进程。本文从企业数据网安全防范体系的现状出发，提出建设企业数据网安全防护体系的策略。

【关键词】企业数据网；信息安全；防护

计算机网络的发展日理万机，“地球村”的实现早已不是梦想，人类的生活越来越离不开网络，受自身开放性和共享性等特征的影响，网络极易受黑客、病毒、恶意软件等侵害，因此网络数据信息的安全防护十分关键。企业的数据网包含企业内部的全部数据信息，对企业的正常运转起着决定性作用，因此企业的数据网安全防护体系的建立是企业健康发展的核心。

一、企业监测攻击行为的系统现状

就目前而言，网络攻击行为的技术特征主要为拒绝服务、恶意软件的安装、利用计算机网络的脆弱性伪装欺骗、内部攻击、高低级CGI攻击等，企业对于这些攻击行为的检测存在一些不足。第一，企业缺乏解决大型集体攻击情况方案，攻击者的技术不断提高，企业的安全防护技术没有及时跟上脚步；第二，目前的网络攻击检测系统有待完善，通常攻击者会利用更改信息或重新编码等欺骗手段来获取攻击检测系统的通行；第三，网络设备趋于复杂多样化，相应的检测攻击行为的系统就必须及时更新技术手段以适应外部日新月异的环境；第四，攻击行为检测系统的自行反应活动会给自身带来一定困扰，影响自身的工作效应，因为它一般与防火墙的工作互相配合，一旦其发现有入侵行为时就会将所有网络攻击者的IP数据包过滤掉，若同一个攻击者冒充大批不一样的IP来虚拟进攻，那么检测系统就将实质上并没有产生进攻的IP过滤掉，导致新的拒绝服务访问产生；第五，IDS自身存在一些安全漏洞，如果对IDS进行入侵并且取得成功，那么就会致使报警无效，攻击者的后台行为就没有记录下来，所以系统应当结合多种安全产品以形成联合防护机制。

二、网络安全防护体系实现策略

企业建立了基础的防护体系，其中包囊防火墙、攻击行为检测系统、病毒防范、集中认证、终端管理、漏洞扫描、安全数据库等，而随着企业网络完全防护体系建设的不断深入开展，对于安全建设的要求仅靠安全基础层的防护无法达到，如何使现有的安全设备的功效发挥出来、使安全的管理与安全防护技术完美结合以及如何快速有效地发现并解决漏洞和攻击行为等安全隐患是我们急需解决的问题。就企业数据网安全防护系统的现状，得出企业需要从网络安全防护和数据安全防护两方面来建设网络安全防护体系。

网络安全防护策略为建立全面的网络拓扑；建立边缘防火墙、网络防火墙、主机防火墙等多重防火墙；改进VPN技术的功能；加大对漏洞的扫描力度；加强安全检测仪对网络数据的检测和审计功能。

数据安全的防护策略为利用可靠的操作系统来操纵全部服务器以保证数据的完整性；开通SSL加密通道、使用为通信进行加密的软件、应用内容监控的软件以阻止内部人员查看非法网页来确保数据的保密性；数据即使遭到破坏也能通过备份的数据来恢复，因此系统设备应该将所有数据都储存到一个专门的容量大、不再工作时所有的网络连接都能中断、质量可靠且用户信息及口令都有安全保密的服务器中，确保整个系统能够安全、正常运转。

三、企业数据网安全防护体系的实现

（一）安全管理系统建设的内容

1.日志审计的管理

在安全管理区增添日志审计系统来审计网管中心、短信中心以及智能网的日志，该系统需要负责审计所有日志的核心服务器、负责收集网管中心本地运行日志的服务器、记录网管中心本地的安全访问网关以记录管理员的操作日志并将其发到审计日志的核心服务器上的服务器。

2.安全事件监控系统

扩充现有的安全信息库，添加安全事件统一监控模块以及自主扫描漏洞管理系统，与当下的资产管理模块相结合，形成全面动态的安全威胁管理以及安全漏洞管理系统。

3.账号口令的管理

账号口令管理系统以萨班斯法案对审计信息化的要求作为方向，建立一个智能化、自动化的账号和口令管理的信息平台。在安全管理服务区内增加两台服务器，以备后用，保障网管中心账号的集中管理。

4.日志的保存

日志的保存期限是半年，要提供3T的储存空间。储存设备应当达到既能将日志直接通过网络全部备份保存起来，又能直接连接到服务器上以提供日志审计系统在线保存日志的功能的双重目的。

（二）完善安全基础设施

1.优化安全域

首先，要调整安全服务区，把同安全管理有关的服务器转至安全管理服务区，上述所添加的服务器也集中布置在该区域。安全服务区的划分居于核心交换机6509上，添设一台防火墙并与6509相连接，还要增设一台24口的百兆交换机来接替。此外，在网络入口可以设立能够过滤网络传输过程中的病毒的设备。

其次，在VPN接入区的防火墙可以更新为提供硬件加速功能的VPN高性能防火墙。

再者，将于核心交换机6509上独立划分的信令检测VLAN由原有的接入到网管网络转变为接入到信令检测系统，并且在信令检测系统的接口处增设一台IDS用来对该区域的网络攻击行为进行检测。

最后，尽管两台防火墙已经在网管网络和数据业务系统的接口处增设，但是对于攻击行为仍旧难以及时发现，所以要增设一台具备两个监听口的攻击行为检测设备，接口接入交换机上，将管理口接到安全管理区域以便统一管理。

2.完善入侵检测系统

随着技术的不断更近以及网络的日益复杂，防火墙的诸多漏洞逐渐暴露出来，防火墙的缺陷可以由网络入侵检测系统来提供后续帮助，因此开发出完善的入侵检测系统尤为重要，它可以为网络安全提供具体、及时的入侵检测和相关的防护措施，例如，断开网络连接、记录下入侵证据、跟踪入侵行踪等。该系统具有以下几点优点：检测无访问权限的非法入侵行为；系统出现故障不会对正常的业务运行产生影响；不会影响服务器等主机的内存、磁盘等空间资源的使用；安装简便。同时，该系统也有一些不足之处：该系统只能检测与它直接相连的网段的网络包；对某些必须经过大量计算和分析的入侵难以检测出；有传输回大量数据到分析系统中的可能等。

3.保证终端安全

由于现阶段的LANDESK系统不能自主分发和管理补丁，并且没有桌面安全管理的功能，所以要升级该软件至安全套件，自动查杀修复漏洞，为桌面安全提供保障。

（三）服务器性能管理系统

在安全管理服务区增设性能管理的服务器以对性能数据进行分析、处理和保存。安装性能管理门户到该服务器上，该门户要统一标准，以用户为对象，以浏览器为基础。可以在各服务器上装置监控用来保存系统的各项性能和可利用的信息，传输至管理服务器上。

四、总结

经济社会的发展趋向网络信息化，是社会现代化进程的主要标志。由于网络的开放性和共享性等自带特征的存在，网络信息安全犯罪事件也在不断上升，对数据网的入侵技术手段也在不断变更，对于企业来说，无疑是其信息化发展的障碍物，因此，健全企业数据网安全防护体系迫在眉睫。网络的安全防护问题并非易事，某项技术的成功研发或某个制度的颁布并不能起到遏制作用，必须将网络安全技术、网络安全管理等结合起来，才能解决网络安全问题。

参考文献

[1]乔伟.企业数据网安全防护体系的研究与实现[M].计算机科学与技术，2009.

[2]唐晓兰，刘中临，刘嘉勇.一种基于知识库的行为特征检测模型[J].信息安全与通信保密，2012（02）.

[3]罗丽华.上海电力数据网络安全系统建设[J].中国电机工程学全电力通信专业委员第5届学术会议论文，2009（11）.

[4]张明浩.计算机病毒防范艺术[J].科技信息，2007（04）.

[5]（美）斯泽著.段新海译.计算机病毒防范艺术[M].机械工业出版社，2007.

[6]曹军.电力企业网络安全架构的探索与实践[J].电力信息化，2006（11）.