关于某金融企业网络安全应用技术的探讨

摘要：分析了某金融企业网络使用现状及存在的安全威胁,探讨了该企业网络的安全应用技术。

关键词：网络 安全 防火墙 VPN IDS

中图分类号：TP393 文献标识码：A 文章编号：1007-9416(2012)07-0174-01

1、某金融企业计算机网络使用现状

某金融企业的计算机网络被划分成两个个部分：一个是内部网络，即在某企业系统中进行内部网络互联的广域网；一个是外部网络，即与国际互联网相连接的www网络。

内部网络采用星型的拓扑结构，以企业本部为中心，上连总公司，下辖数十个营业网点，共有信息点近千个。主干网采用光纤传输，网络地址使用的是A类地址，C类掩码。公司本部和总公司以及所辖营业网点之间采用双线路备份，主线路使用cisco路由器和电信公司光纤线路，使用ATM相连接，备份线路也是使用cisco服务器和电信公司光纤线路，使用MPLS方式连接。公司本部和其他合作往来的相关企业比如银行、邮政等通过cisco路由器和电信公司光纤线路相连。

外部网络与内部网络采用了物理隔离的方式，审批通过获准上网的客户终端通过切换信息点的方式将网络从内网断开，接入互联网获取web服务和Email服务。

2、目前该金融企业网主要存在的安全威胁

该金融企业内外网物理隔离的策略基本避免了来自互联网的网络攻击，是一种相对安全的防范措施，此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

虽然物理隔离有效杜绝了外来入侵，但网络内部依然存在很多安全隐患。

2.1 物理安全问题

物理安全产生的原因有：空气的温度和湿度等造成的系统故障、设备故障、电磁干扰、线路截获等。物理安全比较少见，但问题出现后，解决的速度比较慢，造成的损失大而持久。

2.2 病毒入侵

从广义上来讲，凡是能引起计算机故障的程序统称为病毒，传播快、种类多、范围广、破坏性大、变化快是是病毒的主要特点，即使最先进的防病毒软件也总是落后于新病毒。而且不管功能多么强大的防护技术也无法独立有效地完成安全防护任务。企业内部网络用户的一些行为也致使计算机容易感染病毒：不安装杀毒软件、安装了杀毒软件不及时升级、桌面用户在终端使用各种不可靠的移动介质等。

一旦感染病毒，轻则电脑系统变慢，重则导致用户电脑瘫痪，某些蠕虫病毒还会导致整个部门网络瘫痪，业务中断。

2.3 内部恶意攻击

在内部网络中，任意一台计算机都可以访问其他连接在网络中的计算机，互联网上的黑客手段在局域网内部同样有效，这些条件让内部人员非法获取重要信息、信息变得轻松方便，内部网络的安全性受到极大威胁。

2.4 非授权网络接入

企业内部人员的一些违规行为使物理隔离失去意义，比如内网主机擅自更换隔离卡的内外网口、网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、无线AP、以太网接入等，给整个企业内网带来严重的安全威胁。

3、网络安全策略

3.1 虚拟局域网技术

在公司网络核心交换机-cisco 6509交换机上划分多个VLAN ，VLAN的划分可以隔离广播域，提高网络性能，同时，还可以对机要部门进行隔离，比如公司业务部门用户不能访问数据中心服务器资源。提高了安全性。VLAN使网络的拓扑结构变得非常灵活机动，它可在诸如IP地址、端口、mac地址等不同形式上产生。VLAN对每个子网间的非授权访问有限制作用，并能设置MAC/IP地址绑定。VLAN工作在OSI参考模型的数据链路层和网络层上，VLAN子网间的通信通过网络层的路由器或者三层交换机来转发，运行不同地理位置的用户加入一个逻辑子网中。

3.2 防火墙技术

防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据安全策略对出入网络的信息流进行有效的控制，防火墙的组成可以理解为网络过滤器和安全策略的组合，在安全策略中，主要包括网络访问、服务访问、用户认证、数据加密、病毒防御等，仅利用防护墙设备，不设置合理的安全策略，防火墙将形同虚设。公司的核心交换设备cisco 6509中有FWSM防火墙模块，安全管理人员可以设置安全策略实现对中心服务器群的保护和VLAN间访问控制。另外，公司所辖营业网点接入本部网络之前要经过天融信硬件防火墙。

3.3 入侵检测系统

入侵检测系统，英文名称Intrusion Detection System，即IDS，作为防火墙功能不足的补充，检测并报告系统中没有授权或异常状况的一种计算机系统安全技术，通过预先设置安全策略，从网络中的若干关键点收集信息、分析信息，检测网络中是否有违反安全策略的行为，分析是否有遭受攻击的迹象。IDS被认为是防火墙之后的第二道安全闸门，能帮助系统对付网络攻击。

3.4 其他措施

公司构建了整体病毒防范体系，网络中的每台工作站、服务器及网关处全部部署相应的网络防病毒产品，对每一层进行分别控制和管理，在病毒可能利用的各个传播渠道对病毒进行拦截和查杀，从而达到病毒整体防护的功效。病毒码的更新及操作系统、软件补丁的更新服务器端统一设置，客户端自动更新。

公司还采取了一些措施保证网络安全，比如主机系统双击冗余备份、严格的主机用户和密码的权限管理、自动化集中数据备份及异地备份、数据镜像、容错、数据审计，利用Ciscoworks网管软件进行网络安全监视等。

参考文献

[1]于承斌.基于防火墙的双出口路由策略的设计与实现[J].计算机系统应用,2010,(06):131-134.

[2]矫健,韩芳溪,毛忠东.网络攻击手段及防御系统设计[J].计算机工程与应用,2003,(33):168-170.

[3]Peter Szor.计算机病毒防范艺术[M].北京:机械工业出版社,2006.6.2.

[4]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007,(05):17-20.