网络安全决策和运用技巧

一、网络安全防御构建思考

1风险隐患分析

目前在网络安全领域中存在诸多误区，经常一种说法是“某某产品是防止外部入侵的安全产品，某某产品是保证内部网络安全的产品……”。笔者认为这种认识是不全面的，在设计安全体系、选择相关产品之前，必须从安全和风险的关系考虑企业网络系统的安全风险所在。安全风险主要来自企业网络外部和网络内部两个方面。企业外部的安全风险主要包括：黑客的攻击；病毒的传播。网络内部的安全风险主要包括：非授权访问；信息泄露和丢失；破坏数据完整性；内部攻击；缺乏安全制度和安全标准。

按照网络资源重要性和对资源的控制程度可以把网络分为“管理域”和“非管理域”，如图!所示。以长城公司的信息系统为例，网络的重要服务器区是企业核心数据库服务器群；一般服务器区则主要为应用服务器和网络系统服务器等；特殊部门区是企业内部重要部门，有别于一般工作区内的部门，例如资金财务部、人力资源部、办公室和审计部等；公共信息交换区则布置在Internet接入防火墙的DMZ区；一般工作区是企业中一般业务部门；分支机构则为企业各个办事处、项目组等。

2安全体系构架

安全体系构架包括物理层安全、网络层安全、系统层安全、应用层安全和管理层安全五部分，构建完善的安全体系构架，需要对每个层次的安全系统进行详细设计。

目前普遍存在的一种做法是将物理层、网络层、系统层、应用层、管理层完全割裂开，各自实现自己层面的安全问题，这种方式实施到最后仅是一张杂乱无序的网，系统可扩展性、彼此协调保护性、可管理性极差，不但降低了系统整体的防护能力，也使工作毫无目的性可言。安全体系构架的五个层面安全实现不能完全割裂，只有强调整体的安全体系构架，才能构建真正意义上的网络安全平台。

二、建立统一的安全管理模式

下面以长城资产管理公司为例，说明整合基于非局域网用户的应用平台、系统平台、网络平台的单点登录是如何实现的（图!是单点登录的实现过程示意图）。

单点登录的操作步骤如下：

1.用户进行域登录。远程用户通过Internet远程访问建立VPN通道，通过域登录验证成为域的合法用户。

2.用户访问应用服务器（IIS），当用户没有经过!登录域，此时会弹出窗口要求用户输入用户名和密码进行验证。

3.应用程序将客户端发送来的账户信息到域服务器中进行用户验证并得到用户的其他相关信息。

4.应用程序利用账户信息从数据库中得到当前用户的权限信息，从而得到此用户的访问控制列表。

5.根据得到的访问控制列表返回给用户相应的用户界面。

三、强化数据的安全保护措施

1.数据库服务器的安全保护

核心数据作为企业最宝贵的财富，其重要性不言而喻，是整个安全保护体系的重中之重。核心数据库服务器应该作为数据大集中下网络安全首要考虑对象，其安全性和可靠性的程度将直接影响到整个应用系统的正常运行，在这个区域应将安全的概念扩大，把设备、线路的冗余以及灾难备份措施等都囊括到“安全”的范畴上来。

2.一般服务器区

一般服务器区又分为应用服务器和网络系统服务器，分别属于不同的VLAN。局域网内部用户、办事处用户通过专线或VPN访问公司内部资源，都需要先登录到统一的WINDOWS域内。访问应用服务器或任何局域网内部资源都需要通过域服务器的认证授权，实现应用系统的单点登录。

3特殊部门区

公司内部有些部门有别于一般工作区内的部门，如资金财务部、人力资源部、办公室等，要按照需求进行特殊的访问限制、认证授权、病毒防护等。

4公共信息交换区

公共信息交换区布置在Internet接入防火墙的DMZ区，不同DMZ区内防火墙不能互相访问，禁止由DMZ区内服务器主动向外部发起连接。

5一般工作区

通过VLAN设定其部门之间的广播域，并根据访问控制列表进行VLAN之间访问限制。桌面装有防病毒软件，并通过局域网防病毒中心进行及时的病毒库更新。

6Internet区边界

在企业网络与Internet区的边界上，不但要限制来自外部的访问，过滤不友好的访问，同样要制订严格的策略，限制内部向外发起的连接。

7VPN访问

我公司采用远程访问VPN技术提供办事处移动用户的业务访问安全。除了通常的VPN技术实现之外，我们将应用、操作系统和VPN结合，实现了真正意义上的网络/系统/应用/管理四位一体的安全。VPN用户进入网络之后，必须通过域登录才能访问其相应资源。应用系统对域用户赋予了相应权限，可以一次登录后在不同应用系统之间进行平滑切换。