浅析企业网络纵深防御体系相关问题

摘要:企业信息化与电子商务的迅速发展使企业的网络安全问题日益凸现出来。本文从分析网络安全现状和企业网络的特点出发,在遵循网络安全领域基本原理和公认标准的基础上,提出了一个基于动态安全模型的企事业网络纵深防御体系。

关键词:企业网络安全;网络防御体系;动态安全模型;系统检测

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 07-0000-01

Related Issues of Enterprise Network in Defense Depth System

Lian Qiang

(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)

Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.

Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing

一、引言

网络安全体系结构是从系统的、整体的角度来考虑网络安全问题。参照权威的信息安全标准,围绕企业网络特点,以先进的网络安全理论为指导的,是解决企业网络安全体系问题的必不可少的手段[1,2]。本文正是基于这个思路,力争站在一个统揽全局的层次上,摒弃企业网络的实现细节,抽象网络安全需求,建立一个完善的企业网络安全模型与体系。

二、企业网络动态安全模型

针对一个具体的网络系统,网络活动、网络的系统管理甚至网络体系结构都可能是一个动态的、不断变化的过程,所以,在考虑网络的安全性时,应从被监控网络或系统安全运行的角度,根据实际情况对网络(或系统)实施系统的安全配置。也就是说,网络安全应是一个从网络运行的角度考虑其安全性的动态过程。

这里提出的可自适应网络安全模型P2DR就是这样一个动态的安全模型。其中,安全策略用以描述系统的安全需求以及如何组织各种安全机制来实现系统的安全需求。从基于时间的角度及普遍意义上讲,P2DR模型概括了信息网络安全的各个方面。我们需要根据模型做出自己的定义和阐述,使其符合企业网络安全防御体系的需要。

(1)

公式中Pt表示系统为了保护安全目标而设置各种保护后的防护时间,也可认为是黑客攻击系统所花的时间。Dt表示从攻击开始,系统能够检测到攻击行为指导所花的时间。Rt为发现攻击后,系统能做出足够响应将系统调整到正常状态的时间。如果系统能满足上述公式,即:防护时间Pt大于检测时间Dt加上响应时间Rt,

则认为系统是安全的,因为它在攻击造成危害前就对攻击做出了响应并做出了处理。

(2) ,if

公式中Et表示系统的暴露时间,假定系统的防护时间Pt为0,即系统突然遭到破坏,则希望系统能快速检测到并迅速调整到正常状态,系统的检测时间Dt和响应时间置之和就是系统的暴露时间Et。该时间越小,系统安全性越好。由此,我们可以得出动态网络安全的新概念:及时的检测和响应就是安全。

三、基P2DR模型的企业安全防御体系

根据前面叙述的P2DR动态网络安全模型,针对企业的网络系统,我们可以在对网络系统进行安全评估的基础上制定具体的系统安全策略,借助现有各种网络安全技术和工具,设立多道的安全防线来集成各种可靠的安全机制从而建立完善的多层安全防御体系,以求能够有效地抵御来自系统内外的入侵攻击,达到企业网络系统安全的目的。

(一)以安全策略为中心

企业规程应该简明扼要。规程不应包含技术实施的详细内容,因为这些内容经常更改。设计安全策略时应认真制订计划,以确保所有与安全有关的问题都得到充分重视。

(二)系统预警

预警是防患于未然,因此有效的预警措施对企业网络安全十分重要。对安全漏洞的扫描是系统预警的重要方面。所谓漏洞扫描是指利用扫描程序(scanner)自动检测远端或本地主机安全脆弱点。在网络管理员的手里,扫描程序可以使一些烦琐的安全审计工作得以简化。我们可以将常用的攻击方法集成到漏洞扫描程序中,输出统一格式的结果,这样就可以对系统的抗攻击能力有较为清楚的了解。

(三)系统防护

系绕防护包括系统论证、访问控制、加密传输、数据完整性检查等。防火墙作为一种传统的网络安全产品,其主要功能就是实施访问控制策略。访问控制策略规定了网络不同部分允许的数据流向,还会制定哪些类型的传输是允许的,其它的传输都将被阻塞。加密传输也很重要。由于Internet上数据的时文传输,维修Internet造成了很大的顾虑。随着全球经济一体化趋势的发展,加密是网络防御体系中日益重要的一块,在Internet上构筑虚拟专用网(VPN)是解决加密传输的一种普遍实用的方法。

(四)系统检测

检测包括入侵检测、网络审计和病毒检测,入侵检测和网络审计的功能有很大的重复性,它们可以互为补究。其数据源也可以一次采集,重复利用。入侵检测作为一种动态的监控、预防或抵御系统入侵行为的安全机制,是对传统计算机机制的一种扩充,它的开发应用增大了网络与系统安全的保护纵深,这是因为:现有的各种安全机制都有自己的局限性。

四、结语

本文描述了企业网络的组成与特点,指出了我国企业安全存在的问题。针对这些问题,说明了P2DR动态安全模型,并详细阐述了基于P2DR模型的企业网络安全防御体系,解释了体系各部分的组成和功能。

参考文献:

[1]杨波.网络安全体系及防火墙技术[J].软件导刊,2009,02

[2]孟昕.赵喜洋.电子政务外网的网络安全体系建设[J].信息技术,2010,03