关键字:企业网络 系统安全 设计策略
企业网络安全性设计是网络设计中极其重要的内容。 企业网络信息系统是计算机技术和通信技术相结合的产物,是计算机资源在更广泛的地理区域内的共享,具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。正是由于这些特点,增加了网络系统的实用性,同时也带来了系统的脆弱性,特别是在用户识别和存取控制方面存在着薄弱环节。
企业网络系统安全设计目标的确立,应以企业网络信息需求为依据,根据企业网络信息处理的主要特点,针对企业网络整个系统各种信息的关键性及敏感程度,合理地评价其安全性级别,综合进行风险分析及系统脆弱点分析,全面确定整体系统的安全策略,建立一套完整的安全控制体系与保证体系。 安全控制的具体方法主要包括物理访问控制与逻辑访问控制。 对网络中任何节点的物理访问都应受到物理访问控制,如通信链路中的电缆、接线柜等及网络中的Hub、路由器、交换机等部件的物理访问控制。
逻辑访问控制识别并验证用户,将用户限制在被授权的活动和资源范围内,它主要包括对资源提供选择性保护,使用户对不同的数据库具有不同的访问权限,提供访问级别和撤消授权的能力,用唯一的用户ID来识别每一个用户。提供鉴别能力使系统能够验证一个用户的确切身份,即仅该用户知道的口令,或仅该用户拥有的特征如签名等。记录资源利用情况,并将该信息报告给适当的工作人员。 当然,一个好的企业网络安全设计需要在常识与极端之间寻求平衡,本文只就其中一些问题提出一些解决策略。
一、企业网络系统安全设计策略 1.局域网络安全 企业网络设计支持虚拟网络功能。虚拟网络是一种物理网络,可利用网络管理应用软件逻辑地把它分割成分离的、独立的工作组。这些逻辑工作组或称虚拟LAN,如同共享介质LAN一样工作,而不受介质带宽限制。虚拟LAN(VLAN)中的每个端点用户可直接与同一VLAN中的其它用户通信。VLAN之间的网络交通必须通过某种策略管理设备来管理,如路由器。这就允许网管人员为安全原因设置火墙保护,在工作组间建立安全策略。 在一个给定的物理基础设施中可分割出多种不同的VLAN组合。这种灵活性允许VLAN的成员可根据网络用户的需要决定,而不是根据它们在网上的物理位置决定。五层楼的用户可方便地连入二层楼的工作组,工作组成员关系可随组织变化而动态地变化。 单个的VLAN的操作就如同一个子网一样,子网上的用户可彼此直接通信,当跨越子网边界时要通过路由器。虚拟LAN与子网的唯一区别就是单个的子网是彼此重叠在单一的公共物理设施上的。 虚拟LAN能够改善网络安全性。
安全性的一个方面是控制进入网络的用户连接。由于具有了对移动、加入以及变更的控制能力,使得网络中的连接控制也得到加强。网管系统了解虚拟网中所有的终端用户,并可对连接哪些用户、在何处需要存取何种服务等实行各种策略及控制。 除了网络的基本连接控制之外,虚拟化还可控制哪一对用户可以通信及允许使用何种特定应用。这些能力大部分在今日网络中都是以路由过滤及策略表形式提供的。由于虚拟化除去了子网成员的物理限制,一个工作组中的所有成员都在同一个VLAN中,而且路由器用来控制出入工作组的存取。由于路由器的交通负载减少了,它们应将可用带宽用在满足组织中特殊部门的安全性要求上。