分层架构企业网络安全

马澜

【摘 要】随着网络的普及化，企业信息化建设对安全的要求日益加剧。本文讨论了企业信息化发展中的网络威胁以及分层架构企业网络安全的概念，并结合企业的网络安全实例进行具体阐述。

【关键词】企业信息化；网络安全；分层架构

【中图分类号】TP393.18 【文献标识码】A 【文章编号】1672-5158（2013）03-0134-02

一、概述

网络的最大价值，在于信息化的应用。由于企业信息化与企业生产经营已经逐渐成为一个共同的载体，企业对安全保护的要求日益提高：一方面要求连接性、可用性、性能表现、成本及管理受到最低程度影响，另一方面要求安全保护能全面覆盖操作系统、网络及数据安全。

利用结构化的观点和方法来看待企业网络安全系统是现今主流的思想，通过各层的弱点及攻击的可能性对各层进行分析及防护，对可能发生的攻击事件或漏洞做到事前防护，合理的利用各种硬件设备，通过完善的管理手段来建设一个稳定、安全、可靠的企业信息网络平台。

二、企业网络威胁分析

在网络安全隐患无处不在的今天，安全需求也格外重要。在架构企业网络前，应当全面的分析相应网络中可能存在的安全隐患，以及网络应用中必要的安全需求。

从企业目前的网络使用情况及日后的应用发展来看，主要存在以下四个方面的安全威胁：

2.1 病毒感染

病毒感染是危害面最广的安全隐患，威胁整体网络运行，存在于个人计算机中。组建网络之前就应该对病毒的防范策略进行全面的计划，选择部署网络系统的整体病毒防御系统。

2.2 黑客入侵和攻击

相比病毒来说，黑客攻击的危害性更大，而且入侵途径和攻击方式更加多样化，难以预防。目前防御黑客攻击的措施主要是通过部署防火墙系统、入侵检测系统、网络隔离技术等防御黑客攻击，还应辅以系统漏洞和补丁升级系统。

2.3 非法访问

非法用户访问企业网络时可能携带、放置病毒或其它恶意程序，也可能删除服务器系统文件和数据以及窃取公司机密信息等等。防御非法访问的措施除了防火墙系统、入侵检测系统和网络隔离技术外，还应注意在网络管理中引入安全机制，如对关键部门划分子网隔离保护，对重要的数据和文件进行加密以及对于需要进行远程访问的用户，注意权限配置工作。

2.4 数据损坏或丢失

网络数据对于一个依靠计算机网络开展工作的企业来说，它的重要性是无法比拟的。数据的备份是一切安全措施中最彻底、最有效，也是最后一项保护措施。

三、分层架构概述

企业网络管理的核心是网络应用，如何架构一个安全、可靠的网络环境是网络管理的一大课题。

3.1 分层架构概念

企业网络安全是系统结构本身的安全，应利用结构化的观点和方法来看待企业安全系统。

全方位的、整体的信息安全防范体系应分层次，因为不同层次反映了不同的安全问题。根据搭建网络的应用现状和结构，从物理层安全、系统层安全、网络层安全、应用层安全及安全管理五个方面来考虑网络的安全架构[2]。震、水灾、火灾等环境事故以及人为失误或错误而造成的破坏。

3.3 系统层安全

主要包括操作系统安全和应用系统安全。

3.4 网络层安全

该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的加密与解密，远程接入的安全，入侵防范的手段，网络防病毒、信息审计等。

3.5 应用层安全

主要包括网页防篡改、数据库的漏洞修补、数据的完整性检验以及数据的备份和恢复。

3.6 安全管理

安全管理是构建安全架构的核心。网络安全所要达到的效果是保证网络应用。

安全方面所谓的“三分技术，七分管理”就是通过管理手段和技术完善巩固边界。信息安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。

四、企业网络安全体系的建立

4.1 需求分析

在此结合某企业网络规划对分层架构安全体系进行具体解释并对网络层的安全进行重点研究。

某企业本部网络由核心交换机、IPS、防火墙等若干网络设备组成，分支机构均使用防火墙，采取墙对墙的方式进行访问，移动办公用户通过vpn方式访问本部各种应用服务。本部的DMZ区域放置有若干服务器以及电子商务平台。对于这样的一个网络结构，我们重点来分析一下如何按照分层的概念建设企业的网络安全。这里需要明确目前以及未来几年的安全需求，即我们需要建设什么样的网络，需要什么样的应用，网络状况如何，未来发展如何等等，才能有针对性地构建适合于自己的安全体系结构，从而有效地保证网络系统的安全。

4.2 物理层

物理层的安全主要就是对设备和链路及其物理环境的安全保护。

这里着重考虑机房的建设。机房承载所有应用系统运行的数据中心，机房安全是最基础的安全保障。机房的建设除了要保证温度、湿度、防雷、防火以及不间断供电（ups）以外，还应注重机房的综合布线布局，做好整体规划及标记，力争布线的简洁、有序，便于日后维护及故障排查。

4.3 系统层

系统层的安全，主要考虑操作系统的漏洞补丁。对于应用系统服务器来说，除了加强登陆的身份认证权限，还应该尽量开放最少的端口，保证服务器的正常使用即可。

4.4 网络层

网络层安全是我们考虑最多，也是防范要求最多的一个层面。这里从以下几个方面进行阐述：

4.4.1 确定安全域的划分

安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源，根据对企业的重要性、面临的外来攻击风险、内在的运行风险不同，划分成多个网络安全区域。

划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内，尽量消除不同安全层次之间的联系，实施相互逻辑或物