企业网络安全解决方案设计

赵菁

摘要：本文讨论了企业网络安全解决方案中的三大技术，给出企业网络安全解决方案设计的方法：在充分做好企业网络安全现状及风险评估的基础上，对企业网络安全进行需求分析，进而从边界安全、身份安全和访问管理、数据保密、安全监控和安全管理5部分给出了网络安全方案设计的依据。

关键词：企业网络；风险评估；防火墙；VPN；入侵防御；安全；解决方案

中圖分类号：TP393 文献标识码：A 文章编号：1007-9416（2017）09-0195-01

1 相关技术

（1）防火墙。防火墙是不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流。

（2）VPN。VPN（Virtual Private Network）即虚拟专用网，被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过非安全网络的安全、稳定的隧道。根据VPN的服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN（Intranet VPN）和外联网VPN（Extranet VPN）。

（3）Ips。IPS（Intrusion Prevention System，入侵防御系统），是一种基于应用层、主动预防的产品，它以在线方式部署于网络关键路径，通过对数据报文的深度检测，实时发现威胁并主动进行处理，目前已成为应用层安全防护的主流设备。入侵防御系统的两大基本技术点：DPI（深度报文检测）与在线模式。

2 企业网络安全现状及风险评估

（1）了解企业安全现状。要做好这一步工作，首先应充分了解企业的业务背景，如企业的网络规模与信息应用的情况？业务系统有哪些，它们的网络应用情况？根据这些情况，调研该企业对目前的应用情况，并进行分析，客观地得出企业的应用及网络情况，如企业的核心应用与企业局域网、互联网的连接情况如何？核心数据的存储方式与访问方式如何？企业对网络或计算机故障的潜在风险的承受力如何？在调研以上基本情况的前提下，调研并分析该企业的基本网络结构。

（2）风险评估。在企业网络安全现状分析的基础上，分析并评估企业网络安全情况。这项工作应给出具体风险，包括企业内网安全控制方面，网络边界的防护情况；对用户的访问控制；防病毒；企业的远程用户、分支机构或合作伙伴对企业资源的访问、网络平台安全等情况。

3 企业网络安全需求分析

针对当前网络系统存在的安全隐患，提出具体的要求，从而保障网络环境的安全。网络安全需求分析可以从边界安全、身份安全和访问管理、数据保密、安全监控和安全管理5部分考虑。并应根据企业的实际情况进行具体分析，根据对企业安全评估的结果进行具体分析。

4 方案设计

4.1 边界安全

边界的复杂性：除了指内部网络和公网之间的界线，也可以建立在网络内部的任何位置，或者建立在公司的网络与合作伙伴的网络之间。

可靠的边界安全解决方案：应做到放行那些由安全策略所定义的通信，同时保护网络资源免遭破坏、攻击和非法使用。它可以控制网络的各个出入口，也可以通过实施多层安全措施来保护用户的通信。

防御的分层：即把网络分为边界、分布层、核心层和接入层。多层边界解决方案如图1所示。

在边界安全问题上，应充分考虑网络二层、三层的安全特性。在网络设备之间进行数据传输时，如果二层不能得到有效的保护，那么即使在上层实施最好的安全策略也无济于事。因此加固数据链路层势在必行。

4.2 身份安全和访问管理

当网络延伸到园区之外时，网络安全的重要性和管理网络的复杂性随之增加。访问管理解决方案是一个基于策略的实施模型，它可以确保用户是在以安全的方式管理网络。如在网络设计时提供AAA安全服务，以控制用户对网络和资源的访问。还可以根据需要，设计更加强大的用户认证方式，如多重认证系统、硬件标记、S/KEY和智能卡等方式进行认证。另外，还应考虑WLAN的安全接入问题。

4.3 数据保密

VPN有两大类型：安全VPN（也称作加密VPN），包括IPSEC、基于IPSEC的L2TP、SSL；可信VPN（也称作非加密VPN），包括MPLS VPN（L3 VPN）、LPLS（虚拟专用LAN服务，L2VPN）等。可信VPN最主要的特点是依赖于运营商来为客户提供专用电路或通道。当企业的分支机构、合作伙伴、出差用户等需要访问企业的资源时，对于企业网络来说，常见的包括IPSEC VPN、SSL VPN。

4.4 安全监控

当今的企业网络系统应能实时检测并缓解由病毒、蠕虫及其他入侵代码和程序造成的网络威胁。在网络中合理地设计IPS解决方案，可以有效解决以上威胁，IPS 可以部署在数据中心、部署在广域网边界、部署在外网Internet边界、旁路部署在DMZ、部署在内部局域网段之间。另一个重要的部分是主机层面的安全，相关的安全产品可以解决终端设备的安全，如Cisco安全代理（CSA）。

4.5 安全管理

安全管理通常包括两大方面，一是安全和策略管理，主要指对网络中的各种设备的管理；二是指在管理企业时，相关人员必须对信息的机密性和完整性进行有效的控制和管理。

5 结语

本文从边界安全、身份安全和访问管理、数据保密、安全监控和安全管理5部分讨论了企业网络安全整体解决方案的设计方法，在设计网络方案时，应综合考虑这些方面，以降低企业网络风险，为扩展企业内部网、外部网和电子商务网等业务提供基本保障，并保护敏感数据及公司资源，使它们免遭黑客的入侵和破坏。endprint