【文章內(nèi)容簡(jiǎn)介】 法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密。內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全——隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。（一）中小企業(yè)網(wǎng)絡(luò)安全需求分析　　目前的中小企業(yè)由于人力和資金上的限制，網(wǎng)絡(luò)安全產(chǎn)品不僅僅需要簡(jiǎn)單的安裝，更重要的是要有針對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案。其著眼點(diǎn)在于:國(guó)內(nèi)外領(lǐng)先的廠商產(chǎn)品。具備處理突發(fā)事件的能力。能夠?qū)崟r(shí)監(jiān)控并易于管理。提供安全策略配置定制。是用戶能夠很容易地完善自身安全體系。歸結(jié)起來(lái)，應(yīng)充分保證以下幾點(diǎn):　　網(wǎng)絡(luò)可用性:網(wǎng)絡(luò)是業(yè)務(wù)系統(tǒng)的載體，防止如DOS/DDOS這樣的網(wǎng)絡(luò)攻擊破壞網(wǎng)絡(luò)的可用性?！　I(yè)務(wù)系統(tǒng)的可用性:中小企業(yè)主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞?！　?shù)據(jù)機(jī)密性:對(duì)于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來(lái)企業(yè)商業(yè)利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性?！　≡L問(wèn)的可控性:對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問(wèn)必須得到有效的控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問(wèn)者的身份，謹(jǐn)慎授權(quán)，并對(duì)任何訪問(wèn)進(jìn)行跟蹤記錄?！　【W(wǎng)絡(luò)操作的可管理性:對(duì)于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審計(jì)和日志功能，對(duì)相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能。易用的功能。（二）建立UTM(統(tǒng)一威脅管理)以滿足中小企業(yè)的網(wǎng)絡(luò)安全需求　　網(wǎng)絡(luò)安全系統(tǒng)通常是由防火墻、入侵檢測(cè)、漏洞掃描、安全審計(jì)、防病毒、流量監(jiān)控等功能產(chǎn)品組成的。但由于安全產(chǎn)品來(lái)自不同的廠商，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，因此安全產(chǎn)品之間無(wú)法進(jìn)行信息交換，形成許多安全孤島和安全盲區(qū)。而企業(yè)用戶目前急需的是建立一個(gè)規(guī)范的安全管理平臺(tái)，對(duì)各種安全產(chǎn)品進(jìn)行統(tǒng)一管理。于是，UTM產(chǎn)品應(yīng)運(yùn)而生，并且正在逐步得到市場(chǎng)的認(rèn)可。UTM安全、管理方便的特點(diǎn)，是安全設(shè)備最大的好處，而這往往也是中小企業(yè)對(duì)產(chǎn)品的主要需求?！　≈行∑髽I(yè)的資金流比較薄弱，這使得中小企業(yè)在網(wǎng)絡(luò)安全方面的投入總顯得底氣不足。而整合式的UTM產(chǎn)品相對(duì)于單獨(dú)購(gòu)置各種功能，可以有效地降低成本投入。且由于UTM的管理比較統(tǒng)一，能夠大大降低在技術(shù)管理方面的要求，彌補(bǔ)中小企業(yè)在技術(shù)力量上的不足。這使得中小企業(yè)可以最大限度地降低對(duì)安全供應(yīng)商的技術(shù)服務(wù)要求。網(wǎng)絡(luò)安全方案可行性更強(qiáng)。UTM產(chǎn)品更加靈活、易于管理，中小企業(yè)能夠在一個(gè)統(tǒng)一的架構(gòu)上建立安全基礎(chǔ)設(shè)施，相對(duì)于提供單一專有功能的安全設(shè)備，UTM在一個(gè)通用的平臺(tái)上提供多種安全功能。一個(gè)典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測(cè)等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設(shè)備，也可以根據(jù)自己的需要選擇某幾個(gè)方面的功能。更為重要的是，用戶可以隨時(shí)在這個(gè)平臺(tái)上增加或調(diào)整安全功能，而任何時(shí)候這些安全功能都可以很好地協(xié)同工作。（三）以三星Ubigate IBG ISM(集成安全模塊)的UTM整體安全網(wǎng)絡(luò)架構(gòu)方案　　隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已不足以應(yīng)付來(lái)自各種攻擊了。例如，那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻/VPN安全體系所無(wú)法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。結(jié)合中小企業(yè)的網(wǎng)絡(luò)特征，我們建議采用基于三星Ubigate IBG ISM(集成安全模塊)的UTM整體安全網(wǎng)絡(luò)架構(gòu)方案。圖1　　如圖1所示，這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻amp。VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。對(duì)于內(nèi)網(wǎng)安全，特別是移動(dòng)辦公，client quarantine(客戶端隔離)將對(duì)有安全問(wèn)題的主機(jī)進(jìn)行隔離，以免其對(duì)整個(gè)網(wǎng)絡(luò)造成更大范圍的影響。這給整個(gè)企業(yè)網(wǎng)絡(luò)提供了安全保障?；?Samsung Ubigate IBG ISM的UTM提供了當(dāng)今最高級(jí)別的安全性，可以檢測(cè)到任何異常操作并立即關(guān)閉可疑的通訊途徑。網(wǎng)絡(luò)安全平臺(tái)的設(shè)計(jì)由以下部分構(gòu)成:　　防火墻amp。 VPN系統(tǒng):用基于狀態(tài)檢測(cè)的防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。 VPN 為遠(yuǎn)程辦公人員及分支機(jī)構(gòu)提供方便的VPN高速接入，保護(hù)數(shù)據(jù)傳輸過(guò)程中的安全，實(shí)現(xiàn)用戶對(duì)服務(wù)器系統(tǒng)的受控訪問(wèn)?！　DS/IPS簽名檢測(cè):ISM采用高速模式匹配實(shí)現(xiàn)高速簽名篩選，從而保證網(wǎng)絡(luò)性能最優(yōu)化。IPS系統(tǒng)能夠?qū)λ袛?shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)。對(duì)于可疑攻擊行為，IPS系統(tǒng)采用靈活的策略進(jìn)行相應(yīng)處理，大大降低了IPS系統(tǒng)誤報(bào)和漏報(bào)給內(nèi)部網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn)。　　病毒檢測(cè):ISM 中的代理將每個(gè)會(huì)話的有效負(fù)荷組裝至文件，然后將該文件發(fā)送至系統(tǒng)的防病毒引擎檢查該文件，若感染病毒，則修復(fù)文件，然后將文件傳輸至其原始目的地。支持對(duì)HTTP、SMTP、POPFTP等協(xié)議的病毒檢測(cè)?！　⊥ㄓ嵁惓z測(cè):包括掃描檢測(cè)，會(huì)話限制，TCP/UDP/ICMP洪泛攻擊檢測(cè)和阻止。ISM具有強(qiáng)大的防DOS/DDOS功能，不但可以防御外網(wǎng)的DOS/DDOS，同時(shí)對(duì)于內(nèi)網(wǎng)用戶發(fā)起的DOS攻擊，UTM 安全網(wǎng)關(guān)也可以進(jìn)行防御?！　】蛻舳烁綦x:隔離是抑制蠕蟲和病毒爆發(fā)的最有效方法。為實(shí)現(xiàn)此目標(biāo)，ISM 將安裝 Desktop Agent 并與所有內(nèi)部客戶端的Desktop Agent進(jìn)行通信。 如果檢測(cè)到異常通訊，ISM 就會(huì)發(fā)送一個(gè)命令，阻止源計(jì)算機(jī)生成更多的通訊?！　eb應(yīng)用程序防火墻:Web應(yīng)用程序防火墻提供高效的防御，防止與Web系統(tǒng)相關(guān)的攻擊?！　RL 篩選:ISM可以依照有害站點(diǎn)數(shù)據(jù)庫(kù)檢查目標(biāo)URL 來(lái)阻止內(nèi)部用戶訪問(wèn)特定的網(wǎng)站，管理員還可以選擇預(yù)訂Websense 數(shù)據(jù)庫(kù)，只需加點(diǎn)費(fèi)用即可?！　⊥ㄓ嵳{(diào)整:ISM 可以根據(jù)網(wǎng)絡(luò)管理員設(shè)立的策略來(lái)控制特定通訊的帶寬。圖2 總體安全結(jié)構(gòu)拓?fù)鋱D（四）網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系建立訪問(wèn)控制。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。 檢查安全漏洞。通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。 攻擊監(jiān)控。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。 加密通訊。主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息。 認(rèn)證。良好的認(rèn)證體系可防止攻擊者假冒合法用戶。 備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 多層防御。攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。 設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)在網(wǎng)絡(luò)中增加多功能的防火墻，可以實(shí)現(xiàn)上述安全體系的大部分功能。防火墻通過(guò)有選擇性地決定哪些用戶可以接入您的網(wǎng)絡(luò)而哪些不能，有效地保護(hù)您的網(wǎng)絡(luò)。防火墻甚至使您可以控制不同應(yīng)用，如ftp, telnet, 及電子郵件等。（五）防火墻的網(wǎng)絡(luò)拓?fù)湓O(shè)置隔離區(qū)(DMZ),把郵件服務(wù)器等放到該區(qū),并把該區(qū)的服務(wù)器映射到外網(wǎng)的合法地址上以便Internet網(wǎng)上用戶訪問(wèn)。 嚴(yán)禁Internet網(wǎng)上用戶到公司內(nèi)部網(wǎng)的訪問(wèn)。 允許公司內(nèi)部網(wǎng)通過(guò)地址轉(zhuǎn)換方式(NAT)訪問(wèn)Internet。 允許撥號(hào)用戶通過(guò)撥號(hào)訪問(wèn)服務(wù)器到公司內(nèi)部網(wǎng)訪問(wèn)。三、企業(yè)網(wǎng)的管理要想做好企業(yè)的網(wǎng)絡(luò)管理工作，首先要從源頭抓起。這