【文章內(nèi)容簡介】 法員工可以通過網(wǎng)絡泄漏企業(yè)機密。內(nèi)部網(wǎng)絡之間、內(nèi)外網(wǎng)絡之間的連接安全——隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網(wǎng)絡連接安全直接影響企業(yè)的高效運作。（一）中小企業(yè)網(wǎng)絡安全需求分析　　目前的中小企業(yè)由于人力和資金上的限制，網(wǎng)絡安全產(chǎn)品不僅僅需要簡單的安裝，更重要的是要有針對復雜網(wǎng)絡應用的一體化解決方案。其著眼點在于:國內(nèi)外領先的廠商產(chǎn)品。具備處理突發(fā)事件的能力。能夠實時監(jiān)控并易于管理。提供安全策略配置定制。是用戶能夠很容易地完善自身安全體系。歸結起來，應充分保證以下幾點:　　網(wǎng)絡可用性:網(wǎng)絡是業(yè)務系統(tǒng)的載體，防止如DOS/DDOS這樣的網(wǎng)絡攻擊破壞網(wǎng)絡的可用性。　　業(yè)務系統(tǒng)的可用性:中小企業(yè)主機、數(shù)據(jù)庫、應用服務器系統(tǒng)的安全運行同樣十分關鍵，網(wǎng)絡安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡的非法訪問、惡意入侵和破壞?！　?shù)據(jù)機密性:對于中小企業(yè)網(wǎng)絡，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。網(wǎng)絡安全系統(tǒng)應保證機密信息在存儲與傳輸時的保密性?！　≡L問的可控性:對關鍵網(wǎng)絡、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認訪問者的身份，謹慎授權，并對任何訪問進行跟蹤記錄?！　【W(wǎng)絡操作的可管理性:對于網(wǎng)絡安全系統(tǒng)應具備審計和日志功能，對相關重要操作提供可靠而方便的可管理和維護功能。易用的功能。（二）建立UTM(統(tǒng)一威脅管理)以滿足中小企業(yè)的網(wǎng)絡安全需求　　網(wǎng)絡安全系統(tǒng)通常是由防火墻、入侵檢測、漏洞掃描、安全審計、防病毒、流量監(jiān)控等功能產(chǎn)品組成的。但由于安全產(chǎn)品來自不同的廠商，沒有統(tǒng)一的標準，因此安全產(chǎn)品之間無法進行信息交換，形成許多安全孤島和安全盲區(qū)。而企業(yè)用戶目前急需的是建立一個規(guī)范的安全管理平臺，對各種安全產(chǎn)品進行統(tǒng)一管理。于是，UTM產(chǎn)品應運而生，并且正在逐步得到市場的認可。UTM安全、管理方便的特點，是安全設備最大的好處，而這往往也是中小企業(yè)對產(chǎn)品的主要需求?！　≈行∑髽I(yè)的資金流比較薄弱，這使得中小企業(yè)在網(wǎng)絡安全方面的投入總顯得底氣不足。而整合式的UTM產(chǎn)品相對于單獨購置各種功能，可以有效地降低成本投入。且由于UTM的管理比較統(tǒng)一，能夠大大降低在技術管理方面的要求，彌補中小企業(yè)在技術力量上的不足。這使得中小企業(yè)可以最大限度地降低對安全供應商的技術服務要求。網(wǎng)絡安全方案可行性更強。UTM產(chǎn)品更加靈活、易于管理，中小企業(yè)能夠在一個統(tǒng)一的架構上建立安全基礎設施，相對于提供單一專有功能的安全設備，UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設備，也可以根據(jù)自己的需要選擇某幾個方面的功能。更為重要的是，用戶可以隨時在這個平臺上增加或調(diào)整安全功能，而任何時候這些安全功能都可以很好地協(xié)同工作。（三）以三星Ubigate IBG ISM(集成安全模塊)的UTM整體安全網(wǎng)絡架構方案　　隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡層以下的安全解決方案已不足以應付來自各種攻擊了。例如，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。結合中小企業(yè)的網(wǎng)絡特征，我們建議采用基于三星Ubigate IBG ISM(集成安全模塊)的UTM整體安全網(wǎng)絡架構方案。圖1　　如圖1所示，這種多層次的安全體系不僅要求在網(wǎng)絡邊界設置防火墻amp。VPN，還要設置針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網(wǎng)絡邊緣，這種主動防護可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。對于內(nèi)網(wǎng)安全，特別是移動辦公，client quarantine(客戶端隔離)將對有安全問題的主機進行隔離，以免其對整個網(wǎng)絡造成更大范圍的影響。這給整個企業(yè)網(wǎng)絡提供了安全保障?；?Samsung Ubigate IBG ISM的UTM提供了當今最高級別的安全性，可以檢測到任何異常操作并立即關閉可疑的通訊途徑。網(wǎng)絡安全平臺的設計由以下部分構成:　　防火墻amp。 VPN系統(tǒng):用基于狀態(tài)檢測的防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。 VPN 為遠程辦公人員及分支機構提供方便的VPN高速接入，保護數(shù)據(jù)傳輸過程中的安全，實現(xiàn)用戶對服務器系統(tǒng)的受控訪問?！　DS/IPS簽名檢測:ISM采用高速模式匹配實現(xiàn)高速簽名篩選，從而保證網(wǎng)絡性能最優(yōu)化。IPS系統(tǒng)能夠對所有數(shù)據(jù)進行實時檢測。對于可疑攻擊行為，IPS系統(tǒng)采用靈活的策略進行相應處理，大大降低了IPS系統(tǒng)誤報和漏報給內(nèi)部網(wǎng)絡帶來的風險?！　〔《緳z測:ISM 中的代理將每個會話的有效負荷組裝至文件，然后將該文件發(fā)送至系統(tǒng)的防病毒引擎檢查該文件，若感染病毒，則修復文件，然后將文件傳輸至其原始目的地。支持對HTTP、SMTP、POPFTP等協(xié)議的病毒檢測?！　⊥ㄓ嵁惓z測:包括掃描檢測，會話限制，TCP/UDP/ICMP洪泛攻擊檢測和阻止。ISM具有強大的防DOS/DDOS功能，不但可以防御外網(wǎng)的DOS/DDOS，同時對于內(nèi)網(wǎng)用戶發(fā)起的DOS攻擊，UTM 安全網(wǎng)關也可以進行防御。　　客戶端隔離:隔離是抑制蠕蟲和病毒爆發(fā)的最有效方法。為實現(xiàn)此目標，ISM 將安裝 Desktop Agent 并與所有內(nèi)部客戶端的Desktop Agent進行通信。 如果檢測到異常通訊，ISM 就會發(fā)送一個命令，阻止源計算機生成更多的通訊?！　eb應用程序防火墻:Web應用程序防火墻提供高效的防御，防止與Web系統(tǒng)相關的攻擊?！　RL 篩選:ISM可以依照有害站點數(shù)據(jù)庫檢查目標URL 來阻止內(nèi)部用戶訪問特定的網(wǎng)站，管理員還可以選擇預訂Websense 數(shù)據(jù)庫，只需加點費用即可?！　⊥ㄓ嵳{(diào)整:ISM 可以根據(jù)網(wǎng)絡管理員設立的策略來控制特定通訊的帶寬。圖2 總體安全結構拓撲圖（四）網(wǎng)絡應用系統(tǒng)的安全體系建立訪問控制。通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。 檢查安全漏洞。通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。 攻擊監(jiān)控。通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）。 加密通訊。主動的加密通訊，可使攻擊者不能了解、修改敏感信息。 認證。良好的認證體系可防止攻擊者假冒合法用戶。 備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。 多層防御。攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。 設立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務在網(wǎng)絡中增加多功能的防火墻，可以實現(xiàn)上述安全體系的大部分功能。防火墻通過有選擇性地決定哪些用戶可以接入您的網(wǎng)絡而哪些不能，有效地保護您的網(wǎng)絡。防火墻甚至使您可以控制不同應用，如ftp, telnet, 及電子郵件等。（五）防火墻的網(wǎng)絡拓撲設置隔離區(qū)(DMZ),把郵件服務器等放到該區(qū),并把該區(qū)的服務器映射到外網(wǎng)的合法地址上以便Internet網(wǎng)上用戶訪問。 嚴禁Internet網(wǎng)上用戶到公司內(nèi)部網(wǎng)的訪問。 允許公司內(nèi)部網(wǎng)通過地址轉換方式(NAT)訪問Internet。 允許撥號用戶通過撥號訪問服務器到公司內(nèi)部網(wǎng)訪問。三、企業(yè)網(wǎng)的管理要想做好企業(yè)的網(wǎng)絡管理工作，首先要從源頭抓起。這