基于电信企业网络安全策略

网络教育学院 本 科 生 毕 业 论 文（设 计） 需要完整版请点击屏幕右上的“文档贡献者” 题 目： 基于电信企业的网络安全策略 基于电信企业的网络安全策略 I 内容摘要 随着企业办公网络的发展，如何保障网络正常运行，网络资源的合法访问， 使网络免受黑客、病毒和其他不良意图的攻击显得尤为重要。本文简要介绍了企 业网络安全的威胁因素，根据网络访问机制给出了相应的管理策略，并重点讨论 了信息加密以及内外网互连的企业网络安全策略。 关键词：电信网络；网络安全；策略 基于电信企业的网络安全策略 目 录 内容摘要 I 引 言 2 1 概述 3 1.1 研究背景 3 1.2 网络安全现状 3 1.2 本文的主要内容及组织结构 4 2 企业网络安全需求及隐患 5 2.1 企业网络安全需求 5 2.2 企业网络安全隐患 5 2.3 安全问题对企业网络的危害 5 3 电信企业网络安全策略 7 3.1 访问控制策略 7 3.2 信息加密策略 8 3.3 内外网互联安全策略 9 4 数据备份策略 11 5 结论 15 参考文献 16 引 言 随着计算机网络的出现和互联网的飞速发展，网络在信息获取及传递中发挥 着无可比拟的作用。众多的企业、组织、政府部门与机构都在组建和发展自己的 网络，并连接到 Internet 上，以充分共享、利用网络的信息和资源。伴随着网络 的发展，也产生各种各样的问题，其中安全隐患日益突出，无论是企业、服务供 应商、政府部门还是研究和教育机构，安全性显然决定着网络要求和工作的优先 级。对于企业而言，提高内部信息集成，实现信息共享，提高工作效率，必须要 建立完善、高效的网络。 基于电信企业的网络安全策略 3 1 概述 1.1 研究背景 当今，互联网的发展已经出乎人们的想象，新技术、新概念层出不穷，互联 网实现了人们在信息时代的梦想，预示着新经济时代的到来。因特网的迅速发展 使得信息资源可以迅速的高度共享。随着全球的网络化，经济的全球化，世界缩 小了，人类的工作、生活变的更加快捷方便。随着政府上网、海关上网、电子商 务、网上娱乐等一系列网络应用的蓬勃发展，因特网正在越来越多地离开原来单 纯的学术环境，融入到经济、军事、科技、教育等各个领域中。电子商务、远程 教育、网上医疗渐渐步入千家万户，网络吸引了亿万用户，它已经成为人们生活 的一部分。 1.2 网络安全现状 Internet 正在越来越多地融入到社会的各个方面 1。一方面，随着网络用户 成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随 着 Internet 和以电子商务为代表的网络应用的日益发展，Internet 越来越深地 渗透到各行各业的关键要害领域。Internet 的安全包括其上的信息数据安全，日 益成为与政府、军队、企业、个人的利益休戚相关的“大事情” 。尤其对于政府 和军队而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重 的威胁。 随着互联网技术的发展，网上内容的丰富，互联网犹如空气、水融于世界每 个角落。互联网不只是高科技的象征，它已成为整个国民经济的神经网络。企业 上网不仅是一种时尚，更成为企业成功的必选项。截止到年 2001 年 4 月 3 日， 在我国已有的个网站中，企业网站所占比重最大，为 77.8%，到,2001 年底全国 通过网络进行的电子交易达近 4 万亿美元。然而，在企业纷纷享受现代文明成果 之时，网络潜在的危害也在威胁着企业 2。据统计，2001 年全球电脑病毒造成的 经济损失高达 129 亿美元，仅红色代码给企业和个人造成的经济损失就达 26.2 亿美元，90%的网站均遭受过网络攻击。 2000 年 2 月，在三天的时间里，黑客使美国数家顶级互联网站 Yahoo、Amazon、eBay、CNN 陷入瘫痪，造成了十几亿美元的损失，令美国上下 如临大敌。黑客使用了 DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻 4 4 塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先 后有微软、ZDNet 和 E*TRADE 等著名网站遭受攻击。 国内网站也未能幸免于难，新浪、当当书店、EC123 等知名网站也先后受到 黑客攻击 3。国内第一家大型网上连锁商城 IT163 网站 3 月 6 日开始运营，然而 仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同 程度的破坏，致使网站无法运作。 客观地说，没有任何一个网络能够免受安全的困扰，依据 Financial Times 曾做过的统计，平均每 20 秒钟就有一个网络遭到入侵。仅在美国，每年由于网 络安全问题造成的经济损失就超过 100 亿美元。 1.2 本文的主要内容及组织结构 基于电信企业的网络安全策略 5 2 企业网络安全需求及隐患 企业网络通常采用 TCP/IP、WWW、电子邮件、数据库等通用技术和标准， 依托多种通信方式进行广域连接，覆盖系统的大部分单位，传输、存储和处理 的信息大都涉及到行业内部信息。因此必须对信息资源加以保护，对服务资源 予以控制和管理。 2.1 企业网络安全需求 2.2 企业网络安全隐患 网络的入侵不仅来自网络外部，也来自于网络内部，由于办公网络在用途 和实现方式上与公众网络有所不同，大部分办公网络都采用内部网的形式进行 组建，外部网相对而言网络节点数量和信息量都较少，敏感信息一般存放在内 部网络中，而且内外网之间大多采用了较强的保护甚至物理隔离措施，因此大 多数的安全威胁来自网络内部，而非外部，其原因主要有： 一般来说，大部分机构的信息安全保护措施都是“防外不防内”，很多办 公网络赖以保障其安全的防火墙系统大部分位于网络边界，对来自内部的攻击 毫无作用。 内部人员最容易接触敏感信息，而且对系统的结构、运作都非常熟悉，因 此行动的针对性很强，很容易危害系统的核心数据和资源，而且很难被发觉。 内部人员可能采用常用的非法用户技术和软件对办公网络进行测试。 2.3 安全问题对企业网络的危害 6 6 3 电信企业网络安全策略 3.1 访问控制策略 访问控制的目的是防止非法访问，实现用户身份鉴别和对重要网络、服务 器的安全控制 4。防火墙就是一类较有效并广泛应用的网络访问控制设备，它 主要通过对IP地址、端口号等进行控制和设置应用安全代理等措施，实现内部 被保护网络与外部网络的隔离。 在安全规则上，企业网络可以针对单独的主机、一组主机、一段网络，按 照网络协议进行设置，面向对象的安全规则编辑；根据网络通讯端口设置安全 规则，针对企业保护对象只开放某些服务端口；根据信息传输方向设置安全规 则，同时在安全规则中设置允许、拒绝等操作方式；按照星期几或每一天具体 的时间设置，实现访问控制；根据网络服务设置安全规则。 3.2 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传 输的数据 5。网络加密常用的方法有链路加密、节点加密和端点加密三种。链 路加密的目的是保护网络节点之间的链路信息安全；节点加密的目的是对源节 点到目的节点之间的传输链路提供保护；端端加密的目的是对源端用户到目的 端用户的数据提供保护。用户可根据网络情况酌情选择上述加密方式。 3.3 内外网互联安全策略 随着网络拓扑结构、网络应用以及网络安全技术的不断发展，安全策略的 制订和实施是一个动态的延续过程。需要制定周密可靠的安全体制以保护内网 的机密信息、阻隔外网对内网系统的有害侵袭以及有效的管理和限制内网用户 对外网资源的访问等。为保证企业办公网络的安全性，一般采用以下一些策略: (1) 利用防火墙技术。它是以TCP/ IP体系架构为核心，针对具体应用和用 户角色进行智能决策的系统，以保护网络的可用性、系统服务的连续性;防范网 络资源的非法访问及非授权访问;检测各种入侵、攻击和异常事件，并以响应的 方式通知相关人员，管理人员根据警报信息及时修改相应的安全策略;通过防火 墙的http访问控制管理，过滤网络地址URL，对URL中的路径部分以及网页内容 进行过滤、对JAYAAP2 PLET、ACTIVEX过滤；通过防火墙的FTP访问控制管理， 提供命令级的过滤功能、部分命令参数的过滤功能、限制用户的访问，对用户 基于电信企业的网络安全策略 7 名进行过滤、保护FTP服务器信息。 (2) 利用入侵检测技术。入侵检测技术可使系统管理员时刻了解网络系统， 给网络安全策略的制定提供依据。入侵检测系统可以监视、分析用户级系统活 动；构造变化和弱点的审计;识别反映己知进攻的活动模式并向网管人员报警; 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 (3) 利用VLAN技术。VLAN技术的核心是网络分段。运用VLAN技术跨越交换 机按功能对网络进行统一的VLAN划分，可以将通信限定在同一虚网中，形成特 别有效的限制非授权访问的屏障。如在集中式网络环境下，将中心的所有服务 器系统集中到一个VLAN中，将网管工作站、系统管理员经常用来登陆服务器的 工作站等高安全性的用户组织到另一个VLAN中，在这些VLAN里不允许有任何用 户节点，从而较好的保护敏感资源，在分布式网络环境下，可按机构和部门的 设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内，互 不侵扰。 8 8 4 数据备份策略 对企业服务器及数据应利用防火墙实现双机热备份和灾难冗余。对于需要 高度可靠性的用户，一定要选用具有双机热备份功能的防火墙，在同一个网络 节点使用两个配置相同的防火墙，正常情况下一个处于工作状态，另一个处于 备份状态，当工作状态的系统出现故障时，备份状态的防火墙自动切换到工作 状态，保证网络的正常使用。备用防火墙系统能够在一秒钟内完成整个切换过 程，不需要人为操作和除两个防火墙以外的其他系统的参与，而且整个切换过 程不影响网络上的任何通讯连接和信息传输。如果是不具有双机热备份功能的 防火墙，即使能够做到双机热备份，一旦出现故障时，备用防火墙需要10秒钟 以上才能替代主用防火墙正常工作，网络上的所有服务连接均需要重新建立， 费时费力而且会造成很大损失。 基于电信企业的网络安全策略 9 5 结论 随着网络建设的发展，企业网络的规模将越来越大，网络安全管理工作将越 来越复杂，网络安全维护将是企业的一项重要任务。在维护网络安全时，必须结 合网络安全防范技术，综合考虑安全因素，制定合理的管理方案、有效的技术方 案，采取切实可行的安全防护措施，逐步完善的网络安全防护体系，增强每个网 络用户的安全意识，从根本上解决网络安全问题。 榆林电信分公司网络安全系统涉及的安全方案考虑到了榆林电信分公司网络 安全系统的实际情况，均衡了性能价格比，从整个系统的可靠性，稳定性，安全 性和可扩展性多方面进行了考虑，有如下优势： 10 10 参考文献 1陈则徐.浅析企业网络安全策略,电脑知识与技术 2009.3，5(9):106-108 2 Roberta Bm