提升内网安全的策略探讨

摘　要：本文提供了企业内部网络安全的几种常见的管理手段，并分别就其作用进行了阐述和探讨。

关键词：DCN网；防火墙；IPS；病毒；网络管理；IP地址管理
1 前言
　　中国联通DCN网络是集团公司统一部署的业务承载及支撑网络，承载着电信业务综合管理、电信网络资源管理、计费帐务、财务、办公自动化、ERP等多个系统。在当前网络技术迅猛发展、日新月异的情况下，该网络安全问题日渐突出，面临着越来越严峻的安全威胁。对该网络而言，其安全性是否得到保障，直接影响到各承载系统的正常运行和信息安全，某些核心系统（如计费帐务、财务）的安全性直接关系到企业的核心利益。因此，提升DCN网络的安全性将具有重要的意义。　　
2 DCN网络所面临的安全隐患及应对措施
　　信息安全主要来自外网的不安全事件、病毒侵害等。企业内部一般有严格的内外网分离制度，但是仍然会有多种途径使得内网终端与互联网有联系。由此会带来非法登陆、入侵攻击、远程控制、恶意代码及病毒感染等各种安全事件的隐患。常见的手段主要是防火墙、DDoS防护、IDS入侵检测及IPS入侵保护等。
　　信息安全的防护措施一般采用以下几种方式：网络防火墙、黑洞系统及IPS入侵保护系统等，下面分别进行阐述。
2.1 网络防火墙
　　在公司内网与外部互联网之间架设网络防火墙，可以建立内、外网间的安全屏障，所有进出的信息都通过防火墙，以便于集中实施安全策略。防火墙上面可以制定相应的安全策略，对存在风险的服务实行阻止，防止入侵者利用系统中存在的具有安全缺陷的服务，可有效地保护内部网络。防火墙还可以记录上网行为，一旦追踪异常上网行为。　　
2.2 黑洞（Collapsar）
　　DoS（Denial of Service 拒绝服务）攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法，如果按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源，例如：网络带宽、内存和磁盘空间、CPU使用率等等。通常，网络层的拒绝服务攻击利用了网络协议的漏洞，或者抢占网络或者设备有限的处理能力，造成网络或者服务的瘫痪，而DDoS攻击又可以躲过目前常见的网络安全设备的防护，诸如防火墙、入侵监测系统等，这就使得对拒绝服务攻击的防治，成为了一个令管理员非常头痛的问题。
　　黑洞（Collapsar）实现 DDoS防护一般包含两个方面：其一是针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检测；其二，也是最为重要的，就是如何降低对业务系统或者是网络的影响，从而保证业务系统的连续性和可用性。完善的DDoS攻击防护应该从四个方面考虑：
　　（1）能够从背景流量中精确的区分攻击流量；
　　（2）降低攻击对服务的影响，而不仅仅是检测；
　　（3）能够支持在各类网络入口点进行部署，包括性能和体系架构等方面；
　　（4）系统具备很强的扩展性和良好的可靠性。
　　""黑洞""抗拒绝服务攻击系统提供了DDoS防护能力，弥补了目前安全设备（防火墙、入侵检测等）对DDoS攻击防护能力的不足，不仅能够检测目前复杂的DDoS攻击，而且能在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品，具备了更细粒度的攻击检测和分析机制，并加以灵活的部署方式，能够有效的阻断攻击，保证合法流量的正常传输，这对于保障内网的安全性、业务系统运行的连续性和完整性有着极为重要的意义。
2.3 入侵保护系统IPS
　　单纯的防火墙在防护功能上有一定的局限性，这主要表现在，防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。二是有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。鉴于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还有进一步完善的需要。而入侵检测系统IDS侧重网络监控，注重安全审计，适合对网络安全状态的了解，这对于防火墙来说是一个重要的增强手段。
　　入侵保护系统IPS（Intrusion Prevention System）提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络，提供数据流的净化。
2.4 防病毒软件的部署
　　对于DCN内部网络来说，除了来自外部互联网的安全风险以外，还有内部的安全风险，比如病毒。因此在企业内部网中部署一套网络版的防病毒软件是十分必要的。
　　防病毒软件的安装与升级是防病毒体系正常运行的基础条件，包括安装和升级两个方面。因此企业内部部署的防病毒软件，要能够自动从管理服务器进行病毒库更新，自动更新失败后， 同时还可以进行手动更新。
3 结语
　　本文对如何提高企业内部网络安全性，从技术角度提供了一些思路，在实际应用中，可以多个手段结合起来综合运用。当然，技术的运用离不开制度的保障，没有完善的管理制度再好的技术手段作用也会减弱。技术要和制度相结合，才能最大限度的保障企业内部DCN网络安全。 本文链接：http://www.qk112.com/lwfw/jsjlw/xinxianquan/225234.html