李永妮

引言：網(wǎng)絡(luò)安全，是每個(gè)企業(yè)最關(guān)切的問題。它關(guān)系到企業(yè)的創(chuàng)新機(jī)密，業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)，還關(guān)系到企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。如何保障企業(yè)網(wǎng)絡(luò)的安全，不受病毒攻擊，阻擋黑客繞襲，防止企業(yè)資料泄密便成了研究的重點(diǎn)。

一、企業(yè)網(wǎng)絡(luò)發(fā)展概述

企業(yè)日常使用的互聯(lián)網(wǎng)絡(luò)的前身是ARPA網(wǎng)絡(luò)，該網(wǎng)絡(luò)最早發(fā)源于美國(guó)國(guó)防部的ARPA項(xiàng)目。在1983年1月1日，TCP/IP取代了舊的NCP（Network Control Protocol）協(xié)議，成為ARPA網(wǎng)絡(luò)中主要的協(xié)議，而互聯(lián)網(wǎng)絡(luò)也繼承并使用了該協(xié)議作為自己的主流協(xié)議。由于ARPA網(wǎng)絡(luò)設(shè)計(jì)之初是作為美國(guó)軍方戰(zhàn)時(shí)替代傳統(tǒng)網(wǎng)絡(luò)的其他類型網(wǎng)絡(luò)，因此在網(wǎng)絡(luò)設(shè)計(jì)方面并沒有考慮的非常充分，因此帶來了IP網(wǎng)絡(luò)（主要指IPV4）中存在的地址不足及不支持Qos服務(wù)等級(jí)，無法管理帶寬和優(yōu)先級(jí)兩個(gè)致命的缺陷。在現(xiàn)階段為了解決IP地址不足問題，網(wǎng)絡(luò)工程師采取了折中的方案NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）來解決。NAT雖然臨時(shí)性解決了IP地址不足的問題，但是它打破了TCP協(xié)議中面向連接的設(shè)計(jì)初衷，導(dǎo)致網(wǎng)絡(luò)溯源越來越困難。同時(shí)Qos能力的薄弱從另一個(gè)側(cè)面加重了網(wǎng)絡(luò)傳輸質(zhì)量安全難以得到保證。雖然在IP協(xié)議的下一個(gè)版本IPV6中很好的解決了上訴問題，但是該協(xié)議由于歷史原因仍然還沒有得到良好的推廣及使用并且基于IPV6技術(shù)的應(yīng)用及網(wǎng)絡(luò)服務(wù)仍然十分匱乏。在可預(yù)見的未來中占時(shí)還難以看到IPV6全面代替IPV4因此在現(xiàn)階段網(wǎng)絡(luò)仍然面臨巨大的安全問題。

二、企業(yè)網(wǎng)絡(luò)安全分析

在網(wǎng)絡(luò)的發(fā)展過程中，不斷的上演矛與盾的爭(zhēng)斗。從早期的PSTN網(wǎng)絡(luò)中就曾有過利用撥號(hào)音漏洞盜打電話的事情，它直接促成了沃茲與喬布斯的合作并最終造就了世界上最偉大的IT企業(yè)之一Apple。但是網(wǎng)絡(luò)安全事件并不總能帶來良好的結(jié)果，據(jù)2010年3月30日，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）在京聯(lián)合發(fā)布《2009年中國(guó)網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查系列報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）?！秷?bào)告》數(shù)據(jù)顯示，2009年，52%的網(wǎng)民曾遭遇過網(wǎng)絡(luò)安全事件，網(wǎng)民處理安全事件所支出的相關(guān)服務(wù)費(fèi)用共計(jì)153億元人民幣。針對(duì)層出不窮的網(wǎng)絡(luò)安全事件，網(wǎng)絡(luò)安全工程師也積極應(yīng)對(duì)，開發(fā)與設(shè)計(jì)了多種防護(hù)設(shè)備。如防火墻就從最早的二層防火墻、簡(jiǎn)單包過濾防火墻、狀態(tài)包檢測(cè)防火墻等多次技術(shù)升級(jí)。為應(yīng)對(duì)黑客多變的攻擊手法工程師開發(fā)了入侵檢測(cè)、漏洞掃描、防逃逸設(shè)備等等種類多樣功能不同的安全防護(hù)設(shè)備。上述產(chǎn)品企業(yè)早期也使用過，雖然網(wǎng)絡(luò)安全產(chǎn)品的針對(duì)性很強(qiáng)，在一定范圍內(nèi)是可以有效的阻擋hack的攻擊行為。

但在實(shí)際使用過程中，發(fā)現(xiàn)現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備由于其基本都是面對(duì)單一的安全挑戰(zhàn)，彼此之間又無通信協(xié)調(diào)導(dǎo)致hack仍然可以繞開安全設(shè)備進(jìn)入網(wǎng)絡(luò)。又或者利用社會(huì)攻擊行為，利用釣魚或者其它方式通過企業(yè)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊。通過在實(shí)際網(wǎng)絡(luò)環(huán)境中的使用發(fā)現(xiàn)網(wǎng)絡(luò)安全也適用于經(jīng)典的木桶定律，即木桶中裝的水的容量不是由木桶最長(zhǎng)的木板決定，而是由最短的那塊木板決定。而網(wǎng)絡(luò)安全設(shè)備的廠商總是有其專注的領(lǐng)域，有些專注于防火墻，有限專注于入侵檢測(cè)，有些又專注于漏洞掃描，如何利用各家之長(zhǎng)并又能使各家產(chǎn)品融合于一體使之成為一體來消除木桶的短板是擺在工程師眼前的問題。

三、企業(yè)網(wǎng)絡(luò)安全加固

在近期我們構(gòu)建的基于應(yīng)用的互聯(lián)網(wǎng)絡(luò)項(xiàng)目上，我們將網(wǎng)絡(luò)重新定位，即考慮了用戶的使用方便又將網(wǎng)絡(luò)安全放置在了重要的位置。利用各個(gè)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全廠商（Cisco、Junper等）及應(yīng)用廠商對(duì)于自身設(shè)備安全的優(yōu)化及對(duì)TCP協(xié)議漏洞的修補(bǔ)達(dá)到面對(duì)各個(gè)網(wǎng)絡(luò)安全領(lǐng)域的挑戰(zhàn)。同時(shí)考慮到木桶定律的原則，從網(wǎng)絡(luò)安全的角度我們重新界定了網(wǎng)絡(luò)安全的定義。

采取與以往網(wǎng)絡(luò)安全中簡(jiǎn)單的以設(shè)備堆砌，事后修補(bǔ)不同的網(wǎng)絡(luò)安全保障方式。采取了立體式多維保障原則，即以應(yīng)用安全作為宏觀核心安全以用戶接入安全作為微觀防護(hù)原則，建立了用戶端到應(yīng)用服務(wù)端的端到端的安全保障。例如：采用Windows域作為用戶用戶認(rèn)證的核心數(shù)據(jù)庫(kù)，通過與合作企業(yè)開發(fā)的AI引擎智能分發(fā)網(wǎng)絡(luò)用戶安全及服務(wù)等級(jí)，利用NAC系統(tǒng)與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)實(shí)現(xiàn)用戶安全的接入，并采用SCE、MARS等設(shè)備對(duì)于用戶網(wǎng)絡(luò)使用行為進(jìn)行記錄與審計(jì)已保證網(wǎng)絡(luò)用戶在進(jìn)入并使用網(wǎng)絡(luò)過程中的安全。通過利用FW的虛擬化技術(shù)實(shí)現(xiàn)各種核心應(yīng)用的在宏觀安全等級(jí)的分離，并利用IPS的檢查功能實(shí)時(shí)關(guān)注hack的可能攻擊行為，一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵及攻擊行為IPS將實(shí)時(shí)通過AI引擎通知防火墻進(jìn)行阻斷以實(shí)現(xiàn)安全設(shè)備間的聯(lián)動(dòng)，如果是外網(wǎng)側(cè)的攻擊會(huì)將攻擊工程記錄并上報(bào)有關(guān)部門（如公安網(wǎng)監(jiān)部門）協(xié)助排查。如顯示是起始于內(nèi)網(wǎng)側(cè)的攻擊或外網(wǎng)通過內(nèi)網(wǎng)發(fā)起的攻擊，AI引擎會(huì)自動(dòng)查找NAC的用戶登錄信息，并通過MARS上報(bào)的網(wǎng)絡(luò)設(shè)備接口畫出攻擊起始點(diǎn)及結(jié)束點(diǎn)的路線圖，評(píng)估受到攻擊的損失并最終由管理員采取警告、斷網(wǎng)等行政處罰措施。

四、企業(yè)收益

通過這種新的規(guī)劃，網(wǎng)絡(luò)安全設(shè)備與網(wǎng)絡(luò)設(shè)備緊密結(jié)合在一起，在應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)將利用各個(gè)網(wǎng)絡(luò)安全設(shè)備最優(yōu)秀的功能，并以網(wǎng)絡(luò)設(shè)備作為輔助手段，同時(shí)結(jié)合應(yīng)用安全機(jī)制。實(shí)現(xiàn)了網(wǎng)絡(luò)安全以為網(wǎng)絡(luò)應(yīng)用提供安全的核心設(shè)計(jì)理念，實(shí)現(xiàn)了立體式多方位的端到端的安全防護(hù)。有效的使應(yīng)用安全與用戶端接入安全緊密交織在一起，使網(wǎng)絡(luò)安全設(shè)備及應(yīng)用安全變?yōu)橐粋€(gè)整體，層層防護(hù)互為依托，擺脫了之前安全設(shè)備單兵作戰(zhàn)，破其一點(diǎn)滿盤皆破的局面。

參考文獻(xiàn)

[1] 李恒凱；陳優(yōu)良；鄧凱；；基于GIS的高校機(jī)房管理信息系統(tǒng)構(gòu)建 [J]；城市勘測(cè)；2011年05期.

[2] 傅仁毅；蘇永松；李勇勝；；高校網(wǎng)絡(luò)中心機(jī)房UPS系統(tǒng)的建設(shè)和管理 [J]；數(shù)字技術(shù)與應(yīng)用；2011年04期.

[3] 劉道歡；基于ARM9_VXWORKS的鐵路信號(hào)機(jī)房環(huán)境監(jiān)控系統(tǒng)的研究與設(shè)計(jì) [D]；南昌大學(xué)；2010年.

[4 ]唐勇；；基于SNMP的流量監(jiān)控系統(tǒng)[J]；重慶工商大學(xué)學(xué)報(bào)（西部經(jīng)濟(jì)論壇）；2011年S1期

[5] 劉立平；吳??；陳歡響；黃熙；；TMN網(wǎng)管配置管理的一種同步方案及其應(yīng)用[J]；計(jì)算機(jī)測(cè)量與控制；2011年02期.

[6] 董相均，史浩山，韓向陽；第三代移動(dòng)通信網(wǎng)絡(luò)網(wǎng)元管理系統(tǒng)——MEM系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]；空軍工程大學(xué)學(xué)報(bào)（自然科學(xué)版）；2012年03期.

（作者單位：南車青島四方機(jī)車車輛股份有限公司）