构成企业网络安全系统的技术综述
来源:腾讯 更新时间:2012-04-13

在当今网络化的世界中,计算机信息和资源很容易遭到各方面的攻击。一方面,来源于Internet,Internet给企业网带来成熟的应用技术的同时,也把固有的安全问题带给了企业网;另一方面,来源于企业内部,因为是企业内部的网络,主要针对企业内部的人员和企业内部的信息资源,因此,企业网同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如数据被人窃取、服务器不能提供服务等等。随着信息技术的高速发展,网络安全技术也越来越受到重视,由此推动了防火墙、人侵检测、虚拟专用网、访问控制等各种网络安全技术的蓬勃发展。

企业网络安全是系统结构本身的安全,所以必须利用结构化的观点和方法来看待企业网安全系统。企业网安全保障体系分为4个层次,从高到低分别是企业安全策略层、企业用户层、企业网络与信息资源层、安全服务层。按这些层次建立一套多层次的安全技术防范系统,常见的企业网安全技术有如下一些。

一、VLAN(虚拟局域网)技术

选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。

二、网络分段

企业网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接人以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。

三、硬件防火墙技术

任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。

四、入侵检测技术

入侵检测方法较多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。

五、病毒检测技术

可以在防火墙、代理服务器或网络服务器上安装病毒过滤软件,或者在企业局域网上安装网络版杀毒软件,检查和清除病毒。

六、加密技术

网络数据的加密技术可以分为3类,即对称型加密、不对称型加密和不可逆加密,其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密算法相当可观,所以通常在数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加。

七、VPN(虚拟专网)技术

VPN技术的核心是采用隧道技术,将内部网络的数据加密封装后,通过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP网、帧中继网或ATM网上建立,网络用户通过Internet等公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建设周期、投入资金和维护费用却大大降低,同时还为远程用户和移动用户提供了安全的网络接人。

八、系统备份和恢复技术

防范手段不可能设计得面面俱到,突发性事件会给计算机系统带来不可预知的灾难。因此,必须建立系统的备份与恢复,以便在灾难发生后保障计算机系统正常运行。备份方案有多种类型,其最终目标是保证系统连续运行,其中网络通信、主机系统、业务数据是保证系统连续运行不可缺少的环节,在选择备份方案时应把对数据的备份作为重点。日常备份制度是系统备份方案的具体实施细则,在制定完毕后,应严格按照制度进行日常备份,否则将无法达到备份方案的目标。系统备份不仅备份系统中的数据,还要备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息。