導(dǎo)語(yǔ)：淺談企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

0引言

隨著企業(yè)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，社會(huì)信息化進(jìn)程不斷加快，生產(chǎn)制造、物流網(wǎng)絡(luò)、自動(dòng)化辦公系統(tǒng)對(duì)信息系統(tǒng)的依賴(lài)程度越來(lái)越大，因此，保證信息系統(tǒng)的安全穩(wěn)定運(yùn)行也越來(lái)越重要。如何保證企業(yè)網(wǎng)絡(luò)信息化安全、穩(wěn)定運(yùn)行就需要網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師在設(shè)計(jì)初始周全的考慮到網(wǎng)絡(luò)安全所需達(dá)到的條件（包括硬件、OSI/RM各層、各種系統(tǒng)操作和應(yīng)用）。

1網(wǎng)絡(luò)安全、信息安全標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)是指為了規(guī)范網(wǎng)絡(luò)行為，凈化網(wǎng)絡(luò)環(huán)境而制定的強(qiáng)制性或指導(dǎo)性的規(guī)定。目前，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有針對(duì)系統(tǒng)安全等級(jí)、系統(tǒng)安全等級(jí)評(píng)定方法、系統(tǒng)安全使用和操作規(guī)范等方面的標(biāo)準(zhǔn)。世界各國(guó)紛紛頒布了計(jì)算機(jī)網(wǎng)絡(luò)的安全管理?xiàng)l例，我國(guó)也頒布了《計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全管理方法》等多個(gè)國(guó)家標(biāo)準(zhǔn)，用來(lái)制止網(wǎng)絡(luò)污染，規(guī)范網(wǎng)絡(luò)行為，同時(shí)各種網(wǎng)絡(luò)技術(shù)在不斷的改進(jìn)和完善。1999年9月13日，中國(guó)頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859：1999），定義了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的5個(gè)等級(jí)，分別如下：（1）第一級(jí)：用戶(hù)自主保護(hù)級(jí)。它的安全保護(hù)機(jī)制使用戶(hù)具備自主安全保護(hù)的能力，保護(hù)用戶(hù)的信息免受非法的讀寫(xiě)破壞。（2）第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外，還要求創(chuàng)建和維護(hù)訪(fǎng)問(wèn)的審計(jì)蹤記錄，使所有的用戶(hù)對(duì)自己行為的合法性負(fù)責(zé)。（3）第三級(jí)：安全標(biāo)記保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪(fǎng)問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)對(duì)象的強(qiáng)制訪(fǎng)問(wèn)。（4）第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪(fǎng)問(wèn)者對(duì)訪(fǎng)問(wèn)對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。（5）第五級(jí)：訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外，還特別增設(shè)了訪(fǎng)問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪(fǎng)問(wèn)者對(duì)訪(fǎng)問(wèn)對(duì)象的所有訪(fǎng)問(wèn)活動(dòng)。

2企業(yè)網(wǎng)絡(luò)主要安全隱患

企業(yè)網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)和外網(wǎng)，網(wǎng)絡(luò)安全體系防范的不僅是病毒感染，還有基于網(wǎng)絡(luò)的非法入侵、攻擊和訪(fǎng)問(wèn)，但這些非法入侵、攻擊、訪(fǎng)問(wèn)的途徑非常多，涉及到整個(gè)網(wǎng)絡(luò)通信過(guò)程的每個(gè)細(xì)節(jié)。從以往的網(wǎng)絡(luò)入侵、攻擊等可以總結(jié)出，內(nèi)部網(wǎng)絡(luò)的安全威脅要多于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)網(wǎng)受到的入侵和攻擊更加容易，所以做為網(wǎng)絡(luò)安全體系設(shè)計(jì)人員要全面地考慮，注重內(nèi)部網(wǎng)絡(luò)中存在的安全隱患。

3企業(yè)網(wǎng)絡(luò)安全防護(hù)策略

設(shè)計(jì)一個(gè)更加安全的網(wǎng)絡(luò)安全系統(tǒng)包括網(wǎng)絡(luò)通信過(guò)程中對(duì)OSI/RM的全部層次的安全保護(hù)和系統(tǒng)的安全保護(hù)。七層網(wǎng)絡(luò)各個(gè)層次的安全防護(hù)是為了預(yù)防非法入侵、非法訪(fǎng)問(wèn)、病毒感染和黑客攻擊，而非計(jì)算機(jī)通信過(guò)程中的安全保護(hù)是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護(hù)措施及系統(tǒng)層的安全防護(hù)如圖1所示。

4OSI/RM各層主要安全方案

4.1物理層安全

通信線(xiàn)路的屏蔽主要體現(xiàn)在兩個(gè)方面：一方面是采用屏蔽性能好的傳輸介質(zhì)，另一方面是把傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機(jī)房等整個(gè)通信線(xiàn)路安裝在屏蔽的環(huán)境中。（1）屏蔽雙絞線(xiàn)屏蔽與非屏蔽的普通五類(lèi)、超五類(lèi)雙絞線(xiàn)的主要區(qū)別是屏蔽類(lèi)雙絞線(xiàn)中8條（4對(duì)）芯線(xiàn)外集中包裹了一屏蔽層。而六類(lèi)屏蔽雙絞和七類(lèi)雙絞線(xiàn)除了五類(lèi)、超五類(lèi)屏蔽雙絞線(xiàn)的這一層統(tǒng)一屏蔽層外，還有這些屏蔽層就是用來(lái)進(jìn)行電磁屏蔽的，一方面防止外部環(huán)境干擾網(wǎng)線(xiàn)中的數(shù)據(jù)傳輸，另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽(tīng)到。（2）屏蔽機(jī)房和機(jī)柜機(jī)房屏蔽的方法是在機(jī)房外部以接地良好的金屬膜、金屬網(wǎng)或者金屬板材（主要是鋼板）包圍，其中包括六面板體和一面屏蔽門(mén)。根據(jù)機(jī)房屏蔽性能的不同，可以將屏蔽機(jī)房分為A、B、C三個(gè)級(jí)別，最高級(jí)為C級(jí)。機(jī)柜的屏蔽是用采用冷扎鋼板圍閉而成，這些機(jī)柜的結(jié)構(gòu)與普通的機(jī)柜是一樣的，都是標(biāo)準(zhǔn)尺寸的。（3）WLAN的物理層安全保護(hù)對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)，因?yàn)椴捎玫膫鬏斀橘|(zhì)是大氣，大氣是非固定有形線(xiàn)路，安全風(fēng)險(xiǎn)比有線(xiàn)網(wǎng)絡(luò)更高，所以在無(wú)線(xiàn)網(wǎng)絡(luò)中的物理層安全保護(hù)就顯得更加重要了。如果將機(jī)房等整個(gè)屏蔽起來(lái)，成本太高，現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰、WPA/WPA2動(dòng)態(tài)密鑰、IEEE802.1X身份驗(yàn)證等?，F(xiàn)在最新的無(wú)線(xiàn)寬帶接入技術(shù)——WiMAX對(duì)于來(lái)自物理層的攻擊，如網(wǎng)絡(luò)阻塞、干擾，顯得很脆弱，以后將提高發(fā)射信號(hào)功率、增加信號(hào)帶寬和使用包括跳頻、直接序列等擴(kuò)頻技術(shù)。

4.2數(shù)據(jù)鏈路層安全

在數(shù)據(jù)鏈路層可以采用的安全保護(hù)方案主要包括：數(shù)據(jù)鏈路加密、MAC地址綁定（防止MAC地址欺騙）、VLAN網(wǎng)段劃分、網(wǎng)絡(luò)嗅探預(yù)防、交換機(jī)保護(hù)。VLAN隔離技術(shù)是現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)中用的最多的技術(shù)，該技術(shù)可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。

4.3網(wǎng)絡(luò)層安全

在網(wǎng)絡(luò)層首先是身份的認(rèn)證，最簡(jiǎn)單的身份認(rèn)證方式是密碼認(rèn)證，它是基于windows服務(wù)器系統(tǒng)的身份認(rèn)證可針對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)啟用“單點(diǎn)登錄”，采用單點(diǎn)登錄后，用戶(hù)可以使用一個(gè)密碼或智能卡一次登錄到windows域，然后向域中的任何計(jì)算機(jī)驗(yàn)證身份。網(wǎng)絡(luò)上各種服務(wù)器提供的認(rèn)證服務(wù)，使得口令不再是以明文方式在網(wǎng)絡(luò)上傳輸，連接之間的通信是加密的。加密認(rèn)證分為PKI公鑰機(jī)制（非對(duì)稱(chēng)加密機(jī)制），Kerberos基于私鑰機(jī)制（對(duì)稱(chēng)加密機(jī)制）。IPSec是針對(duì)IP網(wǎng)絡(luò)所提出的安全性協(xié)議，用途就是保護(hù)IP網(wǎng)絡(luò)通信安全。它支持網(wǎng)絡(luò)數(shù)據(jù)完整性檢查、數(shù)據(jù)機(jī)密保護(hù)、數(shù)據(jù)源身份認(rèn)證和重發(fā)保護(hù)，可為絕大部分TCP/IP族協(xié)議提供安全服務(wù)。IPSec提供了兩種使用模式：傳輸模式（TransportMode）和隧道模式（TUNNELMode）。

4.4傳輸層安全

傳輸層的主要作用是保證數(shù)據(jù)安全、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議，它不僅可以為網(wǎng)絡(luò)通信中的數(shù)據(jù)提供強(qiáng)健的安全加密保護(hù)，還可以結(jié)合證書(shū)服務(wù)，提供強(qiáng)大的身份誰(shuí)、數(shù)據(jù)簽名和隱私保護(hù)。TLS/SSL協(xié)議廣泛應(yīng)用于Web瀏覽器和Web服務(wù)器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸。

4.5防火墻

因防火墻技術(shù)在OSI/RM各層均有體現(xiàn)，在這里簡(jiǎn)單分析一下防火墻，防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻，網(wǎng)絡(luò)層防火墻可視為一種IP封包過(guò)濾器，運(yùn)作在底層的TCP/IP協(xié)議堆棧上。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作，應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包。目前70%的攻擊是發(fā)生在應(yīng)用層，而不是網(wǎng)絡(luò)層。對(duì)于這類(lèi)攻擊，傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)效果，并不太理想。

5結(jié)語(yǔ)

以上對(duì)于實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)建設(shè)安全技術(shù)及信息安全的簡(jiǎn)單論述，是基于網(wǎng)絡(luò)OSI/RM各層相應(yīng)的安全防護(hù)分析，重點(diǎn)分析了物理層所必須做好的各項(xiàng)工作，其余各層簡(jiǎn)單分析了應(yīng)加強(qiáng)的主要技術(shù)。因網(wǎng)絡(luò)技術(shù)日新月益，很多新的網(wǎng)絡(luò)技術(shù)在本文中未有體現(xiàn)，實(shí)則由于本人時(shí)間、水平有限，請(qǐng)各位讀者給予見(jiàn)解。文章中部分內(nèi)容借簽于參考文獻(xiàn),在此非常感謝各位作者的好書(shū)籍。

作者:單位:西山煤電（集團(tuán)）有限公司物資供應(yīng)分公司

引用：

[1]李磊.網(wǎng)絡(luò)工程師考試輔導(dǎo).北京：清華大學(xué)出版社，2009．

[2]王達(dá)，闞京茂.網(wǎng)絡(luò)工程方案規(guī)劃與設(shè)計(jì).北京：中國(guó)水利水電出版社，2010．

[3]黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程.北京：清華大學(xué)出版社，2009．

[4]林果園.操作系統(tǒng)安全.北京：北京郵電大學(xué)出版社，2010．