某内部网络安全防护系统的设计与实现

2022-09-11

通过对内部网络结构、网络应用的全面了解, 分析网络存在着的安全隐患以及安全需求, 按照安全目标、安全设计原则, 我们构建了适合内部计算机网络的安全防护体系。具休的安全防护系统结构从物理安全、网络安全、系统安全、应用安全、管理安全几个方面分述。

1 物理层安全

1.1 设备的物理安全

保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。计算机机房的建设参照国家标准进行实施。设备安全:设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份;通过严格管理及提高员工的整体安全意识来实现。媒体安全:包括媒体数据的安全及媒体本身的安全。

1.2 存储备份

为防止系统各种设备失效时关键数据的损失, 应该实施数据的集中存储与备份。目前某单位采用的是手工的磁光介质的备份, 随着应用的不断扩大, 备份系统应该不断完善。

2 网络层安全

2.1 内外部网络严格的物理隔离

根据某单位的工作特点, 不仅有应用在内部工作的内部网络, 还有与外部联系的其他各类网络, 因此必须对内部网络与外部网络进行严格的物理隔离, 使其与外部网络无任何方式的互联, 这样才能更有效的保障内网的安全。

2.2 防火墙技术

防火墙必须只允许授权的数据通过, 而且防火墙本身也必须能够免于渗透[1,2]。在内部网络中部署防火墙来保障服务器的安全, 限定内部用户对服务器的访问, 防止未授权用户访问服务器。

2.3 入侵检测技术

实时入侵侦测系统是建立高级别网络安全不可缺少的一环。

2.4 信息加密传输

利用上海格尔软件公司提供的身份认证系统来实现信息的加密传输, 即采用SSL客户端代理和SSL服务器代理产品, 使用证书机制认证用户身份, 将验证后的用户身份传递给应用系统, 同时在原有的B/S客户端与服务端之间建立一条高强度的加密通道, 实现数据的保密性和完整性, 保证数据的安全传输。

2.5 划分虚拟子网

对于某单位内部的局域网, 我们分配了一个B类地址, 各部门分配一个C类地址。

2.6 实现网络管理

我们采用的是北京广通信达科技有限公司的广通安全网络管理系统。该系统定位于对局域网系统和业务应用实施有效管理和控制、保障网络与信息安全的网络管理系统。保证网络高效、可靠地运转, 提高网络的使用效率, 减轻网管人员的工作强度, 提高工作效率, 解放大量的人力、物力[3]。

3 系统层安全

服务器上尽量不要开放一些没有经常用的协议及协议端口号。如文件服务器上关闭HTTP, FTP, TELNET等服务。还有就是加强登录身份认证。充分利用系统本的日志功能, 同时还要及时升级各种己经发布的升级补丁程序。

4 应用层安全

4.1 网络防病毒

选用了企业级防毒产品KILL网络版防病毒软件, 实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言, 就是针对网络中所有可能的病毒攻击设置对应的防毒软件, 通过全方位、多层次的防毒系统配置, 使网络没有薄弱环节成为病毒入侵的缺口。

4.2 数据库审计

采用了复旦光华自主研发的数据库安全审计系统——光华DB-audit。在发生安全事件时能提供宝贵的侦破和取证辅助数据, 并具有防销毁、防篡改的特性, 从而在网络上建立起完整的安全预警与反应体系, 使管理人员快速、准确的进行数据信息安全防御, 为某单位核心领域的数据库系统安全正常运行保驾护航。

4.3 网络安全审计

采用复旦光华网络审计系统S_Audit是一个功能完善的网络入侵检测与安全审计系统, 它实现网络的全面审计, 包括入侵检测、主机日志审计、典型应用审计、流量检测、文件共享审计、主机服务端口审计、用户自定义和即时信息审计等功能。

4.4 用户身份认证

某单位的所在系统的上级机关己全面部署了上海格尔软件公司的身份认证系统 (PKI/C A系统) , 作为该系统的三级中心, 根据该单位的网络运行情况, 采用了大网 (单位系统内部网) 发证, 小网 (单位内部网) 认证的原则。通过大网和上级联系, 进行证书的制作、发放等, 内部网用户执证书在内部网络上应用。

4.5 内部监管

某单位的内部网络位于同一办公楼内部, 内部安全防范则显得尤为重要。作为一种全新的安全产品, 中国软件与技术服务股份有限公司的防水墙系统保护对象定位在个人桌面系统 (PC) , 其主要功能是堵住个人桌面系统全部的信息泄漏漏洞, 阻止个人桌面系统敏感信息的泄漏。同时, 对个人桌面系统的软硬件资源以及工作状况进行安全监控和审计。

除了上述的措施之外, 还建立健全的安全管理体制将是网络安全得以实现的重要保证。