企業數據網安全防護體係的研究與實現

網絡天地

作者：勞偉強

【摘要】隨著信息時代的到來，由於計算機係統極易受病毒侵害、黑客的普遍存在、網絡基礎設施受各項互聯網網絡的攻擊等問題的存在，網絡安全防護問題早已成為急需人類共同解決的問題，如果這一問題沒有得到解決，企業的數據信息受到侵害就會嚴重阻礙企業的健康發展，甚至會損害我國信息化發展的進程。本文從企業數據網安全防範體係的現狀出發，提出建設企業數據網安全防護體係的策略。

【關鍵詞】企業數據網；信息安全；防護

計算機網絡的發展日理萬機，“地球村”的實現早已不是夢想，人類的生活越來越離不開網絡，受自身開放性和共享性等特征的影響，網絡極易受黑客、病毒、惡意軟件等侵害，因此網絡數據信息的安全防護十分關鍵。企業的數據網包含企業內部的全部數據信息，對企業的正常運轉起著決定性作用，因此企業的數據網安全防護體係的建立是企業健康發展的核心。

一、企業監測攻擊行為的係統現狀

就目前而言，網絡攻擊行為的技術特征主要為拒絕服務、惡意軟件的安裝、利用計算機網絡的脆弱性偽裝欺騙、內部攻擊、高低級CGI攻擊等，企業對於這些攻擊行為的檢測存在一些不足。第一，企業缺乏解決大型集體攻擊情況方案，攻擊者的技術不斷提高，企業的安全防護技術沒有及時跟上腳步；第二，目前的網絡攻擊檢測係統有待完善，通常攻擊者會利用更改信息或重新編碼等欺騙手段來獲取攻擊檢測係統的通行；第三，網絡設備趨於複雜多樣化，相應的檢測攻擊行為的係統就必須及時更新技術手段以適應外部日新月異的環境；第四，攻擊行為檢測係統的自行反應活動會給自身帶來一定困擾，影響自身的工作效應，因為它一般與防火牆的工作互相配合，一旦其發現有入侵行為時就會將所有網絡攻擊者的IP數據包過濾掉，若同一個攻擊者冒充大批不一樣的IP來虛擬進攻，那麼檢測係統就將實質上並沒有產生進攻的IP過濾掉，導致新的拒絕服務訪問產生；第五，IDS自身存在一些安全漏洞，如果對IDS進行入侵並且取得成功，那麼就會致使報警無效，攻擊者的後台行為就沒有記錄下來，所以係統應當結合多種安全產品以形成聯合防護機製。

二、網絡安全防護體係實現策略

企業建立了基礎的防護體係，其中包囊防火牆、攻擊行為檢測係統、病毒防範、集中認證、終端管理、漏洞掃描、安全數據庫等，而隨著企業網絡完全防護體係建設的不斷深入開展，對於安全建設的要求僅靠安全基礎層的防護無法達到，如何使現有的安全設備的功效發揮出來、使安全的管理與安全防護技術完美結合以及如何快速有效地發現並解決漏洞和攻擊行為等安全隱患是我們急需解決的問題。就企業數據網安全防護係統的現狀，得出企業需要從網絡安全防護和數據安全防護兩方麵來建設網絡安全防護體係。

網絡安全防護策略為建立全麵的網絡拓撲；建立邊緣防火牆、網絡防火牆、主機防火牆等多重防火牆；改進VPN技術的功能；加大對漏洞的掃描力度；加強安全檢測儀對網絡數據的檢測和審計功能。

數據安全的防護策略為利用可靠的操作係統來操縱全部服務器以保證數據的完整性；開通SSL加密通道、使用為通信進行加密的軟件、應用內容監控的軟件以阻止內部人員查看非法網頁來確保數據的保密性；數據即使遭到破壞也能通過備份的數據來恢複，因此係統設備應該將所有數據都儲存到一個專門的容量大、不再工作時所有的網絡連接都能中斷、質量可靠且用戶信息及口令都有安全保密的服務器中，確保整個係統能夠安全、正常運轉。

三、企業數據網安全防護體係的實現

（一）安全管理係統建設的內容

1.日誌審計的管理

在安全管理區增添日誌審計係統來審計網管中心、短信中心以及智能網的日誌，該係統需要負責審計所有日誌的核心服務器、負責收集網管中心本地運行日誌的服務器、記錄網管中心本地的安全訪問網關以記錄管理員的操作日誌並將其發到審計日誌的核心服務器上的服務器。

2.安全事件監控係統

擴充現有的安全信息庫，添加安全事件統一監控模塊以及自主掃描漏洞管理係統，與當下的資產管理模塊相結合，形成全麵動態的安全威脅管理以及安全漏洞管理係統。