随着企业不断发展，企业的信息化水平成为企业核心竞争力的重要体现，网络系统安全、可靠、高效运行是企业良好运营的基本条件。鉴于信息系统安全对企业日常运作的影响越来越大，各企业对建立经济高效的信息安全管理体系，保障系统和网络的稳定运行都给予高度重视。

　　1 企业网络的安全需求

　　1．1企业网络边界安全需要

　　包括企业网络中Internet出口处的安全以及移动用户、远程VPN拨号用户的安全性和合法性，主要防范外部对内网的非法访问和非法操作。

　　1．2企业网络数据中心安全需求

　　即企业网络中对外服务器和对内服务器的安全，如内部信息系统服务器区的系统安全，主要防范对象是病毒、重要数据泄密等；DMz区域的企业网站及邮件服务器的安全，主要防范对象是D0S，DD0S攻击、黑客入侵等。

　　1．3企业内部网统一的病毒防护需求

　　包括企业内部网中所有子公司及分支机构的病毒防护，主要防范蠕虫病毒等及邮件本身的安全。

　　1．4 企业网络宽带资源的管理和监控需求

　　管理企业网上业务交流和应用访问的网络流量，节约带宽资源，保证企业正常的网络数据传输速度和访问效率，主要规范管理即时通讯工具、BT下载、游戏等网络资源滥用行为。

　　1．5 企业内部网统一的信息防泄漏需求

　　包括企业内部网中所有子公司或分支机构的信息防泄漏，主要防范通过各种IM、WEBMAIL、网页数据上传、USB存储设备需求以及利用其它电脑外设等方式泄漏企业重要信息。

　　1．6 用户身份认证和终端安全检测需求

　　由于接人企业内部网络意味着共享企业网络的信息资源，这就需要进行认证和检测每个登录到网络中的设备和用户，判定用户身份的合法性、设备的安全性、操作的合法性、行动的可追溯性等。

　　1．7 涉密信息管理需求

　　即对涉密资源的控制和管理，对涉密单位按照分级保护的原则进行分类。

　　1．8 统一管理需求

　　即建设统一的安全管理平台，实现对全网安全状况的集中监测。

　　通过安全管理平台实现安全策略的统一配置管理，统计分析各类安全事件，处理各种突发事件，逐步形成企业网的安全管理知识库，针对网络安全状况进行定量分析。

　　2 企业网安全防御的解决方案

　　2．1 边界安全和远程接入安全

　　在边界处放置安全网关，通过其强大的VPN和防火墙功能，保证企业与分支机构之间能在互联网上进行安全可靠的数据传输，运用动态VPN技术实现企业与分支机构间的动态通信，减少网关设备的负载，防止流量瓶颈问题，通过冗余备份，避免单点故障并实现负载均衡与链路的冗余备份。利用人侵防御系统强大的攻击防御特性有效防止边界区域受到的外部攻击，在发生损失之前阻断恶意流量，保护内部资源。建议将入侵防御系统通过桥模式接入网络，以阻止蠕虫、木马、拒绝服务攻击、间谍软件、网络攻击以及点到点应用被滥用。

　　2．2内部网的安全

　　内部网因为与互联网完全物理隔离，所以来自互联网的攻击破坏基本上可以杜绝，其安全威胁主要来自内部员工的主动或被动的非法访问。事实证明内部网的不安全因素远比外部危害更可怕，对于内部网的安全建议采用下面三种方法：

　　(1)内部网访问控制

　　在内部网的核心交换机上安装防火墙模块，通过防火墙模块的安全策略实现内网的隔离保护，将不同部门或服务器之间划分为各自独立的区域。部署字符堡垒主机对字符应用的访问做到命令访问控制及会话内容的审计。部署图形堡垒主机实现应用边界的访问控制并且进行访问全程录像。

　　(2)利用端点准入防御技术解决终端安全问题

　　内网用户由于直接位于企业内网中并具有对内网资源的直接访问权限，一旦主机身份被冒用，其对内网安全造成的威胁将十分巨大，产生的破坏后果也相当严重。因此，对内网主机身份的管理是保证内网安全的关键因素之一。通过采取必要的身份认证技术，保证只有授权的、可信的主机才能进入内网，可最大限度地避免因非法设备的接入对内网资源的破坏、盗取和滥用。在终端防护上采用端点准人技术通过802．1X认证协议将终端用户的身份信息提供到Radius认证服务器进行身份认证，待Radius认证服务器认证通过后，再接入网络进行网络通信，否则终端将被隔离至特定安全区域，不能使用任何网络资源。

　　(3)系统补丁分发及终端病毒防护

　　在企业网中建立统一的、实时升级的补丁分发管理及病毒防护平台，通过端点准人控制客户端的联动以实现对单个终端的病毒防护，同时实现全网终端系统漏洞补丁的更新。

　　2.3数据中心的安全

　　数据中心是整个企业网的核心，数据中心的安全决定着整个企业核心数据的安全。必须将安全设计的理念渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个无缝的安全平台，实现安全管理贯穿数据链路层到网络应用层的目标，使安全保护无处不在。

　　(1)数据中心实施安全区域划分

　　将数据中心各服务器群按功能业务不同划分成：Extranet区域(外部网)、Intranet区域(内部网)、Internet区域(互联网)等。在不同的区域采用不同的网络接人方式，做到物理与逻辑上的划分，这样既有利于不同区域业务流的分离，又能为各个区域部署不同的安全保护策略。对数据中心的访问用户身份与访问服务器资源的角色进行绑定，通过不同角色来控制用户访问服务器资源的范围。

　　(2)入侵检测防御

　　以桥模式接人数据中心的入侵防御系统能够高速进行在线检测并阻断DDoS攻击、非法P2P流量和病毒攻击，保护数据中心免遭来自外部的威胁，同时也可以着重保护数据中心内部的关键区域。

　　(3)用户访问控制

　　部署专用的数据中心防火墙，并利用防火墙对数据中心进行精细的区域划分，通过分区域的安全防护，可以保证各个区域的设备安全可靠运行，并能够为数据中心提供全线速网络的边界安全及全局安全。

　　2．4涉密信息网络安全

　　针对秘密信息，通过网络安全手段对这部分用户进行逻辑隔离，并对其传输的数据进行加密，使其他人员即便获取到相关信息也无法使用。另外通过端点准人功能配合交换机的访问控制，确定用户访问涉密服务器的权限，利用数据库加密技术确定访问级别，确保对涉密信息的可控性。

　　在数据中心设立相关涉密安全信息保密系统，通过系统下发安全策略。在有传输秘密信息的终端用户安装客户代理端，保证涉及秘密信息的终端与相关服务器数据通信时实现信息加密，同时在存有涉密信息的服务器端安装监控加密程序，以实现对涉密服务器访问的身份识别及对信息访问的权限分配。

　　对于机密级单位，按照国家保密局相关规定，涉密单位网络应物理隔离，不允许与其他非涉密网络有连接。在机密单位内部建立可信网络保密系统和可信桌面系统。通过设立可信网络保密系统，控制内部信息不外泄，防止内部人员私自接人外网；利用可信桌面系统，保护涉密终端的安全，设置登录权限，保护加密终端内部数据。同时在保密部门设置相关弱电保密产品，在保证网络应用安全的同时确保涉密单位办公环境也达到保密要求。

　　2．5 内部网信息泄露的安全防护

　　通过安全平台下发主机监控与审计系统安全策略，保证内部网数据不被恶意盗取，防止外接设备随意连接到终端，防止网络内部通过嗅探器等非法手段获取非授权信息，同时避免用户采用其它方式将内部网数据传输到外部网络，杜绝终端用户在未经授权的情况下擅自使用各种I／0设备、计算机外设、移动存储设备等。

　　2．6智能管理中心

　　智能管理中心是整个网络管理平台的核心。在整个企业网络解决方案中网络设备并不是孤立存在的，网络设备之间也需要沟通与协调。

　　只有通过智能管理中心进行有效的集成之后，才能让整个网络联动起来，通过智能管理中心实现用户、资源和网络设备的融合管理，通过松耦合、分布式、易扩展的开放管理平台，提升业务融合能力。基于全网资源的统一部署、管理和调配，实现路由器、交换机、防火墙、终端等网络设备管理以及桌面和网络资产的统一管理，为业务融合、资源调度和自动化协同响应提供必要手段。

　　(1)智能管理中心的架构

　　利用合理的系统体系结构，建立集中的、统一的监控管理服务平台，规划合理的平台体系结构，对业务服务质量、系统运行状况、故障报警、设备运行状况、运维流程监控等进行实时监控、集中管理。

　　智能管理中心的各监控系统需要实现有机联系，提供一个统一的事件管理平台并汇总成网络管理知识库，通过开放接口，汇总各个子系统的故障和事件等，进行网络事件的过滤、转发、自动响应、报警等处理。网络管理知识库承上启下，在整体网络架构中负责对网络事件进行智能集成。

　　(2)智能管理中心日志

　　智能管理中心的日志审计系统可根据需要，通过各种条件的组合对网络日志及相关的设备事件进行快速分析。针对各种不同类型日志的分析，形成相关报表，帮助管理人员了解网络现状。

　　NAT1．0日志记录经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端口，所访问的目的IP、目的端口、协议号、开始时间、结束时间、操作字等关键信息。

　　FLOW1．0曰志记录包括源IP、目的IP、源端口、目的端口、流起始时间、结束时间、操作字等关键信息。

　　DIG1．0日志记录探针型采集器直接从交换机的镜像端口采集到的用户上网信息，对用户访问外部网络的数据流进行分类统计，生成探针日志记录。

　　DIG1．0日志包含两种格式日志，DIGFLOW1．0和DIGEST1．0。DIGFL0w1．0日志内容为IP层数据报文信息，其中包含数据报文的流量信息和协议类型信息，而DIGEST1．0日志内容为应用层协议数据报文信息，包含数据报文的摘要信息。两种格式的DIG1．0日志在采集器进行日志采集的同时生成。

　　DIGFLOW1．O日志记录包含以下内容：开始时间、结束时间、源IP地址、目的IP地址、源端口号、目的端口号、协议类型(目前区分TCP、UDP和IcMP三种协议)、输入包个数、输出包个数、输入字节数、输出字节数；DIGEST1．0日志记录包含以下内容：开始时问、结束时间、源IP地址、目的IP地址、目的端口号、摘要信息(目前支持HTTPTIP协议、FTP协议、SMTP协议报文)等。

　　NetStream V5日志记录包括日志的开始时间、结束时间、协议类型、源IP地址、目的IP地址、服务类型、入接口、出接口、报文数、字节数、总激活时间等信息。

　　syslog协议是目前所有的网络设备、安全设备、负载均衡设备及主机中比较通用的日志管理协议，只需对收集对象进行简单配置，就可以将系统日志直接发送至审计平台，完成收集工作。

　　控制网关日志可以记录用户在通过统一身份认证系统的认证及授权后的所有的访问行为。

　　Agent在对象主机上安装Agent方式以便进行日志收集，用于实现对一些特殊日志格式或有特殊需求对象，如通过在windows主机上安装Agent完成收集Windows event log、windows性能监控、wEB(iis／印ache等)等相关日志收集；通过在unix主机上安装Agent完成对用户操作进行记录等功能。

　　API审计日志用在一些较为复杂的系统中，如针对CheckPoint的OPSEC LEA、针对活动目录的LDAP API等。

　　文件增量监视使用文件增量监视手段进行日志获取，可以直接将日志存储到文件的系统中进行监视，获取文件的方式有Agent本地获取、网络共享sAMBA、FTP、HTTP断点下载等。例如IIs的日志可以采用这种方式获取。

　　ISA、SMS的日志获取采用数据库同步的方式将日志直接存储到关系数据库的系统中。

　　SNMP GET方式的日志支持简单网络管理协议(SNMP)的系统，可以通过它获得系统情况、性能等信息。

　　(3)安全管理中心

　　在全网安全防御过程中，除了采取相应的技术手段在不同安全区域部署安全设备进行有效防御外，还需要有强大的统一策略及统一的安全管理平台，从而制定统一的企业网络安全防护策略，方便管理人员对企业网络进行有效的安全防护，依据网络设备及安全设备的选型情况可以选用不同厂商的安全管理平台。

　　安全管理中心应参考国外的IS017799、Bs7799、美国的萨班斯法案、中国公安部的安全等级保护条例等进行建设。

　　安全管理中心通过智能管理中心知识库中的信息及收集来的设备日志，形成基于攻击事件的起因、被攻击设备位置等不同条件的安全事件报表，帮助管理员分析当前网络安全现状，使管理员能及时调整安全策略，联动已部署的安全设备实施有效的安全防御。

　　(4)智能管理中心的认证审计

　　鉴于智能管理中心的重要性，智能管理中心要采用严格的身份认证和访问控制策略，确保只有经过授权的管理人员才能访问系统。

　　通过数字证书或硬件加密锁进行身份认证，提高认证的强度和安全性。

　　管理员通过管理中心控制台进行用户帐号的授权管理、访问策略下发等操作，通过授权与访问控制网关实现对所有用户访问权限的控制，通过全面审计对用户行为进行详细记录。

　　3 结语

　　综上所述，通过安全管理中心能够实现企业网络的安全防御和管理，在此平台上集中管理企业局域网内的各种网络设备、终端用户以及各类业务应用，实现全网各类接人终端及IT设备的统一管理、统一安全策略，对网络中可能的安全事件进行统一监视，自动生成报表并进行分析，对网络行为进行审计和监控，保证企业网络安全。