企業網絡安全策略論文
最近有網友想了解下企業網絡安全策略論文怎么寫,所以學習啦小編就整理了相關資料分享給大家,具體內容如下.希望大家參考參考!!!
企業網絡安全策略論文(學習啦小編這里就以企業網絡安全策略設計與實現的論文為例子給大家參考參考)
一、企業網絡信息系統安全需求
(一)企業網絡信息安全威脅分析
大部分企業在網絡信息安全封面均有一些必要措施,因為網絡拓撲結構和網絡部署不是一成不變的,因此還會面臨一些安全威脅,總結如下:
(1)監控手段不足:企業員工有可能將沒有經過企業注冊的終端引入企業網絡,也有可能使用存在安全漏洞的軟件產品,對網絡安全造成威脅。
(2)數據明文傳輸:在企業網絡中,不少數據都未加密,以明文的方式傳輸,外界可以通過網絡監聽、掃描竊取到企業的保密信息或關鍵數據。
(3)訪問控制不足:企業信息系統由于對訪問控制重要性的忽視,加之成本因素,往往不配備認證服務器,各類網絡設備的口令也沒有進行權限的分組。
(4)網間隔離不足:企業內部網絡往往具有較為復雜的拓撲結構,下屬機構多,用戶數量多。但網絡隔離僅僅依靠交換機和路由器來實現,使企業受到安全威脅。
(二)企業網絡信息安全需求分析
企業信息系統中,不同的對象具備不同的安全需求:
(1)企業核心數據庫:必須能夠保證數據的可靠性和完整性,禁止沒有經過授權的用戶非法訪問,能夠避免各種攻擊帶來的數據安全風險。
(2)企業應用服務器:重要數據得到有效保護,禁止沒有經過授權的用戶非法訪問,能夠避免各種攻擊帶來的數據安全風險。
(3)企業web服務器:能夠有效避免非法用戶篡改數據,能夠及時發現并清除木馬及惡意代碼,禁止沒有經過授權的用戶非法訪問。
(4)企業郵件服務器:能夠識別并拒絕垃圾郵件,能夠及時發現并清除木馬及蠕蟲。
(5)企業用戶終端:防止惡意病毒的植入,防止非法連接,防止未被授權的訪問行為。
二、企業網絡安全策略設計與實現
企業網絡的信息安全策略是涵蓋多方面的,既有管理安全,也有技術安全,既有物理安全策略,也有網絡安全策略。結合上文的安全分析與安全需求,企業網絡應實現科學的安全管理模式,結合網絡設備功能的不同對整體網絡進行有效分區,可分為專網區、服務器區以及內網公共區,并部署入侵檢測系統與防火墻系統,對內部用戶威脅到網絡安全的行為進行阻斷。
在此基礎上,本文著重闡述企業信息系統的網絡層安全策略:
(一)企業信息系統網絡設備安全策略
隨著網絡安全形勢的日趨嚴峻,不斷有新的攻擊手段被發現,而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備,如果這些設備退出服務,企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。
最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉,舉例來講:交換機的鄰居發現服務CDP,其功能是辨認一個網絡端口連接到哪一個另外的網絡端口,鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網絡交換機的型號與版本信息,本地虛擬局域網屬性等。
因此,本文建議在不常使用此服務的情況下,應該關閉鄰居發現服務。另外,一些同樣不常使用的服務,包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、代理ARP服務等等。
企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知,此協議使用的是明文傳輸模式,因此在信息安全方面不輸于非常可靠的協議。
入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼,以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中,應引入安全性能更高的協議,學習啦小編推薦SSH(Secure Shell Client)協議。這種協議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題,VTP應配置強口令。
(二)企業信息系統網絡端口安全策略
由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡,而網絡交換機屬于工作在ISO第二層的設備,當前有不少以第二層為目標的非法攻擊行為,為網絡帶來了不容忽視的安全威脅。
二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后,首選會清空CAM 表,并立即啟動數據幀源地址學習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構,便很容易導致網絡交換機CAM表溢出,服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發,為非法入侵者提供網絡竊聽的機會,很容易造成攻擊風險。
學習啦小編所推薦的策略是:網絡交換機的端口安全維護應隨時打開;在交換機配置中設置其學習MAC地址的最大數目為1;設置網絡交換機能夠存儲其學習到的全部MAC地址;一旦網絡交換機的安全保護被觸發,則丟棄全部MAC 地址的流量,發送告警信息。對網絡交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網絡內部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎上,還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網絡交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網絡交換機安全性。
(三)企業信息系統網絡BPDU防護策略
一般情況下,企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐,因為考慮到交換機通道的溝通,加之系統冷、熱備份的出發點,在企業網絡中是存在第二層環路的,這就容易引發多個幀副本的出現,甚至引起基于第二層的數據包廣播風暴,為了避免此種情況的發生,企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優先級低的BPDU數據包,攻擊者向二層網絡交換機發送。
由于這種情況下入侵檢測系統與網絡防火墻均無法生效,就導致攻擊者能夠方便地獲取網絡信息。可以采用的防范措施為:在二層網絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數據包不進行任何處理,加入收到此種類型的數據包,該端口將會自動設置為“服務停止”。在此基礎上,在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包,則發出“失效”的消息,及時阻塞端口。
(四)企業信息系統網絡Spoof防護策略
在企業內部網絡中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態主機設置協議服務器,同時向用戶主機發出假冒的動態IP配置數據包,導致用戶無法獲取真實IP,不能聯網。
可以采用的防范措施為:引入動態主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活,系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態IP配置數據包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協議在安全方面的防范性不足,加入非法入侵者不斷地發出ARP數據包,便容易導致全部用戶終端的ARP表退出服務,除去靜態綁定IP與MAC之外,本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下,端口將無法發出ARP的響應,因此,黨用戶主機染毒時,其發出的假冒ARP數據包將由于與列表不匹配而被丟棄,系統安全得到了保障。
三、結束語
企業信息系統亟需一個整體性的解決方案與安全策略。本研究在闡述企業整體信息安全威脅與需求的基礎上,總結了企業網絡常見的安全問題,結合這些問題進行了信息安全策略設計,并從網絡設備防護策略、端口安全策略、BPDU 防護策略、Spoof 攻擊防護策略四個方面對企業信息安全實現方法進行了闡述,設計了相關的安全策略。