首页 >> 新闻资讯 >>建站资讯 >> 企业网络安全方案-运用动态安全域保护企业网的方法
详细内容

企业网络安全方案-运用动态安全域保护企业网的方法

一 : 运用动态安全域保护企业网的方法

网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。
网络安全域从大的方面一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。传统的安全域之间需要设置防火墙以进行安全保护。本地网络域的安全内容有:桌面管理、应用程序管理、用户账号管理、登录验证管理、文件和打印资源管理、通信通道管理以及灾难恢复管理等与安全相关的内容。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以及数据的真实性和机密性。
一个大的安全域还可根据内部不同部分的不同安全需求,再划分为很多小的区域。一般在划分安全域之前,还应先把所有的计算机进行分组。分好组后,再把各个组放到相应的区域中去,如边界DNS和边界Web,都可放到边界防护区域(即所谓的DMZ区域)中去。为了更为细粒度地对网络进行访问控制,在划分安全域后,可以继续在安全域下划分若干子安全域,子安全域不能单独创建,必须属于某个安全域,子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后,每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后,就可设计不同区域间的通信机制,如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信,必须通过VPN,并且要通过双因子验证(需要智能卡、口令)进行身份验证,身份合法后再采用IP Sec进行加密通信。
传统安全域的访问管理
在基于传统安全域的访问控制体系模型中,有以下几个主要模块:
•ID管理模块:用户信息管理模块,提供用户信息的添加、删除和修改等功能,集中管理企业网络中的用户,同时,可以将用户按权限进行分组、分角色,进而利用组和角色对特定用户集合进行管理;
•安全域管理模块:管理用户划分的安全域和子安全域信息,用户可以添加、删除和修改安全域以及子安全域,可以配置安全域之间的访问控制关系,比如在访问安全域A的时候,不能同时访问安全域B等;
•访问策略管理模块:管理用户与安全域、子安全域之间的访问控制关系,定义用户在什么时间、什么地点可以访问哪些安全域等;
•Web服务管理:为用户提供Web服务,用户通过Web服务进行身份认证以及安全域的访问和退出等;
•通信平台:主要是通过SSH、Telnet对防火墙进行配置,为用户打开指定的ACL访问;
•探测模块:探测用户PC是否在线,探测方式可以采用ARP、ICMP、SAMBA等协议。
在基于传统安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下:
•第0步:用户接入网络,直接访问安全域失败,因为防火墙ACL默认禁止用户访问此安全域;
•第1步:用户通过Web浏览器访问安全域管理服务器IP或URL;
•第2步:用户在身份认证页面输入身份信息,安全域管理服务器对用户进行认证,认证成功则继续,认证失败需重新认证;
•第3步:用户认证成功后,安全域管理服务器利用管理员配置的访问策略将用户可访问域显示给用户;
•第4、5步:用户选择登录其要访问的安全域,安全域管理服务器通过网络连接开启用户PC对安全域(或子安全域)的ACL;
•第6步:用户成功访问其登录的安全域;
•第7步:当用户退出安全域后,安全域管理服务器将下发给防火墙的ACL撤销。同时,如果在线探测模块探测到用户下线或者用户IP-MAC发生改变的时候,也会撤销其为此IP下发的ACL。
动态安全域助力大型企业
基于传统安全域的访问控制体系模型是企业网在发展过程中形成的通用模式,在中小型企业、业务专业性较强和地域分布不广的大中型企业中都有很好的实现。但在业务高度复杂、地域高度分散且地域及业务均呈交叉状、人员众多的大型或超大型企业集团中,信息系统广泛采用分布式或集中分布式部署,传统的安全域模型结构也被大量复制,其总部结构和分支机构安全域模型交叉,随着人员业务变化性的增强和企业重组或业务快速膨胀,承载网和业务网边界日益模糊,访问管理模型也随之日益复杂,安全域或安全子域的变化频繁,ACL控制或基础安全策略日益膨胀,随之带来的管控复杂性使网络管理员面临巨大工作量和智力挑战。某大型企业集团早在2005年就开始实施安全域,但随着上述情况的出现,安全域边界不断变化,其安全域逐步变化成为30多个,子域多达上百个,其核心交换机上的ACL就达1000余条,矩阵分离表的逻辑性也逐渐完全不可读,最终导致其安全域划分的失败。
安全域的核心就是通过一系列的规则控制,达到特定网络群组按照指定规则访问指定群组的关系,其组群需要具有相同的安全访问控制和边界控制策略的子网或网络。传统模型较为容易在集中部署的单一结构中实现,其组群成员的权责变化一般也需要对相应规则做调整。假定将组群成员动态的变化和子域调整与子网划分动态结合,就可以实现基于传统复杂安全域结构上的动态调整,从而实现基于传统安全域基础上的动态安全域的模型结构。
在基于动态安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下:
•第0步:用户接入网络,直接访问安全域失败,因为强制器没有通知接入交换机打开网络端口,默认用户访问隔离域A,做身份申请;
•第1步:用户身份认证成功,强制器打开接入端口,做安全合规性检测,默认访问隔离域B,做安全合规性完善;
•第2步:合规性检查通过,用户从隔离域B中划出到公共访问域;
•第3步:用户身份信息传送给安全域管理服务器,安全域管理服务器访问服务域控制器,服务域控制器从人力资源数据库权责矩阵同步列表中生成用户安全域列表,并通知用户;
•第4步:用户选择登录其要访问的服务,安全域控制器根据安全域列表,通知网管控制域服务器,网管控制器通知网络交换域;
•第5步:网络交换域生成控制列表,生成VLAN及VCL组合,通知交换设备,生成访问域控制隔离通道;
•第6步:服务控制服务器通过交换域,通知相应安全域做对应权责匹配;
•第7步:用户访问所需安全域的服务;
•第8步:当用户退出安全域后,安全域管理服务器将下发给交换用户的VLAN及ACL撤销。同时,如果在线探测模块探测到用户下线或者用户进行危险性违规性操作或IP-MAC发生改变的时候,也会通知交换域撤销其为此身份下发的IP、VLAN及ACL,进行隔离;如果在线探测模块探测到用户进行攻击性或高危破坏性操作,通知交换域撤销其为此身份下发的IP、VLAN及ACL,并同时关闭端口避免入侵破坏。
安全域是基于网络和系统进行安全检查和评估的基础,安全域的划分是企业网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点,同时安全域也是基于网络和系统进行安全建设的部署依据。动态安全域在传统安全域常规手段的基础上,将网络成员权责与安全子域和子网划分动态结合,同时将网络动态接入和用户权责矩阵有机结合,成为大型或超大型企业网络的有效管控手段。当然,上述安全域管理系统也有需要改进的部分,如网络设备的动态管控。由于网络设备厂商的多样化导致命令处理十分复杂,此模型对网络设备具有较高要求,并需要网络设备一致性或大量针对性网络控制的二次开发,同时面临构架复杂、实施周期长、成本较高等难题,主要原因是现如今还没有这方面的业界或企业标准。不过随着网络安全的进一步发展,这方面问题有望得到改善

二 : 运用动态安全域保护企业网的方法

网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。 
  网络安全域从大的方面一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。传统的安全域之间需要设置防火墙以进行安全保护。本地网络域的安全内容有:桌面管理、应用程序管理、用户账号管理、登录验证管理、文件和打印资源管理、通信通道管理以及灾难恢复管理等与安全相关的内容。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以及数据的真实性和机密性。 
  一个大的安全域还可根据内部不同部分的不同安全需求,再划分为很多小的区域。一般在划分安全域之前,还应先把所有的计算机进行分组。分好组后,再把各个组放到相应的区域中去,如边界DNS和边界Web,都可放到边界防护区域(即所谓的DMZ区域)中去。为了更为细粒度地对网络进行访问控制,在划分安全域后,可以继续在安全域下划分若干子安全域,子安全域不能单独创建,必须属于某个安全域,子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后,每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后,就可设计不同区域间的通信机制,如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信,必须通过VPN,并且要通过双因子验证(需要智能卡、口令)进行身份验证,身份合法后再采用IP Sec进行加密通信。 
  传统安全域的访问管理 
  在基于传统安全域的访问控制体系模型中,有以下几个主要模块: 
  •ID管理模块:用户信息管理模块,提供用户信息的添加、删除和修改等功能,集中管理企业网络中的用户,同时,可以将用户按权限进行分组、分角色,进而利用组和角色对特定用户集合进行管理; 
  •安全域管理模块:管理用户划分的安全域和子安全域信息,用户可以添加、删除和修改安全域以及子安全域,可以配置安全域之间的访问控制关系,比如在访问安全域A的时候,不能同时访问安全域B等; 
  •访问策略管理模块:管理用户与安全域、子安全域之间的访问控制关系,定义用户在什么时间、什么地点可以访问哪些安全域等; 
  •Web服务管理:为用户提供Web服务,用户通过Web服务进行身份认证以及安全域的访问和退出等; 
  •通信平台:主要是通过SSH、Telnet对防火墙进行配置,为用户打开指定的ACL访问; 
  •探测模块:探测用户PC是否在线,探测方式可以采用ARP、ICMP、SAMBA等协议。 
  在基于传统安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下: 
  •第0步:用户接入网络,直接访问安全域失败,因为防火墙ACL默认禁止用户访问此安全域; 
  •第1步:用户通过Web浏览器访问安全域管理服务器IP或URL; 
  •第2步:用户在身份认证页面输入身份信息,安全域管理服务器对用户进行认证,认证成功则继续,认证失败需重新认证; 
  •第3步:用户认证成功后,安全域管理服务器利用管理员配置的访问策略将用户可访问域显示给用户; 
  •第4、5步:用户选择登录其要访问的安全域,安全域管理服务器通过网络连接开启用户PC对安全域(或子安全域)的ACL; 
  •第6步:用户成功访问其登录的安全域; 
  •第7步:当用户退出安全域后,安全域管理服务器将下发给防火墙的ACL撤销。同时,如果在线探测模块探测到用户下线或者用户IP-MAC发生改变的时候,也会撤销其为此IP下发的ACL。 
  动态安全域助力大型企业 
  基于传统安全域的访问控制体系模型是企业网在发展过程中形成的通用模式,在中小型企业、业务专业性较强和地域分布不广的大中型企业中都有很好的实现。但在业务高度复杂、地域高度分散且地域及业务均呈交叉状、人员众多的大型或超大型企业集团中,信息系统广泛采用分布式或集中分布式部署,传统的安全域模型结构也被大量复制,其总部结构和分支机构安全域模型交叉,随着人员业务变化性的增强和企业重组或业务快速膨胀,承载网和业务网边界日益模糊,访问管理模型也随之日益复杂,安全域或安全子域的变化频繁,ACL控制或基础安全策略日益膨胀,随之带来的管控复杂性使网络管理员面临巨大工作量和智力挑战。某大型企业集团早在2005年就开始实施安全域,但随着上述情况的出现,安全域边界不断变化,其安全域逐步变化成为30多个,子域多达上百个,其核心交换机上的ACL就达1000余条,矩阵分离表的逻辑性也逐渐完全不可读,最终导致其安全域划分的失败。 
  安全域的核心就是通过一系列的规则控制,达到特定网络群组按照指定规则访问指定群组的关系,其组群需要具有相同的安全访问控制和边界控制策略的子网或网络。传统模型较为容易在集中部署的单一结构中实现,其组群成员的权责变化一般也需要对相应规则做调整。假定将组群成员动态的变化和子域调整与子网划分动态结合,就可以实现基于传统复杂安全域结构上的动态调整,从而实现基于传统安全域基础上的动态安全域的模型结构。 
  在基于动态安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下: 
  •第0步:用户接入网络,直接访问安全域失败,因为强制器没有通知接入交换机打开网络端口,默认用户访问隔离域A,做身份申请; 
  •第1步:用户身份认证成功,强制器打开接入端口,做安全合规性检测,默认访问隔离域B,做安全合规性完善; 
  •第2步:合规性检查通过,用户从隔离域B中划出到公共访问域; 
  •第3步:用户身份信息传送给安全域管理服务器,安全域管理服务器访问服务域控制器,服务域控制器从人力资源数据库权责矩阵同步列表中生成用户安全域列表,并通知用户; 
  •第4步:用户选择登录其要访问的服务,安全域控制器根据安全域列表,通知网管控制域服务器,网管控制器通知网络交换域; 
  •第5步:网络交换域生成控制列表,生成VLAN及VCL组合,通知交换设备,生成访问域控制隔离通道; 
  •第6步:服务控制服务器通过交换域,通知相应安全域做对应权责匹配; 
  •第7步:用户访问所需安全域的服务; 
  •第8步:当用户退出安全域后,安全域管理服务器将下发给交换用户的VLAN及ACL撤销。同时,如果在线探测模块探测到用户下线或者用户进行危险性违规性操作或IP-MAC发生改变的时候,也会通知交换域撤销其为此身份下发的IP、VLAN及ACL,进行隔离;如果在线探测模块探测到用户进行攻击性或高危破坏性操作,通知交换域撤销其为此身份下发的IP、VLAN及ACL,并同时关闭端口避免入侵破坏。 
  安全域是基于网络和系统进行安全检查和评估的基础,安全域的划分是企业网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点,同时安全域也是基于网络和系统进行安全建设的部署依据。动态安全域在传统安全域常规手段的基础上,将网络成员权责与安全子域和子网划分动态结合,同时将网络动态接入和用户权责矩阵有机结合,成为大型或超大型企业网络的有效管控手段。当然,上述安全域管理系统也有需要改进的部分,如网络设备的动态管控。由于网络设备厂商的多样化导致命令处理十分复杂,此模型对网络设备具有较高要求,并需要网络设备一致性或大量针对性网络控制的二次开发,同时面临构架复杂、实施周期长、成本较高等难题,主要原因是现如今还没有这方面的业界或企业标准。不过随着网络安全的进一步发展,这方面问题有望得到改善 

三 : 云巢桌面云之全方位的企业IT安全方案

随着互联网技术的飞速发展,网络安全问题已经日益的暴露出来,从种类繁多的计算机病毒危害,到每天数百万网友的PC被黑客通过木马控制;从大网站的用户信息被泄露,到日益增多的企业内部员工泄密事件,这些无疑不意味企业要抓紧着手提高数据的安全性。越来越多的企业从中更是看到了桌面云方案对企业数据安全的不可替代性。作为国内领先的桌面云解决方案供应商,云巢科技凭借着对信息安全问题的敏感和超前的技术创新,真正做到了为企业信息安全保驾护航。

云巢科技CTO在谈到安全问题的时候说:“云巢桌面云在安全和管控方面有几大创新:

1,USB管控,创新性的提出并运用了NoDate USB技术,所有的数据都在服务器上,USB拷贝知识一个链接,只能连接到服务器才能看到数据。再在此基础上对USB进行访问控制,不同的人员实行不同的访问权限控制(禁用、只读、读写)。

2,三权分立机制,对于安全级别要求高的用户实行操作权、审批权、审核权的分开,基本上可以做到无重大的任务操作事故。

3,去数据库化设计,抛弃原来的数据库架构,将数据加密分散保存到多个位置,在性能和安全性得到了很大提高。

4,自带防火墙或者DMZ,云巢桌面云系统可以很方便的配置防火墙和DMZ,更应用了虚拟网络技术,可以将不同部门的人员分配到不同的虚拟网络里,这样既保证了通讯的流畅,又提高了安全性。

5,异常帐户的紧急处理机制,对于有异常动作的帐户,系统会自动识别,并作出紧急处理,以保证系统运行的稳定性。

6,统一的杀毒部署和敏感文件分析,云巢桌面云可以通过置于后台的服务器或者软件系统,旁路萃取镜像内的文件,通过统一部署的软件进行定期杀毒;对于敏感文件的访问进行统一的记录和审计;并可以设置策略,避免敏感数据被非法用户读取。可以是统一的后台分析,也可以是实时的分析。

7,外设加密传输,云巢科技在服务器和瘦客户机之间的USB、串并口等外设数据的传输过程中,均经过进一步的加密处理。

8,镜像加密技术,与基于存储加密不同的是,可以实现镜像的一文一密,加密后的镜像只能在云巢桌面云系统中运行;加密秘钥与镜像文件分离,避免了镜像文件被窃取后破解的可能。基于3DES加密。

9,构建可定义的网络隔离,云巢桌面云通过SDN网络体系,可以构建完全独立的隔离网络;在数据源被隔离的网络体系内,其效用完全等价于物理隔离的效果。通过SDN网络体系,可以构建任意数量、可供控制的虚拟网络,在具有物理网络隔离效果的情况下,具有了更低的成本、更高的内部控制能力。

10,集群存储,存储介质是信息系统安全最后的堡垒,也是最终目的地。云巢桌面云系统通过集群存储构建可信独立网络,提供非直接访问的方式,其独立构建网络,与其他物理网络基本实现隔离,并与基础系统构建可信的访问许可和认证协议。同时,采用同步增量备份的机制,提高数据的安全性。

作为国产桌面云技术的领头羊,以笔者这种浮光掠影,走马看花的介绍不免有些管中窥豹。但是笔者真心相信只要有越来越多像云巢科技这样真心站在用户角度做产品的公司,不管对企业还是对个人,都会在数据化的今天高枕无忧。

惠州做网站: www.q-one.cn

四 : 中小企业计算机网络安全方案

摘 要

本文建设了一种中小型网络的安全方案,重点研究在物理隔离的情况下计算机网络的安全问题。在对中小型网络系统有了确切的了解之后,将局域网总体划分为三个安全等级,每个等级中包含若干子网,各类子网设置了各自的安全策略。按照计算机网络安全设计的目标及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。依照各个安全等级的安全需求,设计了中小型网络的安全方案。在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。目的是建立一个完整的、立体的网络安全防御体系,使网络安全系统真正获得较好的效果。


--------文章摘自《企业网络安全方案》

惠州市企汇通科技有限公司是一家以互联网服务为中心,全面提供:网站建设、网络推广、网站设计改版、SEO优化、企业宣传海报、微信平台开发、需求定制开发、小程序‘等服务为一体的互联网营销服务企业。


上一篇WEB服务器下一篇网页布局

服务热线


0752-3071951

服务咨询项目合作


 920915621@qq.com

微信公众号二维码

公司地址


广东省惠州市惠城区麦地路34号尚城好莱屋25层

微信小程序二维码

客服中心
联系方式
0752-3071951
- 售前咨询
- 技术咨询
小程序