吉宁讲师观点 / 企业培训师观点 / 企业培训师观点:谈企业网的安全部署

企业培训师观点:谈企业网的安全部署

企业培训师吉宁 2015年12月12日 企业培训师观点

一、企业网概述

  随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。

  二、企业网络安全的基础——网络设计

  网络的设计与建设,是构建一个安全企业网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下级有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型企业网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部企业网络的控制。

  一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,VPN连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置DMZ区域。DMZ区域的安全级别较普通用户区高,即便得到访问授权的用户,其对DMZ区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。

  三、终端的安全防护

  病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。

  现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在企业网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的企业网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域企业网网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提升系统的安全性和网络效率。

  四、终端用户的规范

  网络的安全除了在设计、硬件、技术管理上提升水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(IE)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有BUG或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。

  五、结束语

  如何保障企业网的安全对于网络管理人员是一个需要长久解决的巨大的难题。在网络日益发达的今天,一旦企业网安全受到威胁,企业的生产与办公会受到极大的影响。构建企业网络时,从网络的结构入手,以各类安全硬件设施为保障,使用质量较好的杀毒软件,不断提升自身的网络管理技术水平,是目前解决网络安全问题的主要手段。

  

About 企业培训师吉宁

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。吉宁老师还主导编写了12Reads系列等知名管理培训教材。