企業(yè)信息化安全之路

     世界的步伐跨入21世紀(jì)，隨著全球信息化的浪潮及寬帶網(wǎng)絡(luò)建設(shè)的飛速發(fā)展，具有跨區(qū)域遠(yuǎn)程辦公及內(nèi)部信息平臺(tái)遠(yuǎn)程共享的企業(yè)也是越來越多，并且這種企業(yè)運(yùn)營(yíng)模式也逐漸成為現(xiàn)代企業(yè)的“需要”和“必要”。這樣，企業(yè)總部和各地的分公司、辦事處以及出差的員工需要實(shí)時(shí)的進(jìn)行信息傳輸、資源共享等，企業(yè)之間的業(yè)務(wù)來往也越來越多的依賴于網(wǎng)絡(luò)，但是由于互聯(lián)網(wǎng)的開放性和通信協(xié)議原始設(shè)計(jì)的局限性，所有信息采用明文傳輸，從而導(dǎo)致互聯(lián)網(wǎng)的安全性問題日益嚴(yán)重，非法訪問、網(wǎng)絡(luò)攻擊、信息竊取等頻頻發(fā)生，給公司的正常運(yùn)行帶來安全隱患甚至不可估量的損失，因此必須利用信息安全技術(shù)來確保網(wǎng)絡(luò)的安全問題，這就使得網(wǎng)絡(luò)安全成為了21世紀(jì)計(jì)算機(jī)信息技術(shù)中一個(gè)永恒的話題。

　　現(xiàn)代企業(yè)信息化的網(wǎng)絡(luò)結(jié)構(gòu)中究竟存在哪些安全隱患呢？我們首先來對(duì)國(guó)內(nèi)現(xiàn)代企業(yè)信息化的基本網(wǎng)絡(luò)模式做一個(gè)安全風(fēng)險(xiǎn)分析，在圖1-1中就表明了現(xiàn)在企業(yè)信息化網(wǎng)絡(luò)結(jié)構(gòu)中太多讓我們不寒而栗的危險(xiǎn)!

　　第一，來自網(wǎng)絡(luò)攻擊的威脅，會(huì)造成我們的服務(wù)器或者工作站癱瘓，其中以拒絕服務(wù)攻擊尤為常見。拒絕服務(wù)攻擊就是使你的服務(wù)計(jì)算機(jī)崩潰來阻止你提供服務(wù)，包括死亡之ping、淚滴攻擊、Land攻擊、泛洪攻擊、Smurf攻擊、Fraggle攻擊、畸形消息攻擊、電子郵件炸彈攻擊等攻擊手段。當(dāng)然，除了拒絕服務(wù)攻擊之外，還有許多危害網(wǎng)絡(luò)安全的其它類型攻擊，比如利用型攻擊(這是一類試圖直接對(duì)你的機(jī)器進(jìn)行控制的攻擊，包括字典暴力破解密碼、安裝特洛伊木馬、緩沖區(qū)溢出等)、信息型收集攻擊(這類攻擊并不對(duì)目標(biāo)本身造成危害，是被用來為進(jìn)一步入侵提供有用的信息，包括端口掃描、地址掃描、體系結(jié)構(gòu)探測(cè)、利用信息服務(wù)等)等。

　　第二，來自信息竊取的威脅，造成我們的商業(yè)機(jī)密泄密，內(nèi)部服務(wù)器被非法訪問，破壞傳輸信息的完整性或者直接假冒。

　　第三，來自公共網(wǎng)絡(luò)中計(jì)算機(jī)病毒的威脅，造成服務(wù)器或者工作站被計(jì)算機(jī)病毒感染而系統(tǒng)崩潰或者癱瘓，更厲害甚至造成網(wǎng)絡(luò)癱瘓，比如前段時(shí)間在Internet上流行的讓我們談之色變的“歡樂時(shí)光”、“尼姆達(dá)”、“沖擊波”等。

　　綜上所述，網(wǎng)絡(luò)不是一個(gè)安全的“陽(yáng)光樂土”，充滿了危險(xiǎn)、邪惡、狡詐與罪惡，那么如何來保障我們的網(wǎng)絡(luò)安全，為企業(yè)的商務(wù)運(yùn)作保駕護(hù)航呢，邁普通信用專業(yè)的安全產(chǎn)品、完美的網(wǎng)絡(luò)方案給你信心!

　　1.企業(yè)信息化網(wǎng)絡(luò)安全第一步：防火墻

　　通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，企業(yè)網(wǎng)絡(luò)管理者意識(shí)到了網(wǎng)絡(luò)安全的必要性和重要性，進(jìn)而逐步想辦法解決網(wǎng)絡(luò)安全的問題，最為普通的做法就是——給我們的內(nèi)部網(wǎng)絡(luò)裝上一道“閘門”來解決網(wǎng)絡(luò)安全的問題，這就有了防火墻(Firewall)和Nat(Network Address Translation，網(wǎng)絡(luò)地址翻譯)轉(zhuǎn)換的概念，當(dāng)然這里所指的防火墻的含義囊括了網(wǎng)絡(luò)安全防火墻和病毒防火墻.

　　本著對(duì)網(wǎng)絡(luò)安全級(jí)別差異的要求，針對(duì)企業(yè)總部信息中心和企業(yè)分支機(jī)構(gòu)采用了不同的方式來解決網(wǎng)絡(luò)安全的問題。首先在重要級(jí)別為最高的企業(yè)總部信息中心，最開始在交換機(jī)上劃分VLAN(虛擬局域網(wǎng))來分隔市場(chǎng)部、財(cái)務(wù)部、人力資源部等，使得各個(gè)不同職能的部門不能互相訪問，保護(hù)本部門敏感的數(shù)據(jù);接下來在各個(gè)服務(wù)器與工作站上安裝病毒防火墻來防護(hù)計(jì)算機(jī)病毒;最后在企業(yè)總部信息中心與公共網(wǎng)絡(luò)的接口處放置網(wǎng)絡(luò)安全防火墻來保護(hù)企業(yè)總部信息中心內(nèi)部網(wǎng)絡(luò)，防止來自公共網(wǎng)絡(luò)的多種網(wǎng)絡(luò)攻擊，當(dāng)然在接入公共網(wǎng)絡(luò)的路由器上可能也集成了防火墻的功能，但是比起專業(yè)的網(wǎng)絡(luò)安全防火墻，功能沒有那么強(qiáng)大。其次，在重要級(jí)別為一般的企業(yè)分支機(jī)構(gòu)，除了在工作站PC上安裝病毒防火墻來防護(hù)計(jì)算機(jī)病毒之外，大多數(shù)企業(yè)分支機(jī)構(gòu)都是在接入路由器上做Nat來防止網(wǎng)絡(luò)攻擊，從安全性上來看NAT提供了對(duì)外隱藏內(nèi)網(wǎng)拓?fù)涞囊粋€(gè)手段。

　　那么，這樣我們的企業(yè)網(wǎng)就徹底安全了嗎？答案顯然是否定的。從圖1-2我們可以清晰的看到，雖然網(wǎng)絡(luò)攻擊和病毒攻擊得到了防范，但是依然沒有解決通信安全的問題，隱藏在茫茫網(wǎng)海中的危險(xiǎn)分子(Hacker)依然可以竊取甚至篡改你在公共網(wǎng)絡(luò)上傳輸?shù)陌愕膸ぬ?hào)、口令、數(shù)據(jù)等重要的信息，因此即使我們已經(jīng)開始改良網(wǎng)絡(luò)安全性，但是圖1-2所示的這個(gè)企業(yè)網(wǎng)絡(luò)模式依然不是一個(gè)令人放心的安全網(wǎng)絡(luò)。

　　此外，還有一個(gè)小小的問題，我們?cè)谄髽I(yè)分支機(jī)構(gòu)的接入路由器上做了Nat，這樣確實(shí)解決了一部分安全的問題，但是面對(duì)我們的網(wǎng)絡(luò)增值業(yè)務(wù)(比如IP語(yǔ)音)卻又帶來了一個(gè)麻煩，因?yàn)樾枰┰絅at，雖然目前有很多廠家采用ALG(Application Level Gateway，應(yīng)用層網(wǎng)關(guān))技術(shù)推出了專業(yè)的VoIP穿越Nat的設(shè)備，但是把公共網(wǎng)絡(luò)變成我自己享用的專網(wǎng)卻是大家的夢(mèng)想、更為愿意嘗試的方式。

　　2.企業(yè)信息化網(wǎng)絡(luò)安全第二步：VPN

　　在解決了網(wǎng)絡(luò)攻擊和病毒攻擊的困擾以后，大多數(shù)企業(yè)網(wǎng)絡(luò)管理者就要開始考慮信息傳輸安全的問題了，那么如何來解決信息在公共網(wǎng)絡(luò)上安全傳輸?shù)膯栴}呢，VPN技術(shù)的橫空出世讓我們找到了解決網(wǎng)絡(luò)安全中在公共網(wǎng)絡(luò)上安全傳輸信息的的方法，

　　VPN(Virtual Private Network)技術(shù)，也就是虛擬專用網(wǎng)技術(shù)，是一種利用公共網(wǎng)絡(luò)構(gòu)造私有網(wǎng)絡(luò)的一種技術(shù)，要架構(gòu)這種 VPN，需要使用數(shù)據(jù)包隧道傳輸和加解密技術(shù)。最為通俗的形容就是好像在源端與目的端架設(shè)了一個(gè)堅(jiān)固(堅(jiān)固的含義就是外界力量不能破壞)的石油管道(隧道)，讓石油(信息)絲毫不泄漏的從源端流到目的端，隧道是由隧道協(xié)議來完成建立的，通常的隧道協(xié)議包括二層隧道協(xié)議(比如PPTP、L2F、L2TP)和三層隧道協(xié)議(比如GRE、IPSec)，而最通用的則是IPSec協(xié)議。IPSec協(xié)議是一組開放協(xié)議的總稱，通過AH (Authentication Header，驗(yàn)證頭)和ESP(Encapsulating Security Payload，封裝安全載荷)這兩個(gè)安全協(xié)議在特定的通信方之間的IP層通過數(shù)據(jù)加密與數(shù)據(jù)源驗(yàn)證，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。

　 以邁普通信的專業(yè)網(wǎng)絡(luò)安全設(shè)備為例來分析該網(wǎng)絡(luò)方案。在企業(yè)總部信息中心放置一臺(tái)MPSec VPN3020網(wǎng)關(guān)，該網(wǎng)關(guān)集成了強(qiáng)大的防火墻功能，能夠有效的對(duì)抗網(wǎng)絡(luò)攻擊，節(jié)省了圖1-2中所示的需要在企業(yè)總部信息中心配備的網(wǎng)絡(luò)安全防火墻;在企業(yè)分支機(jī)構(gòu)使用內(nèi)置IPSec加密芯片的邁普通信安全路由器系列，這樣帶IPSec加密芯片的邁普路由器與邁普VPN網(wǎng)關(guān)之間就形成了VPN通道，VPN通道有效的保護(hù)了企業(yè)分支機(jī)構(gòu)與企業(yè)總部信息中心之間的信息傳輸，使得公共網(wǎng)絡(luò)中的危險(xiǎn)分子無法竊取在隧道中加密傳輸?shù)男畔?，大大推進(jìn)了網(wǎng)絡(luò)安全向前跨越了一大步。此外，由于虛擬專用網(wǎng)的建立，前面所講的VoIP穿越Nat的問題也迎刃而解，此時(shí)相當(dāng)于在專網(wǎng)上架設(shè)IP語(yǔ)音網(wǎng)，使得網(wǎng)絡(luò)增值業(yè)務(wù)輕松實(shí)現(xiàn)。