企業(yè)網(wǎng)絡(luò)安全策略論文

　　最近有網(wǎng)友想了解下企業(yè)網(wǎng)絡(luò)安全策略論文怎么寫,所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!

　　企業(yè)網(wǎng)絡(luò)安全策略論文(學(xué)習(xí)啦小編這里就以企業(yè)網(wǎng)絡(luò)安全策略設(shè)計(jì)與實(shí)現(xiàn)的論文為例子給大家參考參考)

　　一、企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全需求

　　(一)企業(yè)網(wǎng)絡(luò)信息安全威脅分析

　　大部分企業(yè)在網(wǎng)絡(luò)信息安全封面均有一些必要措施，因?yàn)榫W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)部署不是一成不變的，因此還會(huì)面臨一些安全威脅，總結(jié)如下：

　　(1)監(jiān)控手段不足：企業(yè)員工有可能將沒有經(jīng)過企業(yè)注冊(cè)的終端引入企業(yè)網(wǎng)絡(luò)，也有可能使用存在安全漏洞的軟件產(chǎn)品，對(duì)網(wǎng)絡(luò)安全造成威脅。

　　(2)數(shù)據(jù)明文傳輸：在企業(yè)網(wǎng)絡(luò)中，不少數(shù)據(jù)都未加密，以明文的方式傳輸，外界可以通過網(wǎng)絡(luò)監(jiān)聽、掃描竊取到企業(yè)的保密信息或關(guān)鍵數(shù)據(jù)。

　　(3)訪問控制不足：企業(yè)信息系統(tǒng)由于對(duì)訪問控制重要性的忽視，加之成本因素，往往不配備認(rèn)證服務(wù)器，各類網(wǎng)絡(luò)設(shè)備的口令也沒有進(jìn)行權(quán)限的分組。

　　(4)網(wǎng)間隔離不足：企業(yè)內(nèi)部網(wǎng)絡(luò)往往具有較為復(fù)雜的拓?fù)浣Y(jié)構(gòu)，下屬機(jī)構(gòu)多，用戶數(shù)量多。但網(wǎng)絡(luò)隔離僅僅依靠交換機(jī)和路由器來實(shí)現(xiàn)，使企業(yè)受到安全威脅。

　　(二)企業(yè)網(wǎng)絡(luò)信息安全需求分析

　　企業(yè)信息系統(tǒng)中，不同的對(duì)象具備不同的安全需求：

　　(1)企業(yè)核心數(shù)據(jù)庫(kù)：必須能夠保證數(shù)據(jù)的可靠性和完整性，禁止沒有經(jīng)過授權(quán)的用戶非法訪問，能夠避免各種攻擊帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)。

　　(2)企業(yè)應(yīng)用服務(wù)器：重要數(shù)據(jù)得到有效保護(hù)，禁止沒有經(jīng)過授權(quán)的用戶非法訪問，能夠避免各種攻擊帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)。

　　(3)企業(yè)web服務(wù)器：能夠有效避免非法用戶篡改數(shù)據(jù)，能夠及時(shí)發(fā)現(xiàn)并清除木馬及惡意代碼，禁止沒有經(jīng)過授權(quán)的用戶非法訪問。

　　(4)企業(yè)郵件服務(wù)器：能夠識(shí)別并拒絕垃圾郵件，能夠及時(shí)發(fā)現(xiàn)并清除木馬及蠕蟲。

　　(5)企業(yè)用戶終端：防止惡意病毒的植入，防止非法連接，防止未被授權(quán)的訪問行為。

　　二、企業(yè)網(wǎng)絡(luò)安全策略設(shè)計(jì)與實(shí)現(xiàn)

　　企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的，既有管理安全，也有技術(shù)安全，既有物理安全策略，也有網(wǎng)絡(luò)安全策略。結(jié)合上文的安全分析與安全需求，企業(yè)網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)科學(xué)的安全管理模式，結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對(duì)整體網(wǎng)絡(luò)進(jìn)行有效分區(qū)，可分為專網(wǎng)區(qū)、服務(wù)器區(qū)以及內(nèi)網(wǎng)公共區(qū)，并部署入侵檢測(cè)系統(tǒng)與防火墻系統(tǒng)，對(duì)內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進(jìn)行阻斷。

　　在此基礎(chǔ)上，本文著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略：

　　(一)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備安全策略

　　隨著網(wǎng)絡(luò)安全形勢(shì)的日趨嚴(yán)峻，不斷有新的攻擊手段被發(fā)現(xiàn)，而這些手段的攻擊目標(biāo)也已經(jīng)從用戶終端、服務(wù)器厭延展至交換機(jī)、路由器等硬件設(shè)施。而交換機(jī)與路由器屬于網(wǎng)絡(luò)核心層的重點(diǎn)設(shè)備，如果這些設(shè)備退出服務(wù)，企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會(huì)面臨很大的威脅。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。

　　最大化地關(guān)閉網(wǎng)絡(luò)交換機(jī)上的服務(wù)種類。尤其是不經(jīng)常使用的服務(wù)更應(yīng)關(guān)閉，舉例來講：交換機(jī)的鄰居發(fā)現(xiàn)服務(wù)CDP，其功能是辨認(rèn)一個(gè)網(wǎng)絡(luò)端口連接到哪一個(gè)另外的網(wǎng)絡(luò)端口，鄰居發(fā)現(xiàn)服務(wù)鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息，包括交換機(jī)端口與用戶終端的IP信息，網(wǎng)絡(luò)交換機(jī)的型號(hào)與版本信息，本地虛擬局域網(wǎng)屬性等。

　　因此，本文建議在不常使用此服務(wù)的情況下，應(yīng)該關(guān)閉鄰居發(fā)現(xiàn)服務(wù)。另外，一些同樣不常使用的服務(wù)，包括交換機(jī)自舉服務(wù)、文件傳輸服務(wù)、簡(jiǎn)單文件傳輸服務(wù)、網(wǎng)絡(luò)時(shí)間同步服務(wù)、查詢用戶情況服務(wù)、簡(jiǎn)單網(wǎng)絡(luò)管理服務(wù)、源路徑路由服務(wù)、代理ARP服務(wù)等等。

　　企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實(shí)現(xiàn)對(duì)全網(wǎng)所有交換機(jī)、路由器的配置與管理。眾所周知，此協(xié)議使用的是明文傳輸模式，因此在信息安全方面不輸于非?？煽康膮f(xié)議。

　　入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼，以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中，應(yīng)引入安全性能更高的協(xié)議，學(xué)習(xí)啦小編推薦SSH(Secure Shell Client)協(xié)議。這種協(xié)議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協(xié)議進(jìn)行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個(gè)應(yīng)該得到重視的問題，VTP應(yīng)配置強(qiáng)口令。

　　(二)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略

　　由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機(jī)在接入層連入網(wǎng)絡(luò)，而網(wǎng)絡(luò)交換機(jī)屬于工作在ISO第二層的設(shè)備，當(dāng)前有不少以第二層為目標(biāo)的非法攻擊行為，為網(wǎng)絡(luò)帶來了不容忽視的安全威脅。

　　二層網(wǎng)絡(luò)交換機(jī)使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的。在網(wǎng)絡(luò)交換機(jī)加點(diǎn)之后，首選會(huì)清空CAM 表，并立即啟動(dòng)數(shù)據(jù)幀源地址學(xué)習(xí)，并將這些信息存入交換機(jī)CAM表中。這時(shí)候，加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu)，便很容易導(dǎo)致網(wǎng)絡(luò)交換機(jī)CAM表溢出，服務(wù)失效。而此時(shí)便會(huì)導(dǎo)致該MAC的流量向交換機(jī)其他端口轉(zhuǎn)發(fā)，為非法入侵者提供網(wǎng)絡(luò)竊聽的機(jī)會(huì)，很容易造成攻擊風(fēng)險(xiǎn)。

　　學(xué)習(xí)啦小編所推薦的策略是：網(wǎng)絡(luò)交換機(jī)的端口安全維護(hù)應(yīng)隨時(shí)打開;在交換機(jī)配置中設(shè)置其學(xué)習(xí)MAC地址的最大數(shù)目為1;設(shè)置網(wǎng)絡(luò)交換機(jī)能夠存儲(chǔ)其學(xué)習(xí)到的全部MAC地址;一旦網(wǎng)絡(luò)交換機(jī)的安全保護(hù)被觸發(fā)，則丟棄全部MAC 地址的流量，發(fā)送告警信息。對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行以上的配置，一方面能夠防止基于交換機(jī)MAC地址的泛洪攻擊，另一方面也能對(duì)網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄。

　　在成功阻止未知MAC地址接入的基礎(chǔ)上，還應(yīng)阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網(wǎng)絡(luò)交換機(jī)不必向所有端口廣播未知幀，因此可以對(duì)未知幀進(jìn)行阻止，增強(qiáng)網(wǎng)絡(luò)交換機(jī)安全性。

　　(三)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護(hù)策略

　　一般情況下，企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)拓?fù)涞闹?，因?yàn)榭紤]到交換機(jī)通道的溝通，加之系統(tǒng)冷、熱備份的出發(fā)點(diǎn)，在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的，這就容易引發(fā)多個(gè)幀副本的出現(xiàn)，甚至引起基于第二層的數(shù)據(jù)包廣播風(fēng)暴，為了避免此種情況的發(fā)生，企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機(jī)共享的BPDU信息。這就為一些攻擊者提供了機(jī)會(huì)，通過假冒優(yōu)先級(jí)低的BPDU數(shù)據(jù)包，攻擊者向二層網(wǎng)絡(luò)交換機(jī)發(fā)送。

　　由于這種情況下入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)防火墻均無法生效，就導(dǎo)致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息。可以采用的防范措施為：在二層網(wǎng)絡(luò)交換機(jī)啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對(duì)BPDU數(shù)據(jù)包不進(jìn)行任何處理，加入收到此種類型的數(shù)據(jù)包，該端口將會(huì)自動(dòng)設(shè)置為“服務(wù)停止”。在此基礎(chǔ)上，在根交換機(jī)上引入鏈路監(jiān)控體系。一旦該交換機(jī)設(shè)備檢測(cè)到優(yōu)先級(jí)更高的 BPDU數(shù)據(jù)包，則發(fā)出“失效”的消息，及時(shí)阻塞端口。

　　(四)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護(hù)策略

　　在企業(yè)內(nèi)部網(wǎng)絡(luò)中，往往有著大量的終端機(jī)，出于安全性與可靠性的考慮，這些終端機(jī)均以動(dòng)態(tài)主機(jī)設(shè)置協(xié)議獲得自身的IP地址。這就為Spoof 攻擊留下了機(jī)會(huì)。在這種攻擊中，非法入侵者會(huì)將自身假冒動(dòng)態(tài)主機(jī)設(shè)置協(xié)議服務(wù)器，同時(shí)向用戶主機(jī)發(fā)出假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包，導(dǎo)致用戶無法獲取真實(shí)IP，不能聯(lián)網(wǎng)。

　　可以采用的防范措施為：引入動(dòng)態(tài)主機(jī)設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機(jī)上安裝Snooping模塊并激活，系統(tǒng)便會(huì)把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包，從而防止Spoof 攻擊帶來的風(fēng)險(xiǎn)。

　　考慮到地址解析協(xié)議在安全方面的防范性不足，加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包，便容易導(dǎo)致全部用戶終端的ARP表退出服務(wù)，除去靜態(tài)綁定IP與MAC之外，本文推薦動(dòng)態(tài)ARP監(jiān)測(cè)策略。此種策略會(huì)將交換機(jī)全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下，端口將無法發(fā)出ARP的響應(yīng)，因此，黨用戶主機(jī)染毒時(shí)，其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄，系統(tǒng)安全得到了保障。

　　三、結(jié)束語

　　企業(yè)信息系統(tǒng)亟需一個(gè)整體性的解決方案與安全策略。本研究在闡述企業(yè)整體信息安全威脅與需求的基礎(chǔ)上，總結(jié)了企業(yè)網(wǎng)絡(luò)常見的安全問題，結(jié)合這些問題進(jìn)行了信息安全策略設(shè)計(jì)，并從網(wǎng)絡(luò)設(shè)備防護(hù)策略、端口安全策略、BPDU 防護(hù)策略、Spoof 攻擊防護(hù)策略四個(gè)方面對(duì)企業(yè)信息安全實(shí)現(xiàn)方法進(jìn)行了闡述，設(shè)計(jì)了相關(guān)的安全策略。