本地安全策略.docxVIP

本地安全策略

对日益依赖互联网应用的现代企业来说，不断变化的安全威胁和不断变化的法规标准使得维护可信赖的网络环境成为一大难题。尽管在网上做生意变得更方便了，但要确保数据交换、通信安全和可靠却变得更困难了。枣庄矿业集团作为山东省百强企业之一，很早便开始着手企业信息化建设，本文结合枣矿企业信息化建设的实际情况，简要分析了如何建设安全可信现代企业网。

如何建设安全可信现代企业网

一个完整的网络安全系统包括防火墙/ids/ips、安全交换机、安全路由器、安全管理系统及安全主机系统。

单一的设备并不能保障整体网络安全。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外其他途径的攻击，不能防止来自内部工作人员和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件以及无法防范数据驱动型的攻击。

综上所述，必须把网络中各安全设备和安全主机系统由安全管理系统统一管理，设备和主机与管理系统实现联动，才能有效保障网络安全。

1.建立端点准入机制

通过端点准入机制来确保可信用户接入，判断用户身份的合法性以及用户的健壮性，这里准入的条件有两个，一是身份的合法性，二是主机系统的健壮性。检验身份的合法性是为了保障只有授权用户才可以接入网络，检测主机系统的健壮性是防止用户系统感染网络。

2.建立有效联动机制

网络当中各安全设备，如防火墙/ids/ips、安全交换机、安全路由器等，必须和安全管理系统配合实现有效联动，一个典型的联动架构如图所示。

当用户准入网络时，接入层交换机端口打开，当用户不准接入网络时，接入层交换机端口关闭，实现交换机与安全管理系统的联动，同时，网络当中防火墙/ids/ips、路由器也与安全管理系统联动。

接入层在网络体系中的作用

接入层是网络安全、可信第一道屏障

如果把企业内部网络看成是一个球体，那么接入层则是这个球体的球面。球面的坚硬程度直接关系到球体是否会破坏、是否会变形，所以接入层是网络安全、可信的第一道屏障。

用户是否允许接入网络，都会通过接入层实现。所以接入交换机要支持用户接入网络的控制。

ip+mac+端口绑定，有效避免ip盗用和ip地址冲突。

接入交换机硬件支持ip+mac+端口三元素绑定，无需通过acl（访问控制表）方式绑定，一方面，三元素绑定有效避免了ip地址盗用和ip地址冲突，解决了ip地址管理这一令人头疼问题，另一方面，三元素绑定还避免了网络中的arp、ip欺骗等多种网络攻击。

丰富的acl策略，更有利于网络控制

接入交换机支持标准、扩展、专家级、基于时间的等acl策略，可以有效控制网络病毒传播，控制用户网络访问权限。

acl80可以对报文进行深度检测，通过这种检测可以识别到应用类别，实现在应用层上对网络进行控制。

而基于时间的acl，则可以根据时间段对用户进行控制，比如说下班后才可以上internet，结合acl80实现控制用户上班时间不允许上、msn等。

防dhcp攻击，方便网络规划和管理

接入层交换机有两种防dhcp攻击方法，一种是dhcp-relay，另一种是通过acl的方式，解除dhcp部署后顾之忧，方便网络规划和管理。

安全可靠组播支持，保障企业信息系统应用

接入层交换机支持igmp，方便企业内部的组播视频应用，比如集中培训，视频会议等。

同时，接入交换机可以识别非法组播源，防止非法组播在网络中的应用。

支持bpduguard功能，让网络更健壮

网络中私自接入hub或者交换机，如果无意中造成环路，那么这个网络会处于广播风暴中，极大地降低整个网络性能，严重的会引起网络瘫痪。接入层交换机具备的bpduguard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到bpdu报文。从而防范用户发送非法bpdu报文。

枣庄矿业集团在整体信息化建设过程中，遵循一次规划，分期实施的原则，在选购产品时，充分考虑产品的持续可升级性和扩展性。在最初的建设时期，非常注重接入层交换机的性能和功能，在建设初期就可以通过接入交换机防止网络病毒和网络攻击，可以控制用户的网络访问权限。

随着后期的信息化建设，枣庄矿业集团将逐步实现全网设备和主机系统联动，实现安全和可信的现代企业网。