浅议某省份小型ISP企业网络安全建设
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅议某省份小型ISP企业网络安全建设范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:计算机的网络安全是个范围很大的问题,要精通信息安全,绝不是像精通路由交换抑或无线,语音那么简单,这本身就是跨度很大的话题。文章针对笔者工作的单位网络现状提出一些个人看法。
1概况
随着互联网呈几何倍数的发展,我们的生活越来越依赖互联网,吃穿住行几乎都可以用网络来搞定。但是从网络诞生那一刻起,就出现了其中不安定的因素,我们对网络越依赖,一旦网络安全出现问题,造成的损失也就会越大,作为一家运营商公司,更迫切的需要维护好自己的网络安全。
2现状和分析
2.1目标公司发展现状
某国有ISP企业省份公司,拥有用户各类20万左右,因为规模不大,所以在过去几年,一直把发展用户扩大市场放在首要位置,而忽视了网络信息安全方面的建设。这是一方面当时的情势所迫造成的。随着用户的发展和企业壮大,如今,省内ISP网络构架属于从核心层出口节点开始,到下层的核心汇聚层交换机链接到底层BRAS设备,都是做的双冗余保护,在网络结构上,属于合理的布局。并且设立了多个核心的IDC机房和设备机房,存放各类资源服务器为网内的用户提供服务和各网络专业核心的设备。
2.2暴露出来的问题
随着用户的增加,越来越多的信息网络安全问题会开始暴露,比如会有非法的流量开始试探底层设备的端口,并且可以看到某些设备会出现异常的IP地址尝试登入,或者底层设备的链路利用率突发暴涨,虽然这些问题都被及时发现并处理了。但是并不是说这样处理掉一两起的安全问题事情就结束了,从中暴露出网络安全问题其实是很严重的。
(1)手段单一,只有依靠简单的防火墙,或者是依靠核心设备本身的访问控制列表对数据包进行筛选,缺乏更多有效的系统手段帮助人们进行监控保护网络,一直长期下去的话面对一些网络层以上的疑难问题也就只能束手无策。
(2)各部门对信息的安全性重视不够,对信息保密的重视层度不够,也没有接受过相关的社会工程学方面的培训,安全意识淡薄。
(3)缺乏专业性的技术团队和思路,完全是在闭门造车。到现在处理问题的思路在技术层次还是停留在路由和交换级别的。现在只能把每个事件单独当作一个单独事件来处理,很难避免下次不会发生重复的问题。
(4)从整个网络的构架开始搭建起来,就没有把网络安全放在重要的位置,刚开始BRAS设备是有了双向冗余就开始上线,本应该考虑更多的迂回保护措施都是后期的时候慢慢弥补上去的。物理上的冗余保护如此,网络的安全保护也一直是没有跟上网络拓扑的扩展。
3网络安全的建设
3.1从认识思想上进行转变
要建设公司的电信级网络安全架构,需要公司从上到下有一个认识,就是对安全危机的认同感,网络的安全投入的确是烧钱,并且它后期还会需要不断的成本投入。期待它能马上给你利润回报,那是不可能的。但是看看合作企业竞争对手,无一不是对安全问题异常的重视。同时要做好网络安全,我们还要开始学,向服务商学习,向设备商学习。一步步踏实做下去。
3.2改变公司组织结构
安全部门并不同于一般的网撑中心,数据中心,它需要专注地负责网络防御检测和处理各类的网络安全问题,因此如果将这样一个安全部门挂靠在网络支撑下面是不合适的,从专业来看,网络安全防御,社工防御,欺骗渗透防御都是它的职责。而且将来的网络布局,都会需要他们提供安全方面的意见,所以这必须是一个独立的部门,来区别于网络建设部和网络支撑中心。
3.3建立网络安全制度
在公司内部建立网络安全规范的制度,强制性地规定员工登入设备的权限和密码设置原则,要求登入口令的密码长度和复杂成分,区分开每个人的职责范围,个人的权限只能存在几台服务器上,避免被人利用同样的账号密码登入所有的设备。并且要求定期更换密码。设置强硬的核心机房准入制度来防止设备遭受最直接的物理攻击。对于敏感重要的数据,要定期做异地备份。
3.4建立可靠的安全网络
要建立行之有效的安全网络体系架构,建议对整个网络进行统一的部署,构建网络安全架构的安全设备类型通常有:
防火墙:firewall,可以根据IP地址或服务端口过滤数据包,可以通过制定过滤规则来限制。
流量分析系统:它主要针对网内的流量流向镜像进行监控、分析、不仅可以提供用户的使用偏好分析,更多的可以监控网内的流量过去和现在的数据是否异常。
流量采集分析清洗设备:也叫ADS,它可以针对于网内的异常流量进行筛选和清洗。特别是对于现在的DDOS攻击有很好的效果。
Web应用防护系统:也称WAF。WEB应用防御产品,针对应用层的攻击做出反应。是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
入侵防御检测设备:也称IPS,这是对防火墙和杀毒软件的一个补充。可以有效发现阻止4到5层的异常流量,其中还有的入侵预防系统,通过正常数据以及数据之间关系的通常的样子,可以对照识别异常。
审计系统:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
值得一提的是随着安全技术的演进,今后的防火墙将会兼容ADS之类的流量监视和清洗功能,是否还能将WAF和IPS设备的功能融合进来尚不得而知,但是展望安全网络的科技树发展的方向,这必然是未来安全行业的发展一段趋势。考虑到设备的使用安全性,集众家所长的安全设备固然能够减少了接入的层次,降低了生产成本。
关于安全网络的组网,还是要严格按照双机备份的原则,特别是涉及到防火墙,必须做到双机冗余的原则,保证一台设备宕机的情况下,另一台能正常工作,并且不影响到网络流量的正常转发。建议还是听从专业厂家或者服务商提供的方案进行部署。
关于DMZ区域和IDC的网络安全构架建设:DMZ即缓冲区,也是我们部署web服务器,DNS系统,3A系统,ftp服务器的区域,建议统一进行规划。减少网络的复杂性,便于管理。包括IDC服务器组,如果条件允许。也应该统一纳入网络中。
3.5建设前后的测试
有人说过一个最大的错误是假定安全设备本身是安全的。所以合理的部署和计划是十分必要的而且重要的。开始建设前,一方面应该进行足够的压力测试,从设备的本身是否安全开始到演示当设备在网的时候出现的各种情况,来判断方案是否可行,这是个漫长而枯燥的过程,但却是十分必要,没有人愿意在完成建设后重新赶工修改自己的网络部署,另外一方面必须和厂家、集成商、服务商沟通好,要求其能够提供足够的应急预案来保障安全的运行。工程完成以后就应该开始进行各种的测试,测试设备能否正常工作发挥作用,已经能否顺利的升级,及时更新补丁等等。如果有条件,还应该定期执行漏扫和进行渗透测试。
4结语
终有一日,人们会遇到一个巨大的安全问题,一个转入风头浪尖的安全问题,这是一个挑战,如果什么准备都没有,那就是一场危机了。作为一名通信网络工作者,首先要明白没有任何一个系统是完美,安全的,应该尽可能的做自己能做的事。