云南工商学院 中小型企业信息安全管理
以及实施的案值防范措施要比以前有了很大的进步。但是,防火墙软件、入侵检测和防御系统、反间谍软件和反病毒软件,以及身份认证、访问控制系统、内容过滤、行为监控和垃圾邮件过滤等产品。然后各网络系统用户跟随着这些安全厂商的步伐 ,不断地将这些安全产品添加到自身的网络结构、服务器和工作站之上。
所以说,中小型企业的信息安全是现在主要的问题,而解决这个问题更是当务之急。
第 2 页 共 23 页
云南工商学院 中小型企业信息安全管理
第二章 理论基础
2.1防火墙
2.1.1防火墙的概述
防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
防火墙是一个或一组实施访问控制策略的系统。它在内部网络(专用网络)与外部网络(功用网络)之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送(数据包)。防火墙的主要功能包括:
防火墙本身支持一定的安全策略。
提供一定的访问或接入控制机制。
容易扩充、更改新的服务和安全策略。
具有代理服务功能,包含先进的鉴别技术。
采用过滤技术,根据需求来允许或拒绝某些服务。
防火墙的编程语言应较灵活,具有友好的编程界面。并用具有较多的过滤属性,包括源和目的IP地址、协议类型、源和目的的TCP/UDP端口以及进入和输出的接口地址。
2.1.2防火墙的类型 网层防火墙:网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上
应用层防火墙:应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层
2.1.3防火墙在中小型企业中的作用 网络安全的屏障:一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网络重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
第 3 页 共 23 页
云南工商学院 中小型企业信息安全管理
2.1.4防火墙在企业信息安全管理中的功能 防火墙是企业信息安全管理中的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙具有以下基本功能:? 报警功能,将任何有网络连接请求的程序通知用户,用户自行判断是否放行也或阻断其程序连接网络。
黑白名单功能,可以对现在或曾经请求连接网络的程序进行规则设置。包括以后不准许连接网等功能。
局域网查询功能,可以查询本局域网内其用户,并显示各用户主机名。
流量查看功能,对计算机进出数据流量进行查看,直观的完整的查看实时数据量和上传下载数据率。
端口扫描功能,户自可以扫描本机端口,端口范围为0-65535端口,扫描完后将显示已开放的端口。
系统日志功能,日志分为流量日志和安全日志,流量日志是记录不同时间数据包进去计算机的情况,分别记录目标地址,对方地址,端口号等。安全日志负责记录请求连接网络的程序,其中包括记录下程序的请求连网时间,程序目录路径等。
系统服务功能,可以方便的查看所以存在于计算机内的服务程序。可以关闭,启动,暂停计算机内的服务程序。
连网/断网功能,在不使用物理方法下使用户计算机连接网络或断开网络。 完成以上功能使系统能对程序连接网络进行管理,大大提高了用户上网的效率,降低的上网风险。从而用户上网娱乐的质量达到提高,同时也达到网络安全保护的目的。
2.1.5防火墙在企业中的优点
防火墙能强化企业信息安全策略。
防火墙能有效地记录Internet上的活动。
防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个企业网络进行传播。
防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。这样保证了中小型企业的信息安全。
2.1.6透明网桥模式
一般中小型企业用户的网络环境比较简单,典型的网络拓扑图如下。由于是透明接入方式这种方案无需改变内部网络结构,使用方案。
201.10.20.1
201.10.20.20 201.10.20.19
图2-1 透明网桥模式
第 4 页 共 23 页
云南工商学院 中小型企业信息安全管理
2.1.7路由+NET模式
一些安全要求比较高的中小型企业用户为了保护内部网络结构,或者弥补所申请的公有IP地址的不足,需要采用路由模式,同时提供进行地址转换。针对这种需求可以使用路由模式。
External: 210.10.20.2 Internal: 192.168.0.1 210.10.20.1 192.168.0.19 192.168.0.20 图2-2路由+NET模式
2.2 SSL VPN
2.2.1 SSL VPN 的介绍
SSL VPN 指的是使用者利用浏览器内建的 Secure Socket Layer 封包处理功能,用浏览器连回公司内部 SSL VPN 服务器,然后透 过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。
采取 SSL VPN 联机,因为并没有在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器。 SSL VPN 可以做到基于应用的精细控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。 SSL VPN 采用标准的安全套接层(SSL)对传输中的数据包进行加密,由于 SSL 协议本身就是一种安全技术,因此 SSL VPN 就具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点。
2.2.2 SSL VPN的优势
在最重要的安全性方面:由于SSL协议本身就是一种安全技术,因此SSL VPN就具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点,能够进一步保障访问安全,从而扩充了安全功能设施。首先SSL VPN可以实现128位数据加密,保证数据在传输过程中不被窃取,确保ERP数据传输的安全性。其次,多种认证和授权方式的使用能够只让“正确”的用户访问内部网络,从而保护了企业信息网络的安全性。
在应用性方面:SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低,但是SSL
第 5 页 共 23 页
云南工商学院 中小型企业信息安全管理
VPN的部署成本却很低。只要安装了SSL VPN,基本上就不需要IT部门的支持了,所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说,SSL VPN显然是一个价廉物美的选择。
当今Web成为标准平台已势不可挡,越来越多的企业开始将系统移植到Web上。而SSL VPN通过特殊的加密通讯协议,被认为是实现远程安全访问Web应用的最佳手段,能够让用户随时随地甚至在移动中连入企业内网,将给企业带来很高的利益和方便。
无疑,伴随企业信息化程度的加深,远程安全访问、协同工作的需求会日益明显,SSL VPN技术由于拥有全方位的优势,取代传统的组网技术成为主流已为时不远。
2.2.3 SSL VPN在中小型企业中的应用
SSL VPN可以为企业提供多种远程访问的服务。就下面常用服务进行介绍:
E-mail:对于企业来说,电子邮件通信是一个很基本的功能。IPSec VPN可以保护邮件系统的安全性,但是IPSec VPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统。如果员工使用他人的电脑设备或者在其他的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统。外出的工作人员在酒店里由于这些问题无法连接到企业内部网络是非常另人头疼的问题。SSL VPN提供了一个比较好的方案,员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统,通过SSL VPN建立的安全通道收发邮件。SSL VPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。
内部网访问:即使不在办公室,企业员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。SSL VPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部特定资源的访问。
面向合作伙伴的网络资源:为了提高工作效率和加强合作关系,企业通常会对合作伙伴开放内部站点和网络资源。考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成为企业必须解决的问题。SSL VPN则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。
2.2.4 SSL VPN 总结
中小企业的远程访问环境变化较大,SSL VPN 不需要安装客户端软件,远程用户只需借助标准的浏览器连接 Internet,即可访问企业的网络资源。 企业可在较短时间内部署完 SSL VPN,因此其部署和实施成本较低。 此外,SSL VPN 还提高了平台的灵活性,方便 扩展应用和增强性能,对中小企业而言可以降低使用成本、最有效地保护用户投资。 由于 SSL VPN 安全可靠、部署简单、管理容易、 使用方便,特别是随着价格适合的 SSL VPN 新产品的推出,对中小企业来说,在制定信息安全管理策略时SSL VPN已经成为一个切实可行的选择!
2.3防水墙
2.3.1防水墙的介绍
防水墙是用来加强信息系统内部安全的重要工具,它充分利用透明加解密、身份认证、
第 6 页 共 23 页