摘要:
我工作于某证券机构信息技术部,我机构是国内一家大型的证券交易机构。日前,我机构网络安排了30余台服务器,搭建有交易系统、办公自动化系统、财务系统、人力资源系统等应用。随着企业网络规模的增大,企业员工的有些不规范乃至是违法操作给企业的网络安全带来了很大的威胁。另一方面,互联网技术的快速发展,有些违法分子运用网络攻击给我机构带来了财产的损失和用户口碑的下降。我做为机构信息技术分部的经理,在机构领导的授权、支持下,我结合机构现有的网络状况和设备资源,充分利用各类成熟技术,对机构的企业网络进行科学恰当的规划设计,重新安排后企业网络有效、稳定、安全的运转,得到了机构上下的一致好评。本文将介绍我在网络系统安全性规划设计中采用的办法和策略,重点包含网络边界隔离,拜访掌控策略,网络攻击防范和网络安全管理。
正文
某证券机构是国内一家知名的大型证券机构,机构设有集团中心和若干分支公司。机构的企业网络安排有网络交易系统、办公自动化系统、财务系统、人力资源系统等。原有的企业网络中无恰当的划分安全区域,亦没有进行网络安全掌控,员工办公和网上交易处在同一网络,企业网络存在很强的安全隐患。并且随着互联网技术的快速发展,来自互联网的攻击海量增加,给现有的网络带来了很大的冲击。我做为机构技术分部的经理和项目负责人,我综合的评定机构网络状况,结合各类成熟技术,对机构网络进行了全面细致的规划设计,并且最大限度的发挥管理功效,全方面的加强机构网络系统的安全性。
1. 网络边界隔离
网络边界隔离的是让区别网络互不影响的有利办法。我重点是从系统的重要等级和供给服务思虑划分恰当的网络边界,使区别等级的网络不可互访或有限制的互访。首要,我将机构原有的服务器依据区别的业务需求划分区别的安全等级。网络交易、WEB、FTP 等供给内部和外边服务的服务器集群安全等级设置为50,经过千兆交换机上联到防火墙的DMZ区域,在交换机上利用镜像端口连接IDS设备,对拜访DMZ区域的流量进行实时监控和报警。办公自动化、DHCP、人力资源等只对内部供给服务的服务器安全等级设置为100,经过千兆交换机连接到防火墙的信任区域。其次,机构的办公和交易划分为两个区别的子网,连个子网经过区别的交换机上联上核心路由器上。再次,在机构办公子网和交易子网中,利用VLAN技术将子网进行进一步划分,从规律上将区别网络进行隔离。最后,在机构防火墙上启用NAT技术,隐匿并守护内部主机。
2. 拜访掌控策略
网络安全的需求一方面要守护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行区域划分、边界隔离后,为了员工的办公和向机构客户供给优秀服务,保准机构平常工作的开展和机构业务的畅通,在区别的网络之间采取区别的拜访掌控策略。
(1)互联网与机构内部DMZ区域:为了保证网上交易业务的顺利进行,准许互联网与内部DMZ区域通信,但要受到以下限制:只准许我机构授权的合法用户拜访我机构DMZ区域的交易系统进行正常的登陆、浏览、交易等操作;互联网其他服务和应用禁止拜访我机构DMZ区域;IDS设备对拜访DMZ流量进行分析记录并生成日志,仅有技术部能够进行查看分析(2)互联网和机构内部信任区域:办公网能够拜访互联网,交易网不能够拜访互联网;内部服务器只对内部网络供给服务,禁止内部服务器与互联网进行互访(3)企业信任区域和DMZ区域:办公子网能够拜访DMZ区域,然则仅有信息技术部的守护位置能够ping、telnet DMZ区域设备,进行关联查看和守护操作,ids设备记录关联操作;办公子网能够拜访DMZ区域除了交易系统服务器;办公子网和交易子网不可互访。
3. 网络攻击防范
尽管有网络边界的划分隔离和区别区域实施区别的拜访掌控策略,然则因为互联网拜访和内部的不规范操作,网络攻击的防御仍然非常重要。因此呢,采取相应的办法防范网络攻击是进一步加强网络安全的重要手段。我采用了主机上安排防病毒软件,定时进行杀毒和漏洞扫描,显现问题信息技术分部工作人员即时跟进处理;关闭不供给服务的主机端口,减小主机被攻击的可能性;防火墙加强对数据包的特征识别,防止违法入侵;对通信数量进行统计分析;实时监控本地主机端口运用状况;限制网络下载和禁止运用盗版软件;移动硬盘和邮件先检测后后运用等等手段。
4.网络安全管理
网络系统安全的保证不可仅仅依靠安全设备,更重要的是制定一个全方位的安全制度,在全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制定了机构网络安全管理办法条,重点办法如下:
(1) 多人负责原则,每一项与安全相关的活动,必要有两人或多人在场,并且一人进行操作一人进行复核
(2) 安全生产工作原则,工作区域不许带入导致水、火、电隐患的物品,办公设备不许接入私有移动硬盘
(3) 职责分离原则,非本岗位的人员不得把握用户、秘码等关键信息
(4) 保密原则,所有机构员工不得以任何方式透漏、贩卖客户信息和机构机密信息
(5) 跨网互访需绑定mac及ip位置,增多互相拜访需经过信息中心准许并且进行存取拜访设置后才可进行
(6) 即时升级系统软件补丁,关闭主机不运用的端口和服务
随着网络规模的扩大和互联网技术的持续发展,让企业网络更加稳定、安全的运转是咱们信息技术分部的重点职责。在网络安全改造和实施安全管理办法败兴,企业网络的安全性能得到了很大的提高,机构的信息安全和客户的网上交易得到了有力的保证。由于安全设备的增多和安全区域等级的划分,造成为了在海量用户拜访的状况下,有部分用户反映延时升高。在后期的网络优化改造中我将妥善处理该问题。
|