实例：加固内网薄弱环节 保障网络通畅(1)

实例：加固内网薄弱环节 保障网络通畅(1)

我们公司信息系统是以数据大集中模式建立的，通过网上传输的信息和数据量都比较大。由于公司的财政预算以及领导的认识程度等问题，公司网络安全漏洞存在已有一段时日了，却一直没有改善，信息数据安全时刻面临着来自系统外部和内部威胁。

防护简单 漏洞凸显

我还清晰地记得年前那次“灾难”：公司所有电脑都上不了网，重要办公及公文审批都无法受理，财务报表系统无法统计处理，所有业务中断达5小时左右，导致公司较大的物质以及信誉上的损失。

最终原因是我公司在互联网出口只有简单的一台接入防火墙，公司网站和邮件服务器位于防火墙外部接口区域，用的都是公网IP地址。由于网站遭到攻击被植入ARP欺骗木马，从而导致所有办公和业务PC网关被欺骗而指向网站服务器，而正确的网关应该是防火墙外网口地址，这造成所有客户端不能访问互联网和业务服务器。在耗费大量时间确定故障后，拔掉网站服务器网线，联系防火墙供应商更新版本并调整相关策略后才暂时使部分重要业务恢复。巨大的损失让领导们深刻地认识到公司内网安全建设的重要性，并下决心对企业内网进行一次全面的加固以免类似事情再次发生。

我们公司办公大楼根据业务和部门分类划分了18个VLAN ，各系统、部门之间相互隔离。在办公大楼互联网入口部署防火墙，控制办公网络对互联网的访问，如图1所示。全网采用网络访问控制技术，能够控制公司所有人员对互联网和业务系统的访问。

图1 办公大楼网络结构图

但是，公司网络在安全防护方面只是部署了防火墙，而防火墙只能对数据包第四层进行检查，无法在网络应用层面进行管理，对网络病毒防护、互联网访问内容控制、用户上网行为和PC机应用程序安装等风险度较高的行为缺乏必要的技术手段进行管理和审计。对用户桌面计算机没有采取必要的控制和防护措施，防病毒软件的防护效果参差不齐，且不能保证病毒库的升级。另外，由于应用管理不当、使用人员水平参差不齐、随意在PC机上安装非法软件以及系统不及时升级安全补丁程序，导致公司所有用户PC机存在较大的风险漏洞，经常受到网络病毒、木马等恶意攻击。业务数据信息和个人信息都存在较大的风险，并给全公司网络的稳定运行带来了隐患。

多方面协同巩固

内网安全管理是一个综合的系统问题，涉及网络管理、计算机硬件、计算机应用软件、计算机操作者、计算机使用单位管理规范等诸多方面的因素，必须通过管理制度和技术手段等多管齐下，方能达到目的。为了达到此次网络安全管理系统的建设目标，我们从互联网接入改造、病毒防护、入侵防范、桌面管理等多个层面对网络和桌面计算机部署安全设备和安全策略，进行多角度、多层次的安全防范。

互联网入口边界加固

在目前的网络架构基础上，调整公司互联网访问策略，在互联网出口部署两层异构防火墙以及IPS入侵防护设备，如图2所示。通过防火墙与IPS的功能互补与协同，有效防范黑客攻击，阻断蠕虫、DOS/DDoS、木马等网络病毒，控制P2P、网络视频等应用对网络带宽的侵占。

图2 改造后的办公大楼网络结构图