| 出版日期:2000-07-24 总期号:941 本年期号:53 |
|
 |
多加几个安全锁
曹斌、黄利萍 上期我们介绍了针对一般用户的网络安全解决方案,这次我们对一些安全性要求高的行业给出一个具体方案。 有很多部门、行业,如银行、证券、政府、军事等,它们的特点是敏感信息多,局域网分布广,通过网络进行的活动较多。所以,他们在保护敏感信息、用户身份认证、传输安全、安全恢复等方面有很高的要求。而一般的安全解决方案不能满足他们的需求。 更高的安全需求 针对它们的需求,本文将采用防火墙、ids、vpn、ca、病毒扫描工具、安全审计等来构筑高安全性的网络安全解决方案(如图所示)。 本示意图列出了两个子网,这主要是考虑到当前企业的范围比较广,跨度比较大,甚至遍布在世界的各个角落,一个企业完全有可能有多个子网。如果你的网络只有一个单一的局域网,可以只参照内部网1或内部网2的网络安全布局。 高安全性的实现 1.数据加密和传输 为防止数据被窃取、偷听和篡改,我们使用了vpn。事实上,vpn技术也适用于企业网内部。例如在一个局域网中,两个重要的部门之间需要传输敏感数据,并且不希望企业中别部门的人员窃取和篡改,就可在这两个重要部门的网关处安装vpn网关,从而保证这两个部门之间数据传输的安全。 2.身份认证和鉴别 目前,银行的很多业务都已经放到了因特网上,这时身份认证显得尤为突出,因为确认交易双方身份的真实性和不可抵赖性是保证交易正常进行的基础。所以,对于银行来说,建立一个全局有效的认证中心(ca),用来确保用户身份的真实性和正确性,以及交易的不可抵赖性是非常必要的。而对于别的企业来说,如果需要较高的身份认证,可以采用企业二级ca中心(如图中虚线框中所示),来保证企业内部用户的身份的真实性和正确性。 3.安全恢复 在一些企业中,网络是一分钟都不能断的。对它们仅仅采取备份数据的手段将远远不能满足需求。例如在证券业,交易的实时性是其业务的基础,因此一定要做好安全恢复。在这里我们采用双机热备的防火墙系统,即在网络的同一接点上有两个防火墙系统,一个是工作状态,另一个是备份状态。当工作状态的防火墙不能正常工作时,备份防火墙系统自动切换到工作状态,保证了网络的正常使用。 安全管理最重要 在构筑网络安全中,其实安全管理是最主要的,也就是说人在网络安全方面是起决定性作用的。所以企业在构筑网络安全中,首先一定要有意识,其次才是借助各种工具来帮助你构筑网络安全。 
高安全性的解决方案图 |
||||||||||||||||
