一、前言
　　隨著計算機網(wǎng)絡(luò)的發(fā)展，其開放性，共享性，互連程度擴大，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。寬帶網(wǎng)作為企業(yè)主要的數(shù)據(jù)業(yè)務承載網(wǎng)絡(luò)，特別是電子商務（E-Commerce）、企業(yè)數(shù)據(jù)專線、網(wǎng)絡(luò)互聯(lián)、Internet接入服務等應用在社會經(jīng)濟生活的地位日益凸現(xiàn)。網(wǎng)絡(luò)的安全性直接影響到社會的經(jīng)濟效益。例如，2003年1月份的SQL殺手蠕蟲事件，中國有兩萬多臺數(shù)據(jù)庫服務器受到影響，使國內(nèi)眾多企業(yè)網(wǎng)絡(luò)全部處于癱瘓或半癱瘓狀態(tài)；2003年8月份的沖擊波蠕蟲，使成千上萬的用戶計算機變慢，被感染的計算機反復重啟，有的還導致了系統(tǒng)崩潰，受到"沖擊波"病毒感染的計算機反過來又會影響到網(wǎng)絡(luò)的正常運行。
　　隨著網(wǎng)絡(luò)安全問題重要性增加，如何設(shè)計一個穩(wěn)定、可靠、安全和經(jīng)濟的企業(yè)網(wǎng)，應對日益增多的網(wǎng)絡(luò)攻擊、病毒破壞和黑客入侵等問題已成為企業(yè)網(wǎng)絡(luò)建設(shè)和運營所關(guān)注的重點。本文從網(wǎng)絡(luò)互連七層協(xié)議、城域網(wǎng)的分層和網(wǎng)絡(luò)安全管理體系三個方面來闡述寬帶網(wǎng)絡(luò)的安全性。
　　二、網(wǎng)絡(luò)安全服務層次模型
　　國際標準化組織ISO在開放系統(tǒng)互連標準中定義了七個層次的網(wǎng)絡(luò)互連參考模型，它們分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應用層。不同的網(wǎng)絡(luò)層次有不同的功能，例如鏈路層負責建立點到點通信，網(wǎng)絡(luò)層負責路由，傳輸層負責建立端到端的進程通信信道。相應地，在各層需要提供不同的安全機制和安全服務。
　　在物理層要保證通信線路的可靠，不易被竊聽。在鏈路層可以采用加密技術(shù)，保證通信的安全。在Internet、Intranet環(huán)境中，地域分布很廣，物理層的安全難以保證，鏈路層的加密技術(shù)也不完全適用。
　　在網(wǎng)絡(luò)層，可以采用傳統(tǒng)的防火墻技術(shù)，如TCP/IP 網(wǎng)絡(luò)中。采用IP過濾功能的路由器，以控制信息在內(nèi)外網(wǎng)絡(luò)邊界的流動。還可使用IP加密傳輸信道技術(shù)IP SEC，在兩個網(wǎng)絡(luò)結(jié)點間建立透明的安全加密信道。這種技術(shù)對應用透明，提供主機對主機的安全服務。適用于在公共通信設(shè)施上建立虛擬的專用網(wǎng)。這種方法需要建立標準密鑰管理，目前在產(chǎn)品兼容性和性能上尚存在較多問題。
　　在傳輸層可以實現(xiàn)進程到進程的安全通信，如現(xiàn)在流行的安全套接字層SSL技術(shù)，是在兩個通信結(jié)點間建立安全的TCP連接。這種技術(shù)實現(xiàn)了基于進程對進程的安全服務和加密傳輸信道，采用公鑰體系做身份認證；有高的安全強度。但這種技術(shù)對應用層不透明，需要證書授權(quán)中心，它本身不提供訪問控制。
　　針對專門的應用，在應用層實施安全機制，對特定的應用是有效的，如基于SMTP電子郵件的安全增強型郵件PEM提供了安全服務的電子郵件。又如用于Web的安全增強型超文本傳輸協(xié)議S-HTTP提供了文件級的安全服務機制。由于它是針對特定應用的，缺乏通用性，且須修改應用程序。
　　三、企業(yè)寬帶網(wǎng)的層次安全模型
　　企業(yè)寬帶網(wǎng)的安全風險主要在于設(shè)備遭受攻擊或病毒引發(fā)的網(wǎng)絡(luò)流量突然增大對設(shè)備性能的沖擊，與業(yè)務相關(guān)的數(shù)據(jù)庫服務器受到病毒的攻擊，影響業(yè)務的正常運行，安全建設(shè)應更多地采用技術(shù)來保證網(wǎng)絡(luò)和設(shè)備安全，并以用戶管理作為輔助手段。
　　安全模型將企業(yè)寬帶網(wǎng)分成三個區(qū)域：信任域、非信任域和隔離區(qū)域（非軍事區(qū)）。信任域是企業(yè)內(nèi)部的基礎(chǔ)網(wǎng)絡(luò)，通常采用防火墻等設(shè)備與企業(yè)業(yè)務網(wǎng)隔離，包括企業(yè)內(nèi)部的各個不同的域；隔離區(qū)域是信任域和非信任域之間進行數(shù)據(jù)交互的平臺，包括企業(yè)對外提供的各種業(yè)務平臺，如Web服務平臺、FTP服務器、用戶查詢平臺、Mail服務器等；非信任域是指企業(yè)之外的廣泛的互聯(lián)網(wǎng)絡(luò)，是企業(yè)不能完全控制的網(wǎng)絡(luò)。作為安全模型中的非信任域，需要重點考慮。
　　四、企業(yè)寬帶網(wǎng)的層次安全分析
　　1. 信任域的安全
　　信任域由企業(yè)ERP系統(tǒng)、網(wǎng)管系統(tǒng)、財務系統(tǒng)等組成，是企業(yè)網(wǎng)安全運營的核心所在，因而，必須采取最嚴密的安全措施。在一般情況下，信任域可能面臨的威脅包括網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、病毒（造成拒絕服務攻擊）等。為了避免這些威脅，保證信任域的安全，可采取以下手段：
　　（1）部署防火墻，制定嚴格的安全訪問策略，嚴格限制對此區(qū)域的訪問；
　　（2）認真配置好系統(tǒng)軟件和應用軟件，跟蹤操作系統(tǒng)和應用系統(tǒng)的漏洞及補丁進展情況，嚴格限定系統(tǒng)和應用所服務對象的范圍；
　�。�3）部署網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)（IDS）,對核心服務實施監(jiān)控，對網(wǎng)絡(luò)攻擊和病毒及時報警；
　　（4）建立網(wǎng)管系統(tǒng)和日志系統(tǒng)；
　　（5）對重要的主機系統(tǒng)應采用雙機熱備份方式，對重要的應用系統(tǒng)和數(shù)據(jù)做好完善的備份工作，根據(jù)具體情況和需要設(shè)置災難恢復系統(tǒng)。
　　2. 隔離域的安全
　　隔離域是企業(yè)網(wǎng)對外開放的平臺，包括WWW服務、DNS服務、FTP服務、Mail服務、用戶查詢系統(tǒng)等，所有業(yè)務必須對外開放，因而安全威脅最大，也是最容易受到攻擊的區(qū)域。為保證安全，可采取以下手段：
　　（1）部署防火墻，制定安全訪問策略，特別是拒絕服務攻擊（DDOS）；
　�。�2）及時修補服務器的安全漏洞，關(guān)閉不必要的網(wǎng)絡(luò)服務等；
　�。�3）系統(tǒng)備份和日志系統(tǒng)等等。
　　3. 非信任域的安全
　　非信任域是網(wǎng)絡(luò)業(yè)務的傳輸網(wǎng)絡(luò)，主要由電信營運商負責其安全：
　　企業(yè)網(wǎng)需要重點考慮的是隔離域的安全問題，加強設(shè)備自身的安全和日常維護流程，從技術(shù)和流程兩方面來保證。
　　五、下面闡述如何以具體的網(wǎng)絡(luò)設(shè)備為基層建設(shè)安全的企業(yè)網(wǎng)：
目前的防火墻一般標配三個網(wǎng)絡(luò)接口，分別連接外部網(wǎng)、內(nèi)部網(wǎng)和SSN。硬件平臺具有可擴展和可升級性等特性，研祥智能科技股份有限公司專為網(wǎng)絡(luò)行業(yè)用戶研發(fā)生產(chǎn)了多款單網(wǎng)口、雙網(wǎng)口、四網(wǎng)口的工業(yè)級主板，為所有的網(wǎng)絡(luò)客戶提供了完備的選擇。下圖是以該公司的產(chǎn)品為例的系統(tǒng)說明：

[系統(tǒng)配置]
　　防火墻： 研祥機箱IPC－8101／研祥主板NET－1611V4N／CPU PIII 850／內(nèi)存 256M／硬盤 40G
[系統(tǒng)評價]
1、所有安全和服務由工業(yè)級的硬件設(shè)備完成：
2．整個系統(tǒng)實用可靠：
3．整體化的系統(tǒng)設(shè)計：
4．使用方便、操作簡單、維護方便。
六、總結(jié)
　　寬帶企業(yè)網(wǎng)的網(wǎng)絡(luò)安全是一項非常艱巨和持久的任務。對網(wǎng)絡(luò)安全問題必須通盤考慮，進行體系化的整體安全設(shè)計和實施。既要充分考慮網(wǎng)絡(luò)的安全性能，考慮設(shè)備防攻擊的健壯性，有效實施設(shè)備相關(guān)安全特性，又要結(jié)合專用的安全產(chǎn)品，采取分域、多層安全保護措施。既要考慮設(shè)備安全和技術(shù)的因素，又要重視網(wǎng)絡(luò)安全人員在網(wǎng)絡(luò)安全方面所起決定性的作用。

研祥智能股份有限公司公司供稿 CTI論壇編輯