《本地安全策略》

本地安全策略

对日益依赖互联网应用的现代企业来说，不断变化的安全威胁和不断变化的法规标准使得维护可信赖的网络环境成为一大难题。尽管在网上做生意变得更方便了，但要确保数据交换、通信安全和可靠却变得更困难了。枣庄矿业集团作为山东省百强企业之一，很早便开始着手企业信息化建设，本文结合枣矿企业信息化建设的实际情况，简要分析了如何建设安全可信现代企业网。

如何建设安全可信现代企业网

一个完整的网络安全系统包括防火墙/ids/ips、安全交换机、安全路由器、安全管理系统及安全主机系统。

单一的设备并不能保障整体网络安全。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外其他途径的攻击，不能防止来自内部工作人员和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件以及无法防范数据驱动型的攻击。

综上所述，必须把网络中各安全设备和安全主机系统由安全管理系统统一管理，设备和主机与管理系统实现联动，才能有效保障网络安全。

1.建立端点准入机制

通过端点准入机制来确保可信用户接入，判断用户身份的合法性以及用户的健壮性，这里准入的条件有两个，一是身份的合法性，二是主机系统的健壮性。检验身份的合法性是为了保障只有授权用户才可以接入网络，检测主机系统的健壮性是防止用户系统感染网络。

2.建立有效联动机制

网络当中各安全设备，如防火墙/ids/ips、安全交换机、安全路由器等，必须和安全管理系统配合实现有效联动，一个典型的联动架构如图所示。

当用户准入网络时，接入层交换机端口打开，当用户不准接入网络时，接入层交换机端口关闭，实现交换机与安全管理系统的联动，同时，网络当中防火墙/ids/ips、路由器也与安全管理系统联动。

接入层在网络体系中的作用

接入层是网络安全、可信第一道屏障

如果把企业内部网络看成是一个球体，那么接入层则是这个球体的球面。球面的坚硬程度直接关系到球体是否会破坏、是否会变形，所以接入层是网络安全、可信的第一道屏障。

用户是否允许接入网络，都会通过接入层实现。所以接入交换机要支持用户接入网络的控制。

网络中私自接入hub或者交换机，如果无意中造成环路，那么这个网络会处于广播风暴中，极大地降低整个网络性能，严重的会引起网络瘫痪。接入层交换机具备的bpduguard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到bpdu报文。从而防范用户发送非法bpdu报文。

枣庄矿业集团在整体信息化建设过程中，遵循一次规划，分期实施的原则，在选购产品时，充分考虑产品的持续可升级性和扩展性。在最初的建设时期，非常注重接入层交换机的性能和功能，在建设初期就可以通过接入交换机防止网络病毒和网络攻击，可以控制用户的网络访问权限。

随着后期的信息化建设，枣庄矿业集团将逐步实现全网设备和主机系统联动，实现安全和可信的现代企业网。