軟件測試之企業網絡系統安全設計策略[1]

軟件測試之企業網絡系統安全設計策略[1]   軟件測試工具

關鍵字：企業網絡 系統安全 設計策略

　　企業網絡安全性設計是網絡設計中極其重要的內容。 企業網絡信息系統是計算機技術和通信技術相結合的產物,是計算機資源在更廣泛的地理區域內的共享,具有分布廣域性、體系結構開放性、資源共享性、通信信道的共同性等特點。正是由于這些特點,增加了網絡系統的實用性,同時也帶來了系統的脆弱性,特別是在用戶識別和存取控制方面存在著薄弱環節。

　　企業網絡系統安全設計目標的確立,應以企業網絡信息需求為依據,根據企業網絡信息處理的主要特點,針對企業網絡整個系統各種信息的關鍵性及敏感程度,合理地評價其安全性級別,綜合進行風險分析及系統脆弱點分析,全面確定整體系統的安全策略,建立一套完整的安全控制體系與保證體系。 安全控制的具體方法主要包括物理訪問控制與邏輯訪問控制。 對網絡中任何節點的物理訪問都應受到物理訪問控制,如通信鏈路中的電纜、接線柜等及網絡中的Hub、路由器、交換機等部件的物理訪問控制。

　　邏輯訪問控制識別并驗證用戶,將用戶限制在被授權的活動和資源范圍內,它主要包括對資源提供選擇性保護,使用戶對不同的數據庫具有不同的訪問權限,提供訪問級別和撤消授權的能力,用唯一的用戶ID來識別每一個用戶。提供鑒別能力使系統能夠驗證一個用戶的確切身份,即僅該用戶知道的口令,或僅該用戶擁有的特征如簽名等。記錄資源利用情況,并將該信息報告給適當的工作人員。 當然,一個好的企業網絡安全設計需要在常識與極端之間尋求平衡,本文只就其中一些問題提出一些解決策略。

　　一、企業網絡系統安全設計策略 1.局域網絡安全 企業網絡設計支持虛擬網絡功能。虛擬網絡是一種物理網絡,可利用網絡管理應用軟件邏輯地把它分割成分離的、獨立的工作組。這些邏輯工作組或稱虛擬LAN,如同共享介質LAN一樣工作,而不受介質帶寬限制。虛擬LAN(VLAN)中的每個端點用戶可直接與同一VLAN中的其它用戶通信。VLAN之間的網絡交通必須通過某種策略管理設備來管理,如路由器。這就允許網管人員為安全原因設置火墻保護,在工作組間建立安全策略。 在一個給定的物理基礎設施中可分割出多種不同的VLAN組合。這種靈活性允許VLAN的成員可根據網絡用戶的需要決定,而不是根據它們在網上的物理位置決定。五層樓的用戶可方便地連入二層樓的工作組,工作組成員關系可隨組織變化而動態地變化。 單個的VLAN的操作就如同一個子網一樣,子網上的用戶可彼此直接通信,當跨越子網邊界時要通過路由器。虛擬LAN與子網的唯一區別就是單個的子網是彼此重疊在單一的公共物理設施上的。 虛擬LAN能夠改善網絡安全性。

　　安全性的一個方面是控制進入網絡的用戶連接。由于具有了對移動、加入以及變更的控制能力,使得網絡中的連接控制也得到加強。網管系統了解虛擬網中所有的終端用戶,并可對連接哪些用戶、在何處需要存取何種服務等實行各種策略及控制。 除了網絡的基本連接控制之外,虛擬化還可控制哪一對用戶可以通信及允許使用何種特定應用。這些能力大部分在今日網絡中都是以路由過濾及策略表形式提供的。由于虛擬化除去了子網成員的物理限制,一個工作組中的所有成員都在同一個VLAN中,而且路由器用來控制出入工作組的存取。由于路由器的交通負載減少了,它們應將可用帶寬用在滿足組織中特殊部門的安全性要求上。

原文轉自：http://www.anti-gravitydesign.com