加入收藏 |  企业邮箱  | 合作伙伴登录

政府企业分析

 

        当前由于以太网技术“连通和共享”的设计初衷,使目前由以太网构成的网络系统面临着很多安全性方面的问题:

 

        1、传统的以太网没有提供相应的安全防范机制,任何用户都能够不受控制地进入网络访问网络资源       

        2、传统交换机所提供的端口—MAC地址绑定的安全机制虽然能够提供一定的接入用户安全性保证,但是管理分散、配置繁琐,灵活性差,最终给网络的管理工作增加了大量烦琐工作

        3、802.1x认证协议虽然在很多方面可以解决网络安全接入的问题,但对大部分企业来说,需要更换网络设备和改变网络结构, 同时对每个客户端都必需安装客户端,无疑增大了投入成本和管理难度

        4、随着网络结构的不断复杂化,IP地址管理问题及其严峻,一旦管理不慎,容易造成网络中断,而且难以找出故障源头

 

        传统网络核心服务(IP地址)的管理现状:

 

        (一)网络规模扩大,IP地址数目增加

        随着政府企业网络信息化的进一步深入,计算机接入数目大大增加,网络IP地址数目也随着增加,这样必然给管理带来了压力。

 

        (二)手工管理方式

        为满足网络使用需求,我们必须对IP地址进行相应的规划和分配,目前虽然采用了动态地址分配,但是对于IP/MAC的管理方式,还是采用人工的管理方式。无可质疑,管理几百上千个IP地址是一项繁锁艰巨的工作,传统的手工管理模式带来一系列问题:

        (1)纯面对面服务方式,工作量巨大;

        (2)信息孤岛,通过纯纸质和文件方式存储信息管理,不便于IP/MAC地址信息的查询与统计;

        (3)无法进行IP使用周期的有效核查,如无法有效控制没有分配出去的IP地址不被非法使用;

        (4)缺乏对IP数据的同步实时管理,手工IP地址管理登记册和Excel文档无法保障对IP数据的同步实时管理。

 

        (三)IP地址的盗用问题

        网络中经常有IP地址盗用的情况,给用户正常使用网络带来很大影响,而将IP地址与MAC地址对应绑定到相应交换与路由设备上可以在一定程度上解决这个问题,目前普遍的做法是要求用户申报计算机的MAC地址,然后手工将这些IP与MAC地址绑定到设备上去,这种方式带来了几个问题:

        (1)当需绑定的IP 地址数目较大时,工作量非常巨大;

        (2)当IP与MAC的对应信息发生变化时,比如用户的计算机网卡换了,或者该IP分给了另外一台计算机,必须再次手工 更新原来的绑定信息,操作上很不灵活;

        (3)绑定操作需要专业的技术人员完成,导致工作量集中在个别人员身上;

 

        (四)IP地址安全审计

        (1)目前网络内私设路由交换设备的现象越来越多,通过目前手动的管理方式,很难快速有效地发现,定位这些网络设备。同时,网络内交换机与网络设备繁多,手工登记交换机端口信息报表的工作繁琐,一旦网络设备位置变更无法实时获取信息,详细、实时的交换机端口信息报表可帮助网管员快速排除网络故障。

        (2)不能解决内部员工自主更改IP地址的问题,一旦内部员工自主更改IP地址,便使管理员无法实时正确了解内网IP地址使用情况,IP地址管理变得更加不可控性;同时,员工自主更改IP地址容易引起IP地址冲突,造成其它网络设备无法接入网络。

        (3)对临时接入控制的问题
        网络管理员无法进行接入IP地址合法性的确认。目前网络内部有众多应用服务器以及各种机密电子资料,外来人员一旦获得IP地址后,便可以无控制地使用网络,从而造成机密信息的泄露。

        (4)对IP/MAC变更跟踪的要求
        随着网络的扩容,IP地址的数量越来越多。IP地址的变更现象日益频繁,如何审计IP地址、MAC地址的变更,既MAC地址在什么时间得到IP地址,在什么时间释放IP地址,及地址变更的历史记录信息等,将成为信息安全的重要组成部分