呂發(fā)智

（玉溪市公安局，云南 玉溪　653100）

0　引言

互聯(lián)網(wǎng)的快速發(fā)展，促進了企業(yè)單位的信息化建設(shè)，互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò)建設(shè)在大大提高了企業(yè)的生產(chǎn)力和工作效率的同時，也給企業(yè)帶來巨大的效益[1-3]。然而，伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各類黑客行為和網(wǎng)絡(luò)攻擊技術(shù)給企業(yè)的持續(xù)、快速、健康、安全發(fā)展帶來困擾。近年來，大量企業(yè)的網(wǎng)絡(luò)安全問題披露出來，觸目驚心，如七天、如家等酒店的開房信息被泄露，給酒店帶來了負(fù)面效益的同時，也給民眾對私人信息的外漏帶來惶恐；卡巴斯基總部被黑客入侵，國家機密面臨泄漏的威脅；索尼官網(wǎng)被黑導(dǎo)致用戶信息泄露等，這些網(wǎng)絡(luò)安全問題足以引起全社會的關(guān)注，也充分說明：網(wǎng)絡(luò)安全是企業(yè)發(fā)展建設(shè)的重要內(nèi)容，也是一項亟待解決的重要工程。

1　企業(yè)的網(wǎng)絡(luò)情況分析

企業(yè)網(wǎng)絡(luò)因為企業(yè)規(guī)模大小、行業(yè)差異、運營方式以及治理方式等的不同導(dǎo)致有著不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)[4-5].目前主要分為兩種,一種是集中型[6]，這種類型的企業(yè)網(wǎng)絡(luò)一般在總部設(shè)立完善的網(wǎng)絡(luò)布局，通常是采取專線接入、ADSL接入或多條線路接入等網(wǎng)絡(luò)接入方式，一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺不等。在網(wǎng)絡(luò)中劃分若干子網(wǎng)，并部署與核心業(yè)務(wù)相關(guān)的服務(wù)器，如數(shù)據(jù)庫、郵件服務(wù)器、文檔資料庫、甚至ERP服務(wù)器。另外一種是分散型，這種類型的企業(yè)網(wǎng)絡(luò)是采取多分支機構(gòu)辦公及移動辦公方式，各分支機構(gòu)均勻網(wǎng)絡(luò)部署，數(shù)量不多。大的分支采取專線接入，一般采取ADSL接入方式，主要是通過訪問公司主機設(shè)備及資料庫通過郵件或內(nèi)部進行業(yè)務(wù)溝通交流。圖1所示為分散型和集中型的綜合型企業(yè)網(wǎng)絡(luò)簡圖。

2　常見的企業(yè)安全問題

如上所述，企業(yè)網(wǎng)絡(luò)安全問題日益嚴(yán)重，網(wǎng)絡(luò)安全架構(gòu)也面臨著多方面的威脅。綜合分析主要問題有以下幾個：

2.1　外網(wǎng)安全問題

外網(wǎng)安全問題是最常見的問題，主要有：非法接入、外網(wǎng)入侵、黑客攻擊、病毒傳播、漏洞利用、僵尸木馬，蠕蟲入侵等問題[7-8]，這些已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全最為廣泛的威脅。其中蠕蟲入侵是黑客們最常利用的入侵工具，這種病毒傳播速度快，一旦網(wǎng)絡(luò)系統(tǒng)遭到蠕蟲侵襲，不僅會造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，網(wǎng)絡(luò)擁塞，同時也會對核心敏感數(shù)據(jù)造成威脅，導(dǎo)致業(yè)務(wù)和敏感數(shù)據(jù)受到威脅。

2.2　內(nèi)網(wǎng)安全問題

內(nèi)網(wǎng)問題是目前企業(yè)內(nèi)部網(wǎng)絡(luò)最主要的安全問題，主要包括：帶寬和各種應(yīng)用的濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制問題、病毒蠕蟲擴散、信息泄露等。

圖1　綜合型企業(yè)網(wǎng)絡(luò)架構(gòu)簡圖Fig.1　Comprehensive enterprise network architecture diagram

2.3　網(wǎng)絡(luò)連接問題

網(wǎng)絡(luò)連接問題主要指內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接問題，如企業(yè)總部、各地分支機構(gòu)、第三方合作伙伴、辦公人員之間的網(wǎng)絡(luò)連接，這些既要保障信息的及時共享，又要防止機密信息泄露。對于不同的接入方其所擁有的權(quán)限，既要滿足企業(yè)的正常業(yè)務(wù)需求，又不能超越其網(wǎng)絡(luò)權(quán)限，避免越權(quán)訪問和敏感信息泄露。

2.4　運維管理安全

共享賬號安全隱患，設(shè)備繁多控制策略復(fù)雜，操作無法監(jiān)管，內(nèi)部操作不透明，外部操作不可控，沒有統(tǒng)一的身份管理平臺，頻繁切換應(yīng)用程序登陸等問題困擾著企業(yè)網(wǎng)絡(luò)的安全運維管理。

3　企業(yè)網(wǎng)絡(luò)安全問題解決方案

針對上述網(wǎng)絡(luò)安全問題，提出如圖2所示網(wǎng)絡(luò)安全規(guī)劃圖，該安全系統(tǒng)主要有以下幾個部分構(gòu)成：

防火墻系統(tǒng)：采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護，對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨的防火墻設(shè)備進行保護。

入侵檢測系統(tǒng)：采用入侵檢測設(shè)備，作為防火墻的功能互補，提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應(yīng)。

網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)：對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，組織非正當(dāng)文件的下載行為。

圖2　網(wǎng)絡(luò)安全規(guī)劃圖Fig.2　Network security planning

病毒防護系統(tǒng)：強化病毒防護系統(tǒng)的應(yīng)用策略和治理策略，增強病毒防護有效性。

垃圾郵件過濾系統(tǒng)：過濾郵件，組織垃圾郵件和病毒郵件的入侵。

移動用戶治理系統(tǒng)：對接入內(nèi)部網(wǎng)移動設(shè)備進行安全控制，確保接入設(shè)備的安全性，有效防止病毒或黑客程序攻擊內(nèi)網(wǎng)。

具體應(yīng)對策略分為以下幾點：

3.1　做好網(wǎng)絡(luò)數(shù)據(jù)的安全隔離

當(dāng)網(wǎng)絡(luò)系統(tǒng)遭到外部攻擊時，網(wǎng)絡(luò)運維部門應(yīng)該及時對數(shù)據(jù)中心的服務(wù)器操作系統(tǒng)進行漏洞修補，操作系統(tǒng)應(yīng)遵循最小化安裝的原則，關(guān)閉防火墻上的非必須端口，合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，通過采用VPN 技術(shù)，對重要數(shù)據(jù)進行內(nèi)網(wǎng)和外網(wǎng)隔離[9-11]。對于較難發(fā)現(xiàn)的 Web 應(yīng)用漏洞要引入第三方評測機構(gòu)，納入企業(yè)的信息等級保護并到公安機關(guān)備案，提高黑客入侵的難度和入侵成本。

3.2　加強數(shù)據(jù)的訪問控制

數(shù)據(jù)訪問控制是指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段[12]，簡而言之就是保證合法用戶訪問受權(quán)保護的網(wǎng)絡(luò)數(shù)據(jù)資源，防止非法的主體進入受保護的網(wǎng)絡(luò)數(shù)據(jù)資源。事實上系統(tǒng)中用戶的密碼設(shè)置簡單、安全性能低是導(dǎo)致信息泄露的一個重要原因。建議在數(shù)據(jù)訪問控制時采用動態(tài)口令認(rèn)證的方式，并與用戶的手機短信進行綁定發(fā)送，統(tǒng)一身份認(rèn)證平臺記錄所有用戶在某個時段內(nèi)的認(rèn)證結(jié)果，如果出現(xiàn)某一個用戶多次認(rèn)證失敗時，系統(tǒng)將對該用戶進行鎖定，避免了被窮舉攻擊的可能[13]。

3.3　數(shù)據(jù)的加密存儲與加密傳輸

數(shù)據(jù)加密技術(shù)是一種主動的安全防御策略，包括了數(shù)據(jù)存儲的加密和在數(shù)據(jù)傳輸過程中使用加密技術(shù)，數(shù)據(jù)加密的有點體現(xiàn)在能用很小的代價即可為信息提供相當(dāng)大的安全保護[14]。主要的加密技術(shù)有對稱加密和非對稱加密兩種。從加密技術(shù)應(yīng)用的邏輯位置看，有三種方式分別是鏈路加密，節(jié)點加密，端對端加密。不論哪種方式，在網(wǎng)絡(luò)傳輸和存儲中用密文代替明文，這樣即使發(fā)生入侵或信息泄露，黑客也要花費較大的力氣去進行數(shù)據(jù)解密。一旦攻擊和入侵的成本遠(yuǎn)遠(yuǎn)大于收益，它就會望而止步了。

3.4　網(wǎng)絡(luò)攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò)，并從中找到漏洞進入企業(yè)內(nèi)部網(wǎng)絡(luò)，對企業(yè)信息進行盜取或更改。為避免惡意網(wǎng)絡(luò)攻擊企業(yè)可，以引進入侵檢測系統(tǒng)并將其與控制網(wǎng)絡(luò)訪問結(jié)合起來，對企業(yè)信息實行雙重保護[15]。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)將入侵檢測系統(tǒng)深入到企業(yè)內(nèi)部網(wǎng)絡(luò)的各個環(huán)節(jié)，尤其是重要部門的機密信息中需要重點監(jiān)護，利用防火墻技術(shù)實行企業(yè)網(wǎng)絡(luò)的第一道保護屏障，再配以檢測技術(shù)以及相關(guān)加密技術(shù)防火記錄用戶的身份信息，遇到無法識別的身份信息將數(shù)據(jù)傳輸給管理員。后續(xù)入侵檢測技術(shù)將徹底阻擋黑客攻擊，并對黑客身份信息進行分析。即時黑客通過這些得到的也是經(jīng)過加密的數(shù)據(jù)，難以從中得到有效信息。通過這些網(wǎng)絡(luò)安全技術(shù)的配合，全方位消除來自網(wǎng)絡(luò)黑客的攻擊，保障企業(yè)網(wǎng)絡(luò)安全。

3.5　重要信息和數(shù)據(jù)的安全備份及網(wǎng)絡(luò)安全產(chǎn)品相關(guān)日志的保留

在當(dāng)前的網(wǎng)絡(luò)空間攻防過程中，國內(nèi)的網(wǎng)絡(luò)防御與國外的黑客組織在技術(shù)層面的較量中暫時處于弱勢，所以對于企業(yè)中的人事信息、商業(yè)機密、客戶資料、財務(wù)狀況等重要數(shù)據(jù)，要做到異地備份。這樣即便遭遇了類似“勒索病毒”的感染，也可通過備份對數(shù)據(jù)進行恢復(fù)。特別需要注意的是《網(wǎng)絡(luò)安全法》中明確規(guī)定[11]：各類防火墻、路由設(shè)備、服務(wù)器日志文件要保留 6 個月以上。一般來說清晰完整的日志留存能保證在網(wǎng)絡(luò)遭到攻擊后，能迅速準(zhǔn)確的明晰黑客的攻擊手段，定位黑客的攻擊來源，避免事故的進一步擴大。

4　結(jié)論

隨著網(wǎng)絡(luò)時代的蓬勃發(fā)展，網(wǎng)絡(luò)技術(shù)將會在未來很長一段時間內(nèi)在企業(yè)的運轉(zhuǎn)中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡(luò)安全也將長期伴隨企業(yè)經(jīng)營管理，因此必須對企業(yè)網(wǎng)絡(luò)實行動態(tài)管理，采取必要的網(wǎng)絡(luò)安全預(yù)防策略，保障網(wǎng)絡(luò)安全，為企業(yè)的健康快速發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境。