企業(yè)網(wǎng)信息安全建設(shè)研究

2019-12-23 15:57:10◆胡銳

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2019年11期

◆胡銳

（中車(chē)長(zhǎng)春軌道客車(chē)股份有限公司吉林 130000）

隨著互聯(lián)網(wǎng)的發(fā)展，企業(yè)網(wǎng)信息安全問(wèn)題現(xiàn)在越來(lái)越突出了。企業(yè)網(wǎng)信息安全面臨的威脅概括而言，其中針對(duì)網(wǎng)絡(luò)安全的威脅主要有三種：

（1）人為的無(wú)意失誤。如管理員安全配置不當(dāng)造成的安全漏洞對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

（2）人為的惡意攻擊。包括以各種方式有選擇地破壞信息的有效性和完整性的主動(dòng)攻擊和截獲、竊取、破譯以獲得重要機(jī)密信息的被動(dòng)攻擊。手段包括密碼分析、身份假冒、拒絕服務(wù)、漏洞利用、惡意代碼、社會(huì)工程、數(shù)據(jù)竊聽(tīng)、物理破壞。

（3）軟件的漏洞和“后門(mén)”。軟件的漏洞和缺陷以及軟件公司設(shè)計(jì)編程人員為了自便而設(shè)置的“后門(mén)”就是黑客進(jìn)行攻擊的首選目標(biāo)。

1 企業(yè)網(wǎng)信息安全需求

針對(duì)這些網(wǎng)絡(luò)安全的威脅。企業(yè)網(wǎng)的信息安全需求包括：

（1）解決網(wǎng)絡(luò)的邊界安全，因?yàn)樗峭鈦?lái)攻擊的入口。

（2）要保證網(wǎng)絡(luò)內(nèi)部的安全。

（3）要實(shí)現(xiàn)系統(tǒng)安全和數(shù)據(jù)安全。

（4）建立全網(wǎng)通行的身份識(shí)別系統(tǒng)，實(shí)現(xiàn)用戶(hù)的統(tǒng)一管理。

（5）在身份識(shí)別和資源統(tǒng)一管理的基礎(chǔ)之上，實(shí)現(xiàn)統(tǒng)一的授權(quán)管理，在用戶(hù)和資源之間進(jìn)行嚴(yán)格的訪(fǎng)問(wèn)控制。

（6）信息傳輸時(shí)實(shí)現(xiàn)數(shù)據(jù)完整性和保密性。

（7）建立一整套審計(jì)、記錄的機(jī)制，記錄網(wǎng)上發(fā)生的事情，再根據(jù)記錄進(jìn)行事后的處理。

（8）把技術(shù)手段和行政手段融為一體，形成全局安全管理。

2 企業(yè)網(wǎng)信息安全建設(shè)分析

針對(duì)以上企業(yè)網(wǎng)信息安全需求，一種或幾種網(wǎng)絡(luò)安全技術(shù)是不能滿(mǎn)足企業(yè)安全需要的。因?yàn)槠髽I(yè)網(wǎng)是一個(gè)層次結(jié)構(gòu)，其安全也是一個(gè)層次結(jié)構(gòu)。在網(wǎng)絡(luò)的不同層次，有不同的安全需求和不同的解決方案。網(wǎng)絡(luò)安全方案只有覆蓋多個(gè)層次，方案才是可靠、安全、沒(méi)有漏洞的。

同時(shí)，技術(shù)手段與管理手段也需要結(jié)合。對(duì)于企業(yè)網(wǎng)來(lái)說(shuō)，管理的失敗是網(wǎng)絡(luò)安全體系失敗的非常重要的原因。最近報(bào)道的若干網(wǎng)絡(luò)入侵案件證明了這一點(diǎn)。網(wǎng)絡(luò)管理員升級(jí)網(wǎng)絡(luò)應(yīng)用不及時(shí)造成的安全漏洞、隨意使用下載的軟件、脆弱的用戶(hù)口令等等這些管理落實(shí)上的問(wèn)題是安全策略和網(wǎng)絡(luò)安全技術(shù)體系都不能解決的。

網(wǎng)絡(luò)安全概念中有一個(gè)"木桶"理論，網(wǎng)絡(luò)安全系統(tǒng)的強(qiáng)度取決于其中最為薄弱的一環(huán)。這是由攻擊和防守的特性決定的。相對(duì)于攻擊來(lái)說(shuō)，防守的任務(wù)更為艱巨，任何一個(gè)節(jié)點(diǎn)、某個(gè)服務(wù)、某個(gè)軟件、某個(gè)用戶(hù)的脆弱口令等等都可能造成整個(gè)防御系統(tǒng)的失效。攻擊者只要找到一處，則攻擊往往就成功了多半。

因此，必須針對(duì)目前網(wǎng)絡(luò)所面臨的各種威脅，結(jié)合企業(yè)網(wǎng)絡(luò)安全的需求，在網(wǎng)絡(luò)的不同層次，采用不同的解決方案，并將它們結(jié)合起來(lái)綜合應(yīng)用，才能構(gòu)成企業(yè)網(wǎng)絡(luò)安全體系。

3 企業(yè)網(wǎng)信息安全建設(shè)要點(diǎn)

（1）遵照ISO 27001（信息安全管理體系要求）、公安部（等級(jí)保護(hù)、82號(hào)令）、保密局以及SOX法案等國(guó)際、國(guó)家標(biāo)準(zhǔn)和行業(yè)法規(guī)，對(duì)企業(yè)信息安全進(jìn)行整體規(guī)劃。同時(shí)，進(jìn)行信息安全體系架構(gòu)設(shè)計(jì)，主要包括管理體系、技術(shù)體系和運(yùn)維體系。

（2）識(shí)別關(guān)鍵業(yè)務(wù)領(lǐng)域保密信息、設(shè)計(jì)企業(yè)信息安全高壓線(xiàn)和關(guān)鍵業(yè)務(wù)領(lǐng)域保密信息的“保險(xiǎn)柜”，保障企業(yè)信息資產(chǎn)安全。

（3）實(shí)施關(guān)鍵信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)與整改，使核心信息化基礎(chǔ)資源和重要信息系統(tǒng)得到有效保護(hù)和較大改善。

（4）全面構(gòu)建和完善信息安全管理體系，主要包含流程、規(guī)范、制度的一級(jí)、二級(jí)、三級(jí)文件等。

（5）全面構(gòu)建和完善信息安全技術(shù)體系。

（6）全面構(gòu)建和完善信息安全運(yùn)維體系，主要包含安全測(cè)評(píng)、安全監(jiān)測(cè)、安全審計(jì)、跟蹤報(bào)警等。特別是日常要利用監(jiān)測(cè)技術(shù)手段對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)、分析、預(yù)警和處置。

（7）構(gòu)建信息安全風(fēng)險(xiǎn)度量體系，基于業(yè)務(wù)需求的變化調(diào)整管控措施，保證信息安全風(fēng)險(xiǎn)管控水平與業(yè)務(wù)需求同步，以促進(jìn)業(yè)務(wù)效率與信息安全雙提升。

（8）按照PDCA（即計(jì)劃、實(shí)施、檢查、改進(jìn)）的螺旋式上升過(guò)程持續(xù)優(yōu)化信息安全體系，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試，識(shí)別出信息安全管理風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)，調(diào)整和強(qiáng)化信息安全管控措施，提高信息安全管控水平。

4 企業(yè)網(wǎng)信息安全技術(shù)體系建設(shè)方法

（1）客戶(hù)端計(jì)算機(jī)安全。對(duì)所有接入計(jì)算機(jī)部署網(wǎng)絡(luò)版防病毒軟件、終端安全軟件和加密軟件。對(duì)無(wú)線(xiàn)接入設(shè)備進(jìn)行有效的管理，統(tǒng)一管控。對(duì)接入交換機(jī)啟用終端計(jì)算機(jī)接入統(tǒng)一身份認(rèn)證系統(tǒng)。對(duì)用戶(hù)進(jìn)行雙因子認(rèn)證，防止密碼竊取。對(duì)重點(diǎn)終端計(jì)算機(jī)部署客戶(hù)端審計(jì)系統(tǒng)，實(shí)現(xiàn)客戶(hù)端重要信息資產(chǎn)的審計(jì)。

（2）內(nèi)外網(wǎng)隔離，安裝網(wǎng)閘，進(jìn)行內(nèi)外網(wǎng)信息傳輸控制。

（3）企業(yè)網(wǎng)內(nèi)根據(jù)信息資產(chǎn)的重要性和受控范圍，實(shí)行分區(qū)管理，采用防火墻進(jìn)行隔離，特別是子企業(yè)、分企業(yè)。開(kāi)放指定的、最小權(quán)限的應(yīng)用，在滿(mǎn)足應(yīng)用服務(wù)的前提條件下，關(guān)閉其他所有的服務(wù)及端口。

（4）對(duì)企業(yè)內(nèi)外部網(wǎng)絡(luò)部署威脅感知系統(tǒng)來(lái)監(jiān)控內(nèi)外網(wǎng)的網(wǎng)絡(luò)流量情況并進(jìn)行統(tǒng)計(jì)分析，進(jìn)行內(nèi)外網(wǎng)的定向攻擊、APT攻擊檢測(cè)與分析工作。利用大數(shù)據(jù)、威脅情報(bào)及可視化分析等多種先進(jìn)技術(shù)，回溯攻擊過(guò)程、分析攻擊技術(shù)及其影響范圍，確定攻擊目的。

（5）部署漏洞掃描系統(tǒng)，對(duì)企業(yè)網(wǎng)絡(luò)、服務(wù)器、終端計(jì)算機(jī)進(jìn)行漏洞檢測(cè)和分析，對(duì)漏洞所造成的威脅、風(fēng)險(xiǎn)進(jìn)行評(píng)估、修復(fù)，使其風(fēng)險(xiǎn)控制在可控接受范圍之內(nèi)。

（6）在服務(wù)器前部署堡壘機(jī)，用來(lái)監(jiān)控系統(tǒng)管理員對(duì)服務(wù)器的日常維護(hù)記錄審計(jì)，發(fā)現(xiàn)攻擊或是非法侵入，并對(duì)此進(jìn)行防范、改正及解決。

（7）在應(yīng)用服務(wù)器前部署應(yīng)用防火墻，審計(jì)計(jì)算機(jī)用戶(hù)在服務(wù)器上的瀏覽、下載數(shù)據(jù)等操作，并按照關(guān)鍵字、通配符等信息對(duì)重要的信息資產(chǎn)進(jìn)行審計(jì)、報(bào)警，同時(shí)設(shè)置數(shù)據(jù)下載量的閾值觸發(fā)報(bào)警功能；同時(shí)開(kāi)啟安全防護(hù)功能，防止來(lái)自網(wǎng)絡(luò)上的攻擊。例如在網(wǎng)站前部署Web應(yīng)用防火墻進(jìn)行漏洞監(jiān)測(cè)、網(wǎng)頁(yè)篡改監(jiān)測(cè)、網(wǎng)頁(yè)掛馬監(jiān)測(cè)、內(nèi)容變更監(jiān)測(cè)、黑詞監(jiān)測(cè)、黑鏈監(jiān)測(cè)、敏感詞監(jiān)測(cè)、網(wǎng)站可用性監(jiān)測(cè)、DDOS攻擊監(jiān)測(cè)、未知資產(chǎn)監(jiān)測(cè)、釣魚(yú)/仿冒網(wǎng)站監(jiān)測(cè)，并將監(jiān)測(cè)的內(nèi)容通過(guò)人工核查形成報(bào)表，進(jìn)行分析和日志留存，提供網(wǎng)站的運(yùn)行狀態(tài)，防護(hù)企業(yè)對(duì)外發(fā)布的內(nèi)容被篡改。

（8）在郵件服務(wù)器前段布置垃圾郵件過(guò)濾，防范釣魚(yú)郵件；部署郵件歸檔審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)電子郵件進(jìn)行歸檔、審計(jì)，防范郵件泄密。

（9）在互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)版數(shù)據(jù)防泄露系統(tǒng)，對(duì)通過(guò)郵件、IM、ftp等工具及相關(guān)的協(xié)議進(jìn)行傳輸?shù)闹匾畔①Y產(chǎn)進(jìn)行審計(jì)、報(bào)警；主要對(duì)重要信息資產(chǎn)的信息進(jìn)行檢測(cè)，如：主題、正文及附件通過(guò)策略設(shè)定的關(guān)鍵字、通配符、相似度、指紋等信息進(jìn)行審計(jì)，對(duì)符合策略要求的傳輸進(jìn)行審計(jì)并觸發(fā)報(bào)警機(jī)制。

（10）部署上網(wǎng)行為管理系統(tǒng)，主要控制內(nèi)部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)進(jìn)行控制及審計(jì)，通過(guò)策略實(shí)現(xiàn)哪個(gè)部門(mén)可以訪(fǎng)問(wèn)哪些網(wǎng)站、url的過(guò)濾和控制，并對(duì)用戶(hù)訪(fǎng)問(wèn)的網(wǎng)址進(jìn)行審計(jì)，提高互聯(lián)網(wǎng)帶寬的使用效率，并根據(jù)國(guó)家公安部的要求，對(duì)進(jìn)行上網(wǎng)的日志進(jìn)行保留，防范上外網(wǎng)泄密。

（11）對(duì)企業(yè)重要數(shù)據(jù)庫(kù)服務(wù)器部署數(shù)據(jù)庫(kù)審計(jì)防護(hù)系統(tǒng)，實(shí)現(xiàn)實(shí)時(shí)的全面記錄數(shù)據(jù)庫(kù)實(shí)際發(fā)生的操作情況；可疑行為發(fā)生時(shí)啟動(dòng)預(yù)先設(shè)置的告警流程；一旦發(fā)生非法操作，觸發(fā)防御策略，實(shí)行阻斷。

（12）建立遠(yuǎn)程辦公VPN系統(tǒng)，利用SSL安全機(jī)制中的數(shù)字證書(shū)和加密技術(shù)保障數(shù)據(jù)的安全，按權(quán)限控制訪(fǎng)問(wèn)內(nèi)容。

（13）部署日志審計(jì)系統(tǒng)，進(jìn)行實(shí)時(shí)的日志審計(jì)分析和告警，將設(shè)備防護(hù)日志進(jìn)行存儲(chǔ)和保存，提供訪(fǎng)問(wèn)安全事件回溯功能，實(shí)時(shí)感知網(wǎng)絡(luò)邊界安全態(tài)勢(shì)。

5 結(jié)束語(yǔ)