近年來單位的網絡結構越來越復雜，所面臨的安全問題越來越復雜，安全威脅正在飛速增長，尤其混合威脅的風險，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡、DDoS攻擊、網站掛馬、垃圾郵件、網絡資源濫用等，極大地困擾著用戶，給單位的信息網絡造成嚴重的破壞。

現有網絡分為DMZ服務器區(qū)和內網辦公區(qū)，DMZ服務器運行著各種業(yè)務系統(tǒng)，威脅不僅包括針對網絡、主機、系統(tǒng)等基礎設施的攻擊，而且還包含針對業(yè)務系統(tǒng)的特定攻擊。內網辦公區(qū)人員、終端設備、網絡應用眾多，使用者的安全意識和掌握的安全技能也參差不齊，導致內網辦公區(qū)面臨諸多安全威脅。

隨著單位總部信息化應用的不斷深化，圍繞ERP系統(tǒng)、一體化門戶以及財務管控等業(yè)務系統(tǒng)的上線運行，信息網絡安全更加凸顯重要，需要可靠的網絡環(huán)境作保障。

威脅分析

內網信息系統(tǒng)是面向單位內部員工的業(yè)務支撐系統(tǒng)，因此其威脅主要來自網絡內部。

1.非法掃描和攻擊

有些單位內部人員出于好奇、報復、經濟利益等目的，會惡意掃描和攻擊財務部、人力資源部等內網關鍵部門的計算機，從而竊取軟件源代碼、薪資信息、合同信息等公司機密資料。

2.網絡蠕蟲病毒侵襲

網絡蠕蟲病毒傳播速度快，難以快速定位并清除。一旦遭受了病毒和蠕蟲的侵襲，不僅會造成網絡和系統(tǒng)處理性能的下降，同時也會對核心敏感數據造成嚴重的威脅，甚至造成網絡擁塞，導致業(yè)務和生產的中斷。

3.不安全系統(tǒng)配置

由于終端用戶的安全意識和安全技能存在著不足之處，計算機不能及時安裝補丁或者開放了不受保護的共享文件夾，都成為被攻擊的隱患。

4.外來人員的非法訪問

由于單位的業(yè)務發(fā)展需要，經常會有外部人員接入內網進行業(yè)務交流、數據交換等操作。外部人員攜帶的電腦不受單位控制，存在很大的安全威脅，很有可能會導致網絡蠕蟲病毒進入內網或訪問到存儲單位機密信息的計算機。

5.單位內部用戶的違規(guī)操作

為保障系統(tǒng)安全，單位會制定一系列的安全規(guī)范、流程來約束內部用戶的行為，而有些人員為圖方便會違反操作規(guī)程，帶來不必要的安全問題。

6.未及時安裝補丁程序

為避免補丁程序與業(yè)務系統(tǒng)軟件沖突造成的系統(tǒng)故障，核心業(yè)務系統(tǒng)服務器有時不能及時安裝系統(tǒng)、軟件的補丁程序，使得服務器陷入無保護的狀態(tài)。

7.DDoS/DoS攻擊

DDoS攻擊出現在十年前，是一種技術含量不高，但攻擊效果顯著的攻擊。由于近些年僵尸網絡的發(fā)展，DDoS攻擊重新成為了惡意入侵者的新寵，特別是針對應用層的C&C攻擊，直接威脅單位業(yè)務系統(tǒng)的可用性安全。

8.Web相關攻擊

隨著系統(tǒng)、軟件廠商對安全問題的重視，系統(tǒng)級安全漏洞正在減少，應用層攻擊，特別是針對Web系統(tǒng)的攻擊成為入侵者的主要攻擊手段，例如：SQL注入、XSS跨站腳本、網站掛馬等等。

風險分析

我們主要從以下幾個方面關注內網辦公區(qū)和DMZ區(qū)可能面臨的安全風險：

1.單位機密信息泄露的風險

單位內部員工的非法掃描和滲透攻擊，以及外來人員的非授權訪問，嚴重威脅著單位內網辦公區(qū)內的敏感信息，例如：軟件源代碼、員工薪酬信息、商務合同信息等。一旦這些機密信息泄露，將會給單位帶來不可估量的損失。

2.網絡可用性的風險

目前利用漏洞傳播的網絡蠕蟲病毒傳播速度加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，一旦蠕蟲爆發(fā)便會造成單位網絡癱瘓。網絡防病毒系統(tǒng)屬于被動防護，對于新的未知蠕蟲病毒，防病毒軟件無法檢測出。

3.內部員工非法操作的安全風險

內部員工的授權或非授權違規(guī)操作，是威脅內部服務器區(qū)安全的重要因素，直接危害業(yè)務系統(tǒng)及核心數據的機密性及完整性。

4.系統(tǒng)不能安全補丁程序的安全風險

系統(tǒng)不能安裝補丁程序作為一種被動威脅自身并無危害，但其為蠕蟲病毒的傳播和內部員工的惡意攻擊提供了便利條件，是亟待解決的基礎安全問題。

5.關鍵信息被篡改的風險

Web網站是單位對外發(fā)布信息的網絡媒介，一旦發(fā)布的信息被惡意篡改將會影響單位的可信度。而業(yè)務系統(tǒng)中的重要數據被篡改，則會給單位帶來經濟上的損失。如果被別有用心之人發(fā)布了不實言論，單位將有可能面臨法律問題。

6.業(yè)務系統(tǒng)不可用的風險

系統(tǒng)被DDoS攻擊后不可用將失去其存在的意義，會給對網上業(yè)務系統(tǒng)高度依賴、對業(yè)務系統(tǒng)及時性要求較高的單位帶來不可估量的損失。

7.損害單位聲譽的風險

單位網站被篡改或者被植入木馬，訪問網站的用戶將成為受害者，而單位也會因此而使自身的聲譽遭受損害。

需求分析

根據對單位內網辦公區(qū)和DMZ區(qū)的威脅、風險分析，其信息安全需求主要包括以下方面：

1.防御內部員工的非法掃描和滲透攻擊，限制對敏感區(qū)域的訪問，避免機密信息泄露，并記錄違規(guī)操作，保障敏感信息的機密性和完整性。

2.阻止蠕蟲、網絡病毒爆發(fā)對單位網絡的破壞，縮小擴散的范圍，保障單位網絡的正常運行和網絡信息系統(tǒng)的安全性。

3.有效控制外來人員對內網資源的訪問，避免外來人員竊取公司機密信息，防止其攜帶的網絡蠕蟲病毒擴散到單位內網。

4.實時的發(fā)現和阻止蠕蟲以及網絡病毒爆發(fā)對單位內網服務器區(qū)的影響，保障單位網絡信息系統(tǒng)的正常運行。

5.提供有效方法防范針對未安裝補丁系統(tǒng)的攻擊行為。

6.防御各種流量型、資源耗盡型、應用層DDoS攻擊，提高網絡信息系統(tǒng)的可用性。

7.防御針對 Web、Mail等業(yè)務系統(tǒng)的攻擊，保證業(yè)務系統(tǒng)的安全穩(wěn)定運行。

混合防護解決方案

針對上述需求分析，部署網絡入侵防護系統(tǒng)，能夠有效防御2至7層的各種攻擊，保證網絡信息系統(tǒng)的安全穩(wěn)定運行。

筆者單位網絡結構相對復雜，不僅包括有總部，還有各地的直屬單位，既要保護網絡邊界的安全，同時又要保護單位內網的安全。

針對單位網絡的特點，入侵保護系統(tǒng)應采用混合防護的解決方案：

1.在筆者單位總部網絡的出入口處在線部署網絡入侵防護系統(tǒng)，以實現路由防護，提供從網絡層、應用層到內容層的深度安全防護。

2.在筆者單位總部的內部網段之間以及與直屬單位網絡之間在線部署網絡入侵防護系統(tǒng)，提供透明接入的、獨立多路一進一出的、交換式的多進多出的全方位和立體式的安全防護體系，實現內網的安全區(qū)域劃分和控制。

3.在單位服務器區(qū)和辦公區(qū)旁路部署網絡入侵防護系統(tǒng)，相當于入侵檢測系統(tǒng)（IDS），監(jiān)測、分析服務器區(qū)的安全狀況，保護服務器安全。

4.通過一個控制臺，實現對全網網絡入侵防護系統(tǒng)設備的集中管理、安全信息的集中分析和處理，有效解決單位面臨的安全問題，提高投資回報率。

結論

隨著信息化建設的不斷推進，信息網絡安全成為信息化建設系統(tǒng)工程的“短板”，而單位所面臨的安全問題和威脅越來越繁雜多變，尤其諸如蠕蟲、病毒、間諜軟件、DDoS攻擊、垃圾郵件、網絡資源濫用等混合威脅的風險，給單位的信息網絡造成嚴重破壞。隨著單位信息化應用的不斷深化，圍繞ERP系統(tǒng)、一體化門戶以及財務管控等業(yè)務系統(tǒng)的上線運行，信息網絡安全更加凸顯重要。

網絡信息系統(tǒng)安全的建設，應嚴把數據、流程、監(jiān)管三個關口，為單位現代化管理與信息化建設提供有力支撐。網絡入侵防護系統(tǒng)的建設和使用，將大大提升信息網絡安全防護能力，為公司信息網絡提供動態(tài)的、深度的、主動的安全防御，標志著公司及直屬單位信息網絡整體安全防護水平的全面提升，信息網絡安全管理實現等級升級。