◆姜立秋 敖 磊 肖 琳 李偉曦

(大連理工大學(xué)城市學(xué)院 遼寧 116600)

企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析與設(shè)計(jì)思路

◆姜立秋 敖 磊 肖 琳 李偉曦

(大連理工大學(xué)城市學(xué)院 遼寧 116600)

隨著網(wǎng)絡(luò)的大規(guī)模使用和網(wǎng)絡(luò)技術(shù)的流行，多個(gè)數(shù)據(jù)處理設(shè)備連接在一起，互聯(lián)形成日趨龐大的信息服務(wù)平臺(tái)。但是，由于在企業(yè)內(nèi)部廣域網(wǎng)平臺(tái)上缺乏專(zhuān)業(yè)的安全防護(hù)措施，從各個(gè)下屬企業(yè)到總部之間，各個(gè)下屬企業(yè)之間的通訊只通過(guò)路由器做了一些簡(jiǎn)單的ACL訪(fǎng)問(wèn)控制。為了解決上述問(wèn)題，本文將以安全性原則、可適應(yīng)性原則、技術(shù)與管理相結(jié)合的原則和實(shí)際性原則為基礎(chǔ)，在完成企業(yè)網(wǎng)絡(luò)建設(shè)的同時(shí)，通過(guò)安全域的劃分建立一個(gè)多層次的安全綜合防護(hù)系統(tǒng)。

企業(yè)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；信息安全風(fēng)險(xiǎn)

0 引言

目前，各類(lèi)企業(yè)為了迎合社會(huì)發(fā)展的需求以及行業(yè)信息化發(fā)展的趨勢(shì)，已建立了相對(duì)完善的內(nèi)部廣域網(wǎng)系統(tǒng)和網(wǎng)絡(luò)應(yīng)用平臺(tái)。在系統(tǒng)應(yīng)用的過(guò)程中，整個(gè)系統(tǒng)面臨著來(lái)自?xún)?nèi)部以及外部的巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，相對(duì)與企業(yè)這一敏感而且與人民利益直接相關(guān)的系統(tǒng)來(lái)說(shuō)，確保網(wǎng)絡(luò)的安全運(yùn)行、免受攻擊損失相當(dāng)重要，所以針對(duì)企業(yè)網(wǎng)絡(luò)網(wǎng)的自身特點(diǎn)，建立一套完善的網(wǎng)絡(luò)安全系統(tǒng)平臺(tái)至關(guān)重要。不僅杜絕內(nèi)部作案的可能性，還要從技術(shù)手段上加強(qiáng)安全措施，防止外部黑客的入侵和來(lái)自企業(yè)內(nèi)部的攻擊和威脅[1]，保障企業(yè)網(wǎng)的安全可靠性，在安全事故發(fā)生之前就給予充分的重視，制定綜合的安全管理策略，并建立起一套行之有效的可操作控制和集中管理的信息安全保障系統(tǒng)[2]。因此建立和實(shí)施一套先進(jìn)高效并基于風(fēng)險(xiǎn)控制與管理理論的完整的信息安全保障系統(tǒng)勢(shì)在必行。

1 企業(yè)網(wǎng)安全風(fēng)險(xiǎn)分析

1.1 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)

1.1.1 網(wǎng)絡(luò)層邊界安全風(fēng)險(xiǎn)

（1）下屬企業(yè)與總部之間：一般認(rèn)為總部網(wǎng)絡(luò)的安全級(jí)別較高，從下屬企業(yè)到總部方向的訪(fǎng)問(wèn)應(yīng)該更加嚴(yán)格。

（2）各個(gè)下屬企業(yè)之間：各個(gè)企業(yè)具有相對(duì)的獨(dú)立性，雖然同屬于同一企業(yè)。在同一個(gè)廣域網(wǎng)內(nèi)，但每個(gè)企業(yè)都應(yīng)當(dāng)把其他企業(yè)看做自己的“外部”風(fēng)險(xiǎn)級(jí)別。

（3）總部網(wǎng)絡(luò)與Internet邊界之間。

1.1.2 數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)

目前很多企業(yè)網(wǎng)絡(luò)已經(jīng)采用了基于 IP的加密設(shè)備對(duì)主干網(wǎng)的通信進(jìn)行了加密安全保護(hù)，已經(jīng)具有了一定的傳輸安全措施。

1.1.3 來(lái)自?xún)?nèi)、外部的實(shí)時(shí)攻擊、拒絕服務(wù)式攻擊

主要表現(xiàn)在以下幾個(gè)方面：

（1）訪(fǎng)問(wèn)控制技術(shù)及產(chǎn)品只是一種被動(dòng)的安全防護(hù)技術(shù)，很多的攻擊方式和技術(shù)都可以躲避比如防火墻等安全產(chǎn)品的保護(hù)達(dá)到攻擊效果，比如拒絕服務(wù)式攻擊；

雖然對(duì)于留白藝術(shù)的研究在國(guó)內(nèi)興起較早，但是將留白藝術(shù)應(yīng)用于教育領(lǐng)域，對(duì)課堂教學(xué)留白進(jìn)行研究在國(guó)內(nèi)則起步較晚．國(guó)外對(duì)于留白藝術(shù)教學(xué)的研究，主要集中在理論基礎(chǔ)方面．近年來(lái)，隨著課程改革的推進(jìn)，留白藝術(shù)在課堂教學(xué)中的運(yùn)用在國(guó)內(nèi)也得到高度重視，進(jìn)行了積極的實(shí)踐探索．

（2）通常造成重大損失的攻擊行為大多數(shù)都來(lái)自于防護(hù)比較薄弱的內(nèi)網(wǎng)，比如員工的非法訪(fǎng)問(wèn)和惡意攻擊行為；

（3）不斷出現(xiàn)的各種系統(tǒng)漏洞也是黑客們最方便和樂(lè)于利用的后門(mén)。

1.2 應(yīng)用層安全風(fēng)險(xiǎn)

應(yīng)用系統(tǒng)層的安全風(fēng)險(xiǎn)主要來(lái)自網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、相關(guān)商用產(chǎn)品的安全漏洞、各種應(yīng)用業(yè)務(wù)資源的非法訪(fǎng)問(wèn)及越權(quán)操作，事后抵賴(lài)和病毒等等[4]。企業(yè)專(zhuān)用網(wǎng)絡(luò)的應(yīng)用服務(wù)器、Windows客戶(hù)端，數(shù)據(jù)庫(kù)的安全級(jí)別較低，存在安全隱患[5]。包括了針對(duì)Windows客戶(hù)端操作系統(tǒng)漏洞的攻擊，針對(duì)應(yīng)用服務(wù)器漏洞的攻擊、垃圾郵件、蠕蟲(chóng)/病毒流量傳播、間諜軟件、木馬的傳播等等。

1.3 管理層安全風(fēng)險(xiǎn)分析

由于沒(méi)有制訂安全管理制度，所以無(wú)法進(jìn)行統(tǒng)一的安全事件集中監(jiān)控，無(wú)法按照行業(yè)類(lèi)型、地域類(lèi)型進(jìn)行分級(jí)分層管理，無(wú)法統(tǒng)一配置下發(fā)安全策略。當(dāng)威脅網(wǎng)絡(luò)安全的事件發(fā)生后，很難追蹤黑客攻擊行為的記錄，沒(méi)有對(duì)企業(yè)網(wǎng)絡(luò)的全面控制與嚴(yán)格審查。

2 企業(yè)網(wǎng)安全設(shè)計(jì)目標(biāo)與基本原則

根據(jù)防范安全事件發(fā)生的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素，依據(jù)等級(jí)化保護(hù)標(biāo)準(zhǔn)及參照SSE-CMM（“系統(tǒng)安全工程能力成熟模型”）和ISO17799（信息安全管理標(biāo)準(zhǔn)）等國(guó)際標(biāo)準(zhǔn)，綜合考慮企業(yè)網(wǎng)絡(luò)信息安全的可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，其安全體系在整體設(shè)計(jì)過(guò)程中將遵循以下四項(xiàng)原則：

2.1 等級(jí)化保護(hù)原則

等級(jí)化保護(hù)原則是指根據(jù)實(shí)際需求對(duì)保護(hù)對(duì)象劃分不同的安全保護(hù)區(qū)域進(jìn)行適度防護(hù)。建設(shè)企業(yè)網(wǎng)絡(luò)須按照國(guó)家等級(jí)化保護(hù)標(biāo)準(zhǔn)和實(shí)際的業(yè)務(wù)來(lái)分為不同等級(jí)，包括對(duì)信息保密程度分級(jí)，對(duì)用戶(hù)操作權(quán)限分級(jí)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)（安全子網(wǎng)和安全區(qū)域），對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可選的安全算法和安全體制，以滿(mǎn)足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。

2.2 主動(dòng)防御原則

安全源于未雨綢繆，主動(dòng)防御原則是指在安全事件發(fā)生之前做好充分的防護(hù)。這不能僅僅依賴(lài)單一的工具型產(chǎn)品或者技術(shù)能夠完成，而是需要一個(gè)較為全面的防護(hù)體系，進(jìn)行縱深防御，在這個(gè)體系中包含著一系列的主動(dòng)安全防護(hù)技術(shù)、安全管理策略和安全管理制度。對(duì)于企業(yè)網(wǎng)絡(luò)，需要將安全技術(shù)、策略、人以及服務(wù)整合起來(lái)，建立或重整一套安全管理的流程，滿(mǎn)足企業(yè)網(wǎng)絡(luò)的安全需求。

2.3 有效聯(lián)動(dòng)原則

安全體系是一個(gè)有機(jī)的整體，各個(gè)組成部分需要有效聯(lián)動(dòng)才能發(fā)揮最大作用。進(jìn)行企業(yè)網(wǎng)絡(luò)設(shè)計(jì)時(shí)，可以通過(guò)選擇優(yōu)秀的產(chǎn)品、優(yōu)秀的服務(wù)構(gòu)建一個(gè)解決方案，但如果各個(gè)產(chǎn)品、各個(gè)服務(wù)等各環(huán)節(jié)之間相互孤立，則各個(gè)產(chǎn)品、服務(wù)環(huán)節(jié)的安全策略相對(duì)孤立，無(wú)法形成整體的安全策略；這樣勢(shì)必形成安全漏洞，給入侵者可乘之機(jī)。網(wǎng)絡(luò)安全是動(dòng)態(tài)的。如果各個(gè)優(yōu)秀的產(chǎn)品、服務(wù)等各環(huán)節(jié)之間是孤立的，則無(wú)法全面了解網(wǎng)絡(luò)的整體安全狀況，當(dāng)然也無(wú)法根據(jù)網(wǎng)絡(luò)和應(yīng)用情況動(dòng)態(tài)調(diào)整安全策略。因此，企業(yè)網(wǎng)絡(luò)需要統(tǒng)一動(dòng)態(tài)的安全策略，更需要從聯(lián)動(dòng)的高效的角度考慮整體的安全解決方案。

2.4 綜合管理原則

為了有效保障企業(yè)網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，必須建立一個(gè)全網(wǎng)的安全監(jiān)控體系，對(duì)全網(wǎng)部署的安全產(chǎn)品、主機(jī)服務(wù)器進(jìn)行綜合管理。將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過(guò)濾、收集和關(guān)聯(lián)分析，得出全局角度的安全風(fēng)險(xiǎn)事件，并形成統(tǒng)一的安全決策對(duì)安全事件進(jìn)行響應(yīng)和處理。通過(guò)綜合管理，能夠提供宏觀層面的輔助決策、中觀層面的體系建設(shè)以及微觀層面的系統(tǒng)設(shè)備監(jiān)控管理。項(xiàng)目必將涉及到數(shù)量眾多的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和操作系統(tǒng)主機(jī)。上述眾多設(shè)備的管理和維護(hù)工作將十分浩大，因此必須從建設(shè)之初即考慮進(jìn)行綜合管理，將全部設(shè)備及應(yīng)用的授權(quán)、認(rèn)證、鑒權(quán)、審計(jì)、日志、性能監(jiān)控等進(jìn)行統(tǒng)一考慮。

3 結(jié)束語(yǔ)

本文首先敘述了實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)組建和安全設(shè)計(jì)的指導(dǎo)思想，提出以體系標(biāo)準(zhǔn)作為創(chuàng)建企業(yè)網(wǎng)建設(shè)的基本依據(jù)，實(shí)現(xiàn)整個(gè)企業(yè)網(wǎng)運(yùn)行和使用的平穩(wěn)、安全和可靠。并要求滿(mǎn)足各項(xiàng)標(biāo)準(zhǔn)能夠無(wú)差別地加入到標(biāo)準(zhǔn)集合中。另外強(qiáng)調(diào)設(shè)計(jì)需要采用最新制定的國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)，而且要求標(biāo)準(zhǔn)體系的構(gòu)建和具體標(biāo)準(zhǔn)內(nèi)容的設(shè)置要緊密聯(lián)系建設(shè)和發(fā)展的要求，使其能夠網(wǎng)絡(luò)組建技術(shù)和網(wǎng)絡(luò)安全技術(shù)的發(fā)展變化得以順利升級(jí)。

[1]楊國(guó)華.淺談銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范[J].遼寧工學(xué)院學(xué)報(bào)，2013.

[2]朱為民.防病毒安全管理平臺(tái)中病毒風(fēng)險(xiǎn)系統(tǒng)的研究[D].東南大學(xué)，2013.

[3]肖革新，馬家奇.數(shù)據(jù)中心存儲(chǔ)系統(tǒng)設(shè)計(jì)思路與實(shí)踐探討[J].信息系統(tǒng)工程，2006.

[4]田野，謝永忠.公安信息網(wǎng)絡(luò)系統(tǒng)安全分析與管理策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004.

[5]李弋.B/S和C/S結(jié)構(gòu)優(yōu)劣分析--從中央電視臺(tái)廣告管理系統(tǒng)的開(kāi)發(fā)談起[J].廣播與電視技術(shù)，2005.