呂發(fā)智

（玉溪市公安局，云南 玉溪　653100）

0　引言

互聯(lián)網(wǎng)的快速發(fā)展，促進(jìn)了企業(yè)單位的信息化建設(shè)，互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò)建設(shè)在大大提高了企業(yè)的生產(chǎn)力和工作效率的同時(shí)，也給企業(yè)帶來(lái)巨大的效益[1-3]。然而，伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各類(lèi)黑客行為和網(wǎng)絡(luò)攻擊技術(shù)給企業(yè)的持續(xù)、快速、健康、安全發(fā)展帶來(lái)困擾。近年來(lái)，大量企業(yè)的網(wǎng)絡(luò)安全問(wèn)題披露出來(lái)，觸目驚心，如七天、如家等酒店的開(kāi)房信息被泄露，給酒店帶來(lái)了負(fù)面效益的同時(shí)，也給民眾對(duì)私人信息的外漏帶來(lái)惶恐；卡巴斯基總部被黑客入侵，國(guó)家機(jī)密面臨泄漏的威脅；索尼官網(wǎng)被黑導(dǎo)致用戶(hù)信息泄露等，這些網(wǎng)絡(luò)安全問(wèn)題足以引起全社會(huì)的關(guān)注，也充分說(shuō)明：網(wǎng)絡(luò)安全是企業(yè)發(fā)展建設(shè)的重要內(nèi)容，也是一項(xiàng)亟待解決的重要工程。

1　企業(yè)的網(wǎng)絡(luò)情況分析

企業(yè)網(wǎng)絡(luò)因?yàn)槠髽I(yè)規(guī)模大小、行業(yè)差異、運(yùn)營(yíng)方式以及治理方式等的不同導(dǎo)致有著不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)[4-5].目前主要分為兩種,一種是集中型[6]，這種類(lèi)型的企業(yè)網(wǎng)絡(luò)一般在總部設(shè)立完善的網(wǎng)絡(luò)布局，通常是采取專(zhuān)線接入、ADSL接入或多條線路接入等網(wǎng)絡(luò)接入方式，一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺(tái)不等。在網(wǎng)絡(luò)中劃分若干子網(wǎng)，并部署與核心業(yè)務(wù)相關(guān)的服務(wù)器，如數(shù)據(jù)庫(kù)、郵件服務(wù)器、文檔資料庫(kù)、甚至ERP服務(wù)器。另外一種是分散型，這種類(lèi)型的企業(yè)網(wǎng)絡(luò)是采取多分支機(jī)構(gòu)辦公及移動(dòng)辦公方式，各分支機(jī)構(gòu)均勻網(wǎng)絡(luò)部署，數(shù)量不多。大的分支采取專(zhuān)線接入，一般采取ADSL接入方式，主要是通過(guò)訪問(wèn)公司主機(jī)設(shè)備及資料庫(kù)通過(guò)郵件或內(nèi)部進(jìn)行業(yè)務(wù)溝通交流。圖1所示為分散型和集中型的綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖。

2　常見(jiàn)的企業(yè)安全問(wèn)題

如上所述，企業(yè)網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重，網(wǎng)絡(luò)安全架構(gòu)也面臨著多方面的威脅。綜合分析主要問(wèn)題有以下幾個(gè)：

2.1　外網(wǎng)安全問(wèn)題

外網(wǎng)安全問(wèn)題是最常見(jiàn)的問(wèn)題，主要有：非法接入、外網(wǎng)入侵、黑客攻擊、病毒傳播、漏洞利用、僵尸木馬，蠕蟲(chóng)入侵等問(wèn)題[7-8]，這些已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全最為廣泛的威脅。其中蠕蟲(chóng)入侵是黑客們最常利用的入侵工具，這種病毒傳播速度快，一旦網(wǎng)絡(luò)系統(tǒng)遭到蠕蟲(chóng)侵襲，不僅會(huì)造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，網(wǎng)絡(luò)擁塞，同時(shí)也會(huì)對(duì)核心敏感數(shù)據(jù)造成威脅，導(dǎo)致業(yè)務(wù)和敏感數(shù)據(jù)受到威脅。

2.2　內(nèi)網(wǎng)安全問(wèn)題

內(nèi)網(wǎng)問(wèn)題是目前企業(yè)內(nèi)部網(wǎng)絡(luò)最主要的安全問(wèn)題，主要包括：帶寬和各種應(yīng)用的濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制問(wèn)題、病毒蠕蟲(chóng)擴(kuò)散、信息泄露等。

圖1　綜合型企業(yè)網(wǎng)絡(luò)架構(gòu)簡(jiǎn)圖Fig.1　Comprehensive enterprise network architecture diagram

2.3　網(wǎng)絡(luò)連接問(wèn)題

網(wǎng)絡(luò)連接問(wèn)題主要指內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接問(wèn)題，如企業(yè)總部、各地分支機(jī)構(gòu)、第三方合作伙伴、辦公人員之間的網(wǎng)絡(luò)連接，這些既要保障信息的及時(shí)共享，又要防止機(jī)密信息泄露。對(duì)于不同的接入方其所擁有的權(quán)限，既要滿(mǎn)足企業(yè)的正常業(yè)務(wù)需求，又不能超越其網(wǎng)絡(luò)權(quán)限，避免越權(quán)訪問(wèn)和敏感信息泄露。

2.4　運(yùn)維管理安全

共享賬號(hào)安全隱患，設(shè)備繁多控制策略復(fù)雜，操作無(wú)法監(jiān)管，內(nèi)部操作不透明，外部操作不可控，沒(méi)有統(tǒng)一的身份管理平臺(tái)，頻繁切換應(yīng)用程序登陸等問(wèn)題困擾著企業(yè)網(wǎng)絡(luò)的安全運(yùn)維管理。

3　企業(yè)網(wǎng)絡(luò)安全問(wèn)題解決方案

針對(duì)上述網(wǎng)絡(luò)安全問(wèn)題，提出如圖2所示網(wǎng)絡(luò)安全規(guī)劃圖，該安全系統(tǒng)主要有以下幾個(gè)部分構(gòu)成：

防火墻系統(tǒng)：采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)，對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過(guò)單獨(dú)的防火墻設(shè)備進(jìn)行保護(hù)。

入侵檢測(cè)系統(tǒng)：采用入侵檢測(cè)設(shè)備，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)。

網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)：對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過(guò)濾網(wǎng)頁(yè)訪問(wèn)，過(guò)濾郵件，限制上網(wǎng)聊天行為，組織非正當(dāng)文件的下載行為。

圖2　網(wǎng)絡(luò)安全規(guī)劃圖Fig.2　Network security planning

病毒防護(hù)系統(tǒng)：強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和治理策略，增強(qiáng)病毒防護(hù)有效性。

垃圾郵件過(guò)濾系統(tǒng)：過(guò)濾郵件，組織垃圾郵件和病毒郵件的入侵。

移動(dòng)用戶(hù)治理系統(tǒng)：對(duì)接入內(nèi)部網(wǎng)移動(dòng)設(shè)備進(jìn)行安全控制，確保接入設(shè)備的安全性，有效防止病毒或黑客程序攻擊內(nèi)網(wǎng)。

具體應(yīng)對(duì)策略分為以下幾點(diǎn)：

3.1　做好網(wǎng)絡(luò)數(shù)據(jù)的安全隔離

當(dāng)網(wǎng)絡(luò)系統(tǒng)遭到外部攻擊時(shí)，網(wǎng)絡(luò)運(yùn)維部門(mén)應(yīng)該及時(shí)對(duì)數(shù)據(jù)中心的服務(wù)器操作系統(tǒng)進(jìn)行漏洞修補(bǔ)，操作系統(tǒng)應(yīng)遵循最小化安裝的原則，關(guān)閉防火墻上的非必須端口，合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)采用VPN 技術(shù)，對(duì)重要數(shù)據(jù)進(jìn)行內(nèi)網(wǎng)和外網(wǎng)隔離[9-11]。對(duì)于較難發(fā)現(xiàn)的 Web 應(yīng)用漏洞要引入第三方評(píng)測(cè)機(jī)構(gòu)，納入企業(yè)的信息等級(jí)保護(hù)并到公安機(jī)關(guān)備案，提高黑客入侵的難度和入侵成本。

3.2　加強(qiáng)數(shù)據(jù)的訪問(wèn)控制

數(shù)據(jù)訪問(wèn)控制是指系統(tǒng)對(duì)用戶(hù)身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段[12]，簡(jiǎn)而言之就是保證合法用戶(hù)訪問(wèn)受權(quán)保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)資源，防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)資源。事實(shí)上系統(tǒng)中用戶(hù)的密碼設(shè)置簡(jiǎn)單、安全性能低是導(dǎo)致信息泄露的一個(gè)重要原因。建議在數(shù)據(jù)訪問(wèn)控制時(shí)采用動(dòng)態(tài)口令認(rèn)證的方式，并與用戶(hù)的手機(jī)短信進(jìn)行綁定發(fā)送，統(tǒng)一身份認(rèn)證平臺(tái)記錄所有用戶(hù)在某個(gè)時(shí)段內(nèi)的認(rèn)證結(jié)果，如果出現(xiàn)某一個(gè)用戶(hù)多次認(rèn)證失敗時(shí)，系統(tǒng)將對(duì)該用戶(hù)進(jìn)行鎖定，避免了被窮舉攻擊的可能[13]。

3.3　數(shù)據(jù)的加密存儲(chǔ)與加密傳輸

數(shù)據(jù)加密技術(shù)是一種主動(dòng)的安全防御策略，包括了數(shù)據(jù)存儲(chǔ)的加密和在數(shù)據(jù)傳輸過(guò)程中使用加密技術(shù)，數(shù)據(jù)加密的有點(diǎn)體現(xiàn)在能用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)[14]。主要的加密技術(shù)有對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密兩種。從加密技術(shù)應(yīng)用的邏輯位置看，有三種方式分別是鏈路加密，節(jié)點(diǎn)加密，端對(duì)端加密。不論哪種方式，在網(wǎng)絡(luò)傳輸和存儲(chǔ)中用密文代替明文，這樣即使發(fā)生入侵或信息泄露，黑客也要花費(fèi)較大的力氣去進(jìn)行數(shù)據(jù)解密。一旦攻擊和入侵的成本遠(yuǎn)遠(yuǎn)大于收益，它就會(huì)望而止步了。

3.4　網(wǎng)絡(luò)攻擊檢測(cè)

一些黑客通常會(huì)利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò)，并從中找到漏洞進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，對(duì)企業(yè)信息進(jìn)行盜取或更改。為避免惡意網(wǎng)絡(luò)攻擊企業(yè)可，以引進(jìn)入侵檢測(cè)系統(tǒng)并將其與控制網(wǎng)絡(luò)訪問(wèn)結(jié)合起來(lái)，對(duì)企業(yè)信息實(shí)行雙重保護(hù)[15]。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)將入侵檢測(cè)系統(tǒng)深入到企業(yè)內(nèi)部網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，尤其是重要部門(mén)的機(jī)密信息中需要重點(diǎn)監(jiān)護(hù)，利用防火墻技術(shù)實(shí)行企業(yè)網(wǎng)絡(luò)的第一道保護(hù)屏障，再配以檢測(cè)技術(shù)以及相關(guān)加密技術(shù)防火記錄用戶(hù)的身份信息，遇到無(wú)法識(shí)別的身份信息將數(shù)據(jù)傳輸給管理員。后續(xù)入侵檢測(cè)技術(shù)將徹底阻擋黑客攻擊，并對(duì)黑客身份信息進(jìn)行分析。即時(shí)黑客通過(guò)這些得到的也是經(jīng)過(guò)加密的數(shù)據(jù)，難以從中得到有效信息。通過(guò)這些網(wǎng)絡(luò)安全技術(shù)的配合，全方位消除來(lái)自網(wǎng)絡(luò)黑客的攻擊，保障企業(yè)網(wǎng)絡(luò)安全。

3.5　重要信息和數(shù)據(jù)的安全備份及網(wǎng)絡(luò)安全產(chǎn)品相關(guān)日志的保留

在當(dāng)前的網(wǎng)絡(luò)空間攻防過(guò)程中，國(guó)內(nèi)的網(wǎng)絡(luò)防御與國(guó)外的黑客組織在技術(shù)層面的較量中暫時(shí)處于弱勢(shì)，所以對(duì)于企業(yè)中的人事信息、商業(yè)機(jī)密、客戶(hù)資料、財(cái)務(wù)狀況等重要數(shù)據(jù)，要做到異地備份。這樣即便遭遇了類(lèi)似“勒索病毒”的感染，也可通過(guò)備份對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。特別需要注意的是《網(wǎng)絡(luò)安全法》中明確規(guī)定[11]：各類(lèi)防火墻、路由設(shè)備、服務(wù)器日志文件要保留 6 個(gè)月以上。一般來(lái)說(shuō)清晰完整的日志留存能保證在網(wǎng)絡(luò)遭到攻擊后，能迅速準(zhǔn)確的明晰黑客的攻擊手段，定位黑客的攻擊來(lái)源，避免事故的進(jìn)一步擴(kuò)大。

4　結(jié)論

隨著網(wǎng)絡(luò)時(shí)代的蓬勃發(fā)展，網(wǎng)絡(luò)技術(shù)將會(huì)在未來(lái)很長(zhǎng)一段時(shí)間內(nèi)在企業(yè)的運(yùn)轉(zhuǎn)中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡(luò)安全也將長(zhǎng)期伴隨企業(yè)經(jīng)營(yíng)管理，因此必須對(duì)企業(yè)網(wǎng)絡(luò)實(shí)行動(dòng)態(tài)管理，采取必要的網(wǎng)絡(luò)安全預(yù)防策略，保障網(wǎng)絡(luò)安全，為企業(yè)的健康快速發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境。