周大勇

摘 要 十八大以來習(xí)近平總書記就網(wǎng)絡(luò)安全和信息化工作作出一系列重大決策、提出一系列重大舉措，形成了網(wǎng)絡(luò)強國戰(zhàn)略思想，推動我國網(wǎng)絡(luò)安全和信息化事業(yè)取得歷史性成就，但中小型企業(yè)因資金、技術(shù)等原因面臨的網(wǎng)絡(luò)安全形勢依舊嚴(yán)峻，本文根據(jù)中小型企業(yè)現(xiàn)狀設(shè)計的安全加固方案已得到應(yīng)用，值得借鑒和推廣應(yīng)用。

關(guān)鍵詞 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 安全加固

中圖分類號：TP393 文獻標(biāo)識碼：A

0引言

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）95期互聯(lián)網(wǎng)威脅報告指出，2018年11月境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為84萬余個；境內(nèi)被篡改網(wǎng)站數(shù)量為1，357個，其中被篡改政府網(wǎng)站數(shù)量為68個；境內(nèi)被植入后門的網(wǎng)站數(shù)量為2，513個，其中政府網(wǎng)站有45個；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為6，469個； 國家信息安全漏洞共享平臺（CNVD）收集整理信息系統(tǒng)安全漏洞810個，其中，高危漏洞308個，可被利用來實施遠程攻擊的漏洞有700個。

中小企業(yè)因資金、技術(shù)以及安全意識等原因難以投入大量網(wǎng)絡(luò)安全設(shè)備用于企業(yè)網(wǎng)的安全應(yīng)用，這也進一步導(dǎo)致了相當(dāng)數(shù)量的中小企業(yè)內(nèi)部網(wǎng)絡(luò)在安全領(lǐng)域幾乎是“裸奔”，毫無安全防范能力。網(wǎng)絡(luò)安全法的全面施行以及相關(guān)法律責(zé)任的明確，確保網(wǎng)絡(luò)安全成了企業(yè)負責(zé)人必須承擔(dān)的法律責(zé)任。鑒于此，加固中小企業(yè)網(wǎng)絡(luò)安全是重要而緊迫的。

網(wǎng)絡(luò)安全保障體系包括技術(shù)要求和管理要求，管理要求因企業(yè)間存在較大的差異化，本文不予討論。技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全，本文著重討論網(wǎng)絡(luò)安全方面的安全加固方案，網(wǎng)絡(luò)是信息化建設(shè)和應(yīng)用基礎(chǔ)，應(yīng)是首要考慮的對象。

1常見中小企業(yè)網(wǎng)絡(luò)安全架構(gòu)及其安全風(fēng)險

1.1 網(wǎng)絡(luò)安全架構(gòu)

中小企業(yè)基于成本及網(wǎng)絡(luò)功能實現(xiàn)考慮，不會投入太多網(wǎng)絡(luò)安全設(shè)備。網(wǎng)絡(luò)拓撲設(shè)計中考慮安全防范一般會使用一臺防火墻代替作為網(wǎng)絡(luò)出口（一般不考慮路由器），常見網(wǎng)絡(luò)拓撲如下圖：

1.2主要安全風(fēng)險

網(wǎng)絡(luò)架構(gòu)中核心交換機與服務(wù)器區(qū)域之間沒有部署防火墻或其他網(wǎng)絡(luò)安全產(chǎn)品，未能有效實現(xiàn)對服務(wù)器進行相應(yīng)的訪問控制，無法對服務(wù)器進行有效的細粒度防護；

整個架構(gòu)中缺少對設(shè)備日志收集、監(jiān)控及保護的措施，不利于網(wǎng)絡(luò)管理人員對全網(wǎng)絡(luò)的監(jiān)管；

沒有實現(xiàn)對非法內(nèi)聯(lián)和外聯(lián)的檢查和保護措施，無法充分有效的保護到企業(yè)內(nèi)網(wǎng)安全；

邊界處部署有防火墻，可以對內(nèi)外網(wǎng)實現(xiàn)一定粗粒度的訪問控制，但還需增加IPS模塊或者部署IPS網(wǎng)絡(luò)安全設(shè)備；

邊界沒有網(wǎng)絡(luò)病毒檢測防范措施，無法對當(dāng)前猖獗的網(wǎng)絡(luò)病毒實現(xiàn)有效隔離；

核心設(shè)備和鏈路未能實現(xiàn)冗余，存在單點失效的可能和性能瓶頸。

2網(wǎng)絡(luò)安全加固方案

2.1加固方案及說明

任何網(wǎng)絡(luò)系統(tǒng)都不能做到絕對安全，在安全需求、安全風(fēng)險和安全成本之間平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復(fù)雜性。

網(wǎng)絡(luò)安全問題從來就不是單純的技術(shù)問題，僅僅通過部署安全產(chǎn)品任然很難完全覆蓋所有的安全問題，本文不討論管理要求，但管理措施也是及其重要的。

加固方案中將原有防火墻利舊用于辦公部門的網(wǎng)絡(luò)與核心區(qū)域邊界，在內(nèi)外網(wǎng)邊界處增加下一代防火墻；在服務(wù)器區(qū)域與核心區(qū)域增加WAF防火墻。加強網(wǎng)絡(luò)訪問控制，優(yōu)化防火墻配置，根據(jù)應(yīng)用訪問需求，制定詳細的訪問控制策略，對現(xiàn)有和新增的防火墻加強訪問控制粒度，控制到網(wǎng)段級，訪問控制范圍包括互聯(lián)網(wǎng)區(qū)域和服務(wù)器區(qū)域，同時可以通過防火墻的流量控制及連接數(shù)控制功能，限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。

組建核心交換區(qū)域災(zāi)備系統(tǒng)，實現(xiàn)雙機熱備和負載均衡。

2.2總體部署效果

通過加固方案的網(wǎng)絡(luò)安全部署，中小型企業(yè)網(wǎng)絡(luò)能夠具有抵御較大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力。

參考文獻

[1] 全國人民代表大會常務(wù)委員會.中華人民共和國網(wǎng)絡(luò)安全法[Z].2016-11-07.

[2] 關(guān)于信息系統(tǒng)等級保護安全建設(shè)整改工作的指導(dǎo)意見（公信安[2009]1429號）[Z].

[3] 楊楚華.校園網(wǎng)安全防御策略[J].軟件導(dǎo)刊，2012（03）.