企業(yè)網絡安全解決方案的研究

郝目舉

【摘要】當今企業(yè)信息網絡面臨病毒泛濫、黑客入侵、惡意軟件、信息失控等復雜的應用環(huán)境，如何制定相應的防范措施，保護企業(yè)關鍵數據和企業(yè)信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞是近些年信息網絡安全重要研究方向。本文作者根據近些年信息網絡安全工作經驗及對該領域的不斷探索、研究，闡述當下企業(yè)面臨的一些網絡安全問題，并根據發(fā)現的問題提出解決方案。

【關鍵詞】企業(yè)網絡安全;安全風險;安全防護

中圖分類號：TN92? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ?DOI：10.12246/j.issn.1673-0348.2021.013..027

1. 目前企業(yè)面臨的網絡安全威脅

1.1 黑客攻擊無孔不入，網絡缺乏有效的安全手段

由于業(yè)務需要，企業(yè)辦公網絡、業(yè)務或辦公數據需要在互聯網上傳輸，而網絡設備、主機系統都存在不同程度的安全漏洞，攻擊者可以利用存在的漏洞進行破壞，這可能引起數據破壞、業(yè)務中斷甚至系統宕機，嚴重影響企業(yè)網絡的正常運行。

1.2 補丁升級與病毒庫更新不及時

由于網絡內各種平臺的主機和設備存在安全漏洞，并沒有及時修補最新的安全補丁，或主機和設備的軟件配置存在安全隱患，殺毒軟件的病毒特征庫沒有及時得到更新，給惡意的入侵者提供了可乘之機，使病毒和蠕蟲的泛濫成為隱患。

1.3 攻擊方法日新月異，終端安全令人堪憂

企業(yè)網絡內已經被攻破的內網主機中可能被植入木馬或者其它惡意的程序，成為攻擊者手中所控制的“肉雞”，攻擊者可能以此作為跳板進一步攻擊內網其它機器，竊取企業(yè)機密，或者將其作為DDOS工具向外發(fā)送大量的數據包，占用大量網絡帶寬。

1.4 網絡應用缺乏監(jiān)控，工作效率無法提高

上網聊天、網絡游戲等行為嚴重影響工作效率，例如使用即時通訊工具來傳播病毒，已經成為新病毒傳播的流行趨勢，使用P2P工具瘋狂下載電影、游戲、軟件等大型文件，造成帶寬無法滿足關鍵業(yè)務應用系統的需求。員工通過電子郵件、即時通訊、網站論壇對外發(fā)送敏感信息，造成企業(yè)機密信息泄露。

1.5 公司要遵守相關法律法規(guī)及政策，合規(guī)要求越來越重要

員工使用企業(yè)網絡訪問非法網站、傳播非法信息，會違反國家相關規(guī)定;員工訪問企業(yè)業(yè)務系統，缺乏后期追究責任的手段，無法滿足相關法律法規(guī)的合規(guī)要求。隨著網絡安全法的實施，對企業(yè)網絡安全及等級保護要求提升到了一定高度。

1.6 非法外聯難以控制、內部重要機密信息泄露頻繁發(fā)生

員工通過VPN、移動通信技術、公眾WIFI熱點等方式繞過防火墻的監(jiān)控直接連接外網，向外部敞開了大門，使得企業(yè)內網的IT資源暴露在外部攻擊者面前，攻擊者可以通過非法外聯線路線路進入企業(yè)內網;另外，內部員工可能通過這種不受監(jiān)控的網絡通道將企業(yè)的商業(yè)機密泄露出去，給企業(yè)帶來經濟損失且不易取證。

1.7 缺乏外設技術管理手段，數據泄密、病毒傳播無法控制

外設是數據交換的一個主要途徑，由于使用的方便性，已成為數據泄密、病毒感染的出入口。通過封貼端口、制度要求等方式無法靈活對外設進行管理，特別是對USB接口的管理，所以必須通過其它技術手段解決存在的問題。

1.8 安全設備眾多，管理方式多樣，管理員運維負擔重

隨著企業(yè)IT建設的發(fā)展，企業(yè)部署的安全產品也越來越多，不同產品有自己的管理方式，各類產品之間缺乏互操作性，很難做到協同調度、統一管理，從而也無法保證整個企業(yè)網絡安全策略上的完整性和行為上的一致性。這種局面不僅加重網絡管理人員的負擔，勢必也大大增加整個網絡的維護費用。

2. 企業(yè)網絡安全風險及解決方案

2.1 網絡邊界安全

2.1.1 網絡邊界收縮

由于互聯網的開放性，給企業(yè)帶來了巨大的使用危險性、復雜性和混亂性。用戶在訪問互聯網信息時，很有可能受到網絡上的木馬、病毒的攻擊，從而造成信息安全事故。因此網絡邊界收縮，建設統一的互聯網與廣域網出口，集中建設出口安全防御體系將大大提高網絡安全防御效率。

2.1.2 下一代防火墻之入侵防御系統

入侵防御系統功能作為下一代防火墻的功能模塊嵌入，采用串聯的方式在邊界接入區(qū)進行部署，對網絡上的各種攻擊進行實時阻斷。入侵防御系統可應對多種特征的攻擊，能夠檢測常見的病毒、蠕蟲、后門、木馬、僵尸網絡攻擊以及緩沖區(qū)溢出攻擊和漏洞攻擊;封堵主流的高級逃逸攻擊;檢測和防御主流的異常流量，含各類Flood攻擊;提供用戶自定義攻擊特征碼功能，可指定網絡層到應用層的對比內容;提供虛擬補丁功能，讓沒有及時修補漏洞的客戶，能夠保障網絡安全正常運行。

2.1.3 上網行為管理系統

上網行為管理系統是具備強大的用戶認證、應用控制、網頁過濾、外發(fā)審計、帶寬管理等功能，可對內部的員工上網行為進行全方位的管理和實名制審計，起到保護Web訪問安全、提升工作效率、避免企業(yè)機密信息泄露及法律風險、保障企業(yè)核心業(yè)務帶寬等作用，幫助企業(yè)有效降低企業(yè)互聯網使用風險。

2.2 業(yè)務區(qū)安全防護

2.2.1 WEB應用安全

為了解決網絡層安全產品（如網絡防火墻、入侵防御系統）等難以應對的Web應用層深度防御的問題，通過部署WAF可以有效的緩解網站及Web應用系統面臨的常見威脅，快速地應對惡意攻擊者對Web業(yè)務帶來的沖擊，對網站進行有效的安全加固。

部署web應用防火墻，通過Web應用防火墻的部署，可以有效檢測和防御各種初級、高級及偽裝變種的Web攻擊行為，檢測的攻擊行為有SQL注入、跨站攻擊、命令注入、協議違規(guī)、Webshell、非法掃描、非法爬蟲、智能機器人、網頁篡改、暴力破解、數據泄露、應用層DDOS、0day漏洞等各種攻擊行為。通過語義分析技術有效識別SQL注入、XSS攻擊，結合特征攻擊引擎雙重判斷機制，提供更加準確的SQL注入、XSS攻擊防護能力。通過機器學習形成正常和異常訪問基線，采用智能評分機制判定高度可疑的攻擊行為，并進行有效防護。

縱深業(yè)務安全防護，通過訪問控制實現IP黑白名單的控制;可完整識別HTTP協議框架，對Web攻擊行為進行阻斷，靈活定制各種復雜Web防護特定策略;有效應對商業(yè)爬蟲對商業(yè)數據的抓取;有效應對同行發(fā)起的惡意預定、搶購;有效應對應用層CC攻擊對業(yè)務的沖擊;敏感信息檢測引擎，檢測服務器返回的信息，有效識別身份證號、手機號等敏感信息。

2.2.2 數據庫安全風險分析

隨著企業(yè)的核心業(yè)務信息系統不斷的網絡化，隨之而來的就是面臨的信息安全風險日益增加。而這些安全風險中，來自內部的違規(guī)操作和信息泄露最為突出。由于企業(yè)的核心業(yè)務系統沒有進行訪問控制和安全審計，內部用戶可以方便地利用內部網絡通過各種通訊協議進行刺探，獲取、刪除或者篡改重要的數據和信息。同時，一些內部授權用戶由于對系統不熟悉而導致的誤操作也時常給業(yè)務系統造成難以恢復的損失。

根據應用安全風險及需求分析，結合目前網絡現有防護手段，可部署數據庫審計系統。通過部署數據庫審計系統能夠實現所有對數據庫進行訪問的行為進行全面的記錄，以及包括對數據庫操作的：“增、刪、改、查等”全方位細粒度的審計。同時支持過程及行為回放功能，能夠還原并回放所有對數據庫的操作行為，包括：“訪問的表、字段、返回信息、操作等”。從而使安全問題得到追溯，提供有據可查的功能和相關能力。

2.2.3 業(yè)務區(qū)蜜網系統

在業(yè)務系統區(qū)域部署蜜罐系統，通過“偽裝技術”對運行網絡、主機、業(yè)務系統增加其隨機性，減少確定性、相似性、靜態(tài)性，從而增加攻擊者的攻擊難度與代價。同時對外部向內部的滲透攻擊行為進行捕獲，從而了解其攻擊手段和攻擊信息，對異常行為和攻擊行為進行攔截和處置。

蜜罐系統能夠保持原有網絡配置的完整性，并最小化操作管理，在內網中隱藏終端的真實IP地址，為終端分配虛擬IP地址，并使用戶正常網絡應用不受影響的情況下，實現網絡拓撲和終端的網絡身份高速隨機跳變，把網絡變成一個無法偵查和預測的迷宮，讓攻擊者搞不清網絡狀況，找不到攻擊目標，長時間的潛伏和信息收集也將毫無用處，大大提高攻擊者發(fā)現目標的難度，從而大大降低攻擊成功地概率。

3. 終端辦公安全風險分析

企業(yè)內每個使用計算機的人員，由于其分散性、不被重視、安全手段缺乏的特點，已經成為信息安全體系的薄弱環(huán)節(jié)。企業(yè)客戶端主機均采用基于Windows平臺的PC，存在較多的安全漏洞，除了本身極易受到病毒感染、黑客入侵和攻擊外，還很容易通過網絡應用（文件共享、電子郵件等）將安全風險迅速傳播到其他主機和終端上，最終導致整個信息系統性能下降甚至癱瘓

3.1 企業(yè)版終端安全軟件

統一管理終端的安全軟件，可解決企業(yè)對終端安全統一管理的需求，提供全網統一體檢、打補丁、殺病毒、開機加速、分發(fā)軟件、發(fā)送公告等功能，致力解決企事業(yè)單位用戶普遍的網絡安全問題，讓網絡終端安全管理變得很簡單。

3.2 統一流量分析

基于網絡流量數據，運用大數據分析和機器學習技術建立網絡異常行為檢測模型，進行非常規(guī)服務分析、登錄行為分析、郵件行為分析、數據行為分析等數種場景，實現對新型攻擊和內部違規(guī)的檢測和發(fā)現。該部分內容在大數據態(tài)勢感知詳述。

3.3 運維管理安全風險管理

3.3.1 運維風險管理

隨著信息化的大力普及，企業(yè)信息化內控建設方面存在一定的滯后性，信息化設備的運維方面存在眾多的安全隱患，如系統賬號濫用、弱密碼、越權訪問、權限管理混亂、運維過程不透明、誤操作、惡意數據泄露等眾多安全問題，運維的服務器普遍存儲著各種重要的業(yè)務數據，業(yè)務的穩(wěn)定安全運行至關重要，運維過程中一旦誤操作或者遭受惡意操作，沒有任何訪問控制和審計，將會導致事中無法管控、事后無法追溯調查取證，存在著極大的管理風險，隨著國家對網絡安全的重視，企業(yè)運維內控也變得日趨重要，如何管控內部各種運維人員的日常操作行為已經是信息化建設和管理必須重點考慮和解決的問題。

運維管理的核心任務是保證整個網絡、服務器、存儲等基礎設施和業(yè)務系統的正常安全運行，需要重點考慮邊界安全防護、數據庫審計、終端安全、運維審計、安全管理、運維管理等。部署堡壘機后可以實現所有運維人員、主機、安全設備、數據庫的集中管理。結合防火墻訪問控制等措施可以確保堡壘機是所有運維的唯一通道，確保所有運維人員的操作行為能夠完整審計和控制。

3.3.2 資產風險管理

面對網絡的復雜性和不斷變化的情況，依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，制定符合準能網絡應用的安全策略顯然是不現實的。因此，需要一種能掃描系統安全漏洞、Web應用安全漏洞、數據庫安全漏洞、系統基線安全配置，并提出修改建議的綜合安全評估系統。檢測現有網絡中的邊界設備（如路由器交換機）、網絡安全設備（防火墻、入侵檢測系統）、服務器（包括內部網絡系統的各種應用服務器）、主機、數據庫、門戶網站等進行掃描，預先查找出存在的漏洞，從而進行及時的修補，對網絡設備等存在的不安全配置重新進行安全配置。

部署遠程安全評估系統能夠全方位檢測IT系統存在的脆弱性，發(fā)現信息系統存在的安全漏洞、安全配置問題、應用系統安全漏洞，檢查系統存在的弱口令，收集系統不必要開放的賬號、服務、端口，形成整體安全風險報告，幫助安全管理人員先于攻擊者發(fā)現安全問題，及時進行修補。

4. 大數據態(tài)勢感知

隨著移動互聯網的發(fā)展，云、大數據、邊界計算、SDN、虛擬化等技術的應用，網絡邊界逐漸模糊，入網資產從單一到多元，不僅是傳統的服務器和PC機，現在多種移動終端、辦公終端、網絡攝像頭、智能家居也已接入企業(yè)網絡。入網人員從簡單到復雜，不只是企業(yè)辦公人員，為提升企業(yè)服務體驗，越來越多的臨時訪客和代維人員也能訪問到企業(yè)的業(yè)務系統。此時傳統的硬件安全產品只能針對單次攻擊的攔截已不足以保障企業(yè)網絡的安全。企業(yè)客戶面臨的更大安全問題是攻擊組織通過復雜隱蔽手段，以竊取數據為目的高級威脅。急需通過多源安全數據收集，綜合關聯分析和用戶畫像分析，發(fā)現網絡中的異常行為和數據泄露風險，聯動安全防護設備應急響應。

大數據態(tài)勢感知有3個組成部分，分別是大數據態(tài)勢感知平臺系統、綜合網絡流量探針、綜合日志審計探針。

4.1 部署綜合流量探針

綜合流量探針部署在辦公、4G網絡或視頻網絡區(qū)域，針對弱點探測、滲透入侵、獲取權限、命令與控制、數據盜取整個APT攻擊鏈中的攻擊行為都具備檢測能力。同時基于雙向流量的解析機制，實時發(fā)現由外到內和由內到外的網絡攻擊行為。

4.2 部署綜合日志審計探針

綜合日志審計探針作為信息系統的綜合性管理平臺，通過對客戶網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理，及時發(fā)現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確?？蛻魳I(yè)務的不間斷運營安全。

4.3 部署大數據態(tài)勢感知平臺

大數據態(tài)勢感知平臺集合三個探針的數據，通過大數據分析，預制大量的安全場景、用戶行為分析、深度感智能引擎、多維度態(tài)勢感知、威脅情報。海量的安全告警中，分析提煉出關鍵的事件、把人工不可能完成的工作任務輕松完成，對流量的深度檢測，即時發(fā)現惡意網絡行為，通過部署一個平臺行程對安全事件監(jiān)控、分析、溯源、處置、報告、使安全管理行程一個完整的閉環(huán)。

5. 小結

目前國家通過多個層面的活動來考驗關鍵基礎設施單位的安全防護水平，因此必須不斷提升整體安全防護能力，方可在各種網絡安全保障中從容應對，避免出現網絡安全問題。定期進行資產風險評估、滲透測試、專家研判、應急響應等服務，不斷提高安全攻擊和安全事件的實施監(jiān)測發(fā)現、快速應急響應、事件安全處置能力，通過持續(xù)的制度建設、人才建設、資金投入構建高效的安全防御體系。