企業(yè)網(wǎng)絡(luò)安全誤區(qū)及解決方法

■ 上海 范劭林

編者按：隨著企業(yè)對網(wǎng)絡(luò)安全的重視以及合規(guī)的要求，越來越多的企業(yè)加大了對網(wǎng)絡(luò)安全的投入力度，但投入未必能換來安全，很多企業(yè)對網(wǎng)絡(luò)安全并沒有全面而深入的了解，尚存在一定誤區(qū)。

很多企業(yè)在網(wǎng)絡(luò)安全建設(shè)中，對網(wǎng)絡(luò)安全防護體系的搭建和對政策的理解有一些常見的誤區(qū)。筆者將根據(jù)自身的測評經(jīng)歷與項目經(jīng)驗，對測評過程中的網(wǎng)絡(luò)安全層面出現(xiàn)的常見問題進行匯總并給出一些解決方案，希望能有助于企業(yè)更健全搭建網(wǎng)絡(luò)安全體系，并對網(wǎng)絡(luò)安全有更多的了解。

高投入不等于絕對安全

筆者在實際測評過程中也聽到過網(wǎng)絡(luò)負責人的詢問，我們公司今年為了這個系統(tǒng)購買了幾十萬的安全設(shè)備，這個系統(tǒng)應(yīng)該很安全吧？在很多時候，企業(yè)在購買安全防護設(shè)備，例如防火墻、網(wǎng)絡(luò)應(yīng)用防護設(shè)備、態(tài)勢感知、審計設(shè)備等硬件設(shè)備，往往是投入重金進行購置。

對于網(wǎng)絡(luò)安全防護來說，工欲善其事，必先利其器，這個道理大家都很清楚，但是網(wǎng)絡(luò)安全真的只是一些安全工具，再派幾個負責人去監(jiān)測設(shè)備的工作情況就好了么？

其實不是的，設(shè)備的投入只是安全防護的第一步，正如等保測評中要求的所有設(shè)備日志需要定期進行報表制作并分析一樣，有很多企業(yè)忽視了這個工作的重要性，隨著幾個月安全事件不發(fā)生，就降低了要求，放松了警惕，把前幾次的月報或者周報改改日期繼續(xù)上交，結(jié)論一直都是安全，而等到安全事故發(fā)生后，再重新檢查的時候，甚至出現(xiàn)設(shè)備密碼太久沒登錄都忘記了。等找到了密碼登錄之后，才發(fā)現(xiàn)早在兩個月前，日志中就已經(jīng)看到了異常情況。

這個案例就是今年實際發(fā)生的安全事故，也希望大家以此為戒。

所以，絕對安全是不存在的，只有相對安全，更為重要的是，安全責任人對網(wǎng)絡(luò)安全保持警惕，保持對網(wǎng)絡(luò)環(huán)境保持實時的關(guān)注，并根據(jù)已爆發(fā)的安全事件為例對現(xiàn)有的網(wǎng)絡(luò)環(huán)境進行不斷加固，這樣才至少保證相對安全。

合理的邊界安全搭建

越來越多的企業(yè)在網(wǎng)絡(luò)邊界處會建立防火墻和DMZ區(qū)域來保證邊界的安全性，但筆者在檢查過程中，發(fā)現(xiàn)過一些很不合理的情況，在這里把常見的幾個情況在這里做一下匯總。

1.VPN的不合理配置

VPN在企業(yè)網(wǎng)絡(luò)中也是個常見的配置，用于對公司內(nèi)移動辦公的用戶提供接入。一般來說可以在防火墻上進行配置，但也有企業(yè)購買了獨立的VPN設(shè)備，這時VPN在網(wǎng)絡(luò)中的位置就很重要了。

有一些企業(yè)把VPN放置在了邊界防火墻內(nèi)，直接互通服務(wù)器區(qū)域，這種情況是很危險且被允許的。

同樣還有一種情況，就是遠程操作員在遠程使用中不使用默認網(wǎng)關(guān)。簡單來說，就是在連接內(nèi)網(wǎng)的同時還可以訪問互聯(lián)網(wǎng)，這種情況也是不被允許的。

但其實很多企業(yè)對該類情況疏于防范，解決的方法也很簡單，強制要求使用默認網(wǎng)關(guān)即可。

2.防火墻策略不合理

策略不合理這個問題很常見，基本在每次測評中都能發(fā)現(xiàn)，比如有一些例子是未及時關(guān)閉的臨時策略，也有一些是過期策略，并未及時進行更新。特別是進行過管理人員更換的企業(yè)，這種情況就更常見了，有很多策略未加描述并開放了所有的端口。

在這里筆者建議全管理員根據(jù)最小化原則，僅開放對外需要的應(yīng)用端口如80或者8080等，在策略新建的時候，加上描述性的備注，定期對防火墻上的策略進行檢查，對流量較小的策略和臨時策略進行重點排查，一定要盡快禁用。

3.DMZ區(qū)域的外網(wǎng)互通策略

DMZ(Demilitarized Zone)是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。很多企業(yè)在網(wǎng)絡(luò)構(gòu)建的時候都往這個小網(wǎng)絡(luò)區(qū)域內(nèi)放置一些如企業(yè)Web服務(wù)器、論壇等。

另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)。但是如果在DMZ區(qū)域放置的是一些文件傳輸?shù)腇TP服務(wù)器，這里不推薦其全天與外網(wǎng)保持互通狀態(tài)，推薦設(shè)置在一定的時間段進行傳輸，其余時間保持斷開的狀態(tài)。

其實在這里筆者還想說明一個情況，邊界防護中涉及到政務(wù)網(wǎng)和互聯(lián)網(wǎng)的話，邊界是不可以使用防火墻的，根據(jù)《國家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求和實施指南》（GW0205-2014）中的要求，跨網(wǎng)數(shù)據(jù)交換必須使用網(wǎng)閘，這一點也請注意。因為筆者在測評工作中也遇到過用防火墻連接的違規(guī)行為，這些情況都是需要整改的。

所以也建議安全管理員在設(shè)計之初考慮到這一點，以免給后期的網(wǎng)絡(luò)安全體系建設(shè)帶來不便。

不同系統(tǒng)之間的訪問控制隔離

在很多時候，企業(yè)覺得所有系統(tǒng)都放在服務(wù)器區(qū)域中被保護，一直加強外部對內(nèi)部的訪問控制策略，這樣就高枕無憂了么？

其實并非如此，來自內(nèi)部破壞的防護也同樣重要，雖然都在一個服務(wù)器區(qū)域，但也是需要系統(tǒng)根據(jù)服務(wù)器的類型及重要性程度來劃分VLAN，并按照應(yīng)用需求最小化原則來進行VLAN間的訪問控制設(shè)置。如果出現(xiàn)一臺服務(wù)器被惡意攻擊并被感染，而在沒有訪問控制策略的控制下，有可能會影響到其他系統(tǒng)的服務(wù)器的正常運作，這樣存在交叉感染的風險。

特別在這里要補充的是，如果企業(yè)對內(nèi)部區(qū)域的訪問控制不嚴謹，VPN或者堡壘機的訪問權(quán)限未進行控制，將造成非授權(quán)登錄的情況發(fā)生，這種情況將對企業(yè)的數(shù)據(jù)安全，特別是敏感數(shù)據(jù)造成嚴重威脅。

正如2018年上半年發(fā)生的多起安全事件，內(nèi)網(wǎng)大規(guī)模爆發(fā)的勒索病毒感染，就是個警鐘。在這里建議安全管理員對內(nèi)網(wǎng)的不同系統(tǒng)之間設(shè)置訪問控制策略，將不同系統(tǒng)之間進行隔離，并嚴格控制管理員的訪問控制權(quán)限。

安全管理中心的建立和完善

對于安全管理中心的建立與完善是很重要的，在多次的測評過程中都出現(xiàn)沒有安全管理中心而造成的系統(tǒng)管理透明和不可管控性的問題。因此，筆者建議安全管理中心至少包含以下兩方面：

統(tǒng)一日志審計，系統(tǒng)所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全日志的統(tǒng)一監(jiān)控；安全日志的統(tǒng)一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等。

目前很多企業(yè)在網(wǎng)絡(luò)的搭建都是逐步實現(xiàn)的，節(jié)點處往往都部署了許多安全產(chǎn)品，并每年或者幾年為周期進行更新。

從安全管理員的角度來說，就是在一個統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡(luò)中每個安全產(chǎn)品的運行情況，并對其產(chǎn)生的日志和報警信息進行統(tǒng)一分析和匯總，從而解決網(wǎng)絡(luò)安全管理中的透明性問題和可管控問題。

統(tǒng)一安全管理，系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全配置文件的集中管理，實現(xiàn)各網(wǎng)絡(luò)產(chǎn)品配置文件和安全產(chǎn)品安全策略的統(tǒng)一分發(fā)，修正和更新；配置文件的統(tǒng)一在（離）線管理，定期進行采集和審核，對安全產(chǎn)品的各種屬性和安全策略進行集中的存儲、查詢；定期更新端口信息，特別對于新添設(shè)備和離線設(shè)備的信息進行標識處理。

不過從目前國內(nèi)的情況來說，對安全設(shè)備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎(chǔ)之上，各不同廠商的網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品進行統(tǒng)一安全管理的難度較大，統(tǒng)一監(jiān)控更是難以實現(xiàn)，最好的方法還是都選擇同一個安全廠商提供，這就要求安全管理員在系統(tǒng)設(shè)計之初進行提前規(guī)劃。

結(jié)語

隨著等級保護2.0時代的即將到來，等級保護工作的側(cè)重點將發(fā)生一些細微的改變，新的標準也將會比以前更加嚴格和全面。在這里也希望網(wǎng)絡(luò)安全工作者能及時調(diào)整工作重點，以新的標準為基礎(chǔ)，繼續(xù)加固已有的網(wǎng)絡(luò)環(huán)境。