企業網信息安全建設研究

◆胡 銳

（中車長春軌道客車股份有限公司 吉林 130000）

隨著互聯網的發展，企業網信息安全問題現在越來越突出了。企業網信息安全面臨的威脅概括而言，其中針對網絡安全的威脅主要有三種：

（1）人為的無意失誤。如管理員安全配置不當造成的安全漏洞對網絡安全帶來威脅。

（2）人為的惡意攻擊。包括以各種方式有選擇地破壞信息的有效性和完整性的主動攻擊和截獲、竊取、破譯以獲得重要機密信息的被動攻擊。手段包括密碼分析、身份假冒、拒絕服務、漏洞利用、惡意代碼、社會工程、數據竊聽、物理破壞。

（3）軟件的漏洞和“后門”。軟件的漏洞和缺陷以及軟件公司設計編程人員為了自便而設置的“后門”就是黑客進行攻擊的首選目標。

1 企業網信息安全需求

針對這些網絡安全的威脅。企業網的信息安全需求包括：

（1）解決網絡的邊界安全，因為它是外來攻擊的入口。

（2）要保證網絡內部的安全。

（3）要實現系統安全和數據安全。

（4）建立全網通行的身份識別系統，實現用戶的統一管理。

（5）在身份識別和資源統一管理的基礎之上，實現統一的授權管理，在用戶和資源之間進行嚴格的訪問控制。

（6）信息傳輸時實現數據完整性和保密性。

（7）建立一整套審計、記錄的機制，記錄網上發生的事情，再根據記錄進行事后的處理。

（8）把技術手段和行政手段融為一體，形成全局安全管理。

2 企業網信息安全建設分析

針對以上企業網信息安全需求，一種或幾種網絡安全技術是不能滿足企業安全需要的。因為企業網是一個層次結構，其安全也是一個層次結構。在網絡的不同層次，有不同的安全需求和不同的解決方案。網絡安全方案只有覆蓋多個層次，方案才是可靠、安全、沒有漏洞的。

同時，技術手段與管理手段也需要結合。對于企業網來說，管理的失敗是網絡安全體系失敗的非常重要的原因。最近報道的若干網絡入侵案件證明了這一點。網絡管理員升級網絡應用不及時造成的安全漏洞、隨意使用下載的軟件、脆弱的用戶口令等等這些管理落實上的問題是安全策略和網絡安全技術體系都不能解決的。

網絡安全概念中有一個"木桶"理論，網絡安全系統的強度取決于其中最為薄弱的一環。這是由攻擊和防守的特性決定的。相對于攻擊來說，防守的任務更為艱巨，任何一個節點、某個服務、某個軟件、某個用戶的脆弱口令等等都可能造成整個防御系統的失效。攻擊者只要找到一處，則攻擊往往就成功了多半。

因此，必須針對目前網絡所面臨的各種威脅，結合企業網絡安全的需求，在網絡的不同層次，采用不同的解決方案，并將它們結合起來綜合應用，才能構成企業網絡安全體系。

3 企業網信息安全建設要點

（1）遵照ISO 27001（信息安全管理體系要求）、公安部（等級保護、82號令）、保密局以及SOX法案等國際、國家標準和行業法規，對企業信息安全進行整體規劃。同時，進行信息安全體系架構設計，主要包括管理體系、技術體系和運維體系。

（2）識別關鍵業務領域保密信息、設計企業信息安全高壓線和關鍵業務領域保密信息的“保險柜”，保障企業信息資產安全。

（3）實施關鍵信息系統安全等級保護測評與整改，使核心信息化基礎資源和重要信息系統得到有效保護和較大改善。

（4）全面構建和完善信息安全管理體系，主要包含流程、規范、制度的一級、二級、三級文件等。

（5）全面構建和完善信息安全技術體系。

（6）全面構建和完善信息安全運維體系，主要包含安全測評、安全監測、安全審計、跟蹤報警等。特別是日常要利用監測技術手段對網絡攻擊進行監測、分析、預警和處置。

（7）構建信息安全風險度量體系，基于業務需求的變化調整管控措施，保證信息安全風險管控水平與業務需求同步，以促進業務效率與信息安全雙提升。

（8）按照PDCA（即計劃、實施、檢查、改進）的螺旋式上升過程持續優化信息安全體系，通過信息安全風險評估、滲透測試，識別出信息安全管理風險、技術風險，調整和強化信息安全管控措施，提高信息安全管控水平。

4 企業網信息安全技術體系建設方法

（1）客戶端計算機安全。對所有接入計算機部署網絡版防病毒軟件、終端安全軟件和加密軟件。對無線接入設備進行有效的管理，統一管控。對接入交換機啟用終端計算機接入統一身份認證系統。對用戶進行雙因子認證，防止密碼竊取。對重點終端計算機部署客戶端審計系統，實現客戶端重要信息資產的審計。

（2）內外網隔離，安裝網閘，進行內外網信息傳輸控制。

（3）企業網內根據信息資產的重要性和受控范圍，實行分區管理，采用防火墻進行隔離，特別是子企業、分企業。開放指定的、最小權限的應用，在滿足應用服務的前提條件下，關閉其他所有的服務及端口。

（4）對企業內外部網絡部署威脅感知系統來監控內外網的網絡流量情況并進行統計分析，進行內外網的定向攻擊、APT攻擊檢測與分析工作。利用大數據、威脅情報及可視化分析等多種先進技術，回溯攻擊過程、分析攻擊技術及其影響范圍，確定攻擊目的。

（5）部署漏洞掃描系統，對企業網絡、服務器、終端計算機進行漏洞檢測和分析，對漏洞所造成的威脅、風險進行評估、修復，使其風險控制在可控接受范圍之內。

（6）在服務器前部署堡壘機，用來監控系統管理員對服務器的日常維護記錄審計，發現攻擊或是非法侵入，并對此進行防范、改正及解決。

（7）在應用服務器前部署應用防火墻，審計計算機用戶在服務器上的瀏覽、下載數據等操作，并按照關鍵字、通配符等信息對重要的信息資產進行審計、報警，同時設置數據下載量的閾值觸發報警功能；同時開啟安全防護功能，防止來自網絡上的攻擊。例如在網站前部署Web應用防火墻進行漏洞監測、網頁篡改監測、網頁掛馬監測、內容變更監測、黑詞監測、黑鏈監測、敏感詞監測、網站可用性監測、DDOS攻擊監測、未知資產監測、釣魚/仿冒網站監測，并將監測的內容通過人工核查形成報表，進行分析和日志留存，提供網站的運行狀態，防護企業對外發布的內容被篡改。

（8）在郵件服務器前段布置垃圾郵件過濾，防范釣魚郵件；部署郵件歸檔審計系統，實現對企業電子郵件進行歸檔、審計，防范郵件泄密。

（9）在互聯網出口部署網絡版數據防泄露系統，對通過郵件、IM、ftp等工具及相關的協議進行傳輸的重要信息資產進行審計、報警；主要對重要信息資產的信息進行檢測，如：主題、正文及附件通過策略設定的關鍵字、通配符、相似度、指紋等信息進行審計，對符合策略要求的傳輸進行審計并觸發報警機制。

（10）部署上網行為管理系統，主要控制內部用戶訪問互聯網進行控制及審計，通過策略實現哪個部門可以訪問哪些網站、url的過濾和控制，并對用戶訪問的網址進行審計，提高互聯網帶寬的使用效率，并根據國家公安部的要求，對進行上網的日志進行保留，防范上外網泄密。

（11）對企業重要數據庫服務器部署數據庫審計防護系統，實現實時的全面記錄數據庫實際發生的操作情況；可疑行為發生時啟動預先設置的告警流程；一旦發生非法操作，觸發防御策略，實行阻斷。

（12）建立遠程辦公VPN系統，利用SSL安全機制中的數字證書和加密技術保障數據的安全，按權限控制訪問內容。

（13）部署日志審計系統，進行實時的日志審計分析和告警，將設備防護日志進行存儲和保存，提供訪問安全事件回溯功能，實時感知網絡邊界安全態勢。

5 結束語

企業必須打造統一的信息安全管理平臺，從基礎安全服務和架構、安全運維、安全治理、風險管理和合規等方面逐步實現企業實體安全、運行安全、信息資產安全和人員安全的管理，確保企業信息安全、以免企業遭受損失，保障企業健康可持續的發展。同時，要做到管理與技術并重，預防與管理并重，加強信息安全保密教育，保證信息化安全保密防護系統的有效運行，保護好企業的信息化安全。同時信息安全系統的強度取決于其中最為薄弱的一環。因此，信息安全必須常抓不懈，時刻提高警惕，不能有絲毫馬虎。