智慧企業(yè)網(wǎng)絡(luò)安全平臺(tái)研究

摘要：在數(shù)字化浪潮下，工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)新業(yè)務(wù)在企業(yè)中得到廣泛應(yīng)用。傳統(tǒng)網(wǎng)絡(luò)安全是以防火墻、殺毒軟件和入侵檢測(cè)為代表的網(wǎng)絡(luò)安全防護(hù)體系，側(cè)重于邊界防護(hù)，安全產(chǎn)品之間缺乏信息共享和防護(hù)協(xié)同。然而，在新形勢(shì)下傳統(tǒng)邊界安全的基礎(chǔ)存在空間已經(jīng)蕩然無(wú)存。針對(duì)這一問(wèn)題，文章設(shè)計(jì)了一款統(tǒng)一的網(wǎng)絡(luò)安全平臺(tái)，以數(shù)據(jù)為核心，在數(shù)據(jù)全生命周期中根據(jù)數(shù)據(jù)的不同場(chǎng)景提出防護(hù)解決方案，構(gòu)建零信任架構(gòu)，形成體系化的防御，讓風(fēng)險(xiǎn)可視可控。

關(guān)鍵詞：數(shù)字化;網(wǎng)絡(luò)安全;等保2.0;數(shù)據(jù)保護(hù);企業(yè)網(wǎng)絡(luò)安全平臺(tái)

中圖分類號(hào)：TP393.08 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）05-0047-03

1 引言

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全挑戰(zhàn)愈發(fā)嚴(yán)峻。數(shù)據(jù)泄露、勒索病毒、挖礦木馬等高危風(fēng)險(xiǎn)頻發(fā)。特別是企業(yè)在推進(jìn)數(shù)字化轉(zhuǎn)型過(guò)程中，工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)新業(yè)務(wù)的應(yīng)用，網(wǎng)絡(luò)安全防護(hù)邊界模糊化[1]，由此對(duì)網(wǎng)絡(luò)安全提出了新要求。

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)平臺(tái)保護(hù)的目標(biāo)是關(guān)鍵基礎(chǔ)設(shè)施，比如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備等，采用的網(wǎng)絡(luò)安全技術(shù)有防火墻技術(shù)、身份認(rèn)證、訪問(wèn)控制和入侵檢測(cè)等。在物理邊界上部署防火墻，通過(guò)防火墻對(duì)進(jìn)出內(nèi)網(wǎng)和外網(wǎng)之間的數(shù)據(jù)進(jìn)行檢查。利用身份認(rèn)證和訪問(wèn)控制用戶訪問(wèn)。在這種分立的防護(hù)體系下，主要存在以下5個(gè)問(wèn)題：1）安全產(chǎn)品之間缺乏信息共享和防護(hù)協(xié)同;2）默認(rèn)邊界內(nèi)部都是安全的，防護(hù)主要針對(duì)外部;3）默認(rèn)用戶是合法的，經(jīng)常出現(xiàn)信息化部門(mén)全員超級(jí)權(quán)限，缺少有效權(quán)限控制機(jī)制;4）以入侵行為特征為中心，缺乏對(duì)未知的威脅感知;5）缺少對(duì)數(shù)據(jù)泄露、權(quán)限濫用等行為的追溯及治理，企業(yè)迫切需要實(shí)現(xiàn)全面安全核查[2]。

在新形勢(shì)下一些新安全思想出現(xiàn)，比如加強(qiáng)邊界安全產(chǎn)品，重新構(gòu)造邊界面向資產(chǎn)保護(hù)和引入零信任體系等等[3]。這些思想側(cè)重點(diǎn)不同，缺乏統(tǒng)一協(xié)調(diào)。根據(jù)企業(yè)網(wǎng)絡(luò)面臨的新問(wèn)題，滿足監(jiān)管合規(guī)要求，更全面地預(yù)防風(fēng)險(xiǎn)、發(fā)現(xiàn)風(fēng)險(xiǎn)、更快速地處置風(fēng)險(xiǎn)。本文提出一套以數(shù)據(jù)保護(hù)為中心的網(wǎng)絡(luò)安全平臺(tái)體系，落實(shí)等保2.0對(duì)信息系統(tǒng)的安全保護(hù)要求，通過(guò)網(wǎng)絡(luò)安全平臺(tái)的整體設(shè)計(jì)對(duì)企業(yè)的核心業(yè)務(wù)進(jìn)行重點(diǎn)保障，對(duì)重要數(shù)據(jù)進(jìn)行有效管理，建設(shè)信息安全等級(jí)保護(hù)縱深防御體系。關(guān)鍵基礎(chǔ)設(shè)施之所以成為關(guān)鍵基礎(chǔ)設(shè)施不在于設(shè)備，而在于運(yùn)行在基礎(chǔ)設(shè)施上的業(yè)務(wù)和數(shù)據(jù)。數(shù)據(jù)保護(hù)是終極目標(biāo)，有了這個(gè)認(rèn)識(shí)，通過(guò)零信任架構(gòu)讓數(shù)據(jù)可視可控，最終使得數(shù)據(jù)保護(hù)成為確定性。

2 設(shè)計(jì)思路

順應(yīng)數(shù)字化潮流、推進(jìn)數(shù)字化轉(zhuǎn)型是許多中小型企業(yè)在時(shí)代趨勢(shì)下的變革需求。數(shù)字化轉(zhuǎn)型的核心目標(biāo)是“提高效率、優(yōu)化資源、降低風(fēng)險(xiǎn)”，它的本質(zhì)是以數(shù)字化技術(shù)為基礎(chǔ)、以數(shù)據(jù)為核心、打通數(shù)據(jù)之間的互聯(lián)互通，建立智能生產(chǎn)、科學(xué)管理的生態(tài)圈。因此實(shí)施基于數(shù)據(jù)的安全戰(zhàn)略，分析各種數(shù)據(jù)場(chǎng)景的特點(diǎn)，明確網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵任務(wù)是網(wǎng)絡(luò)安全管理的核心要素。

數(shù)據(jù)場(chǎng)景包含“數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)保護(hù)”，將核心目標(biāo)與數(shù)據(jù)場(chǎng)景相結(jié)合，可明確網(wǎng)絡(luò)安全平臺(tái)的關(guān)鍵設(shè)計(jì)為“超融合數(shù)據(jù)中心、智能傳輸網(wǎng)絡(luò)、安全云桌面、規(guī)范內(nèi)部治理、縱深防御體系”。對(duì)應(yīng)的框架如圖1所示。

網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的、不斷完善的過(guò)程，沒(méi)有一勞永逸的解決方案。企業(yè)可進(jìn)一步結(jié)合自身的發(fā)展情況，關(guān)注網(wǎng)絡(luò)安全需求的變化，一步步建設(shè)適合的網(wǎng)絡(luò)安全平臺(tái)。

3 解決方案

分析數(shù)據(jù)的不同場(chǎng)景，提出了不同的網(wǎng)絡(luò)安全解決方案。

3.1 數(shù)據(jù)存儲(chǔ)

傳統(tǒng)企業(yè)數(shù)據(jù)存儲(chǔ)的方式有DAS、NAS和SAN。DAS（Direct Attached Storage，直接外掛存儲(chǔ)），是個(gè)人電腦中的存儲(chǔ)，將外存儲(chǔ)設(shè)備直接連到應(yīng)用服務(wù)器上。NAS（Network Attached Storage：網(wǎng)絡(luò)附屬存儲(chǔ)），應(yīng)用服務(wù)器和存儲(chǔ)服務(wù)器在同一個(gè)局域網(wǎng)內(nèi)，直接通過(guò)以太網(wǎng)網(wǎng)絡(luò)存取數(shù)據(jù)。SAN采用FC技術(shù)建立專用于數(shù)據(jù)存儲(chǔ)的區(qū)域網(wǎng)絡(luò)，將計(jì)算和存儲(chǔ)分離，增強(qiáng)存儲(chǔ)擴(kuò)張的彈性。這三種技術(shù)都存在大量的資源孤島，資源利用率低，導(dǎo)致業(yè)務(wù)承載成本高。同時(shí)基礎(chǔ)資源擴(kuò)展性差，無(wú)法提供快捷靈活的業(yè)務(wù)服務(wù)，缺乏彈性、運(yùn)維工作量大。

隨著云計(jì)算應(yīng)用的推廣，許多企業(yè)把數(shù)據(jù)搬到云上。業(yè)務(wù)上云后，安全邊界模糊，企業(yè)缺少對(duì)應(yīng)的安全解決方案。

在數(shù)字化轉(zhuǎn)型的過(guò)程中，企業(yè)對(duì)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的穩(wěn)定性和連續(xù)性提出了更高要求。而傳統(tǒng)架構(gòu)下單機(jī)部署，硬件設(shè)備無(wú)冗余，業(yè)務(wù)連續(xù)性以及數(shù)據(jù)可靠性得不到保障，服務(wù)器或存儲(chǔ)宕機(jī)時(shí)，都會(huì)導(dǎo)致業(yè)務(wù)長(zhǎng)時(shí)間訪問(wèn)中斷。

超融合解決方案基于“軟件定義數(shù)據(jù)中心”的思想，通過(guò)虛擬化技術(shù)整合計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全等資源，替代傳統(tǒng)的云數(shù)據(jù)中心基礎(chǔ)設(shè)施，形成統(tǒng)一的資源池，實(shí)現(xiàn)計(jì)算和存儲(chǔ)完全的資源整合、統(tǒng)一管理、調(diào)配和統(tǒng)一存儲(chǔ)功能。超融合架構(gòu)解決方案如圖2所示。

數(shù)據(jù)中心只需部署超融合一體機(jī)和交換機(jī)即可快速搭建業(yè)務(wù)所需要的一切IT資源，新業(yè)務(wù)上線無(wú)須復(fù)雜冗長(zhǎng)的設(shè)備采購(gòu)流程，只需進(jìn)行虛擬資源的分配即可實(shí)現(xiàn)新業(yè)務(wù)的快速上線，大幅度縮短了業(yè)務(wù)上線時(shí)間，使得業(yè)務(wù)更加靈活，最終提高資源利用率。超融合架構(gòu)通過(guò)負(fù)載均衡、彈性IP、虛IP實(shí)現(xiàn)業(yè)務(wù)高可用。服務(wù)器虛擬化實(shí)現(xiàn)主機(jī)高可靠，主機(jī)宕機(jī)可漂移。Ceph分布式存儲(chǔ)實(shí)現(xiàn)三副本，保障數(shù)據(jù)不丟失。在減少投資成本的同時(shí)，實(shí)現(xiàn)承載業(yè)務(wù)豐富、性能優(yōu)良、可視化運(yùn)維、數(shù)據(jù)安全可靠等功能。

3.2 數(shù)據(jù)傳輸

傳統(tǒng)企業(yè)組網(wǎng)主要有VPN組網(wǎng)和MPLS專線組網(wǎng)。

VPN一般指虛擬專用網(wǎng)絡(luò)。它的功能是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用，將企業(yè)的總部、分支機(jī)構(gòu)、上下游合作伙伴、移動(dòng)辦公人員等連接起來(lái)的一項(xiàng)技術(shù)。這種組網(wǎng)方式的顯著優(yōu)勢(shì)有：1）投入成本較低，VPN利用的是公共網(wǎng)絡(luò)而建立的虛擬專網(wǎng)，企業(yè)無(wú)須花費(fèi)高額的硬件設(shè)備、線路租賃、維護(hù)等費(fèi)用;2）部署時(shí)間較快，VPN一般是由防火墻或者VPN網(wǎng)關(guān)等硬件設(shè)備來(lái)實(shí)現(xiàn)的，路由設(shè)備到位后，進(jìn)行網(wǎng)絡(luò)配置即可完成;3）可實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)，無(wú)論是在外地出差還是在家中辦公的用戶，通過(guò)互聯(lián)網(wǎng)連接VPN，即可訪問(wèn)企業(yè)的內(nèi)網(wǎng)資源，為遠(yuǎn)程辦公、移動(dòng)辦公提供技術(shù)基礎(chǔ)。VPN的缺點(diǎn)也非常明顯，由于VPN需要在互聯(lián)網(wǎng)環(huán)境中創(chuàng)建加密虛擬隧道，因此其網(wǎng)絡(luò)質(zhì)量和穩(wěn)定性不可控;同時(shí)也由于其穿越了互聯(lián)網(wǎng)，因此存在被旁路監(jiān)聽(tīng)的風(fēng)險(xiǎn)。隨著企業(yè)應(yīng)用場(chǎng)景的變化，尤其是疫情的原因，遠(yuǎn)程辦公的場(chǎng)景爆發(fā)式增長(zhǎng)，VPN業(yè)務(wù)體驗(yàn)不好、安全有隱患等弊端也逐漸凸顯出來(lái)。

多協(xié)議標(biāo)簽交換（MPLS），是一種在開(kāi)放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)男录夹g(shù)。MPLS專線是運(yùn)營(yíng)商提供的一種基于MPLS技術(shù)的廣域網(wǎng)服務(wù)專用線路，該線路為企業(yè)的專用通道，幫助企業(yè)總部和各分支之間互聯(lián)，組建企業(yè)內(nèi)部的數(shù)據(jù)傳送網(wǎng)絡(luò)。它的優(yōu)點(diǎn)有：1）分支節(jié)點(diǎn)就近接入，節(jié)約本地專線費(fèi)用，避免因跨地區(qū)、跨運(yùn)營(yíng)商造成的多網(wǎng)絡(luò)連接的網(wǎng)絡(luò)問(wèn)題;2）具有很高的安全性，對(duì)用戶透明，防止不同用戶的數(shù)據(jù)被混在一起;3）組網(wǎng)簡(jiǎn)單，只要將客戶的CE設(shè)備連接到運(yùn)營(yíng)商的網(wǎng)絡(luò)邊緣設(shè)備即可;4）可擴(kuò)展性更高，但因價(jià)格高昂、部署周期長(zhǎng)、運(yùn)維復(fù)雜、難以規(guī)模化應(yīng)用于云計(jì)算及SaaS等原因，在現(xiàn)代企業(yè)多樣性的場(chǎng)景需求面前已捉襟見(jiàn)肘。上述兩種組網(wǎng)模式的可視化和智能化程度不足，缺乏統(tǒng)一集中管理手段，導(dǎo)致總部及分支運(yùn)維工作量巨大，分支組網(wǎng)安全薄弱，缺少專門(mén)的安全設(shè)備技術(shù)人員，難以滿足監(jiān)管合規(guī)要求。

以業(yè)務(wù)為核心，以IT為載體，要做到網(wǎng)絡(luò)信息化水平升級(jí)。不僅要做到技術(shù)升級(jí)，還要做到管理升級(jí)、可靠性升級(jí)及安全合規(guī)，而SD-WAN具備靈活組網(wǎng)、快速部署、高性價(jià)比等諸多優(yōu)勢(shì)。在新形勢(shì)新要求下，越來(lái)越多的企業(yè)選擇了SD-WAN組網(wǎng)方案來(lái)實(shí)現(xiàn)智能化組網(wǎng)。SD-WAN，即軟件定義廣域網(wǎng)，利用SDN技術(shù)將網(wǎng)絡(luò)的控制權(quán)集中管理起來(lái)，解決MPLS一系列問(wèn)題而出現(xiàn)的一種新興WAN廣域網(wǎng)技術(shù)。它的主要優(yōu)點(diǎn)有：1）提升訪問(wèn)體驗(yàn)，SD-WAN可以根據(jù)網(wǎng)絡(luò)情況，實(shí)現(xiàn)鏈路無(wú)感知切換，保證訪問(wèn)質(zhì)量;還可根據(jù)管理員的配置策略，實(shí)現(xiàn)流量的負(fù)載均衡，保證關(guān)鍵應(yīng)用（如視頻會(huì)議、OA系統(tǒng)等）或關(guān)鍵用戶的鏈路質(zhì)量和訪問(wèn)速率，實(shí)現(xiàn)業(yè)務(wù)高可用;2）部署簡(jiǎn)單，快速接入，SD-WAN支持硬件、軟件、客戶端等多種部署方式，可實(shí)現(xiàn)“零接觸部署”;3）能夠通過(guò)SD-WAN集中管理平臺(tái)實(shí)現(xiàn)全網(wǎng)設(shè)備、鏈路、應(yīng)用流量可視化管理，為用戶打造智能、可靠的多線路廣域網(wǎng)網(wǎng)絡(luò);4）“零信任”產(chǎn)品安全接入，集身份認(rèn)證、風(fēng)險(xiǎn)感知、權(quán)限管控、傳輸加速等功能為一體，打造更加安全、簡(jiǎn)單的企業(yè)級(jí)遠(yuǎn)程辦公環(huán)境。

3.3 數(shù)據(jù)使用

企業(yè)數(shù)字化轉(zhuǎn)型速度逐漸加快，如何保護(hù)和管理企業(yè)的關(guān)鍵信息資產(chǎn)變得至關(guān)重要。由于傳統(tǒng)PC模式采用分散化部署，數(shù)據(jù)存儲(chǔ)于本地，企業(yè)敏感數(shù)據(jù)難以有效管控，存在嚴(yán)重法人數(shù)據(jù)泄密風(fēng)險(xiǎn)。同時(shí)難以匹配移動(dòng)辦公場(chǎng)景，運(yùn)維效率低下，需要維護(hù)每一臺(tái)設(shè)備的硬件、軟件和數(shù)據(jù)，導(dǎo)致大幅影響工作效率。運(yùn)營(yíng)成本高，用戶設(shè)備到達(dá)替換周期需全部換新，資源利用率低。

云桌面是基于服務(wù)器虛擬化和桌面虛擬化技術(shù)基礎(chǔ)上的軟硬件一體的私有云解決方案，是一種使用云終端設(shè)備通過(guò)網(wǎng)絡(luò)去運(yùn)行遠(yuǎn)端桌面的方法。安全云桌面向用戶提供包含虛擬化管理平臺(tái)、虛擬桌面控制平臺(tái)以及受眾端在內(nèi)的整體解決方案，從而幫助用戶降低投資和運(yùn)維成本，更快速地實(shí)現(xiàn)虛擬桌面的部署，具有如下優(yōu)點(diǎn)：1）保障數(shù)據(jù)安全，數(shù)據(jù)全部保存在服務(wù)器，普通用戶無(wú)法接觸核心數(shù)據(jù);2）集中管控，保證性能和管控兩不誤;3）集中部署，減少維護(hù)，提升桌面服務(wù)水平;4）環(huán)保節(jié)能，使用方便。

3.4 數(shù)據(jù)保護(hù)

數(shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)在帶來(lái)巨大價(jià)值的同時(shí)，也引入了大量的安全風(fēng)險(xiǎn)與挑戰(zhàn)。數(shù)據(jù)安全不僅關(guān)系到國(guó)家主權(quán)、安全和發(fā)展利益，而且關(guān)系到公民、組織的合法權(quán)益。“十四五”規(guī)劃中，將“加快數(shù)字化發(fā)展建設(shè)數(shù)字中國(guó)”作為獨(dú)立篇章，數(shù)據(jù)安全成為國(guó)家安全戰(zhàn)略的一部分。為了規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，建立數(shù)據(jù)分類分級(jí)管理制度，《中華人民共和國(guó)數(shù)據(jù)安全法》于2021年9月1日正式施行，這是我國(guó)首部數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律[4]。

企業(yè)面臨的主要數(shù)據(jù)安全威脅有數(shù)據(jù)泄露、數(shù)據(jù)破壞、隱私泄露、數(shù)據(jù)失控、數(shù)據(jù)濫用和數(shù)據(jù)丟失或損壞。依據(jù)業(yè)務(wù)戰(zhàn)略、合規(guī)要求，明確數(shù)據(jù)安全保護(hù)的方針戰(zhàn)略、治理的主題、制度，進(jìn)行體系建設(shè)，圍繞數(shù)據(jù)全生命周期，全面提升數(shù)據(jù)安全防護(hù)、數(shù)據(jù)安全治理和數(shù)據(jù)安全威懾能力。

不容忽視的一個(gè)事實(shí)是：越來(lái)越多網(wǎng)絡(luò)攻擊的源頭來(lái)自機(jī)構(gòu)內(nèi)部。人員身份與資產(chǎn)信息難以梳理，權(quán)限管理工作量大，員工訪問(wèn)及上網(wǎng)權(quán)限難以精細(xì)化，存在內(nèi)部泄密、賬號(hào)共用等違規(guī)訪問(wèn)行為，公司缺乏合規(guī)審計(jì)手段。采用規(guī)范化的內(nèi)部治理解決方案有：1）引入上網(wǎng)行為管理，實(shí)現(xiàn)上網(wǎng)行為管控和審計(jì)、內(nèi)網(wǎng)統(tǒng)一接入認(rèn)證及內(nèi)網(wǎng)業(yè)務(wù)訪問(wèn)審計(jì);2）部署終端檢測(cè)響應(yīng)平臺(tái)EDR，通過(guò)預(yù)防、防御、檢測(cè)、響應(yīng)賦予終端更為細(xì)致的隔離策略、更為精準(zhǔn)的查殺能力、更為持續(xù)的檢測(cè)能力、更為快速的處置能力;3）引入云端運(yùn)維管控，實(shí)時(shí)監(jiān)測(cè)、深度分析數(shù)據(jù)泄密風(fēng)險(xiǎn)和內(nèi)部業(yè)務(wù)違規(guī)風(fēng)險(xiǎn)，并及時(shí)預(yù)警;4）引入零信任、細(xì)粒度訪問(wèn)控制系統(tǒng)，加強(qiáng)對(duì)系統(tǒng)安全以及運(yùn)維的控制力。對(duì)賬號(hào)、授權(quán)、認(rèn)證、訪問(wèn)、審計(jì)進(jìn)行管理，聚焦人的身份、權(quán)限、行為，實(shí)現(xiàn)身份合法、權(quán)限合理、行為合規(guī)。

數(shù)據(jù)泄露、勒索病毒、挖礦木馬等高危風(fēng)險(xiǎn)頻頻發(fā)生，外部高級(jí)威脅多而復(fù)雜，其攻擊手法不斷進(jìn)化，為網(wǎng)絡(luò)安全帶來(lái)極大挑戰(zhàn)。企業(yè)在安全建設(shè)中普遍缺乏對(duì)風(fēng)險(xiǎn)統(tǒng)一分析、定位、展示及快速處置的手段。針對(duì)這些問(wèn)題，應(yīng)引入體系化的縱深防御，通過(guò)體系的力量扭轉(zhuǎn)攻防不對(duì)稱，從而有效保障系統(tǒng)核心業(yè)務(wù)的安全。采用的措施有：1）在聯(lián)網(wǎng)出口部署下一代防火墻AF+入侵防御系統(tǒng)IPS+網(wǎng)站應(yīng)用防火墻WAF，保障內(nèi)部PC和服務(wù)器安全防護(hù)。下一代防火墻提出了以業(yè)務(wù)資產(chǎn)保護(hù)為核心構(gòu)建威脅抵抗邊界的威脅分層治理模型，對(duì)已知、未知和高級(jí)威脅進(jìn)行抵抗，持續(xù)升級(jí)威脅抵抗能力，以可進(jìn)化的智能邊界為用戶提供更簡(jiǎn)單、更有效的安全保護(hù)。IPS（Intrusion Prevention System）入侵防御系統(tǒng)，是一種安全機(jī)制，能根據(jù)用戶事先設(shè)置好的安全策略對(duì)流過(guò)的每一個(gè)報(bào)文進(jìn)行分析，在發(fā)現(xiàn)威脅后立即進(jìn)行響應(yīng)，保護(hù)企業(yè)業(yè)務(wù)和數(shù)據(jù)不受損害。Web應(yīng)用防火墻（Web Application Firewall，簡(jiǎn)稱 WAF）為網(wǎng)站提供一站式安全防護(hù)，可以有效識(shí)別Web業(yè)務(wù)流量的惡意特征，在對(duì)流量進(jìn)行清洗和過(guò)濾后，將正常、安全的流量返回給服務(wù)器，避免網(wǎng)站服務(wù)器被惡意入侵導(dǎo)致服務(wù)器性能異常等問(wèn)題，保障網(wǎng)站的業(yè)務(wù)安全和數(shù)據(jù)安全;2）在所有服務(wù)器和終端安裝終端檢測(cè)響應(yīng)平臺(tái)EDR，實(shí)現(xiàn)病毒查殺終端微隔離，保障終端安全;3）云端基于SaaS方式提供集中運(yùn)營(yíng)管理平臺(tái)，統(tǒng)一管理并實(shí)時(shí)更新安全設(shè)備，同時(shí)補(bǔ)充外部威脅情報(bào)，保障企業(yè)信息安全;4）基于流量分析的態(tài)勢(shì)感知，基于整個(gè)會(huì)話進(jìn)行關(guān)鍵元素、關(guān)鍵行為的動(dòng)態(tài)關(guān)聯(lián)分析，快速定位業(yè)務(wù)風(fēng)險(xiǎn)。

4 結(jié)論

數(shù)字化給企業(yè)帶來(lái)前所未有的機(jī)遇，同時(shí)我們也應(yīng)該清楚地認(rèn)識(shí)到企業(yè)所面臨的日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。數(shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)安全不僅關(guān)系到國(guó)家主權(quán)、安全和發(fā)展利益，而且關(guān)系到公民、組織的合法權(quán)益。將數(shù)據(jù)場(chǎng)景與核心目標(biāo)“提高效率、優(yōu)化資源、降低風(fēng)險(xiǎn)”相結(jié)合，以等級(jí)保護(hù)2.0標(biāo)準(zhǔn)建設(shè)基礎(chǔ)安全防護(hù)體系，對(duì)安全防護(hù)薄弱系統(tǒng)進(jìn)行整改，完善防御體系基礎(chǔ)建設(shè)[5]。一個(gè)可行的網(wǎng)絡(luò)安全平臺(tái)的設(shè)計(jì)應(yīng)為超融合數(shù)據(jù)中心、智能傳輸網(wǎng)絡(luò)、安全云桌面、規(guī)范化內(nèi)部治理、縱深防御體系的綜合運(yùn)用。

參考文獻(xiàn)：

[1] 安恒信息.提高韌性、助力智慧企業(yè)網(wǎng)絡(luò)安全建設(shè)振翼高飛[EB/OL]. [2021-08-20].https：//www.dbappsecurity.com.cn/content/details792_2738.html.

[2] 深信服.運(yùn)維安全管理系統(tǒng)白皮書(shū)[EB/OL]. [2021-08-20].https：//www.sangfor.com.cn/info-center/document-center/document-list/002020200202002.

[3] 美創(chuàng)科技. 傳統(tǒng)網(wǎng)絡(luò)安全（邊界）和新安全的思辨[EB/OL]. [2021-08-20].https：//zhuanlan.zhihu.com/p/136730062.

[4] 全國(guó)人民代表大會(huì). 中華人民共和國(guó)數(shù)據(jù)安全法[EB/OL]. [2021-08-20].http：//ww.npc.gov.cn/npc/c30834/202106/7c9af1 2f51334a73b56d7938f99a788a.shtml.

[5] 王嬌婷.遼寧廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)研究與設(shè)計(jì)[J].電子世界，2021（24）：67-68.

【通聯(lián)編輯：代影】

收稿日期：2021-12-20

基金項(xiàng)目：2020年度高校國(guó)內(nèi)訪問(wèn)工程師“校企合作項(xiàng)目”（FG2020328）

作者簡(jiǎn)介：鄭文光（1975—），男，浙江衢州人，高級(jí)工程師，碩士，主要從事網(wǎng)絡(luò)數(shù)據(jù)通信應(yīng)用研究。