大型企業網絡安全解決方案

張安寧 顧凱豐 葉茂

摘要：隨著人們對互聯網需求的日益增長，互聯網技術也隨之快速發展，并廣泛應用于人們的生活和工作。但與此同時，大型企業受到來自網絡安全的威脅也在不斷增加，例如黑客攻擊、病毒入侵、數據丟失等。為了提高大型企業的網絡安全防護能力，文章先從物理機房、通信網絡、系統邊界、計算環境和管理制度等方面提出了網絡安全問題分類，然后結合技術層面和管理層面提出了大型企業網絡安全解決方案。

關鍵詞：大型企業；網絡安全；威脅；解決方案

中圖分類號：TN915.08文獻標志碼：A

0 引言

目前，國內國際信息安全形勢非常嚴峻，我國各重要信息化基礎設施面臨的網絡攻擊、破壞、竊密等安全威脅日益增多，并時刻威脅著我國的國家安全、社會秩序與公民利益。2014年2月，中共中央成立的以習近平總書記為組長的中央網絡安全和信息化委員會明確指出，“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。

國內大型企業的業務量很大，產生了大量的數據，數據類型也很復雜，網絡安全成為大型企業無法忽視的問題，同時也是提高企業競爭力、業務能力和創新能力的必要條件。與傳統的信息管理模式相比，信息系統的應用不僅給企業帶來了便利，還給企業增加了安全風險。一旦大型企業信息系統的業務信息和系統服務遭到入侵、修改、刪除等不明侵害，就會損害公民、法人和其他組織的合法權益，甚至對社會秩序和公共利益造成侵害。為了保證合法用戶對資源的及時有效訪問，確保信息系統的安全平穩運行［1］，提升大型企業網絡安全防護水平，大型企業需要一套成熟的網絡安全解決方案。

1 大型企業的網絡安全存在的問題

大型企業的網絡安全問題分為技術層面和管理層面，包括物理機房、通信網絡、系統邊界、計算環境和管理制度等。

1.1 物理機房

大型企業物理機房的安全問題包括機房位置的選擇、機房建筑和機房中設備的防雷措施（是否接地）、對非授權人員進出機房的訪問控制、是否設置火災自動消防系統、是否安裝防靜電地板、是否對機房的溫濕度進行控制等。

1.2 通信網絡

大型企業通信網絡的安全問題包括企業內部網絡的架構、信息系統在網絡中的傳輸通信以及設備的可信驗證等。

1.2.1 網絡架構

網絡架構是企業運營的重要組成部分。根據企業業務系統的特點構建網絡非常關鍵。企業要重點關注整個網絡的資源分布和架構是否合理，企業的體系結構只有安全時，才能有助于各種技術功能的實現，達到保護通信網絡的目的。

1.2.2 通信傳輸

通信傳輸為企業在網絡環境中的安全運行提供支持。為了防止企業的數據被篡改或泄露，企業應確保網絡傳輸過程中數據的機密性、完整性和可用性。通信傳輸不僅應當關注不同安全計算環境之間的通信安全性，還應當關注單個計算環境內不同區域之間的通信安全性。

1.2.3 可信驗證

企業中的傳統通信設備使用緩存或其他形式存儲固件，容易受到惡意攻擊。黑客可以在未經授權的情況下訪問或篡改固件，也可以在組件的閃存中嵌入惡意代碼，這些代碼可以輕松逃脫標準系統檢測過程，從而對系統造成永久性損壞。如果通信設備基于硬件的可信根，則可以在通電后基于可信根實現預安裝軟件（包括系統引導程序、系統程序、相關應用程序和重要配置參數）的完整性驗證或檢測，做到 “無篡改再執行，有篡改就報警”，以確保設備啟動和執行過程的安全。

1.3 系統邊界

大型企業的系統邊界問題包括企業各信息系統的邊界防護、信息系統的病毒防范、信息系統的訪問控制、垃圾郵件防范、信息系統的入侵防護、信息系統的安全審計和可信驗證等。

1.4 計算環境

企業的邊界內部稱為安全計算環境，通常通過企業的局域網將各種設備節點連接起來，構成復雜的計算環境。構成節點的設備包括網絡設備（如交換機、路由器等）、安全設備（如防火墻、入侵防御系統、防毒墻等）、服務器等。

大型企業的計算環境問題包括對設備登錄時進行身份鑒別、設備在使用過程中的入侵防護和病毒防護、設備日志是否進行備份留存等。

1.5 管理制度

企業的管理制度是企業各信息系統在建設、開發、運維、升級、改造等階段應當遵循的行為規范。安全策略和安全管理制度的正確制定與有效實施對企業的安全管理起著非常重要的作用，不僅能促使企業全員參與保障網絡安全的行動，而且能有效降低人為操作失誤造成的安全損害。

大型企業的管理制度問題包括企業對內部員工的崗位職責設置、物理機房的管理制度、信息系統及網絡安全設備的漏洞修復、應急預案管理、網絡安全事件處置流程等。

2 大型企業的網絡安全工作方針

大型企業須始終牢記“網絡安全永遠在路上”，全面加強網絡安全工作統籌規劃，有效落實“三化六防”措施，即：“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”，以以下幾個方面為網絡安全工作方針，不斷提升大型企業整體安全防護能力和水平。

2.1 提高政治站位，確保合法合規

大型企業需要進一步加強網絡安全等級保護和關鍵信息基礎設施安全保護，逐步完善并形成合法合規的網絡安全制度體系，強化等級保護定級、建設、整改、測評各環節，建立網絡安全等級保護工作責任制，健全企業網絡安全綜合防控體系。完善網絡安全保護工作機制，根據“誰主管誰負責、誰運營誰負責”原則，劃清網絡安全保護邊界，明確企業各部門的網絡安全保護責任，做到“守土有責、守土盡責”，形成大型企業網絡安全工作的良序格局。通過各類宣傳培訓會議活動強化各級領導干部的網絡安全思維，提高企業全員網絡安全意識。

2.2 開展應急演練，保證智慧運營

認真開展網絡安全應急演練和網絡安全整改工作，對應急演練中發現的各類安全問題進行復盤，加大對歷史問題的檢查力度，督促企業各部門處置存量漏洞。通過合理分區分域、收斂互聯網暴露面、加強網絡威脅攻擊管控、強化縱深防御，確保專項行動中發現的安全隱患問題整改到位，防止問題反彈，鞏固演習成果。持續開展網絡安全運營管理工作，全面加強網絡安全風險管控，將監測預防和應急處置工作常態化；通過網絡安全資源共享和能力共享，推動構建監測預警體系；有力有效處置網絡安全事件，讓關鍵信息基礎設施、重要網絡和數據免受攻擊、侵入、干擾和破壞。

2.3 重視隊伍建設，提升實戰水平

企業須搭建安全專家資源池，培養一批經驗豐富、能力突出、素質良好的“教練”；對管理人員開展網絡安全相關法律法規、政策標準解讀培訓，能更好地指導日常工作；定期開展網絡安全業務骨干技術培訓，提升網絡安全實操能力和協同作業水平；開展全員網絡安全意識教育，強化全員網絡安全意識；推動企業各部門開展交流學習，組織攻防實戰演練，提高網絡安全保障隊伍的攻防對抗與處置能力；指導企業各部門合理規劃網絡安全經費投入，加強經費保障。

3 大型企業的網絡安全問題解決方案

3.1 物理機房

網絡安全的前提和基礎條件就是物理條件［2］。企業的物理機房不僅存放著支撐整個企業網絡正常運行的各種設備，也存放著企業的關鍵業務數據。因此，物理機房的安全問題尤為重要，需要嚴格按照相關標準進行建設，做好防震、防火、防水、防雷、防盜、溫濕度、電磁防護等安全措施。機房管理人員須每天對機房環境、機房設備進行巡檢，一旦發現問題及時上報，以杜絕安全隱患。

3.2 通信網絡

在規劃和設計企業的整體網絡架構時，企業應用是最基本的出發點，必須充分考慮企業當前以及未來涉及的各種應用程序，特別是要為企業業務的擴展留出足夠的帶寬和可擴展空間。這些方面直接關系到企業網絡架構中各種網絡安全設備（如交換機、路由器、安全產品、服務器等）的購買決策以及企業互聯網總出口帶寬的大小和企業網絡的最終拓撲和規模。同時，網絡架構應具有較高的靈活性和可擴展性，可以隨意添加或減少。此外，企業還應考慮當前的技術條件是否滿足可控和可管理網絡的要求。

3.3 系統邊界

3.3.1 主動防御

為了促進大型企業各子系統數據信息的資源共享，系統邊界應建立完善的主動防御措施。企業應為整個網絡建立統一的防病毒系統，除了部署網絡版殺毒軟件對整個網絡進行統一集中管理外，還需要做好網絡層的病毒防護和入侵防御，同時做好網絡傳輸過程中的訪問控制，確保子系統的獨立性，防止黑客攻擊計算機，以此提高大型企業信息安全管理的有效性和質量。

3.3.2 物理隔離

大型企業的內部業務系統和需要訪問互聯網的系統應采取物理隔離的方式，使各系統更加獨立。為了提高企業信息資源管理的效率和質量，需要在不同系統的獨立單元中使用專用的網絡來訪問專用的系統，以確保實現物理隔離，避免使用直接網絡訪問的形式，并確保企業信息的安全。

3.4 計算環境

3.4.1 安全巡檢

安全管理員需要定期對企業的重要信息資產進行安全巡檢，巡檢對象包括物理安全、網絡安全、設備安全、數據安全等，對安全產品的特征庫定期進行升級（不超過3個月），以確保安全產品特征庫的有效性。定期進行 Webshell 檢查，檢查企業各應用系統中是否存在暗鏈博彩網頁木馬、惡意war包、遠程包含惡意代碼、系統后門類、ARP監聽類、遠程控制類、灰鴿子遠程控制類后門程序等。

3.4.2 漏洞掃描

企業安全管理員需要定期對企業的重要信息資產（網絡設備、安全產品、數據庫、應用系統等）進行漏洞掃描，及時掌握安全漏洞的情況，并進行漏洞修復。漏洞掃描工作主要依靠自動化的掃描工具，并在掃描實施前制訂合理的掃描方案，注意規避漏洞掃描的安全風險（修復前在測試環境上對補丁進行驗證），從而避免非法人員惡意利用操作系統的安全漏洞對企業進行網絡入侵。

3.4.3 滲透測試

企業針對重要系統進行滲透測試，通過模擬黑客的入侵和攻擊方式，評估計算機網絡系統安全，主要內容如下。

（1）系統信息收集。

系統信息收集主要包括收集和分析所有與目標地址相關的域名和關聯IP地址、關聯地址拓撲結構分析和發現、關聯目標系統端口掃描、目標系統提供的服務識別、服務類型及服務指紋收集、服務相關的域名、郵箱、用戶密碼、后臺信息以及從搜索引擎和第三方漏洞平臺收集行業和單位已暴露的漏洞等關聯信息。

（2）漏洞測試驗證。

在信息收集的基礎上，針對開放的服務端口進行安全漏洞掃描和手工漏洞驗證。安全漏洞掃描采用兩種以上的安全掃描工具實現；手工漏洞驗證主要包括口令猜解、已發現系統漏洞的腳本和手工方式測試驗證等，生成可利用漏洞和具有安全隱患的問題清單。

（3）漏洞關聯分析。

對所獲取的安全漏洞和安全隱患關聯目標系統進行分析處理，生成到達目標系統的可能路徑以及采用相關測試手段可能造成的安全風險，并與現階段測試的成果和預期測試可達的成果向委托方提交申請，經批準后再進行漏洞深入挖掘工作。

（4）漏洞深入挖掘。

依據漏洞關聯分析結果，通過漏洞的挖掘利用，提升或獲取路徑節點的控制權，在獲取控制權的節點上通過采用網絡嗅探、ARP欺騙、系統后門、代理中轉、協議隧道等技術手段繞過相關安全設備和安全策略的限制以實現目標系統的控制。此過程可循環進行，直到測試目標達成。測試完成后清除相關中間過程數據，將目標系統可能產生的不利影響降到最低。

3.4.4 安全加固

（1）網絡架構及邊界安全策略整改優化。

依據安全檢測發現的問題形成網絡層面安全整改方案，主要內容包括但不限于網絡結構調整、網絡邊界安全策略優化、設備安全策略加固等。

（2）操作系統及通用網絡服務安全加固。

依據安全檢測發現的問題形成系統層面安全整改方案，主要內容包括但不限于安全基線加固、防入侵策略優化、補丁升級等。

（3）應用系統漏洞修復。

協助軟件開發商對應用程序漏洞進行修復，跟蹤并檢查程序邏輯是否被修改，對于應用層各類漏洞均能實現有效防護。

3.4.5 數據備份和安全恢復

安全恢復是企業網絡安全最后一道保護屏障［3］。大型企業的數據包括敏感數據私有數據，如果不能以合理有效的方式處理數據，將對客戶造成巨大的損失，也會影響用戶的信任度。為了保證數據安全保護體系的質量和建設效果，提高數據的安全性，建立企業的良好聲譽，企業需要對數據定期進行冗余備份和安全恢復，以確保用戶隱私數據存儲的安全。

3.5 管理制度

3.5.1 安全意識

為了提高大型企業網絡安全管理的有效性和質量，企業需要定期對員工的安全意識進行教育和培訓。網絡安全管理部門須定期對信息系統進行巡檢，分析企業存在的網絡安全問題。企業員工訪問互聯網時，須對訪問權限和訪問時間進行控制，合理利用外部數據信息，減少外部網絡訪問量，降低企業信息泄露的風險。

3.5.2 應急演練

為保障企業網絡安全及信息系統的穩定運行，扎實做好每年的網絡安全工作，企業需要定期開展應急演練工作，以形成科學、有效、反應迅速的應急工作機制，檢驗既定網絡安全應急預案的科學性、實效性和操作性，提升應急保障隊伍應對突發網絡安全事件的應急響應力及處置能力，防止因網絡安全事件造成重大損失和負面影響，確保重要業務系統的安全、穩定和持續運行。

4 結語

為了保障大型企業的網絡安全，信息安全管理部門需要結合技術層面和管理層面，從物理機房、通信網絡、系統邊界、計算環境和管理制度等方面對企業的網絡安全進行綜合防護，不僅要做好入侵防御、病毒防護，也要提高企業員工的網絡安全意識，完善單位網絡安全管理制度，全方位構建大型企業的網絡安全體系。

參考文獻

［1］游傳強.大型企業集團信息系統的安全防護［J］.網絡安全技術與應用，2017（2）：111-112.

［2］耿澤飛.大型企業網絡安全解決方案探析［J］.網絡安全技術與應用，2015（12）：27-28.

［3］舒翔，劉浪.大型企業網絡安全部署研究［J］.黑龍江科技信息，2007（21）：74.

（編輯 王雪芬）