趙剛 孫全建 張云霞

摘 要：文章以作者所在企業(yè)山東泰安煙草有限公司為例，從企業(yè)互聯(lián)網(wǎng)接入風(fēng)險入手，通過現(xiàn)有和今后可能建立的接入方式和管控技術(shù)分析。根據(jù)互聯(lián)網(wǎng)接入風(fēng)險的重要程度、控制難度等因素，提出控制的思路和措施。通過關(guān)鍵控制點進行安全管理。探討較為科學(xué)合理的互聯(lián)網(wǎng)接入安全管理模式。

關(guān)鍵詞：互聯(lián)網(wǎng)；接入安全；風(fēng)險；控制

隨著互聯(lián)網(wǎng)的快速發(fā)展，為企業(yè)運行和發(fā)展提供了越來越多的便利，通常情況下，企業(yè)局域網(wǎng)中存有大量的單位內(nèi)部的敏感信息，具有極高的商務(wù)和政治價值。因此其安全保密是至關(guān)重要的，要保證內(nèi)域網(wǎng)不被非法入侵和破壞，網(wǎng)中的敏感信息不被非法竊取和篡改，同時還要保證網(wǎng)內(nèi)用戶和網(wǎng)外用戶之間正常連通，向他們提供應(yīng)有的服務(wù)。這些安全業(yè)務(wù)都需要完善的安全管理作為支撐。文章以作者所在企業(yè)山東泰安煙草有限公司為例，從企業(yè)互聯(lián)網(wǎng)接入風(fēng)險入手，通過現(xiàn)有和今后可能建立的接入方式的脆弱性和潛在的威脅分析。根據(jù)互聯(lián)網(wǎng)接入風(fēng)險的重要程度、控制難度等因素，提出控制的思路和措施。通過風(fēng)險控制措施的成本和有效性分析。探討較為科學(xué)合理的互聯(lián)網(wǎng)接入安全管理模式。

1 意義與背景

1.1 行業(yè)需求方面

隨著山東煙草信息化建設(shè)的深入開展，一線工作對于網(wǎng)上信息的完整性、及時性、準確性的要求日趨強烈。通過山東煙草內(nèi)部網(wǎng)絡(luò)更廣泛地采集社會信息，并向有關(guān)單位提供信息資源和服務(wù)已逐漸成為煙草行業(yè)信息化發(fā)展的必然趨勢。同時，煙草內(nèi)部業(yè)務(wù)網(wǎng)也將面臨來自其他網(wǎng)絡(luò)的攻擊、入侵、病毒、木馬、探頭等各種類型的安全威脅，存在很大的安全風(fēng)險。

煙草行業(yè)越來越多的業(yè)務(wù)系統(tǒng)需要通過互聯(lián)網(wǎng)進行訪問和發(fā)布，不論是企業(yè)網(wǎng)站郵件系統(tǒng)還是新商盟系統(tǒng)，在煙草行業(yè)地位愈來愈重要。企業(yè)用戶接入互聯(lián)網(wǎng)也成為必然需求，互聯(lián)網(wǎng)已成為煙草行業(yè)中最重要的基礎(chǔ)設(shè)施，但是當(dāng)前的互聯(lián)網(wǎng)設(shè)計并不安全，網(wǎng)絡(luò)空間開始無邊界，安全孤島將不復(fù)存在，脆弱的技術(shù)、網(wǎng)絡(luò)匿名等容易被一些非法組織和個人為所欲為的利用，由此將給企業(yè)帶來諸多安全威脅。

1.2 政策及法規(guī)要求方面

在互聯(lián)網(wǎng)安全接入研究方面，要落實國家及有關(guān)部門政策要求，積極響應(yīng)主管單位及其監(jiān)管部門關(guān)于互聯(lián)網(wǎng)安全相關(guān)規(guī)定，內(nèi)容包括：

（1）《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》；（2）《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》第十條；（3）《互聯(lián)網(wǎng)信息服務(wù)管理辦法》；（4）《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》第七條、第八條。

2 國內(nèi)外相關(guān)研究現(xiàn)狀

隨著Internet的快速發(fā)展，Intranet作為因特網(wǎng)技術(shù)運用于單位、部門和企業(yè)專用網(wǎng)的產(chǎn)物，也得到迅速普及發(fā)展。Intranet并非是地域上的概念，而是在信息空間上的虛擬網(wǎng)絡(luò)概念，如一個國家外交系統(tǒng)的內(nèi)域網(wǎng)用戶可能分布全球。它在原有專用網(wǎng)的基礎(chǔ)上增加了服務(wù)器、服務(wù)器軟件、Web內(nèi)容制作工具和瀏覽器，與因特網(wǎng)連通，從而使內(nèi)域網(wǎng)充滿了生機和活力。內(nèi)域網(wǎng)為公司和單位信息的散播和利用提供了極為便利的條件。瀏覽器為網(wǎng)上用戶提供信息，服務(wù)器對網(wǎng)絡(luò)進行管理、組織和存儲信息，并提供必要的安全服務(wù)。通常情況下，Intranet中則存有大量的單位內(nèi)部的敏感信息，具有極高的商務(wù)、政治和軍事價值。因此，Intranet是一種半封閉甚至是全封閉的集中式可控網(wǎng)，其安全保密是至關(guān)重要的，要保證內(nèi)域網(wǎng)不被非法入侵和破壞，網(wǎng)中的敏感信息不被非法竊取和篡改，同時還要保證網(wǎng)內(nèi)用戶和網(wǎng)外用戶之間正常連通，向他們提供應(yīng)有的服務(wù)。這些安全業(yè)務(wù)都需要一個完善的接入控制機制。

2013年9月中國互聯(lián)網(wǎng)安全大會就互聯(lián)網(wǎng)時代的企業(yè)安全趨勢撰寫了此《互聯(lián)網(wǎng)時代的企業(yè)安全發(fā)展趨勢》。針對目前如此嚴峻的企業(yè)內(nèi)部與外部安全形勢，報告建議，企業(yè)內(nèi)部安全應(yīng)該加強邊界防御、云端防御、終端防御和APT攻擊檢測防御，形成一個真正的立體防御體系。在云端安全使用分布式存儲、分布式計算/并行計算、機器學(xué)習(xí)技術(shù)、準實時處理；邊界方案中通過信息采集，進行協(xié)議還原對通信進行準入管理，阻斷攻擊；終端安全中實現(xiàn)網(wǎng)絡(luò)準入控制、程序準入控制、硬件準入控制。

2013年12月中國和韓國互聯(lián)網(wǎng)圓桌會議在韓國首爾舉行，會議的主題是“互聯(lián)網(wǎng)的發(fā)展與安全”倡導(dǎo)共同維護網(wǎng)絡(luò)空間安全：一是共同維護網(wǎng)絡(luò)主權(quán)安全，將互聯(lián)網(wǎng)納入到聯(lián)合國多邊治理框架下，構(gòu)建和平共處、互利共贏的網(wǎng)絡(luò)主權(quán)安全新秩序；二是共同維護信息安全，加強網(wǎng)絡(luò)信息安全合作，打擊網(wǎng)絡(luò)不法行為，讓信息安全有序流動；三是共同維護隱私安全，加大個人信息保護力度，讓互聯(lián)網(wǎng)成為安全網(wǎng)、放心網(wǎng)；四是共同維護技術(shù)安全，希望加強與韓方合作，推動核心技術(shù)、關(guān)鍵設(shè)備、移動終端等方面攻關(guān)，為互聯(lián)網(wǎng)保駕護。

中國網(wǎng)絡(luò)安全大會（NSC2013）研究到移動終端安全接入問題，移動/BYOD設(shè)備打開了一個全新的攻擊層面，黑客能夠利用這些可尋漏洞進入到企業(yè)網(wǎng)絡(luò)中，從而獲取到所需的數(shù)據(jù)。黑客使用不同的技術(shù)對移動/BYOD設(shè)備發(fā)動惡意攻擊，通過種種感染方式（例如MMS、SMS、email、藍牙、WiFi、用戶安裝、自安裝、內(nèi)存卡分配和USB）和拒絕服務(wù)的攻擊方式（例如藍牙劫持、SMS拒絕、不完整的OEBX信息、不完整的格式字符串和SMS信息）來部署惡意軟件（例如病毒、蠕蟲、特諾伊木馬和間諜程序），還有發(fā)動移動消息攻擊（例如短信詐騙、短信垃圾、惡意短信內(nèi)容、SMS/MMS漏洞利用）。

3 煙草商業(yè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)和互聯(lián)網(wǎng)接入方式的分析

就全煙草行業(yè)而言，由于互聯(lián)網(wǎng)的接入形式多種多樣，因此項目在設(shè)計過程中要考慮多個方面比如企業(yè)本地互聯(lián)網(wǎng)接入、虛擬專用網(wǎng)接入VPN、虛擬化互聯(lián)網(wǎng)接入、來賓訪客接入等等。接入的終端類型包括計算機PC終端、筆記本、瘦客戶機、智能手機、平板電腦等等。接入過程中我們要綜合考慮，以便能夠適應(yīng)以上接入形式和終端類型。

3.1 本地光纖接入

光纖是寬帶網(wǎng)絡(luò)中多種傳輸媒介中最理想的一種，它的特點是傳輸容量大、傳輸質(zhì)量好、損耗小、中繼距離長等。

3.2 無線接入

無線接入技術(shù)（也稱空中接口）是無線通信的關(guān)鍵問題。它是指通過無線介質(zhì)將用戶終端與網(wǎng)絡(luò)節(jié)點連接起來，以實現(xiàn)用戶與網(wǎng)絡(luò)間的信息傳遞。無線信道傳輸?shù)男盘枒?yīng)遵循一定的協(xié)議，這些協(xié)議即構(gòu)成無線接入技術(shù)的主要內(nèi)容。無線接入技術(shù)與有線接入技術(shù)的一個重要區(qū)別在于可以向用戶提供移動接入業(yè)務(wù)。

3.3 VPN接入

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺。

3.4 移動互聯(lián)網(wǎng)技術(shù)

隨著智能手機、平板電腦等移動設(shè)備的出現(xiàn)，移動平臺開始進入大眾市場，為移動電子商務(wù)、移動電子政務(wù)的發(fā)展提供了極大的成長空間，移動應(yīng)用已成為企業(yè)創(chuàng)新管理模式的一種趨勢。

目前移動互聯(lián)網(wǎng)的三種商業(yè)模式都源自于門戶模式的成功實踐：一是“平臺+服務(wù)”模式，定位于價值鏈控制力；二是“終端+應(yīng)用”模式，定位于用戶需求整體解決方案；三是“軟件+門戶”模式，定位于最佳產(chǎn)品服務(wù)。門戶模式已成為運營商、終端廠商、信息服務(wù)提供商的戰(zhàn)略選擇。不同領(lǐng)域的企業(yè)均在基于自身業(yè)務(wù)體系和競爭優(yōu)勢構(gòu)建具有主導(dǎo)權(quán)的商業(yè)模式，以應(yīng)對網(wǎng)絡(luò)融合趨勢給移動互聯(lián)網(wǎng)發(fā)展帶來的不確定性和競爭。

3.5 虛擬化模式

虛擬化，原本是指資源的抽象化，也就是單一物理資源的多個邏輯表示，或者多個物理資源的單一邏輯表示，是對真實計算環(huán)境的抽象和模擬。①

4 關(guān)鍵控制環(huán)節(jié)

通過各種接入方式的脆弱性和潛在的威脅分析；得出風(fēng)險列表和各風(fēng)險的重要程度、控制難度等。風(fēng)險控制和管理主要指用戶接入網(wǎng)絡(luò)和接入互聯(lián)網(wǎng)兩個部分。接入過程的安全風(fēng)險包括非法用戶訪問、網(wǎng)絡(luò)蠕蟲攻擊、攜帶病毒不安全狀態(tài)電腦接入、數(shù)據(jù)泄露等的呢；在接入互聯(lián)網(wǎng)過程中安全風(fēng)險包括非授權(quán)訪問互聯(lián)網(wǎng)、訪問非法網(wǎng)站、非法占用企業(yè)互聯(lián)網(wǎng)資源、非法下載、行為未記錄審計等等。

針對以上安全風(fēng)險，必須要實現(xiàn)風(fēng)險控制和管理，風(fēng)險控制機管理主要集中的兩個環(huán)節(jié)，第一環(huán)節(jié)為網(wǎng)絡(luò)接入環(huán)節(jié)，第二環(huán)節(jié)為互聯(lián)網(wǎng)接入環(huán)節(jié)。

第一環(huán)節(jié)網(wǎng)絡(luò)接入控制環(huán)節(jié)：

移動用戶接入及其身份認證：網(wǎng)絡(luò)準入管理；網(wǎng)絡(luò)IP-MAC管理；終端安全管理；MDM安全管理。

第二環(huán)節(jié)互聯(lián)網(wǎng)接入控制環(huán)節(jié)：

上網(wǎng)行為身份管理；上網(wǎng)行為訪問管理；流量控制與管理；行為安全審計。

5 目前可用的接入安全管理技術(shù)

5.1 網(wǎng)絡(luò)IP-MAC地址管理技術(shù)

支持DHCP+邊界準入和訪客授權(quán)控制功能。系統(tǒng)原理是在終端通過DHCP請求分配地址時，進行準入控制，適用于任何通過DHCP分配IP地址的網(wǎng)絡(luò)，易于安裝和配置。

通過對MAC動態(tài)授權(quán)操作，進行接入控制。可以將接入客戶端，按安全級別分為永久授權(quán)客戶端（分配固定IP地址）、永久授權(quán)客戶端（分配動態(tài)IP地址）、臨時授權(quán)客戶端、未授權(quán)客戶端。

5.2 網(wǎng)絡(luò)接入認證控制技術(shù)

網(wǎng)絡(luò)接入控制管理能夠強制提升企業(yè)網(wǎng)絡(luò)終端的接入安全，保證企業(yè)網(wǎng)絡(luò)保護機制不被間斷，使網(wǎng)絡(luò)安全得到更有效提升。與此同時基于設(shè)備接入控制網(wǎng)關(guān)，還可以對于遠程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的計算機進行身份、唯一性及安全認證。

可通過UAC代理或UAC無代理模式來收集用戶權(quán)限、端點安全狀態(tài)和設(shè)備位置數(shù)據(jù)，以便制訂動態(tài)接入和安全策略并且指揮整個網(wǎng)絡(luò)中的執(zhí)行點去執(zhí)行這些策略。②

5.3 VPN技術(shù)

SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。SSL協(xié)議可分為兩層：SSL記錄協(xié)議（SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSL Handshake Protocol）：它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。

5.4 終端安全檢查

終端安全管理包括兩部分，第一是普通計算機終端安全檢查（臺式機、筆記本、瘦客戶端等），第二類是移動終端安全檢查（智能手機、IPAD等）。計算機終端安全管理至少應(yīng)當(dāng)實現(xiàn)終端安全修復(fù)、終端訪問控制、桌面管理、安全審計、移動存儲管理一體化管理、簡單易維護。

內(nèi)容包括：.終端安全控制、桌面合規(guī)管理、終端泄密控制、終端審計、設(shè)備注冊與分組管理、設(shè)備管理以及應(yīng)用管理等。

5.5 上網(wǎng)行為管理技術(shù)

對企業(yè)內(nèi)訪問互聯(lián)網(wǎng)用戶進行行為控制與管理。提供專業(yè)的用戶管理、應(yīng)用控制、網(wǎng)頁過濾、內(nèi)容審計、流量管理和行為分析等功能。實現(xiàn)上網(wǎng)行為可視、減少安全風(fēng)險，減少信息泄密、遵從法律法規(guī)、提升工作效率、優(yōu)化帶寬資源。

對移動上網(wǎng)實現(xiàn)管理，必須基于人、應(yīng)用、內(nèi)容、終端、位置五個維度進行有效識別和控制。在行為管理領(lǐng)域完整引入終端、區(qū)域信息，并可針對訪客進行有效的準入和管控。

5.6 流量控制與管理

基于網(wǎng)絡(luò)的流量現(xiàn)狀和流量管控策略，對數(shù)據(jù)流進行識別分類，并實施流量控制、優(yōu)化和對關(guān)鍵IT應(yīng)用進行保障的相關(guān)技術(shù)。包括：應(yīng)用封堵、流量限速、每用戶帶寬上限、流量限額和連接控制等手段。

6 有效的風(fēng)險管控模式

通過“統(tǒng)一認證、統(tǒng)一策略、統(tǒng)一管理、統(tǒng)一網(wǎng)絡(luò)”的思路管控實現(xiàn)較為有效的風(fēng)險管控模式。

6.1 統(tǒng)一認證

統(tǒng)一認證主要采用相同的用戶認證數(shù)據(jù)庫，在企業(yè)建立互聯(lián)網(wǎng)接入的認證數(shù)據(jù)庫，數(shù)據(jù)庫內(nèi)涵蓋移動用戶、本地企業(yè)用戶的所有認證信息，當(dāng)一個用戶采用多種終端訪問互聯(lián)網(wǎng)時，保持身份認證的唯一性。

身份認證一般與授權(quán)控制策略是相互聯(lián)系的，授權(quán)控制是指一旦用戶的身份通過認證以后，確定哪些資源該用戶可以訪問、可以進行何種方式的訪問操作等問題。

（1）用戶使用在統(tǒng)一認證服務(wù)注冊的用戶名和密碼登陸統(tǒng)一認證服務(wù)；（2）統(tǒng)一認證服務(wù)創(chuàng)建了一個會話，同時將與該會話關(guān)聯(lián)的訪問認證令牌返回給用戶；（3）用戶使用這個訪問認證令牌訪問某個支持統(tǒng)一身份認證服務(wù)的應(yīng)用系統(tǒng)；（4）該應(yīng)用系統(tǒng)將訪問認證令牌傳入統(tǒng)一身份認證服務(wù)，認證訪問認證令牌的有效性；（5）統(tǒng)一身份認證服務(wù)確認認證令牌的有效性；（6）應(yīng)用系統(tǒng)接收訪問，并返回訪問結(jié)果，如果需要提高訪問效率的話，應(yīng)用系統(tǒng)可選擇返回其自身的認證令牌已使得用戶之后可以使用這個私有令牌持續(xù)訪問。

6.2 統(tǒng)一策略

統(tǒng)一策略平臺和分布式實施，其特點包括：（1）覆蓋有線.無線和 VPN的單一業(yè)務(wù)策略，托管和自帶設(shè)備資產(chǎn)，以及MDM集成；（2）基于情景的控制（包括何時、何處、何人、何事），應(yīng)用可視性與控制，以及高級分段；（3）特定于用戶的服務(wù)，包括自助入網(wǎng).訪客處理和基于位置的服務(wù)等。

6.3 統(tǒng)一管理

一種統(tǒng)一接入管理平臺，同時適用于網(wǎng)絡(luò)和移動性，其特點包括：（1）全面的可視性：采用單一平臺.以用戶和設(shè)備為中心的視角，且涵蓋了用戶、設(shè)備、位置和狀態(tài)等多方面；（2）運營高效性：構(gòu)建于自動設(shè)置和可編程網(wǎng)絡(luò)的基礎(chǔ)之上；（3）更低的TCO：通過直觀的故障排除，服務(wù)保證和能源管理節(jié)省時間。

注釋

①從數(shù)據(jù)中心的 XenServer（微軟的Hyper-V和VMware 的ESXi）服務(wù)器虛擬化到XenDesktop桌面虛擬化（Vmware VDI和微軟MED-V），再到XenAPP應(yīng)用程序虛擬化（微軟APP-V）。

②這些執(zhí)行點可以是廠商中立的、基于802.1X的任何接入點和交換機（如EX系列以太網(wǎng)交換機）；也可以是網(wǎng)絡(luò)防火墻平臺。

參考文獻

[1]袁浩.Internet接入·網(wǎng)絡(luò)安全[M].電子工業(yè)出版社，2011.

[2]趙洪林.淺析計算機網(wǎng)絡(luò)安全[J].林業(yè)科技情報，2010（1）.

[3]付婧一.現(xiàn)階段我國網(wǎng)絡(luò)問政存在的問題及其對策思考[D].東北師范大學(xué)，2013.

[4]李楠.內(nèi)網(wǎng)安全管理系統(tǒng)中安全評估技術(shù)的研究與實現(xiàn)[D].北京郵電大學(xué)，2011.

[5]向波.某涉密企業(yè)內(nèi)網(wǎng)安全管理策略的研究[D].電子科技大學(xué)，2010.

[6]洪躍強.內(nèi)網(wǎng)終端數(shù)據(jù)安全防護解決方案[J].海峽科學(xué)，2010（10）.

[7]張賢坤.基于案例推理的應(yīng)急決策方法研究[D].天津大學(xué)，2012.

[8]馬林.例述網(wǎng)絡(luò)接入安全[J].科技信息，2014（1）.