企業(yè)網(wǎng)信息安全建設(shè)研究

2019-12-23 15:57◆胡銳

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2019年11期

◆胡銳

（中車長春軌道客車股份有限公司吉林 130000）

隨著互聯(lián)網(wǎng)的發(fā)展，企業(yè)網(wǎng)信息安全問題現(xiàn)在越來越突出了。企業(yè)網(wǎng)信息安全面臨的威脅概括而言，其中針對網(wǎng)絡(luò)安全的威脅主要有三種：

（1）人為的無意失誤。如管理員安全配置不當(dāng)造成的安全漏洞對網(wǎng)絡(luò)安全帶來威脅。

（2）人為的惡意攻擊。包括以各種方式有選擇地破壞信息的有效性和完整性的主動攻擊和截獲、竊取、破譯以獲得重要機(jī)密信息的被動攻擊。手段包括密碼分析、身份假冒、拒絕服務(wù)、漏洞利用、惡意代碼、社會工程、數(shù)據(jù)竊聽、物理破壞。

（3）軟件的漏洞和“后門”。軟件的漏洞和缺陷以及軟件公司設(shè)計編程人員為了自便而設(shè)置的“后門”就是黑客進(jìn)行攻擊的首選目標(biāo)。

1 企業(yè)網(wǎng)信息安全需求

針對這些網(wǎng)絡(luò)安全的威脅。企業(yè)網(wǎng)的信息安全需求包括：

（1）解決網(wǎng)絡(luò)的邊界安全，因為它是外來攻擊的入口。

（2）要保證網(wǎng)絡(luò)內(nèi)部的安全。

（3）要實現(xiàn)系統(tǒng)安全和數(shù)據(jù)安全。

（4）建立全網(wǎng)通行的身份識別系統(tǒng)，實現(xiàn)用戶的統(tǒng)一管理。

（5）在身份識別和資源統(tǒng)一管理的基礎(chǔ)之上，實現(xiàn)統(tǒng)一的授權(quán)管理，在用戶和資源之間進(jìn)行嚴(yán)格的訪問控制。

（6）信息傳輸時實現(xiàn)數(shù)據(jù)完整性和保密性。

（7）建立一整套審計、記錄的機(jī)制，記錄網(wǎng)上發(fā)生的事情，再根據(jù)記錄進(jìn)行事后的處理。

（8）把技術(shù)手段和行政手段融為一體，形成全局安全管理。

2 企業(yè)網(wǎng)信息安全建設(shè)分析

針對以上企業(yè)網(wǎng)信息安全需求，一種或幾種網(wǎng)絡(luò)安全技術(shù)是不能滿足企業(yè)安全需要的。因為企業(yè)網(wǎng)是一個層次結(jié)構(gòu)，其安全也是一個層次結(jié)構(gòu)。在網(wǎng)絡(luò)的不同層次，有不同的安全需求和不同的解決方案。網(wǎng)絡(luò)安全方案只有覆蓋多個層次，方案才是可靠、安全、沒有漏洞的。

同時，技術(shù)手段與管理手段也需要結(jié)合。對于企業(yè)網(wǎng)來說，管理的失敗是網(wǎng)絡(luò)安全體系失敗的非常重要的原因。最近報道的若干網(wǎng)絡(luò)入侵案件證明了這一點(diǎn)。網(wǎng)絡(luò)管理員升級網(wǎng)絡(luò)應(yīng)用不及時造成的安全漏洞、隨意使用下載的軟件、脆弱的用戶口令等等這些管理落實上的問題是安全策略和網(wǎng)絡(luò)安全技術(shù)體系都不能解決的。

網(wǎng)絡(luò)安全概念中有一個"木桶"理論，網(wǎng)絡(luò)安全系統(tǒng)的強(qiáng)度取決于其中最為薄弱的一環(huán)。這是由攻擊和防守的特性決定的。相對于攻擊來說，防守的任務(wù)更為艱巨，任何一個節(jié)點(diǎn)、某個服務(wù)、某個軟件、某個用戶的脆弱口令等等都可能造成整個防御系統(tǒng)的失效。攻擊者只要找到一處，則攻擊往往就成功了多半。

因此，必須針對目前網(wǎng)絡(luò)所面臨的各種威脅，結(jié)合企業(yè)網(wǎng)絡(luò)安全的需求，在網(wǎng)絡(luò)的不同層次，采用不同的解決方案，并將它們結(jié)合起來綜合應(yīng)用，才能構(gòu)成企業(yè)網(wǎng)絡(luò)安全體系。

3 企業(yè)網(wǎng)信息安全建設(shè)要點(diǎn)

（1）遵照ISO 27001（信息安全管理體系要求）、公安部（等級保護(hù)、82號令）、保密局以及SOX法案等國際、國家標(biāo)準(zhǔn)和行業(yè)法規(guī)，對企業(yè)信息安全進(jìn)行整體規(guī)劃。同時，進(jìn)行信息安全體系架構(gòu)設(shè)計，主要包括管理體系、技術(shù)體系和運(yùn)維體系。

（2）識別關(guān)鍵業(yè)務(wù)領(lǐng)域保密信息、設(shè)計企業(yè)信息安全高壓線和關(guān)鍵業(yè)務(wù)領(lǐng)域保密信息的“保險柜”，保障企業(yè)信息資產(chǎn)安全。

（3）實施關(guān)鍵信息系統(tǒng)安全等級保護(hù)測評與整改，使核心信息化基礎(chǔ)資源和重要信息系統(tǒng)得到有效保護(hù)和較大改善。

（4）全面構(gòu)建和完善信息安全管理體系，主要包含流程、規(guī)范、制度的一級、二級、三級文件等。

（5）全面構(gòu)建和完善信息安全技術(shù)體系。

（6）全面構(gòu)建和完善信息安全運(yùn)維體系，主要包含安全測評、安全監(jiān)測、安全審計、跟蹤報警等。特別是日常要利用監(jiān)測技術(shù)手段對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測、分析、預(yù)警和處置。

（7）構(gòu)建信息安全風(fēng)險度量體系，基于業(yè)務(wù)需求的變化調(diào)整管控措施，保證信息安全風(fēng)險管控水平與業(yè)務(wù)需求同步，以促進(jìn)業(yè)務(wù)效率與信息安全雙提升。

（8）按照PDCA（即計劃、實施、檢查、改進(jìn)）的螺旋式上升過程持續(xù)優(yōu)化信息安全體系，通過信息安全風(fēng)險評估、滲透測試，識別出信息安全管理風(fēng)險、技術(shù)風(fēng)險，調(diào)整和強(qiáng)化信息安全管控措施，提高信息安全管控水平。

4 企業(yè)網(wǎng)信息安全技術(shù)體系建設(shè)方法

（1）客戶端計算機(jī)安全。對所有接入計算機(jī)部署網(wǎng)絡(luò)版防病毒軟件、終端安全軟件和加密軟件。對無線接入設(shè)備進(jìn)行有效的管理，統(tǒng)一管控。對接入交換機(jī)啟用終端計算機(jī)接入統(tǒng)一身份認(rèn)證系統(tǒng)。對用戶進(jìn)行雙因子認(rèn)證，防止密碼竊取。對重點(diǎn)終端計算機(jī)部署客戶端審計系統(tǒng)，實現(xiàn)客戶端重要信息資產(chǎn)的審計。

（2）內(nèi)外網(wǎng)隔離，安裝網(wǎng)閘，進(jìn)行內(nèi)外網(wǎng)信息傳輸控制。

（3）企業(yè)網(wǎng)內(nèi)根據(jù)信息資產(chǎn)的重要性和受控范圍，實行分區(qū)管理，采用防火墻進(jìn)行隔離，特別是子企業(yè)、分企業(yè)。開放指定的、最小權(quán)限的應(yīng)用，在滿足應(yīng)用服務(wù)的前提條件下，關(guān)閉其他所有的服務(wù)及端口。

（4）對企業(yè)內(nèi)外部網(wǎng)絡(luò)部署威脅感知系統(tǒng)來監(jiān)控內(nèi)外網(wǎng)的網(wǎng)絡(luò)流量情況并進(jìn)行統(tǒng)計分析，進(jìn)行內(nèi)外網(wǎng)的定向攻擊、APT攻擊檢測與分析工作。利用大數(shù)據(jù)、威脅情報及可視化分析等多種先進(jìn)技術(shù)，回溯攻擊過程、分析攻擊技術(shù)及其影響范圍，確定攻擊目的。

（5）部署漏洞掃描系統(tǒng)，對企業(yè)網(wǎng)絡(luò)、服務(wù)器、終端計算機(jī)進(jìn)行漏洞檢測和分析，對漏洞所造成的威脅、風(fēng)險進(jìn)行評估、修復(fù)，使其風(fēng)險控制在可控接受范圍之內(nèi)。

（6）在服務(wù)器前部署堡壘機(jī)，用來監(jiān)控系統(tǒng)管理員對服務(wù)器的日常維護(hù)記錄審計，發(fā)現(xiàn)攻擊或是非法侵入，并對此進(jìn)行防范、改正及解決。

（7）在應(yīng)用服務(wù)器前部署應(yīng)用防火墻，審計計算機(jī)用戶在服務(wù)器上的瀏覽、下載數(shù)據(jù)等操作，并按照關(guān)鍵字、通配符等信息對重要的信息資產(chǎn)進(jìn)行審計、報警，同時設(shè)置數(shù)據(jù)下載量的閾值觸發(fā)報警功能；同時開啟安全防護(hù)功能，防止來自網(wǎng)絡(luò)上的攻擊。例如在網(wǎng)站前部署Web應(yīng)用防火墻進(jìn)行漏洞監(jiān)測、網(wǎng)頁篡改監(jiān)測、網(wǎng)頁掛馬監(jiān)測、內(nèi)容變更監(jiān)測、黑詞監(jiān)測、黑鏈監(jiān)測、敏感詞監(jiān)測、網(wǎng)站可用性監(jiān)測、DDOS攻擊監(jiān)測、未知資產(chǎn)監(jiān)測、釣魚/仿冒網(wǎng)站監(jiān)測，并將監(jiān)測的內(nèi)容通過人工核查形成報表，進(jìn)行分析和日志留存，提供網(wǎng)站的運(yùn)行狀態(tài)，防護(hù)企業(yè)對外發(fā)布的內(nèi)容被篡改。

（8）在郵件服務(wù)器前段布置垃圾郵件過濾，防范釣魚郵件；部署郵件歸檔審計系統(tǒng)，實現(xiàn)對企業(yè)電子郵件進(jìn)行歸檔、審計，防范郵件泄密。

（9）在互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)版數(shù)據(jù)防泄露系統(tǒng)，對通過郵件、IM、ftp等工具及相關(guān)的協(xié)議進(jìn)行傳輸?shù)闹匾畔①Y產(chǎn)進(jìn)行審計、報警；主要對重要信息資產(chǎn)的信息進(jìn)行檢測，如：主題、正文及附件通過策略設(shè)定的關(guān)鍵字、通配符、相似度、指紋等信息進(jìn)行審計，對符合策略要求的傳輸進(jìn)行審計并觸發(fā)報警機(jī)制。

（10）部署上網(wǎng)行為管理系統(tǒng)，主要控制內(nèi)部用戶訪問互聯(lián)網(wǎng)進(jìn)行控制及審計，通過策略實現(xiàn)哪個部門可以訪問哪些網(wǎng)站、url的過濾和控制，并對用戶訪問的網(wǎng)址進(jìn)行審計，提高互聯(lián)網(wǎng)帶寬的使用效率，并根據(jù)國家公安部的要求，對進(jìn)行上網(wǎng)的日志進(jìn)行保留，防范上外網(wǎng)泄密。

（11）對企業(yè)重要數(shù)據(jù)庫服務(wù)器部署數(shù)據(jù)庫審計防護(hù)系統(tǒng)，實現(xiàn)實時的全面記錄數(shù)據(jù)庫實際發(fā)生的操作情況；可疑行為發(fā)生時啟動預(yù)先設(shè)置的告警流程；一旦發(fā)生非法操作，觸發(fā)防御策略，實行阻斷。

（12）建立遠(yuǎn)程辦公VPN系統(tǒng)，利用SSL安全機(jī)制中的數(shù)字證書和加密技術(shù)保障數(shù)據(jù)的安全，按權(quán)限控制訪問內(nèi)容。

（13）部署日志審計系統(tǒng)，進(jìn)行實時的日志審計分析和告警，將設(shè)備防護(hù)日志進(jìn)行存儲和保存，提供訪問安全事件回溯功能，實時感知網(wǎng)絡(luò)邊界安全態(tài)勢。

5 結(jié)束語