中小企業網絡安全與網絡管理

摘要：本文對中小企業網絡安全與網絡管理進行了簡要論述。

關鍵詞：網絡安全 網絡管理

中國擁有四千萬中小企業，據權威部門調研發現，90%以上的中小企業至少都已經建立了內部網絡。但是，隨之而來的，就是企業內部網絡的安全性問題。多核、萬兆安全、云安全這些新技術對于他們而言或許過于高端，中小企業應該如何進行網絡安全管理？又該從哪入手呢？

1 企業內部網絡建設的三原則

在企業網絡安全管理中，為員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。

原則一：最小權限原則

最小權限原則要求我們在企業網絡安全管理中，為員工僅僅提供完成其本職工作所需要的信息訪問權限，而不提供其他額外的權限。

如企業現在有一個文件服務器系統，為了安全的考慮，我們財務部門的文件會做一些特殊的權限控制。財務部門會設置兩個文件夾，其中一個文件夾用來放置一些可以公開的文件，如空白的報銷憑證等等，方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件，只有企業高層管理人員才能查看，如企業的現金流量表等等。此時我們在設置權限的時候，就要根據最小權限的原則，對于普通員工與高層管理人員進行發開設置，若是普通員工的話，則其職能對其可以訪問的文件夾進行查詢，對于其沒有訪問權限的文件夾，則服務器要拒絕其訪問。

原則二：完整性原則

完整性原則指我們在企業網絡安全管理中，要確保未經授權的個人不能改變或者刪除信息，尤其要避免未經授權的人改變公司的關鍵文檔，如企業的財務信息、客戶聯系方式等等。

完整性原則在企業網絡安全應用中，主要體現在兩個方面。一是未經授權的人，不能更改信息記錄。二是指若有人修改時，必須要保存修改的歷史記錄，以便后續查詢。

原則三：速度與控制之間平衡的原則

我們在對信息作了種種限制的時候，必然會對信息的訪問速度產生影響。為了達到這個平衡的目的，我們可以如此做。一是把文件信息進行根據安全性進行分級。對一些不怎么重要的信息，我們可以把安全控制的級別降低，從而來提高用戶的工作效率。二是盡量在組的級別上進行管理，而不是在用戶的級別上進行權限控制。三是要慎用臨時權限。

2 企業內部網絡暴露的主要問題

2.1 密碼單一

2.1.1 郵件用統一密碼或者有一定規律的密碼

對于郵件系統、文件服務器、管理系統等等賬戶的密碼，設置要稍微復雜一點，至少規律不要這么明顯，否則的話，會有很大的安全隱患。

2.1.2 重要文檔密碼復雜性差，容易破解

縱觀企業用戶，其實，他們對于密碼的認識性很差。有不少用戶，知道對一些重要文檔要設置密碼，但是，他們往往出于方便等需要，而把密碼設置的過于簡單。故我們對用戶進行網絡安全培訓時，要在這方面給他們重點提示才行。

2.2 網絡擁堵、沖突

2.2.1 下電影、游戲，大量占用帶寬資源

現在不少企業用的都是光纖接入，帶寬比較大。但是，這也給一些酷愛電影的人，提供了契機。他們在家里下電影，下載速度可能只有10K，但是，在公司里下電影的話，速度可以達到1M，甚至更多。這對于喜歡看電影的員工來說，有很大的吸引力。

2.2.2 IP地址隨意更改，導致地址沖突

有些企業會根據IP設置一些規則，如限制某一段的IP地址不能上QQ等等一些簡單的設置。這些設置的初衷是好的，但是也可能會給我們網絡維護帶來一些麻煩。

2.3 門戶把關不嚴

2.3.1 便攜性移動設備控制不嚴

雖然我們公司現在對于移動存儲設備，如U盤、移動硬盤、MP3播放器等的使用有嚴格的要求，如要先審批后使用，等等。但是，很多用戶還是私自在使用移動存儲設備。

私自采用便攜性移動存儲設備，會給企業的內部網絡帶來兩大隱患。

一是企業文件的安全。因為企業的有些重要文件，屬于企業的資源，如客戶信息、產品物料清單等等，企業規定是不能夠外傳的。二是，若利用移動存儲設備，則病毒就會漏過我們的設在外圍的病毒防火墻，而直接從企業的內部侵入。

2.3.2 郵件附件具有安全隱患

郵件附件的危害也在慢慢增大?，F在隨著電子文檔的普及，越來越多的人喜歡利用郵件附件來傳遞電子文檔。而很多電子文檔都是OFFICE文檔、圖片格式文件或者RAR壓縮文件，但是，這些格式的文件恰巧是病毒很好的載體。

據相關網站調查，現在郵件附件攜帶病毒的案例在逐年攀升。若企業在日常管理中，不加以控制的話，這遲早會影響企業的網絡安全。

3 企業內部網絡的日常行為管理

由于組織內部員工的上網行為復雜多變，沒有哪一付靈藥包治百病，針對不同的上網行為業界都已有成熟的解決方案?，F以上網行為管理領域領導廠商深信服科技的技術為基礎，來簡單介紹一下基本的應對策略。

3.1 外發Email的過濾和延遲審計。

防范Email泄密需要從事前和事后兩方面考慮。首先外發前基于多種條件對Email進行攔截和過濾，但被攔截的郵件未必含有對組織有害的內容，如何避免機器識別的局限性？深信服提供的郵件延遲審計技術可以攔截匹配上指定條件的外發Email，人工審核后在外發，確保萬無一失。

事后審計也不容忽視。將所有外發Email全部記錄，包括正文及附件。另外由于Webmail使用的普遍，對Webmail外發Email也應該能做到過濾、記錄與審計。

3.2 URL庫+關鍵字過濾+SSL加密網頁識別。

通過靜態預分類URL庫實現明文網頁的部分管控是基礎，但同時必須能夠對搜索引擎輸入的關鍵字進行過濾，從而實現對靜態URL庫更新慢、容量小的補充。而對于SSL加密網頁的識別與過濾，業界存在通過代理SSL加密流量、解密SSL加密流量的方式實現，但對于組織財務部、普通員工操作網上銀行賬戶的數據也被解密顯然是存在極大安全隱患的。深信服上網行為管理設備通過對SSL加密網站的數字證書的進行識別、檢測與過濾，既能滿足用戶過濾 SSL加密網址的要求，同時也不會引入新的安全隱患。

3.3 網絡上傳信息過濾。

論壇灌水、網絡發貼、文件上傳下載都需要基于多種關鍵字進行過濾，并應該能對所有成功上傳的內容進行詳細記錄以便事后查驗。但這是不夠的，如藏污納垢的主要場所之一的互聯網WEB聊天室絕大多數都是采用隨機動態端口訪問，識別、封堵此類動態端口網址成為當下上網行為管理難題之一，只有部分廠商能妥善解決該問題，這是用戶在選擇上網行為管理網關時需要著重考慮的問題。

3.4 P2P的精準識別與靈活管理。

互聯網上的P2P軟件層出不窮，如果只能封堵“昨天的BT”顯然是不足的。在P2P的識別方面深信服科技的P2P智能識別專利技術——基于行為統計學的分析的確有其獨到之處。基于行為特征而非基于P2P軟件本身精準識別了各種P2P，包括加密的、不常見的、版本泛濫的等。有了精準識別，這樣的設備對P2P的流控效果格外出眾。

3.5 管控各種非工作無關網絡行為。

業界領先廠商都已摒棄基于IP、端口的應用識別方式，而采用基于應用協議特征碼的深度內容檢測技術，區別僅在于哪個廠商的應用識別庫最大、更新最快。基于精準的應用識別，加上針對不同用戶、時間段分配不同的網絡訪問策略，必將提升員工的工作效率。

伴隨著組織內網員工非善意上網行為的泛濫與蔓延，符合中國客戶需求的上網行為管理技術與解決方案也將快速發展，以持續滿足廣大用戶的需求。