淺析煙草商業企業互聯網接入安全與風險控制

趙剛 孫全建 張云霞

摘 要：文章以作者所在企業山東泰安煙草有限公司為例，從企業互聯網接入風險入手，通過現有和今后可能建立的接入方式和管控技術分析。根據互聯網接入風險的重要程度、控制難度等因素，提出控制的思路和措施。通過關鍵控制點進行安全管理。探討較為科學合理的互聯網接入安全管理模式。

關鍵詞：互聯網；接入安全；風險；控制

隨著互聯網的快速發展，為企業運行和發展提供了越來越多的便利，通常情況下，企業局域網中存有大量的單位內部的敏感信息，具有極高的商務和政治價值。因此其安全保密是至關重要的，要保證內域網不被非法入侵和破壞，網中的敏感信息不被非法竊取和篡改，同時還要保證網內用戶和網外用戶之間正常連通，向他們提供應有的服務。這些安全業務都需要完善的安全管理作為支撐。文章以作者所在企業山東泰安煙草有限公司為例，從企業互聯網接入風險入手，通過現有和今后可能建立的接入方式的脆弱性和潛在的威脅分析。根據互聯網接入風險的重要程度、控制難度等因素，提出控制的思路和措施。通過風險控制措施的成本和有效性分析。探討較為科學合理的互聯網接入安全管理模式。

1 意義與背景

1.1 行業需求方面

隨著山東煙草信息化建設的深入開展，一線工作對于網上信息的完整性、及時性、準確性的要求日趨強烈。通過山東煙草內部網絡更廣泛地采集社會信息，并向有關單位提供信息資源和服務已逐漸成為煙草行業信息化發展的必然趨勢。同時，煙草內部業務網也將面臨來自其他網絡的攻擊、入侵、病毒、木馬、探頭等各種類型的安全威脅，存在很大的安全風險。

煙草行業越來越多的業務系統需要通過互聯網進行訪問和發布，不論是企業網站郵件系統還是新商盟系統，在煙草行業地位愈來愈重要。企業用戶接入互聯網也成為必然需求，互聯網已成為煙草行業中最重要的基礎設施，但是當前的互聯網設計并不安全，網絡空間開始無邊界，安全孤島將不復存在，脆弱的技術、網絡匿名等容易被一些非法組織和個人為所欲為的利用，由此將給企業帶來諸多安全威脅。

1.2 政策及法規要求方面

在互聯網安全接入研究方面，要落實國家及有關部門政策要求，積極響應主管單位及其監管部門關于互聯網安全相關規定，內容包括：

（1）《全國人民代表大會常務委員會關于維護互聯網安全的決定》；（2）《計算機信息網絡國際互聯網安全保護管理辦法》第十條；（3）《互聯網信息服務管理辦法》；（4）《互聯網安全保護技術措施規定》第七條、第八條。

2 國內外相關研究現狀

隨著Internet的快速發展，Intranet作為因特網技術運用于單位、部門和企業專用網的產物，也得到迅速普及發展。Intranet并非是地域上的概念，而是在信息空間上的虛擬網絡概念，如一個國家外交系統的內域網用戶可能分布全球。它在原有專用網的基礎上增加了服務器、服務器軟件、Web內容制作工具和瀏覽器，與因特網連通，從而使內域網充滿了生機和活力。內域網為公司和單位信息的散播和利用提供了極為便利的條件。瀏覽器為網上用戶提供信息，服務器對網絡進行管理、組織和存儲信息，并提供必要的安全服務。通常情況下，Intranet中則存有大量的單位內部的敏感信息，具有極高的商務、政治和軍事價值。因此，Intranet是一種半封閉甚至是全封閉的集中式可控網，其安全保密是至關重要的，要保證內域網不被非法入侵和破壞，網中的敏感信息不被非法竊取和篡改，同時還要保證網內用戶和網外用戶之間正常連通，向他們提供應有的服務。這些安全業務都需要一個完善的接入控制機制。

2013年9月中國互聯網安全大會就互聯網時代的企業安全趨勢撰寫了此《互聯網時代的企業安全發展趨勢》。針對目前如此嚴峻的企業內部與外部安全形勢，報告建議，企業內部安全應該加強邊界防御、云端防御、終端防御和APT攻擊檢測防御，形成一個真正的立體防御體系。在云端安全使用分布式存儲、分布式計算/并行計算、機器學習技術、準實時處理；邊界方案中通過信息采集，進行協議還原對通信進行準入管理，阻斷攻擊；終端安全中實現網絡準入控制、程序準入控制、硬件準入控制。

2013年12月中國和韓國互聯網圓桌會議在韓國首爾舉行，會議的主題是“互聯網的發展與安全”倡導共同維護網絡空間安全：一是共同維護網絡主權安全，將互聯網納入到聯合國多邊治理框架下，構建和平共處、互利共贏的網絡主權安全新秩序；二是共同維護信息安全，加強網絡信息安全合作，打擊網絡不法行為，讓信息安全有序流動；三是共同維護隱私安全，加大個人信息保護力度，讓互聯網成為安全網、放心網；四是共同維護技術安全，希望加強與韓方合作，推動核心技術、關鍵設備、移動終端等方面攻關，為互聯網保駕護。

中國網絡安全大會（NSC2013）研究到移動終端安全接入問題，移動/BYOD設備打開了一個全新的攻擊層面，黑客能夠利用這些可尋漏洞進入到企業網絡中，從而獲取到所需的數據。黑客使用不同的技術對移動/BYOD設備發動惡意攻擊，通過種種感染方式（例如MMS、SMS、email、藍牙、WiFi、用戶安裝、自安裝、內存卡分配和USB）和拒絕服務的攻擊方式（例如藍牙劫持、SMS拒絕、不完整的OEBX信息、不完整的格式字符串和SMS信息）來部署惡意軟件（例如病毒、蠕蟲、特諾伊木馬和間諜程序），還有發動移動消息攻擊（例如短信詐騙、短信垃圾、惡意短信內容、SMS/MMS漏洞利用）。

3 煙草商業企業網絡結構和互聯網接入方式的分析

就全煙草行業而言，由于互聯網的接入形式多種多樣，因此項目在設計過程中要考慮多個方面比如企業本地互聯網接入、虛擬專用網接入VPN、虛擬化互聯網接入、來賓訪客接入等等。接入的終端類型包括計算機PC終端、筆記本、瘦客戶機、智能手機、平板電腦等等。接入過程中我們要綜合考慮，以便能夠適應以上接入形式和終端類型。

3.1 本地光纖接入

光纖是寬帶網絡中多種傳輸媒介中最理想的一種，它的特點是傳輸容量大、傳輸質量好、損耗小、中繼距離長等。

3.2 無線接入

無線接入技術（也稱空中接口）是無線通信的關鍵問題。它是指通過無線介質將用戶終端與網絡節點連接起來，以實現用戶與網絡間的信息傳遞。無線信道傳輸的信號應遵循一定的協議，這些協議即構成無線接入技術的主要內容。無線接入技術與有線接入技術的一個重要區別在于可以向用戶提供移動接入業務。

3.3 VPN接入

虛擬專用網絡（Virtual Private Network，簡稱VPN）指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺。

3.4 移動互聯網技術

隨著智能手機、平板電腦等移動設備的出現，移動平臺開始進入大眾市場，為移動電子商務、移動電子政務的發展提供了極大的成長空間，移動應用已成為企業創新管理模式的一種趨勢。

目前移動互聯網的三種商業模式都源自于門戶模式的成功實踐：一是“平臺+服務”模式，定位于價值鏈控制力；二是“終端+應用”模式，定位于用戶需求整體解決方案；三是“軟件+門戶”模式，定位于最佳產品服務。門戶模式已成為運營商、終端廠商、信息服務提供商的戰略選擇。不同領域的企業均在基于自身業務體系和競爭優勢構建具有主導權的商業模式，以應對網絡融合趨勢給移動互聯網發展帶來的不確定性和競爭。

3.5 虛擬化模式

虛擬化，原本是指資源的抽象化，也就是單一物理資源的多個邏輯表示，或者多個物理資源的單一邏輯表示，是對真實計算環境的抽象和模擬。①

4 關鍵控制環節

通過各種接入方式的脆弱性和潛在的威脅分析；得出風險列表和各風險的重要程度、控制難度等。風險控制和管理主要指用戶接入網絡和接入互聯網兩個部分。接入過程的安全風險包括非法用戶訪問、網絡蠕蟲攻擊、攜帶病毒不安全狀態電腦接入、數據泄露等的呢；在接入互聯網過程中安全風險包括非授權訪問互聯網、訪問非法網站、非法占用企業互聯網資源、非法下載、行為未記錄審計等等。

針對以上安全風險，必須要實現風險控制和管理，風險控制機管理主要集中的兩個環節，第一環節為網絡接入環節，第二環節為互聯網接入環節。

第一環節網絡接入控制環節：

移動用戶接入及其身份認證：網絡準入管理；網絡IP-MAC管理；終端安全管理；MDM安全管理。

第二環節互聯網接入控制環節：

上網行為身份管理；上網行為訪問管理；流量控制與管理；行為安全審計。

5 目前可用的接入安全管理技術

5.1 網絡IP-MAC地址管理技術

支持DHCP+邊界準入和訪客授權控制功能。系統原理是在終端通過DHCP請求分配地址時，進行準入控制，適用于任何通過DHCP分配IP地址的網絡，易于安裝和配置。

通過對MAC動態授權操作，進行接入控制。可以將接入客戶端，按安全級別分為永久授權客戶端（分配固定IP地址）、永久授權客戶端（分配動態IP地址）、臨時授權客戶端、未授權客戶端。

5.2 網絡接入認證控制技術

網絡接入控制管理能夠強制提升企業網絡終端的接入安全，保證企業網絡保護機制不被間斷，使網絡安全得到更有效提升。與此同時基于設備接入控制網關，還可以對于遠程接入企業內部網絡的計算機進行身份、唯一性及安全認證。

可通過UAC代理或UAC無代理模式來收集用戶權限、端點安全狀態和設備位置數據，以便制訂動態接入和安全策略并且指揮整個網絡中的執行點去執行這些策略。②

5.3 VPN技術

SSL VPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。SSL協議可分為兩層：SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

5.4 終端安全檢查

終端安全管理包括兩部分，第一是普通計算機終端安全檢查（臺式機、筆記本、瘦客戶端等），第二類是移動終端安全檢查（智能手機、IPAD等）。計算機終端安全管理至少應當實現終端安全修復、終端訪問控制、桌面管理、安全審計、移動存儲管理一體化管理、簡單易維護。

內容包括：.終端安全控制、桌面合規管理、終端泄密控制、終端審計、設備注冊與分組管理、設備管理以及應用管理等。

5.5 上網行為管理技術

對企業內訪問互聯網用戶進行行為控制與管理。提供專業的用戶管理、應用控制、網頁過濾、內容審計、流量管理和行為分析等功能。實現上網行為可視、減少安全風險，減少信息泄密、遵從法律法規、提升工作效率、優化帶寬資源。

對移動上網實現管理，必須基于人、應用、內容、終端、位置五個維度進行有效識別和控制。在行為管理領域完整引入終端、區域信息，并可針對訪客進行有效的準入和管控。

5.6 流量控制與管理

基于網絡的流量現狀和流量管控策略，對數據流進行識別分類，并實施流量控制、優化和對關鍵IT應用進行保障的相關技術。包括：應用封堵、流量限速、每用戶帶寬上限、流量限額和連接控制等手段。

6 有效的風險管控模式

通過“統一認證、統一策略、統一管理、統一網絡”的思路管控實現較為有效的風險管控模式。

6.1 統一認證

統一認證主要采用相同的用戶認證數據庫，在企業建立互聯網接入的認證數據庫，數據庫內涵蓋移動用戶、本地企業用戶的所有認證信息，當一個用戶采用多種終端訪問互聯網時，保持身份認證的唯一性。

身份認證一般與授權控制策略是相互聯系的，授權控制是指一旦用戶的身份通過認證以后，確定哪些資源該用戶可以訪問、可以進行何種方式的訪問操作等問題。

（1）用戶使用在統一認證服務注冊的用戶名和密碼登陸統一認證服務；（2）統一認證服務創建了一個會話，同時將與該會話關聯的訪問認證令牌返回給用戶；（3）用戶使用這個訪問認證令牌訪問某個支持統一身份認證服務的應用系統；（4）該應用系統將訪問認證令牌傳入統一身份認證服務，認證訪問認證令牌的有效性；（5）統一身份認證服務確認認證令牌的有效性；（6）應用系統接收訪問，并返回訪問結果，如果需要提高訪問效率的話，應用系統可選擇返回其自身的認證令牌已使得用戶之后可以使用這個私有令牌持續訪問。

6.2 統一策略

統一策略平臺和分布式實施，其特點包括：（1）覆蓋有線.無線和 VPN的單一業務策略，托管和自帶設備資產，以及MDM集成；（2）基于情景的控制（包括何時、何處、何人、何事），應用可視性與控制，以及高級分段；（3）特定于用戶的服務，包括自助入網.訪客處理和基于位置的服務等。

6.3 統一管理

一種統一接入管理平臺，同時適用于網絡和移動性，其特點包括：（1）全面的可視性：采用單一平臺.以用戶和設備為中心的視角，且涵蓋了用戶、設備、位置和狀態等多方面；（2）運營高效性：構建于自動設置和可編程網絡的基礎之上；（3）更低的TCO：通過直觀的故障排除，服務保證和能源管理節省時間。

注釋

①從數據中心的 XenServer（微軟的Hyper-V和VMware 的ESXi）服務器虛擬化到XenDesktop桌面虛擬化（Vmware VDI和微軟MED-V），再到XenAPP應用程序虛擬化（微軟APP-V）。

②這些執行點可以是廠商中立的、基于802.1X的任何接入點和交換機（如EX系列以太網交換機）；也可以是網絡防火墻平臺。

參考文獻

[1]袁浩.Internet接入·網絡安全[M].電子工業出版社，2011.

[2]趙洪林.淺析計算機網絡安全[J].林業科技情報，2010（1）.

[3]付婧一.現階段我國網絡問政存在的問題及其對策思考[D].東北師范大學，2013.

[4]李楠.內網安全管理系統中安全評估技術的研究與實現[D].北京郵電大學，2011.

[5]向波.某涉密企業內網安全管理策略的研究[D].電子科技大學，2010.

[6]洪躍強.內網終端數據安全防護解決方案[J].海峽科學，2010（10）.

[7]張賢坤.基于案例推理的應急決策方法研究[D].天津大學，2012.

[8]馬林.例述網絡接入安全[J].科技信息，2014（1）.