企業網絡數據安全問題分析及應對策略研究

呂發智

（玉溪市公安局，云南 玉溪　653100）

0　引言

互聯網的快速發展，促進了企業單位的信息化建設，互聯網豐富的資源和日益成熟的網絡建設在大大提高了企業的生產力和工作效率的同時，也給企業帶來巨大的效益[1-3]。然而，伴隨著網絡技術的發展，各類黑客行為和網絡攻擊技術給企業的持續、快速、健康、安全發展帶來困擾。近年來，大量企業的網絡安全問題披露出來，觸目驚心，如七天、如家等酒店的開房信息被泄露，給酒店帶來了負面效益的同時，也給民眾對私人信息的外漏帶來惶恐；卡巴斯基總部被黑客入侵，國家機密面臨泄漏的威脅；索尼官網被黑導致用戶信息泄露等，這些網絡安全問題足以引起全社會的關注，也充分說明：網絡安全是企業發展建設的重要內容，也是一項亟待解決的重要工程。

1　企業的網絡情況分析

企業網絡因為企業規模大小、行業差異、運營方式以及治理方式等的不同導致有著不同的網絡拓撲結構[4-5].目前主要分為兩種,一種是集中型[6]，這種類型的企業網絡一般在總部設立完善的網絡布局，通常是采取專線接入、ADSL接入或多條線路接入等網絡接入方式，一般網絡中的終端總數在幾十到幾百臺不等。在網絡中劃分若干子網，并部署與核心業務相關的服務器，如數據庫、郵件服務器、文檔資料庫、甚至ERP服務器。另外一種是分散型，這種類型的企業網絡是采取多分支機構辦公及移動辦公方式，各分支機構均勻網絡部署，數量不多。大的分支采取專線接入，一般采取ADSL接入方式，主要是通過訪問公司主機設備及資料庫通過郵件或內部進行業務溝通交流。圖1所示為分散型和集中型的綜合型企業網絡簡圖。

2　常見的企業安全問題

如上所述，企業網絡安全問題日益嚴重，網絡安全架構也面臨著多方面的威脅。綜合分析主要問題有以下幾個：

2.1　外網安全問題

外網安全問題是最常見的問題，主要有：非法接入、外網入侵、黑客攻擊、病毒傳播、漏洞利用、僵尸木馬，蠕蟲入侵等問題[7-8]，這些已經成為企業網絡安全最為廣泛的威脅。其中蠕蟲入侵是黑客們最常利用的入侵工具，這種病毒傳播速度快，一旦網絡系統遭到蠕蟲侵襲，不僅會造成網絡和系統處理性能的下降，網絡擁塞，同時也會對核心敏感數據造成威脅，導致業務和敏感數據受到威脅。

2.2　內網安全問題

內網問題是目前企業內部網絡最主要的安全問題，主要包括：帶寬和各種應用的濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制問題、病毒蠕蟲擴散、信息泄露等。

圖1　綜合型企業網絡架構簡圖Fig.1　Comprehensive enterprise network architecture diagram

2.3　網絡連接問題

網絡連接問題主要指內部網絡之間、內外網絡之間的連接問題，如企業總部、各地分支機構、第三方合作伙伴、辦公人員之間的網絡連接，這些既要保障信息的及時共享，又要防止機密信息泄露。對于不同的接入方其所擁有的權限，既要滿足企業的正常業務需求，又不能超越其網絡權限，避免越權訪問和敏感信息泄露。

2.4　運維管理安全

共享賬號安全隱患，設備繁多控制策略復雜，操作無法監管，內部操作不透明，外部操作不可控，沒有統一的身份管理平臺，頻繁切換應用程序登陸等問題困擾著企業網絡的安全運維管理。

3　企業網絡安全問題解決方案

針對上述網絡安全問題，提出如圖2所示網絡安全規劃圖，該安全系統主要有以下幾個部分構成：

防火墻系統：采用防火墻系統實現對內部網和廣域網進行隔離保護，對內部網絡中服務器子網通過單獨的防火墻設備進行保護。

入侵檢測系統：采用入侵檢測設備，作為防火墻的功能互補，提供對監控網段的攻擊的實時報警和積極響應。

網絡行為監控系統：對網絡內的上網行為進行規范，并監控上網行為，過濾網頁訪問，過濾郵件，限制上網聊天行為，組織非正當文件的下載行為。

圖2　網絡安全規劃圖Fig.2　Network security planning

病毒防護系統：強化病毒防護系統的應用策略和治理策略，增強病毒防護有效性。

垃圾郵件過濾系統：過濾郵件，組織垃圾郵件和病毒郵件的入侵。

移動用戶治理系統：對接入內部網移動設備進行安全控制，確保接入設備的安全性，有效防止病毒或黑客程序攻擊內網。

具體應對策略分為以下幾點：

3.1　做好網絡數據的安全隔離

當網絡系統遭到外部攻擊時，網絡運維部門應該及時對數據中心的服務器操作系統進行漏洞修補，操作系統應遵循最小化安裝的原則，關閉防火墻上的非必須端口，合理規劃網絡結構，通過采用VPN 技術，對重要數據進行內網和外網隔離[9-11]。對于較難發現的 Web 應用漏洞要引入第三方評測機構，納入企業的信息等級保護并到公安機關備案，提高黑客入侵的難度和入侵成本。

3.2　加強數據的訪問控制

數據訪問控制是指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段[12]，簡而言之就是保證合法用戶訪問受權保護的網絡數據資源，防止非法的主體進入受保護的網絡數據資源。事實上系統中用戶的密碼設置簡單、安全性能低是導致信息泄露的一個重要原因。建議在數據訪問控制時采用動態口令認證的方式，并與用戶的手機短信進行綁定發送，統一身份認證平臺記錄所有用戶在某個時段內的認證結果，如果出現某一個用戶多次認證失敗時，系統將對該用戶進行鎖定，避免了被窮舉攻擊的可能[13]。

3.3　數據的加密存儲與加密傳輸

數據加密技術是一種主動的安全防御策略，包括了數據存儲的加密和在數據傳輸過程中使用加密技術，數據加密的有點體現在能用很小的代價即可為信息提供相當大的安全保護[14]。主要的加密技術有對稱加密和非對稱加密兩種。從加密技術應用的邏輯位置看，有三種方式分別是鏈路加密，節點加密，端對端加密。不論哪種方式，在網絡傳輸和存儲中用密文代替明文，這樣即使發生入侵或信息泄露，黑客也要花費較大的力氣去進行數據解密。一旦攻擊和入侵的成本遠遠大于收益，它就會望而止步了。

3.4　網絡攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業網絡，并從中找到漏洞進入企業內部網絡，對企業信息進行盜取或更改。為避免惡意網絡攻擊企業可，以引進入侵檢測系統并將其與控制網絡訪問結合起來，對企業信息實行雙重保護[15]。根據企業的網絡結構將入侵檢測系統深入到企業內部網絡的各個環節，尤其是重要部門的機密信息中需要重點監護，利用防火墻技術實行企業網絡的第一道保護屏障，再配以檢測技術以及相關加密技術防火記錄用戶的身份信息，遇到無法識別的身份信息將數據傳輸給管理員。后續入侵檢測技術將徹底阻擋黑客攻擊，并對黑客身份信息進行分析。即時黑客通過這些得到的也是經過加密的數據，難以從中得到有效信息。通過這些網絡安全技術的配合，全方位消除來自網絡黑客的攻擊，保障企業網絡安全。

3.5　重要信息和數據的安全備份及網絡安全產品相關日志的保留

在當前的網絡空間攻防過程中，國內的網絡防御與國外的黑客組織在技術層面的較量中暫時處于弱勢，所以對于企業中的人事信息、商業機密、客戶資料、財務狀況等重要數據，要做到異地備份。這樣即便遭遇了類似“勒索病毒”的感染，也可通過備份對數據進行恢復。特別需要注意的是《網絡安全法》中明確規定[11]：各類防火墻、路由設備、服務器日志文件要保留 6 個月以上。一般來說清晰完整的日志留存能保證在網絡遭到攻擊后，能迅速準確的明晰黑客的攻擊手段，定位黑客的攻擊來源，避免事故的進一步擴大。

4　結論

隨著網絡時代的蓬勃發展，網絡技術將會在未來很長一段時間內在企業的運轉中發揮難以取代的作用，企業網絡安全也將長期伴隨企業經營管理，因此必須對企業網絡實行動態管理，采取必要的網絡安全預防策略，保障網絡安全，為企業的健康快速發展建立安全的網絡環境。