企業網絡安全誤區及解決方法

■ 上海 范劭林

編者按：隨著企業對網絡安全的重視以及合規的要求，越來越多的企業加大了對網絡安全的投入力度，但投入未必能換來安全，很多企業對網絡安全并沒有全面而深入的了解，尚存在一定誤區。

很多企業在網絡安全建設中，對網絡安全防護體系的搭建和對政策的理解有一些常見的誤區。筆者將根據自身的測評經歷與項目經驗，對測評過程中的網絡安全層面出現的常見問題進行匯總并給出一些解決方案，希望能有助于企業更健全搭建網絡安全體系，并對網絡安全有更多的了解。

高投入不等于絕對安全

筆者在實際測評過程中也聽到過網絡負責人的詢問，我們公司今年為了這個系統購買了幾十萬的安全設備，這個系統應該很安全吧？在很多時候，企業在購買安全防護設備，例如防火墻、網絡應用防護設備、態勢感知、審計設備等硬件設備，往往是投入重金進行購置。

對于網絡安全防護來說，工欲善其事，必先利其器，這個道理大家都很清楚，但是網絡安全真的只是一些安全工具，再派幾個負責人去監測設備的工作情況就好了么？

其實不是的，設備的投入只是安全防護的第一步，正如等保測評中要求的所有設備日志需要定期進行報表制作并分析一樣，有很多企業忽視了這個工作的重要性，隨著幾個月安全事件不發生，就降低了要求，放松了警惕，把前幾次的月報或者周報改改日期繼續上交，結論一直都是安全，而等到安全事故發生后，再重新檢查的時候，甚至出現設備密碼太久沒登錄都忘記了。等找到了密碼登錄之后，才發現早在兩個月前，日志中就已經看到了異常情況。

這個案例就是今年實際發生的安全事故，也希望大家以此為戒。

所以，絕對安全是不存在的，只有相對安全，更為重要的是，安全責任人對網絡安全保持警惕，保持對網絡環境保持實時的關注，并根據已爆發的安全事件為例對現有的網絡環境進行不斷加固，這樣才至少保證相對安全。

合理的邊界安全搭建

越來越多的企業在網絡邊界處會建立防火墻和DMZ區域來保證邊界的安全性，但筆者在檢查過程中，發現過一些很不合理的情況，在這里把常見的幾個情況在這里做一下匯總。

1.VPN的不合理配置

VPN在企業網絡中也是個常見的配置，用于對公司內移動辦公的用戶提供接入。一般來說可以在防火墻上進行配置，但也有企業購買了獨立的VPN設備，這時VPN在網絡中的位置就很重要了。

有一些企業把VPN放置在了邊界防火墻內，直接互通服務器區域，這種情況是很危險且被允許的。

同樣還有一種情況，就是遠程操作員在遠程使用中不使用默認網關。簡單來說，就是在連接內網的同時還可以訪問互聯網，這種情況也是不被允許的。

但其實很多企業對該類情況疏于防范，解決的方法也很簡單，強制要求使用默認網關即可。

2.防火墻策略不合理

策略不合理這個問題很常見，基本在每次測評中都能發現，比如有一些例子是未及時關閉的臨時策略，也有一些是過期策略，并未及時進行更新。特別是進行過管理人員更換的企業，這種情況就更常見了，有很多策略未加描述并開放了所有的端口。

在這里筆者建議全管理員根據最小化原則，僅開放對外需要的應用端口如80或者8080等，在策略新建的時候，加上描述性的備注，定期對防火墻上的策略進行檢查，對流量較小的策略和臨時策略進行重點排查，一定要盡快禁用。

3.DMZ區域的外網互通策略

DMZ(Demilitarized Zone)是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題而設立的一個非安全系統與安全系統之間的緩沖區。很多企業在網絡構建的時候都往這個小網絡區域內放置一些如企業Web服務器、論壇等。

另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡。但是如果在DMZ區域放置的是一些文件傳輸的FTP服務器，這里不推薦其全天與外網保持互通狀態，推薦設置在一定的時間段進行傳輸，其余時間保持斷開的狀態。

其實在這里筆者還想說明一個情況，邊界防護中涉及到政務網和互聯網的話，邊界是不可以使用防火墻的，根據《國家電子政務外網跨網數據安全交換技術要求和實施指南》（GW0205-2014）中的要求，跨網數據交換必須使用網閘，這一點也請注意。因為筆者在測評工作中也遇到過用防火墻連接的違規行為，這些情況都是需要整改的。

所以也建議安全管理員在設計之初考慮到這一點，以免給后期的網絡安全體系建設帶來不便。

不同系統之間的訪問控制隔離

在很多時候，企業覺得所有系統都放在服務器區域中被保護，一直加強外部對內部的訪問控制策略，這樣就高枕無憂了么？

其實并非如此，來自內部破壞的防護也同樣重要，雖然都在一個服務器區域，但也是需要系統根據服務器的類型及重要性程度來劃分VLAN，并按照應用需求最小化原則來進行VLAN間的訪問控制設置。如果出現一臺服務器被惡意攻擊并被感染，而在沒有訪問控制策略的控制下，有可能會影響到其他系統的服務器的正常運作，這樣存在交叉感染的風險。

特別在這里要補充的是，如果企業對內部區域的訪問控制不嚴謹，VPN或者堡壘機的訪問權限未進行控制，將造成非授權登錄的情況發生，這種情況將對企業的數據安全，特別是敏感數據造成嚴重威脅。

正如2018年上半年發生的多起安全事件，內網大規模爆發的勒索病毒感染，就是個警鐘。在這里建議安全管理員對內網的不同系統之間設置訪問控制策略，將不同系統之間進行隔離，并嚴格控制管理員的訪問控制權限。

安全管理中心的建立和完善

對于安全管理中心的建立與完善是很重要的，在多次的測評過程中都出現沒有安全管理中心而造成的系統管理透明和不可管控性的問題。因此，筆者建議安全管理中心至少包含以下兩方面：

統一日志審計，系統所有的網絡設備、安全設備的安全日志的統一監控；安全日志的統一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統一告警平臺和統一的自動通知等。

目前很多企業在網絡的搭建都是逐步實現的，節點處往往都部署了許多安全產品，并每年或者幾年為周期進行更新。

從安全管理員的角度來說，就是在一個統一的界面中可以監視到網絡中每個安全產品的運行情況，并對其產生的日志和報警信息進行統一分析和匯總，從而解決網絡安全管理中的透明性問題和可管控問題。

統一安全管理，系統所有網絡設備、安全設備的安全配置文件的集中管理，實現各網絡產品配置文件和安全產品安全策略的統一分發，修正和更新；配置文件的統一在（離）線管理，定期進行采集和審核，對安全產品的各種屬性和安全策略進行集中的存儲、查詢；定期更新端口信息，特別對于新添設備和離線設備的信息進行標識處理。

不過從目前國內的情況來說，對安全設備的發現和信息讀取主要建立在SNMP協議基礎之上，各不同廠商的網絡產品和安全產品進行統一安全管理的難度較大，統一監控更是難以實現，最好的方法還是都選擇同一個安全廠商提供，這就要求安全管理員在系統設計之初進行提前規劃。

結語

隨著等級保護2.0時代的即將到來，等級保護工作的側重點將發生一些細微的改變，新的標準也將會比以前更加嚴格和全面。在這里也希望網絡安全工作者能及時調整工作重點，以新的標準為基礎，繼續加固已有的網絡環境。