中小型企業網絡安全加固方案

周大勇

摘 要 十八大以來習近平總書記就網絡安全和信息化工作作出一系列重大決策、提出一系列重大舉措，形成了網絡強國戰略思想，推動我國網絡安全和信息化事業取得歷史性成就，但中小型企業因資金、技術等原因面臨的網絡安全形勢依舊嚴峻，本文根據中小型企業現狀設計的安全加固方案已得到應用，值得借鑒和推廣應用。

關鍵詞 網絡 網絡安全 安全加固

中圖分類號：TP393 文獻標識碼：A

0引言

根據國家互聯網應急中心（CNCERT）95期互聯網威脅報告指出，2018年11月境內感染網絡病毒的終端數為84萬余個；境內被篡改網站數量為1，357個，其中被篡改政府網站數量為68個；境內被植入后門的網站數量為2，513個，其中政府網站有45個；針對境內網站的仿冒頁面數量為6，469個； 國家信息安全漏洞共享平臺（CNVD）收集整理信息系統安全漏洞810個，其中，高危漏洞308個，可被利用來實施遠程攻擊的漏洞有700個。

中小企業因資金、技術以及安全意識等原因難以投入大量網絡安全設備用于企業網的安全應用，這也進一步導致了相當數量的中小企業內部網絡在安全領域幾乎是“裸奔”，毫無安全防范能力。網絡安全法的全面施行以及相關法律責任的明確，確保網絡安全成了企業負責人必須承擔的法律責任。鑒于此，加固中小企業網絡安全是重要而緊迫的。

網絡安全保障體系包括技術要求和管理要求，管理要求因企業間存在較大的差異化，本文不予討論。技術要求包括物理安全、網絡安全、主機安全、應用安全和數據安全，本文著重討論網絡安全方面的安全加固方案，網絡是信息化建設和應用基礎，應是首要考慮的對象。

1常見中小企業網絡安全架構及其安全風險

1.1 網絡安全架構

中小企業基于成本及網絡功能實現考慮，不會投入太多網絡安全設備。網絡拓撲設計中考慮安全防范一般會使用一臺防火墻代替作為網絡出口（一般不考慮路由器），常見網絡拓撲如下圖：

1.2主要安全風險

網絡架構中核心交換機與服務器區域之間沒有部署防火墻或其他網絡安全產品，未能有效實現對服務器進行相應的訪問控制，無法對服務器進行有效的細粒度防護；

整個架構中缺少對設備日志收集、監控及保護的措施，不利于網絡管理人員對全網絡的監管；

沒有實現對非法內聯和外聯的檢查和保護措施，無法充分有效的保護到企業內網安全；

邊界處部署有防火墻，可以對內外網實現一定粗粒度的訪問控制，但還需增加IPS模塊或者部署IPS網絡安全設備；

邊界沒有網絡病毒檢測防范措施，無法對當前猖獗的網絡病毒實現有效隔離；

核心設備和鏈路未能實現冗余，存在單點失效的可能和性能瓶頸。

2網絡安全加固方案

2.1加固方案及說明

任何網絡系統都不能做到絕對安全，在安全需求、安全風險和安全成本之間平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。

網絡安全問題從來就不是單純的技術問題，僅僅通過部署安全產品任然很難完全覆蓋所有的安全問題，本文不討論管理要求，但管理措施也是及其重要的。

加固方案中將原有防火墻利舊用于辦公部門的網絡與核心區域邊界，在內外網邊界處增加下一代防火墻；在服務器區域與核心區域增加WAF防火墻。加強網絡訪問控制，優化防火墻配置，根據應用訪問需求，制定詳細的訪問控制策略，對現有和新增的防火墻加強訪問控制粒度，控制到網段級，訪問控制范圍包括互聯網區域和服務器區域，同時可以通過防火墻的流量控制及連接數控制功能，限制網絡最大流量數及網絡連接數。

組建核心交換區域災備系統，實現雙機熱備和負載均衡。

2.2總體部署效果

通過加固方案的網絡安全部署，中小型企業網絡能夠具有抵御較大規模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發現、報警、記錄入侵行為的能力。

參考文獻

[1] 全國人民代表大會常務委員會.中華人民共和國網絡安全法[Z].2016-11-07.

[2] 關于信息系統等級保護安全建設整改工作的指導意見（公信安[2009]1429號）[Z].

[3] 楊楚華.校園網安全防御策略[J].軟件導刊，2012（03）.