企業信息安全建設探索與實踐

唐彩錦

摘要：網絡的普及和蔓延已經深入到日常生活的方方面面，一個不能忽略的問題也伴隨著網絡的普及滲入到人們的生活中，那就是網絡安全問題。教育、醫療、企業、電力、能源、交通、政府等組織及機構均是網絡安全的保障范圍。作為一般企業如何結合企業自身需求建立完善的網絡安全策略，形成一個符合自身情況的網絡安全方案是該文要討論的重點。該文是站在對企業整體網絡的安全的解決方案角度探索信息安全問題，結合企業實際網絡環境結合案例分析，分析現有產品解決方案，探討了如認證、防火墻、IDS等現今流行的網絡安全技術，希望這些探討可以給讀者一定的啟示幫助讀者進一步深入研究，目標是對用戶提供一個信息安全的環境。

關鍵詞：企業信息安全；網絡安全；計算機網絡；防火墻；防病毒

網絡的普及和蔓延已經深入到日常生活的方方面面，一個不能忽略的問題也伴隨著網絡的普及滲入到人們的生活中，那就是網絡安全問題。2017年5月一種名為“WannaCry”的勒索病毒全球范圍內爆發，傳播速度之快已經對全球網絡安全構成了嚴重威脅。據權威機構研究顯示，中國每年遭受600億美元的網絡損失，位居亞洲第一。目前在國內，網絡安全威脅的行業范疇眾多，如教育、醫療、企業、電力、能源、交通、政府等組織及機構均是網絡安全的保障范圍。

現階段的網絡安全已經不是單個組織、單一個人的防范行為，而是隨著整個社會對信息安全的意識的覺醒形成的一個完整的網絡安全產業。隨著企業網絡安全意識的提高，網絡安全市場的規模也在逐年增長，伴隨的安全產品和安全解決方案也是層出不窮，作為一般企業如何結合企業自身需求建立完善的網絡安全策略，形成一個符合自身情況的網絡安全方案是本文要討論的重點。

1網絡安全概述

隨著網絡技術的普及和蔓延，越來越多的企業都開始通過網絡技術構建企業內部的信息平臺，將企業的業務數據信息化以提升企業的綜合實力，借助網絡技術加速企業的發展在行業內取得技術上對的領先優勢。其業務運營越來越依賴于對計算機應用系統，而計算機應用系統是建立在完善的技術網絡環境中的。隨著計算機網絡規模不斷擴大，網絡結構日益復雜，對計算機網絡的運維水平有著較大的挑戰。而近年來的網絡攻擊事件頻出，企業的信息安全防范意識也提高到了日常運維的日程中來了。從網絡安全的管控模型來分析，網絡安全一般采用動態的防御過程，一般要在安全事件發生的前、中和后均采用合理的技術方案，而網絡安全管理流程則會在整個網絡運營流程中起作用。企業的網絡管理人員已經將網絡安全納入企業的IT規劃發展的整體范疇，全面覆蓋企業信息平臺的各個層面，對整個網絡及應用的安全防范通盤考慮。

從網絡安全的發展歷程來說，是由于網絡自身的發展引發的安全問題才使得網絡安全技術誕生了，目前而言有網絡的地方就存在網絡安全隱患。像黑客攻擊、病毒入侵之類的網絡安全事件，都是利用計算機網絡作為主要的傳播途徑，其時間的發生頻率可以說和信息的傳播速度一樣快，這也是網絡安全的特點之一。除此之外，像非法用戶的訪問和操作，用戶信息的非法截取和更改，惡意軟件入侵和攻擊等都是現今普遍存在于計算機網絡的安全事件。顯然，其所帶來的危害也是讓每一位計算機用戶有著深刻的體會，例如：因為某種病毒讓操作系統運行不穩定，導致文件系統中的數據損壞無法訪問和讀寫，甚至導致磁盤、計算機、網絡等硬件的損壞，造成極大的經濟損失。

由于企業的網絡環境建設過程一般歷經了數年甚至數十年，網絡中接人的設備數量和種類眾多，網絡中的應用和內部系統也繁多。再加上，一般要求企業的網絡運行是7*24小時不間斷作業運行，其產生的數據往往巨大，其中不乏大量的敏感信息。這樣的網絡環境，必然給惡意代碼、病毒程序、網絡攻擊等惡意的攻擊事件留下了隱患，可以毫不客氣地說企業的網絡環境往往是危機四伏。

2網絡安全實踐

2.1網絡安全誤區案例分析

目前針對網絡安全事件頻繁發作，不少企業采購了相關的安全產品并配合了相關的安全措施，但是缺乏對網絡安全框架的理解存在不少誤區，主要有以下幾個方面。

1）部署網絡防火墻就萬事大吉了

防火墻主要原理是過濾封包與控制存取，因此對非法存取與篡改封包及DoS攻擊等網絡攻擊模式是極其有效的，對于網絡隔離和周邊的安全防護效果明顯。顯然如果攻擊行為繞開防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，防火墻就失效了，這是由于大多數防火墻是工作在網絡層，并且其原理是“防外不防內”，對內部網絡的訪問不進行任何處理，顯然這種原理就成為了安全隱患和漏洞。

2）定期更新殺毒軟件就能夠保護系統不受病毒侵擾

顯然安裝殺毒軟件是避免系統被病毒破壞的主要手段之一，但是這僅僅只能對已知病毒進行查殺，對于未知病毒顯然缺乏事先預防的能力。

3）病毒只會在萬維網中傳播

雖然目前萬維網是病毒傳播的主要途徑，但是對于企業內部網絡可能會通過u盤、刻錄光盤、郵件、企業協同系統等從外部帶人病毒，因此只要計算機運行了，就要需要做好防范病毒措施。

4）為了避免病毒感染只要設置文件屬性為只讀即可

通常操作系統的shell調用可以提供將文件的讀寫屬性設置為只讀，但是對于黑客來說完全可以用程序做反向操作，即將文件屬性改為讀寫，并可以接管文件的控制權。

5）將敏感信息隔離于企業門戶之外

不少企業都采用了網絡隔離裝置，控制外部對企業內部網絡的訪問，甚至完全隔離任何數據的讀寫均禁止。但是對于內部的安全管理疏于防范，導致某些賬戶或權限被外部竊取，最后網絡敏感數據從內部流出，甚至導致內部網絡癱瘓，系統無法正常運行。

顯然上述誤區都是因為網絡管理員的思想局限在某些單一的網絡場景導致的，缺乏全局的網絡安全意識和合理的網絡安全規劃策略的指導。

2.2案例分析

針對上述誤區，本文將以一個虛擬的公司網絡環境展開案例分析，設計一個全局的網絡防范框架。一般企業網絡按服務器類型劃分包括：AAA服務器、內部DNS服務器、FTP服務器、HTTP服務器等服務器。按職能部門劃分包括：經理辦公室、市場部、財政部、系統集成部、軟件部以及前臺接待部，一般各部門的網絡會做隔離，另外對于財務部的網絡只有經理辦公室有權限訪問其他部門不能訪問，而前臺接待部的網絡作為企業門戶不能訪問公司內部網絡，只能通過外網訪問。

根據上述基本網絡需求，在網絡安全架構設計上還應考慮Intemet的安全性，以及網絡隱私及專有性等一些因素，如NAT、VPN等。綜合分析，一個完整的企業網絡安全建設需求應該包括如下建設需求：1）網絡基礎設施建設；21網絡基礎的連通即訪問規劃；3）信息的訪問控制；4）全網網絡安全管理需求；5）各層次的網絡攻防控制；6）各層次應用及系統的病毒防范；7）企業內部的跨部門的信息安全；8）敏感信息及網絡安全控制。

根據上述基本網絡需求，可以建立一個如圖1所示的網絡拓撲結構。

上圖中的拓撲結構滿足一般性的企業網絡環境，包括服務器網絡及網絡隔離，各個職能部門的網絡、計算機及辦公設備，以及防范外部的防火墻設備，還包括各個層次的網絡交換機等網絡設備。

一般性的場景是根據圖1中的網絡拓撲設計，根據企業的實際網絡規劃考慮企業網絡建設的安全需求，在網絡建設的基礎上進行安全改造，目的是保證企業各種設計信息的安全性，提高企業網絡系統運行的穩定性，避免設計文檔、圖紙的外泄和丟失。對于客戶端的計算機的保護一般是通過軟件或安全流程進行保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。一般采用以下安全手段：1）在現有網絡中加入網絡安全設備設施；2）lP地址規劃及管理；3）安裝防火墻體系；4）劃分VLAN控制內網安全；5）建立VPN（虛擬專用網絡）確保數據安全；6）提供網絡殺毒服務器；7）加強企業對網絡資源的管理；8）做好訪問控制權限配置；9）做好對網絡設備訪問的權限。

一般情況下在企業的網絡環境中，會由ISP供應商提供公網的人口，而本文的重點為安全問題，因此采用虛擬的公網入口。目前IPv6技術還不是很成熟，IPv4地址依舊廣泛應用于企業內部網絡，因此公司內部使用IPv4的私有地址網段，假設公司內部共擁有800部終端，所以由172.28.0.0/22網絡段劃分，ip地址和VLAN規劃如下表1。

根據上表1的規劃依舊滿足了連通性和VLAN的控制劃分，在圖1中的規劃建立經理辦公室和財務部的VPN就保證了隔離性。再在服務器集群中安裝專門的防病毒服務器，監管所有計算機的防病毒程序，防止病毒人侵。根據一般安全權限控制還需建立專用的AAA服務器，保證認證（Authentication）：、授權（Authorization）和審計（Accounting）。最后，圖l中IDS（IntrusionDetection Systems）即“入侵檢測系統”，用戶可以根據企業安全需求設置一組安全策略，IDS可以對網絡中的計算機、軟件、磁盤、網絡等新設備監控運行狀態，根據運行狀態預測各種網絡攻擊事件，從而起到網絡安全的防范作用，IDS也是根據安監事件的事前、事中和事后的動態過程設計的模型。

3總結

隨著信息技術的高速發展，各種網絡病毒和黑客程序的橫行讓企業的安全意識大幅提升。對于信息的保護，從最初的讀寫保護和傳輸保護發展到信息的安全體系和信息安全框架經歷一個思想意識的轉變過程。本文是站在對企業整改網絡的安全的解決方案角度探索信息安全問題，目標是對用戶提供一個信息安全的環境。本文從網絡的認證、權限出發，探討了信息完整性保護機制，讓用戶透明地訪問網絡無需了解網絡安全細節就可以避免自身的數據、服務受到網絡攻擊和病毒侵害，保護數據的完整性和可靠性。本文結合企業實際網絡環境結合案例分析，分析現有產品解決方案，探討了如認證、防火墻、IDS等現今流行的網絡安全技術，希望這些探討可以給讀者一定的啟示幫助讀者進一步深入研究。最后，信息安全領域還是一個比較年輕的領域，本文難免局限于某些特定領域，很多不足還需要繼續探索與實踐。