企业组织网络信息安全现状及对策

随着国际环境的不断变化，国家层面将网络信息安全提升到了前所未有的高度。在新兴攻击手段层出不穷的今天，企业正面临着愈发严峻的网络安全风险形势，网络安全保障工作复杂程度也随之不断增大。企业亟需规划建设集网络安全技术、管理、运营于一体的网络安全综合体系，亟需对网络信息安全建设进行科学、持续、全面的规划和建设，并严格按照规划设计内容，有计划、有步骤地推动网络信息安全建设工作不断深入和完善。

网络信息安全现状

1.网络环境监控

随着网络的发展，网络应用不断丰富以及Web2.0应用快速向业务环境渗透，大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容，应用层面临的恶意威胁越来越多。应用层攻击。互联网的快速发展，使得网络应用已经开始变得复杂多样，应用复杂度提高，安全威胁向应用化、深层化转变，隐藏在应用中的攻击增多，越来越多的基于应用的攻击行为出现了，网络攻击也开始转向应用层。据Gartner统计，目前75%攻击转移到应用层。恶意程序攻击。系统运维者一般只关心操作系统、网络设备的安全问题，而很少在意文件的漏洞。近年来，通过恶意文件开展攻击比较普遍。将攻击代码埋设在Word、Excel、PDF及Flash等正常格式文件中，这类文件隐蔽性高、欺骗性强，只要用户访问这类文件，办公电脑就有遭到劫持的危险，从而威胁系统和网络的安全。用户身份攻击。原有仅针对IP采用的安全防护方法已经不能适应当前系统网络攻防的发展，仅依赖IP的防护手段无法准确识别用户身份，无法基于用户身份做细粒度的策略管理。异常行为攻击。对于传统的攻击行为，关注恶意程序的样本提取并做分析，便可以掌握攻击者的动机及传播渠道。但以APT为代表的异常行为攻击伪装成正常流量，没有特别大的数据包，地址和内容也没有可疑的不相配，一般不会触发警报，即利用合法身份掩护，实施非法行为，同时通过加密通道外传数据。面对这类攻击威胁，需有一套更完善、更主动、更智能的安全防御体系。IPv6带来的安全问题。IPv6已是大势所趋，IPv6的使用也将会带来一些独特的安全难题。因此，如何在保证业务正常运营的前提下安全平滑过渡，以及保证安全防护在IPv4网络和IPv6网络上均实现无缝稳定运行，是十分头疼的问题。

2.用户访问控制

随着智慧企业的建设推动，传统的IDC机房转移到云端或云端SaaS应用，如何保护好在云计算和移动互联网环境下系统及应用的安全性，是当前亟需解决的问题。运维工作量大。信息中心人员创建一个账号耗时较长，人员增长迅速，岗位变动大，人员的账号创建与日常运维工作十分耗费人员精力。人员变动处理不及时。各系统无法在第一时间获悉用户的状态信息，当在岗人员发生变动时，各系统管理员无法及时对人员账号进行处理。多套账号密码。各业务系统和部分公共应用系统拥有各自独立的账号与密码体系，用户需要记住多套账号密码，给日常办公带来诸多困扰，也影响了系统的使用效率，严重影响员工的使用体验。安全审计困难。无法实现对用户访问行为、管理员用户管理操作行为进行事件记录。账户安全管理单一。目前许多系统采用最基本的用户名密码策略进行认证，一旦遗失密码，则很大程度上造成企业内部信息安全的泄露等问题。

3.办公文件安全

Gartner市场分析报告显示，到2021年，90%的非结构化数据是文档数据，海量数据不断增长，给非结构化数据的存储、查找、分享协作和管理带来巨大挑战。企业组织和IT管理员还需要关心企业的文档数据安全，比如数据丢失风险，由于文档和设备移动频率大，丢失设备带来数据丢失的概率大、风险高，再如管控风险，内部数据被外部用户拿走，无法控制，风险加大。消费级网盘远不能满足企业组织的IT管理对文档数据安全的要求。Gartner市场分析报告显示，全球60%的企业CIO都认为，需要在IT建设规划上，把企业文件同步共享纳入到办公方案规划中。

4.专业技术人员配备

网络安全建设是一项动态的体系化工作，具有特定的自身属性，需要有较高的专业技能水平和丰富的网络安全经验的技术人员，将网络安全设备系统发挥最大作用，解决“不会用、不能用、不好用”的尴尬局面。企业在网络安全技术和管理层面都面临不断变化的挑战。随着信息化建设的不断深化和完善，信息化建设中的网络安全建设愈发重要和迫切，专业的网络安全技术团队可以科学有效地配合和支撑企业网络安全运维、规划和轻咨询等工作。

网络信息安全建设内容

本着严格落实网络安全主体责任制度，按照“谁主管、谁负责、谁运营、谁负责”的要求，遵循“分级分域、动态防控”的原则进行企业网络信息安全建设。

1.网络边界加固—终端监控

审计大量的办公终端构成了内网的最外层网络边界。网络边界是网络安全防御的最基层环节，同时也是薄弱环节。防病毒系统及准入系统仍然属于“被动”防御范畴，有必要增加主动防御手段。恶意病毒、木马蠕虫进入办公终端的方式主要有两种：一是软件程序下载，二是移动存储作为病毒摆渡手段侵入。为防范移动存储介质带来的病毒侵入风险，需要对办公终端的USB接口进行严格管控，授权使用管理。掌握办公终端安装非工作相关软件程序，主动防御通过移动存储介质摆渡和软件程序安装进入到办公终端从而进入内网，同时兼顾发现办公终端非法外联互联网等行为；加强办公终端作为内网边界的管理。

2.入侵防护系统

（1）用户身份识别与控制功能用户身份识别与基于用户身份的访问控制功能，可以有效解决终端网内漫游带来的越权访问。用户身份识别与控制需要实现细粒度访问控制。（2）更精细的应用层安全控制通过流检测技术对各类应用进行深入分析，搭建应用协议识别框架，准确识别大部分主流应用协议，可以对基于应用识别的应用进行精细粒度管理，能够很好地对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。（3）基于用户身份的行为分析建立基于正常网络访问模型的单位网络“白环境”，当检测到网络中出现了违背白环境模型的异常行为时，则对其进行深入分析，以判断是否是攻击。在用户身份识别、应用识别的基础上，将用户身份、业务系统、地理位置、操作频次等多种与操作相关的网络环境信息进行关联分析，建立企业网络白环境，准确识别用户异常行为。（4）多种技术融合的入侵检测机制以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析以及状态防火墙等多种技术，提供从网络层、应用层到内容层的深度安全防护。（5）智能协议识别和分析智能协议识别技术通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够在完全不需要管理员参与的情况下，高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以准确发现绑定在任意端口的各种木马、后门，对于运用SmartTunnel技术的软件也能准确捕获和分析。基于特征分析的系统主要检测各类已知攻击，了解攻击特征后，制作相应的攻击特征过滤器，对网络中传输的数据包进行高速匹配，并进行相应的防护；协议异常检测以深度协议分析为核心，通过学习和调整特定网络环境下的“正常流量”值，来发现非预期的异常流量；2～7层深度入侵防护能力，可在受到攻击之前提供前瞻性的保护；攻击检测和防御可主动防御已知和未知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒和僵尸网络等。

3.统一身份认证

构建统一用户管理系统，实现对用户账号的集中管控、集中认证、集中授权和集中审计，支持各级分权分域的管理，打造高标准的身份安全体系，为企业网络安全工作保驾护航。将IT应用系统用户帐号进行统一、集中的管理，帮助实现员工用户身份的统一认证和单点登录，改变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源，同时使用多因子认证、认证策略和安全审计加强安全性。（1）建立员工身份管理权威数据源确立统一身份管理与认证系统为核心身份数据源，建立统一身份全景生命周期视图，实现从核心身份数据源到应用系统、AD域间数据同步，实现身份数据的集中供给、当前存量用户身份映射关系维护，确定并建立人员身份管理流程。（2）实现应用系统帐号生命周期管理用户身份及应用帐号生命周期管理统一视图，人员身份属性、帐号规则、角色规则的统一，帐号集中管理、密码管理和帐号合规的检查。（3）实现用户权限的集中管理基于应用角色、组及用户身份属性的集中权限管理，开通、变更与收回，前期实现应用级授权管理，即平台能够控制员工主页只能够显示和访问员工权限内的系统，后期逐步实现细颗粒度授权管理。（4）建立统一身份认证中心，实现应用访问单点登录建立统一认证中心，用户访问统一入口，实现员工一个用户名和密码，一次登录即能访问其所有权限内的应用。（5）统一授权模型，基于角色和组多因子认证集成及灵活的、基于风险识别的安全认证策略配置，能够根据用户、应用配置不同的认证策略，后期支持与微信集成，实现微信扫码登录，提升系统使用的便利性。

4.企业私有云盘系统

对全部办公终端的USB统一管理，对工作人员使用移动介质存储数据进行限制，既要考虑网络及数据安全，同时要兼顾日常工作的顺利开展；建设企业级文档管理系统（企业私有云盘管理系统）显得尤为必要。（1）实现文档的集管理将分散在个人电脑、U盘、移动硬盘、邮件、微信和OA系统的电子文档进行集中管理。并通过细分权限控制文档分发，确保技术资料、商务机密不被泄漏，帮助企业高效安全管理数据。（2）消除文档安全隐患日常工作中，往往遇到由于硬盘损坏、误删、人员离职、病毒攻击等导致的数据丢失问题。私有云盘的安全存储和备份机制能够有效保证文档的安全性、完整性，做到员工离职带不走，岗位资料一键交接。（3）提高团队工作效率丰富的在线协作功能，例如工作流、文件催办、一键分享、评论、关注、日志和版本等，可以减少文档查找、分享、流转、审批时间；管理人员也通过云盘洞悉一线员工的日常工作完成情况，随时调阅不同岗位每天产出的图纸、报表、方案、合同和日记等。（4）形成经验沉淀私有云盘在使用过程中将各岗位的作业经验以文档的方式统一归档，无形之中沉淀了企业宝贵的生产、销售和管理经验，便于传承，帮助入职员工快速获取丰富的作业经验，做到离职带不走，入门快速学。

5.专业人员支撑运维

本着“人防+技防”的防护原则，引入专业的技术团队负责网络安全运维工作，专业的技术能力和丰富的网络安全管理经验可以提升网络安全防护水平；引入更先进的网络安全技术理念和管理手段，实现网络安全由被动防御到主动防御、纵深防御、联动防御的目标。基于当前网络安全状况的评估，有针对性地对网络安全进行加固。网络安全加固服务在加固被动安全防御能力的基础上，提升积极防御的能力，配合运维服务，将日常网络安全服务工作有效落地，包括安全梳理、有针对性地安全加固及持续的安全运营。

6.等保合规建设—日志审计系统

日志审计系统是等级保护测评的必要条件，同时也是满足网络安全合规性的必要条件。《中华人民共和国网络安全法》及等保2.0标准规定，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

7.掌控内网流量—威胁预警溯源

通过建设全流量威胁分析预警及溯源系统，全面掌握内网流量情况，在发生网络安全事件前能够实现及时预警，在发生网络安全事件过程中能及时发现，在发生网络安全事件后能进行溯源和定责工作，由“被动”防御转变为“主动”发现。

8.边界访问控制—区域隔离防护

科学的网络区域划分和隔离是网络安全建设的基础工作，根据不同的功能区域划分不同的逻辑区域，通过网络隔离设备——防火墙，进行访问控制，封堵高危端口，将网络安全风险控制在可控区域内，防止网络病毒及渗透行为在全网漫游。内网可划分为骨干网隔离区、内网服务器区、分支机构接入区和外网服务器区。综上所述，建设清单如表所示。

结语

网络信息安全的复杂性、多变性以及信息系统的脆弱性，决定了网络信息安全威胁的客观存在。网络信息安全是一个系统的、全局的管理问题，网络信息安全上的任何一个漏洞，都会导致信息的不安全性，也只有从系统综合整体的角度去看待、分析，兼顾管理和技术两个方面，才能取得有效、可行的措施，即计算机信息安全应遵循整体安全性原则，制定出合理的网络信息安全体系结构，这样才能真正做到整个系统的网络信息安全，为企业的稳定运行保驾护航。

作者：何国伟 蒋井富