企業(yè)組織網(wǎng)絡信息安全現(xiàn)狀及對策
時間:2022-12-13 08:57:12
導語:企業(yè)組織網(wǎng)絡信息安全現(xiàn)狀及對策一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
隨著國際環(huán)境的不斷變化,國家層面將網(wǎng)絡信息安全提升到了前所未有的高度。在新興攻擊手段層出不窮的今天,企業(yè)正面臨著愈發(fā)嚴峻的網(wǎng)絡安全風險形勢,網(wǎng)絡安全保障工作復雜程度也隨之不斷增大。企業(yè)亟需規(guī)劃建設集網(wǎng)絡安全技術(shù)、管理、運營于一體的網(wǎng)絡安全綜合體系,亟需對網(wǎng)絡信息安全建設進行科學、持續(xù)、全面的規(guī)劃和建設,并嚴格按照規(guī)劃設計內(nèi)容,有計劃、有步驟地推動網(wǎng)絡信息安全建設工作不斷深入和完善。
網(wǎng)絡信息安全現(xiàn)狀
1.網(wǎng)絡環(huán)境監(jiān)控
隨著網(wǎng)絡的發(fā)展,網(wǎng)絡應用不斷豐富以及Web2.0應用快速向業(yè)務環(huán)境滲透,大量應用建立在HTTP等基礎協(xié)議之上,或者隨機產(chǎn)生端口號,或者采用SSL加密等方式來隱藏內(nèi)容,應用層面臨的惡意威脅越來越多。應用層攻擊?;ヂ?lián)網(wǎng)的快速發(fā)展,使得網(wǎng)絡應用已經(jīng)開始變得復雜多樣,應用復雜度提高,安全威脅向應用化、深層化轉(zhuǎn)變,隱藏在應用中的攻擊增多,越來越多的基于應用的攻擊行為出現(xiàn)了,網(wǎng)絡攻擊也開始轉(zhuǎn)向應用層。據(jù)Gartner統(tǒng)計,目前75%攻擊轉(zhuǎn)移到應用層。惡意程序攻擊。系統(tǒng)運維者一般只關心操作系統(tǒng)、網(wǎng)絡設備的安全問題,而很少在意文件的漏洞。近年來,通過惡意文件開展攻擊比較普遍。將攻擊代碼埋設在Word、Excel、PDF及Flash等正常格式文件中,這類文件隱蔽性高、欺騙性強,只要用戶訪問這類文件,辦公電腦就有遭到劫持的危險,從而威脅系統(tǒng)和網(wǎng)絡的安全。用戶身份攻擊。原有僅針對IP采用的安全防護方法已經(jīng)不能適應當前系統(tǒng)網(wǎng)絡攻防的發(fā)展,僅依賴IP的防護手段無法準確識別用戶身份,無法基于用戶身份做細粒度的策略管理。異常行為攻擊。對于傳統(tǒng)的攻擊行為,關注惡意程序的樣本提取并做分析,便可以掌握攻擊者的動機及傳播渠道。但以APT為代表的異常行為攻擊偽裝成正常流量,沒有特別大的數(shù)據(jù)包,地址和內(nèi)容也沒有可疑的不相配,一般不會觸發(fā)警報,即利用合法身份掩護,實施非法行為,同時通過加密通道外傳數(shù)據(jù)。面對這類攻擊威脅,需有一套更完善、更主動、更智能的安全防御體系。IPv6帶來的安全問題。IPv6已是大勢所趨,IPv6的使用也將會帶來一些獨特的安全難題。因此,如何在保證業(yè)務正常運營的前提下安全平滑過渡,以及保證安全防護在IPv4網(wǎng)絡和IPv6網(wǎng)絡上均實現(xiàn)無縫穩(wěn)定運行,是十分頭疼的問題。
2.用戶訪問控制
隨著智慧企業(yè)的建設推動,傳統(tǒng)的IDC機房轉(zhuǎn)移到云端或云端SaaS應用,如何保護好在云計算和移動互聯(lián)網(wǎng)環(huán)境下系統(tǒng)及應用的安全性,是當前亟需解決的問題。運維工作量大。信息中心人員創(chuàng)建一個賬號耗時較長,人員增長迅速,崗位變動大,人員的賬號創(chuàng)建與日常運維工作十分耗費人員精力。人員變動處理不及時。各系統(tǒng)無法在第一時間獲悉用戶的狀態(tài)信息,當在崗人員發(fā)生變動時,各系統(tǒng)管理員無法及時對人員賬號進行處理。多套賬號密碼。各業(yè)務系統(tǒng)和部分公共應用系統(tǒng)擁有各自獨立的賬號與密碼體系,用戶需要記住多套賬號密碼,給日常辦公帶來諸多困擾,也影響了系統(tǒng)的使用效率,嚴重影響員工的使用體驗。安全審計困難。無法實現(xiàn)對用戶訪問行為、管理員用戶管理操作行為進行事件記錄。賬戶安全管理單一。目前許多系統(tǒng)采用最基本的用戶名密碼策略進行認證,一旦遺失密碼,則很大程度上造成企業(yè)內(nèi)部信息安全的泄露等問題。
3.辦公文件安全
Gartner市場分析報告顯示,到2021年,90%的非結(jié)構(gòu)化數(shù)據(jù)是文檔數(shù)據(jù),海量數(shù)據(jù)不斷增長,給非結(jié)構(gòu)化數(shù)據(jù)的存儲、查找、分享協(xié)作和管理帶來巨大挑戰(zhàn)。企業(yè)組織和IT管理員還需要關心企業(yè)的文檔數(shù)據(jù)安全,比如數(shù)據(jù)丟失風險,由于文檔和設備移動頻率大,丟失設備帶來數(shù)據(jù)丟失的概率大、風險高,再如管控風險,內(nèi)部數(shù)據(jù)被外部用戶拿走,無法控制,風險加大。消費級網(wǎng)盤遠不能滿足企業(yè)組織的IT管理對文檔數(shù)據(jù)安全的要求。Gartner市場分析報告顯示,全球60%的企業(yè)CIO都認為,需要在IT建設規(guī)劃上,把企業(yè)文件同步共享納入到辦公方案規(guī)劃中。
4.專業(yè)技術(shù)人員配備
網(wǎng)絡安全建設是一項動態(tài)的體系化工作,具有特定的自身屬性,需要有較高的專業(yè)技能水平和豐富的網(wǎng)絡安全經(jīng)驗的技術(shù)人員,將網(wǎng)絡安全設備系統(tǒng)發(fā)揮最大作用,解決“不會用、不能用、不好用”的尷尬局面。企業(yè)在網(wǎng)絡安全技術(shù)和管理層面都面臨不斷變化的挑戰(zhàn)。隨著信息化建設的不斷深化和完善,信息化建設中的網(wǎng)絡安全建設愈發(fā)重要和迫切,專業(yè)的網(wǎng)絡安全技術(shù)團隊可以科學有效地配合和支撐企業(yè)網(wǎng)絡安全運維、規(guī)劃和輕咨詢等工作。
網(wǎng)絡信息安全建設內(nèi)容
本著嚴格落實網(wǎng)絡安全主體責任制度,按照“誰主管、誰負責、誰運營、誰負責”的要求,遵循“分級分域、動態(tài)防控”的原則進行企業(yè)網(wǎng)絡信息安全建設。
1.網(wǎng)絡邊界加固—終端監(jiān)控
審計大量的辦公終端構(gòu)成了內(nèi)網(wǎng)的最外層網(wǎng)絡邊界。網(wǎng)絡邊界是網(wǎng)絡安全防御的最基層環(huán)節(jié),同時也是薄弱環(huán)節(jié)。防病毒系統(tǒng)及準入系統(tǒng)仍然屬于“被動”防御范疇,有必要增加主動防御手段。惡意病毒、木馬蠕蟲進入辦公終端的方式主要有兩種:一是軟件程序下載,二是移動存儲作為病毒擺渡手段侵入。為防范移動存儲介質(zhì)帶來的病毒侵入風險,需要對辦公終端的USB接口進行嚴格管控,授權(quán)使用管理。掌握辦公終端安裝非工作相關軟件程序,主動防御通過移動存儲介質(zhì)擺渡和軟件程序安裝進入到辦公終端從而進入內(nèi)網(wǎng),同時兼顧發(fā)現(xiàn)辦公終端非法外聯(lián)互聯(lián)網(wǎng)等行為;加強辦公終端作為內(nèi)網(wǎng)邊界的管理。
2.入侵防護系統(tǒng)
(1)用戶身份識別與控制功能用戶身份識別與基于用戶身份的訪問控制功能,可以有效解決終端網(wǎng)內(nèi)漫游帶來的越權(quán)訪問。用戶身份識別與控制需要實現(xiàn)細粒度訪問控制。(2)更精細的應用層安全控制通過流檢測技術(shù)對各類應用進行深入分析,搭建應用協(xié)議識別框架,準確識別大部分主流應用協(xié)議,可以對基于應用識別的應用進行精細粒度管理,能夠很好地對這些應用安全漏洞和利用這些漏洞的攻擊進行檢測和防御。(3)基于用戶身份的行為分析建立基于正常網(wǎng)絡訪問模型的單位網(wǎng)絡“白環(huán)境”,當檢測到網(wǎng)絡中出現(xiàn)了違背白環(huán)境模型的異常行為時,則對其進行深入分析,以判斷是否是攻擊。在用戶身份識別、應用識別的基礎上,將用戶身份、業(yè)務系統(tǒng)、地理位置、操作頻次等多種與操作相關的網(wǎng)絡環(huán)境信息進行關聯(lián)分析,建立企業(yè)網(wǎng)絡白環(huán)境,準確識別用戶異常行為。(4)多種技術(shù)融合的入侵檢測機制以全面深入的協(xié)議分析為基礎,融合權(quán)威專家系統(tǒng)、智能協(xié)議識別、協(xié)議異常檢測、流量異常檢測、會話關聯(lián)分析以及狀態(tài)防火墻等多種技術(shù),提供從網(wǎng)絡層、應用層到內(nèi)容層的深度安全防護。(5)智能協(xié)議識別和分析智能協(xié)議識別技術(shù)通過動態(tài)分析網(wǎng)絡報文中包含的協(xié)議特征,發(fā)現(xiàn)其所在協(xié)議,然后遞交給相應的協(xié)議分析引擎進行處理,能夠在完全不需要管理員參與的情況下,高速、準確地檢測出通過動態(tài)端口或者智能隧道實施的惡意入侵,可以準確發(fā)現(xiàn)綁定在任意端口的各種木馬、后門,對于運用SmartTunnel技術(shù)的軟件也能準確捕獲和分析?;谔卣鞣治龅南到y(tǒng)主要檢測各類已知攻擊,了解攻擊特征后,制作相應的攻擊特征過濾器,對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包進行高速匹配,并進行相應的防護;協(xié)議異常檢測以深度協(xié)議分析為核心,通過學習和調(diào)整特定網(wǎng)絡環(huán)境下的“正常流量”值,來發(fā)現(xiàn)非預期的異常流量;2~7層深度入侵防護能力,可在受到攻擊之前提供前瞻性的保護;攻擊檢測和防御可主動防御已知和未知攻擊,實時阻斷各種黑客攻擊,如緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權(quán)訪問、蠕蟲病毒和僵尸網(wǎng)絡等。
3.統(tǒng)一身份認證
構(gòu)建統(tǒng)一用戶管理系統(tǒng),實現(xiàn)對用戶賬號的集中管控、集中認證、集中授權(quán)和集中審計,支持各級分權(quán)分域的管理,打造高標準的身份安全體系,為企業(yè)網(wǎng)絡安全工作保駕護航。將IT應用系統(tǒng)用戶帳號進行統(tǒng)一、集中的管理,幫助實現(xiàn)員工用戶身份的統(tǒng)一認證和單點登錄,改變原有各業(yè)務系統(tǒng)中的分散式身份認證及授權(quán)管理,實現(xiàn)對用戶的集中認證和授權(quán)管理,簡化用戶訪問內(nèi)部各系統(tǒng)的過程,使得用戶只需要通過一次身份認證過程就可以訪問具有相應權(quán)限的所有資源,同時使用多因子認證、認證策略和安全審計加強安全性。(1)建立員工身份管理權(quán)威數(shù)據(jù)源確立統(tǒng)一身份管理與認證系統(tǒng)為核心身份數(shù)據(jù)源,建立統(tǒng)一身份全景生命周期視圖,實現(xiàn)從核心身份數(shù)據(jù)源到應用系統(tǒng)、AD域間數(shù)據(jù)同步,實現(xiàn)身份數(shù)據(jù)的集中供給、當前存量用戶身份映射關系維護,確定并建立人員身份管理流程。(2)實現(xiàn)應用系統(tǒng)帳號生命周期管理用戶身份及應用帳號生命周期管理統(tǒng)一視圖,人員身份屬性、帳號規(guī)則、角色規(guī)則的統(tǒng)一,帳號集中管理、密碼管理和帳號合規(guī)的檢查。(3)實現(xiàn)用戶權(quán)限的集中管理基于應用角色、組及用戶身份屬性的集中權(quán)限管理,開通、變更與收回,前期實現(xiàn)應用級授權(quán)管理,即平臺能夠控制員工主頁只能夠顯示和訪問員工權(quán)限內(nèi)的系統(tǒng),后期逐步實現(xiàn)細顆粒度授權(quán)管理。(4)建立統(tǒng)一身份認證中心,實現(xiàn)應用訪問單點登錄建立統(tǒng)一認證中心,用戶訪問統(tǒng)一入口,實現(xiàn)員工一個用戶名和密碼,一次登錄即能訪問其所有權(quán)限內(nèi)的應用。(5)統(tǒng)一授權(quán)模型,基于角色和組多因子認證集成及靈活的、基于風險識別的安全認證策略配置,能夠根據(jù)用戶、應用配置不同的認證策略,后期支持與微信集成,實現(xiàn)微信掃碼登錄,提升系統(tǒng)使用的便利性。
4.企業(yè)私有云盤系統(tǒng)
對全部辦公終端的USB統(tǒng)一管理,對工作人員使用移動介質(zhì)存儲數(shù)據(jù)進行限制,既要考慮網(wǎng)絡及數(shù)據(jù)安全,同時要兼顧日常工作的順利開展;建設企業(yè)級文檔管理系統(tǒng)(企業(yè)私有云盤管理系統(tǒng))顯得尤為必要。(1)實現(xiàn)文檔的集管理將分散在個人電腦、U盤、移動硬盤、郵件、微信和OA系統(tǒng)的電子文檔進行集中管理。并通過細分權(quán)限控制文檔分發(fā),確保技術(shù)資料、商務機密不被泄漏,幫助企業(yè)高效安全管理數(shù)據(jù)。(2)消除文檔安全隱患日常工作中,往往遇到由于硬盤損壞、誤刪、人員離職、病毒攻擊等導致的數(shù)據(jù)丟失問題。私有云盤的安全存儲和備份機制能夠有效保證文檔的安全性、完整性,做到員工離職帶不走,崗位資料一鍵交接。(3)提高團隊工作效率豐富的在線協(xié)作功能,例如工作流、文件催辦、一鍵分享、評論、關注、日志和版本等,可以減少文檔查找、分享、流轉(zhuǎn)、審批時間;管理人員也通過云盤洞悉一線員工的日常工作完成情況,隨時調(diào)閱不同崗位每天產(chǎn)出的圖紙、報表、方案、合同和日記等。(4)形成經(jīng)驗沉淀私有云盤在使用過程中將各崗位的作業(yè)經(jīng)驗以文檔的方式統(tǒng)一歸檔,無形之中沉淀了企業(yè)寶貴的生產(chǎn)、銷售和管理經(jīng)驗,便于傳承,幫助入職員工快速獲取豐富的作業(yè)經(jīng)驗,做到離職帶不走,入門快速學。
5.專業(yè)人員支撐運維
本著“人防+技防”的防護原則,引入專業(yè)的技術(shù)團隊負責網(wǎng)絡安全運維工作,專業(yè)的技術(shù)能力和豐富的網(wǎng)絡安全管理經(jīng)驗可以提升網(wǎng)絡安全防護水平;引入更先進的網(wǎng)絡安全技術(shù)理念和管理手段,實現(xiàn)網(wǎng)絡安全由被動防御到主動防御、縱深防御、聯(lián)動防御的目標。基于當前網(wǎng)絡安全狀況的評估,有針對性地對網(wǎng)絡安全進行加固。網(wǎng)絡安全加固服務在加固被動安全防御能力的基礎上,提升積極防御的能力,配合運維服務,將日常網(wǎng)絡安全服務工作有效落地,包括安全梳理、有針對性地安全加固及持續(xù)的安全運營。
6.等保合規(guī)建設—日志審計系統(tǒng)
日志審計系統(tǒng)是等級保護測評的必要條件,同時也是滿足網(wǎng)絡安全合規(guī)性的必要條件?!吨腥A人民共和國網(wǎng)絡安全法》及等保2.0標準規(guī)定,采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施,并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月。
7.掌控內(nèi)網(wǎng)流量—威脅預警溯源
通過建設全流量威脅分析預警及溯源系統(tǒng),全面掌握內(nèi)網(wǎng)流量情況,在發(fā)生網(wǎng)絡安全事件前能夠?qū)崿F(xiàn)及時預警,在發(fā)生網(wǎng)絡安全事件過程中能及時發(fā)現(xiàn),在發(fā)生網(wǎng)絡安全事件后能進行溯源和定責工作,由“被動”防御轉(zhuǎn)變?yōu)椤爸鲃印卑l(fā)現(xiàn)。
8.邊界訪問控制—區(qū)域隔離防護
科學的網(wǎng)絡區(qū)域劃分和隔離是網(wǎng)絡安全建設的基礎工作,根據(jù)不同的功能區(qū)域劃分不同的邏輯區(qū)域,通過網(wǎng)絡隔離設備——防火墻,進行訪問控制,封堵高危端口,將網(wǎng)絡安全風險控制在可控區(qū)域內(nèi),防止網(wǎng)絡病毒及滲透行為在全網(wǎng)漫游。內(nèi)網(wǎng)可劃分為骨干網(wǎng)隔離區(qū)、內(nèi)網(wǎng)服務器區(qū)、分支機構(gòu)接入?yún)^(qū)和外網(wǎng)服務器區(qū)。綜上所述,建設清單如表所示。
結(jié)語
網(wǎng)絡信息安全的復雜性、多變性以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡信息安全威脅的客觀存在。網(wǎng)絡信息安全是一個系統(tǒng)的、全局的管理問題,網(wǎng)絡信息安全上的任何一個漏洞,都會導致信息的不安全性,也只有從系統(tǒng)綜合整體的角度去看待、分析,兼顧管理和技術(shù)兩個方面,才能取得有效、可行的措施,即計算機信息安全應遵循整體安全性原則,制定出合理的網(wǎng)絡信息安全體系結(jié)構(gòu),這樣才能真正做到整個系統(tǒng)的網(wǎng)絡信息安全,為企業(yè)的穩(wěn)定運行保駕護航。
作者:何國偉 蔣井富