企业网络安全需求与网络安全方案探讨

　企业网络安全需求与网络安全方案探讨 关键词：企业；网络安全；需求；网络安全方案 1 企业网络安全需求分析 1.1 网络安全概念及特征 网络安全是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所采取的各种必要措施，以确保信息完整、可用、无泄露，保持网络稳定、安全地运行。其主要特征是保证网络信息的完整性、可用性和机密性[2]。

　1.2 企业网络安全面临的主要问题 企业网络安全面临的问题归纳如下：（1）网络安全目标不明确。虽然《网络安全法》已于 2017 年 6 月 1 日起施行，但企业对网络安全的重要性依然认识不足，缺乏网络安全规划，没有明确的网络安全目标[3]。（2）网络安全意识不足。从企业的决策者到普通员工并没有充分意识到网络安全的重要性，企业网络安全存在很大隐患。（3）网络安全设施不健全。无论大型企业，还是中小企业，都存在网络安全基础设施投入不足的问题，以致设施陈旧、不完整，面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。（4）缺乏完整的网络安全解决方案。企业网络安全防护呈现碎片化、分散化等特点[4]，缺乏系统性、协同性、灵活性，面对万物互联和更高级的威胁，传统防护手段捉襟见肘、防不胜防[5]。

　1.3 企业网络安全需求 企业因网络安全需要而产生的要求即为企业网络安全需求，这是由企业内部网络因素与外部网络形势共同决定的，内外都不会一成不变，所以企业网络安全需求是一个动态过程，具有时效性。基于此，要准确把握企业网络安全需求，必须对企业网络安全现状进行调查分析，一般而言，企业网络安全主要包括内网安全、边界安全及文件传输安全等方面[6]，具体体现在以下几个方面：（1）网络安全策略需求。安全策略的有效性、完整性和实用性是企业网络安全的一个重要需求。目前的企业网络安全策略文档过于简单，而且没有形成完整的体系，对企业网络安全的指导性不足。（2）网络安全组织需求。企业应建立结构完整、职能清晰的网络安全组织机构，负责企业网络安全策略制定、网络安全培训、网络安全运行管理等。（3）网络安全运行管理需求。企业应建立科学高效的运行管理体系，采用实用的运行管理方法，对服务器安全、网络访问可控性、网络监控等进行管理。

　2 企业网络安全解决方案 2.1 企业网络安全方案设计原则

　网络安全方案的设计原则旨在指导企业科学合理地设计网络安全方案，避免失于偏颇和“词不达意”，设计原则可以有很多，笔者认为最重要的原则如下：（1）多重防护原则。突破单一防护机制要比突破多重防护机制容易得多。（2）简单适用原则。过于复杂的方案漏洞多，本身就不安全。（3）系统性原则。企业网络安全面对的威胁是多方面的，只专注于一点无法保障网络安全。（4）需求、风险与代价平衡原则。没有任何方案可以做到绝对安全，追求过高的安全性要付出巨大代价，所以要学会取舍，平衡风险与代价。（5）可维护性原则。没有任何系统可以做到无懈可击，要做到能随时调整、升级、扩充。（6）技术与管理相结合原则。在改善安全技术的同时也要加强管理，减少管理漏洞，对于复杂的安全形势，要多做预案，提前防范突发事件。

　2.2 企业网络安全解决方案 2.2.1 网络分域防护方案网络分域防护的原则是落实安全域的防护策略、制定访问控制策略、检查网络边界、分级防护等。从企业网络安全需求及特点出发，将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域，如图 1 所示。互联网域接入互联网服务，服务区域即企业服务器放置区域，外联域接入分公司区域，内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一安全子域内，便于各个安全子域内部署相应等级的防护策略。2.2.2 部署安全网关方案在外网与内网之间设置安全网关（如图 1 所示），作为企业网络系统的物理屏障，以保护内网安全。安全网关不是单一的防火墙，而是综合了防病毒、入侵检测和防火墙的一体化安全设备。该设备运用统一威胁管理（unifiedthreatmanagement,UTM）概念，将多种安全特性的防护策略整合到统一的管理平台上，按需开启多种功能，其由硬件、软件、网络技术组成。UTM 在硬件上可以采用 X86、ASIC、NP 架构中的一种，X86 架构适于百兆网络，若是千兆网络应采用 ASIC 架构或 NP 架构。在升级、维护及开发周期方面，NP 架构比 ASIC 架构更有优势。UTM 软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能，通过模式匹配实现特征库统一和效率提升。UTM 管理结构基于管理分层、功能分级思想，包含集中管理与单机管理的双重管理机制，实现功能设置管理和数据分析能力。

　2.2.3 部署 IPS 与 IDS 方案 IPS 是入侵防御系统（intrusionpreventionsystem）的英文缩写，用于监视网络或网络设备上的数据传输，发现异常数据可以即时中断传输或进行隔离，先于攻击达成实现防护，与防火墙功能上互补，并支持串行接入模式，采用基于策略的防护方式，用户可以选择最适合策略达到最佳防护效果。IPS 部署在服务区域与内网核心区域之间，或核心交换机与内部服务器之间（如图 1 所示），可实时监测外部数据向内部服务器的传输过程，发现入侵行为即报警、阻断，同时还能精确阻击 SQL 注入攻击。IDS 是入侵检

　测系统（intrusiondetectionsystem）的英文缩写，能对网络数据传输实时监视，发现可疑报警或采取其他主动反应措施，属于监听设备，其安全策略包括异常入侵检测、误用入侵检测两种方式，可部署在核心交换机上，对进出内网与内部服务器的数据进行监测，如图 1 所示。

　2.2.4 部署漏洞扫描系统方案漏洞扫描是基于漏洞数据库，通过扫描检测远程系统或本地系统漏洞行为，与防火墙、IDS 配合以提高网络安全性，扫描对象包括网络、主机和数据库。漏洞扫描运用的技术有主机在线扫描、端口扫描、操作系统识别、漏洞监测数据采集、智能端口识别、多重服务检测、系统渗透扫描等。漏洞扫描系统部署方式包括独立式部署和分布式部署。前者适于比较简单的网络结构，例如电子商务、中小企业等；后者适于复杂、分布点多、数据相对分散的网络结构，例如政府、电力行业、金融行业、电信运营商等。图1 为采用独立式部署的漏洞扫描系统方案。

　2.2.5 部署网络安全审计系统网络安全审计是指基于设定的安全策略，实时跟踪记录网络动态，查找入侵和违规访问受保护资源的行为，为网络安全管理提供入侵或违规访问的证据。根据审计对象，网络安全审计分为主机审计、设备审计、网络审计、数据库审计、用户行为审计、终端审计等类型。网络安全审计系统功能包括信息采集、信息分析、信息存储、信息展示、自身安全性、可审计性等。根据部署方式，安全审计系统分为集中部署和分布式部署。集中部署方式同漏洞扫描系统，可布置在核心交换机上。

　2.2.6 网络安全管理方案网络安全管理的原则是职责分离和责任关联。职责分离是指参与信息处理系统的人，不能从事本职工作以外与安全相关的工作，例如系统开发、机密文件传送等。责任关联是指与安全相关的活动需多人在场，而且一个人也不能长期担任与安全相关的职务，需强制轮换和轮流培训。最重要的环节是建立健全安全管理制度，包括设备安全管理制度、软件安全管理制度、数据安全管理制度、网络信息安全管理制度、病毒防护管理制度、下载安全管理制度等。其次，加强人员安全管理，包括加强网络安全教育、开展网络安全技能培训、不断更新升级安全技术等。

　参考文献 [1]屈正庚,吕鹏.中小型企业网络安全方案的设计[J].太赫兹科学与电子信息学报,2019,17(1):158-161. [2]赵俊.工业 4.0 时代企业网络安全系统的研究与设计[D].徐州:中国矿业大学,2019:6-18. [3]郭磊.中央企业网络安全风险分析和对策[J].上海船舶运输科学研究所学报,2019,42(3):56-61.

　[4]黄仁亮,李瑞.中央企业网络安全整体保障解决方案[J].信息技术与标准化,2019(9):11-14. [5]周鸿祎.打造万物互联时代应对网络安全新挑战的国之重器[J].网信军民融合,2019(10):47-49. [6]李东儒.中小型企业网络安全策略的设计与实现[D].沈阳:沈阳理工大学,2018:18-21.