企业组织网络信息安全现状及对策.docx

《企业组织网络信息安全现状及对策.docx》由会员分享，可在线阅读，更多相关《企业组织网络信息安全现状及对策.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业组织网络信息安全现状及对策随着国际环境的不断改变，国家层面将网络信息安全提升到了前所未有的高度。在新兴攻击手段层出不穷的今日，企业正面临着愈发严峻的网络安全风险形势，网络安全保障工作冗杂程度也随之不断增大。企业亟需规划建设集网络安全技术、管理、运营于一体的网络安全综合体系，亟需对网络信息安全建设进行科学、持续、全面的规划和建设，并严格根据规划设计内容，有打算、有步骤地推动网络信息安全建设工作不断深入和完善。网络信息安全现状1.网络环境监控随着网络的进展，网络应用不断丰富以及Web2.0应用快速向业务环境渗透，大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采纳SSL加密等方式

2、来隐藏内容，应用层面临的恶意威逼越来越多。应用层攻击。互联网的快速进展，使得网络应用已经开始变得冗杂多样，应用冗杂度提高，安全威逼向应用化、深层化转变，隐藏在应用中的攻击增多，越来越多的基于应用的攻击行为出现了，网络攻击也开始转向应用层。据Gartner统计，目前75%攻击转移到应用层。恶意程序攻击。系统运维者一般只关怀操作系统、网络设备的安全问题，而很少在意文件的漏洞。近年来，通过恶意文件开展攻击比较普遍。将攻击代码埋设在Word、Excel、PDF及Flash等正常格式文件中，这类文件隐藏性高、欺骗性强，只要用户访问这类文件，办公电脑就有遭到劫持的危急，从而威逼系统和网络的安全。用户身份攻

3、击。原有仅针对IP采纳的安全防护方法已经不能适应当前系统网络攻防的进展，仅依靠IP的防护手段无法精确识别用户身份，无法基于用户身份做细粒度的策略管理。异样行为攻击。对于传统的攻击行为，关注恶意程序的样本提取并做分析，便可以把握攻击者的动机及传播渠道。但以APT为代表的异样行为攻击假装成正常流量，没有特殊大的数据包，地址和内容也没有可疑的不相配，一般不会触发警报，即利用合法身份掩护，实施非法行为，同时通过加密通道外传数据。面对这类攻击威逼，需有一套更完善、更主动、更智能的安全防御体系。IPv6带来的安全问题。IPv6已是大势所趋，IPv6的使用也将会带来一些独特的安全难题。因此，如何在保证业务正

4、常运营的前提下安全平滑过渡，以及保证安全防护在IPv4网络和IPv6网络上均实现无缝稳定运行，是十分头疼的问题。2.用户访问掌握随着智慧企业的建设推动，传统的IDC机房转移到云端或云端SaaS应用，如何爱护好在云计算和移动互联网环境下系统及应用的安全性，是当前亟需解决的问题。运维工作量大。信息中心人员创建一个账号耗时较长，人员增长快速，岗位变动大，人员的账号创建与日常运维工作十分耗费人员精力。人员变动处理不准时。各系统无法在第一时间获悉用户的状态信息，当在岗人员发生变动时，各系统管理员无法准时对人员账号进行处理。多套账号密码。各业务系统和部分公共应用系统拥有各自独立的账号与密码体系，用户需要记

5、住多套账号密码，给日常办公带来诸多困扰，也影响了系统的使用效率，严重影响员工的使用体验。安全审计困难。无法实现对用户访问行为、管理员用户管理操作行为进行事件记录。账户安全管理单一。目前很多系统采纳最基本的用户名密码策略进行认证，一旦遗失密码，则很大程度上造成企业内部信息安全的泄露等问题。3.办公文件安全Gartner市场分析报告显示，到2022年，90%的非结构化数据是文档数据，海量数据不断增长，给非结构化数据的存储、查找、共享协作和管理带来巨大挑战。企业组织和IT管理员还需要关怀企业的文档数据安全，比方数据丢失风险，由于文档和设备移动频率大，丢失设备带来数据丢失的概率大、风险高，再如管控风险

6、，内部数据被外部用户拿走，无法掌握，风险加大。消费级网盘远不能满足企业组织的IT管理对文档数据安全的要求。Gartner市场分析报告显示，全球60%的企业CIO都认为，需要在IT建设规划上，把企业文件同步共享纳入到办公方案规划中。4.专业技术人员配备网络安全建设是一项动态的体系化工作，具有特定的自身属性，需要有较高的专业技能水平和丰富的网络安全阅历的技术人员，将网络安全设备系统发挥最大作用，解决“不会用、不能用、不好用的尴尬局面。企业在网络安全技术和管理层面都面临不断改变的挑战。随着信息化建设的不断深化和完善，信息化建设中的网络安全建设愈发重要和迫切，专业的网络安全技术团队可以科学有效地协作和

7、支撑企业网络安全运维、规划和轻咨询等工作。网络信息安全建设内容本着严格落实网络安全主体责任制度，根据“谁主管、谁负责、谁运营、谁负责的要求，遵循“分级分域、动态防控的原则进行企业网络信息安全建设。1.网络边界加固终端监控审计大量的办公终端构成了内网的最外层网络边界。网络边界是网络安全防御的最基层环节，同时也是薄弱环节。防病毒系统及准入系统仍旧属于“被动防御范畴，有必要增加主动防御手段。恶意病毒、木马蠕虫进入办公终端的方式主要有两种：一是软件程序下载，二是移动存储作为病毒摆渡手段侵入。为防范移动存储介质带来的病毒侵入风险，需要对办公终端的USB接口进行严格管控，授权使用管理。把握办公终端安装非工

8、作相关软件程序，主动防御通过移动存储介质摆渡和软件程序安装进入到办公终端从而进入内网，同时兼顾发觉办公终端非法外联互联网等行为；加强办公终端作为内网边界的管理。2.入侵防护系统1用户身份识别与掌握功能用户身份识别与基于用户身份的访问掌握功能，可以有效解决终端网内漫游带来的越权访问。用户身份识别与掌握需要实现细粒度访问掌握。2更精细的应用层安全掌握通过流检测技术对各类应用进行深入分析，搭建应用协议识别框架，精确识别大部分主流应用协议，可以对基于应用识别的应用进行精细粒度管理，能够很好地对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。3基于用户身份的行为分析建立基于正常网络访问模型的单位网络

9、“白环境，当检测到网络中出现了违反白环境模型的异样行为时，则对其进行深入分析，以推断是否是攻击。在用户身份识别、应用识别的基础上，将用户身份、业务系统、地理位置、操作频次等多种与操作相关的网络环境信息进行关联分析，建立企业网络白环境，精确识别用户异样行为。4多种技术融合的入侵检测机制以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异样检测、流量异样检测、会话关联分析以及状态防火墙等多种技术，提供从网络层、应用层到内容层的深度安全防护。5智能协议识别和分析智能协议识别技术通过动态分析网络报文中包含的协议特征，发觉其所在协议，然后递交给相应的协议分析引擎进行处理，能够在完全不需要管

10、理员参加的状况下，高速、精确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以精确发觉绑定在任意端口的各种木马、后门，对于运用SmartTunnel技术的软件也能精确捕获和分析。基于特征分析的系统主要检测各类已知攻击，了解攻击特征后，制作相应的攻击特征过滤器，对网络中传输的数据包进行高速匹配，并进行相应的防护；协议异样检测以深度协议分析为核心，通过学习和调整特定网络环境下的“正常流量值，来发觉非预期的异样流量；27层深度入侵防护能力，可在受到攻击之前提供前瞻性的爱护；攻击检测和防御可主动防御已知和未知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL注入、暴力猜想、拒绝服务、扫描探测、非授权访

11、问、蠕虫病毒和僵尸网络等。3.统一身份认证构建统一用户管理系统，实现对用户账号的集中管控、集中认证、集中授权和集中审计，支持各级分权分域的管理，打造高标准的身份安全体系，为企业网络安全工作保驾护航。将IT应用系统用户帐号进行统一、集中的管理，关心实现员工用户身份的统一认证和单点登录，转变原有各业务系统中的分散式身份认证及授权管理，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的全部资源，同时使用多因子认证、认证策略和安全审计加强安全性。1建立员工身份管理权威数据源确立统一身份管理与认证系统为核心身份数据源，建立统一身份全景

12、生命周期视图，实现从核心身份数据源到应用系统、AD域间数据同步，实现身份数据的集中供给、当前存量用户身份映射关系维护，确定并建立人员身份管理流程。2实现应用系统帐号生命周期管理用户身份及应用帐号生命周期管理统一视图，人员身份属性、帐号规则、角色规则的统一，帐号集中管理、密码管理和帐号合规的检查。3实现用户权限的集中管理基于应用角色、组及用户身份属性的集中权限管理，开通、变更与收回，前期实现应用级授权管理，即平台能够掌握员工主页只能够显示和访问员工权限内的系统，后期逐步实现细颗粒度授权管理。4建立统一身份认证中心，实现应用访问单点登录建立统一认证中心，用户访问统一入口，实现员工一个用户名和密码，

13、一次登录即能访问其全部权限内的应用。5统一授权模型，基于角色和组多因子认证集成及敏捷的、基于风险识别的安全认证策略配置，能够依据用户、应用配置不同的认证策略，后期支持与微信集成，实现微信扫码登录，提升系统使用的便利性。4.企业私有云盘系统对全部办公终端的USB统一管理，对工作人员使用移动介质存储数据进行限制，既要考虑网络及数据安全，同时要兼顾日常工作的顺利开展；建设企业级文档管理系统企业私有云盘管理系统显得尤为必要。1实现文档的集管理将分散在个人电脑、U盘、移动硬盘、邮件、微信和OA系统的电子文档进行集中管理。并通过细分权限掌握文档分发，确保技术资料、商务机密不被泄漏，关心企业高效安全管理数据

14、。2消除文档安全隐患日常工作中，往往遇到由于硬盘损坏、误删、人员离职、病毒攻击等导致的数据丢失问题。私有云盘的安全存储和备份机制能够有效保证文档的安全性、完好性，做到员工离职带不走，岗位资料一键交接。3提高团队工作效率丰富的在线协作功能，例如工作流、文件催办、一键共享、评论、关注、日志和版本等，可以削减文档查找、共享、流转、审批时间；管理人员也通过云盘洞悉一线员工的日常工作完成状况，随时调阅不同岗位每天产出的图纸、报表、方案、合同和日记等。4形成阅历沉淀私有云盘在使用过程中将各岗位的作业阅历以文档的方式统一归档，无形之中沉淀了企业珍贵的生产、销售和管理阅历，便于传承，关心入职员工快速获取丰富的

15、作业阅历，做到离职带不走，入门快速学。5.专业人员支撑运维本着“人防+技防的防护原则，引入专业的技术团队负责网络安全运维工作，专业的技术能力和丰富的网络安全管理阅历可以提升网络安全防护水平；引入更先进的网络安全技术理念和管理手段，实现网络安全由被动防御到主动防御、纵深防御、联动防御的目标。基于当前网络安全状况的评估，有针对性地对网络安全进行加固。网络安全加固服务在加固被动安全防御能力的基础上，提升主动防御的能力，协作运维服务，将日常网络安全服务工作有效落地，包括安全梳理、有针对性地安全加固及持续的安全运营。6.等保合规建设日志审计系统日志审计系统是等级爱护测评的必要条件，同时也是满足网络安全合

16、规性的必要条件。中华人民共和国网络安全法及等保2.0标准规定，实行监测、记录网络运行状态、网络安全事件的技术措施，并根据规定留存相关的网络日志不少于六个月。7.掌控内网流量威逼预警溯源通过建设全流量威逼分析预警及溯源系统，全面把握内网流量状况，在发生网络安全事件前能够实现准时预警，在发生网络安全事件过程中能准时发觉，在发生网络安全事件后能进行溯源和定责工作，由“被动防御转变为“主动发觉。8.边界访问掌握区域隔离防护科学的网络区域划分和隔离是网络安全建设的基础工作，依据不同的功能区域划分不同的规律区域，通过网络隔离设备防火墙，进行访问掌握，封堵高危端口，将网络安全风险掌握在可控区域内，防止网络病

17、毒及渗透行为在全网漫游。内网可划分为骨干网隔离区、内网服务器区、分支机构接入区和外网服务器区。综上所述，建设清单如表所示。结语网络信息安全的冗杂性、多变性以及信息系统的脆弱性，确定了网络信息安全威逼的客观存在。网络信息安全是一个系统的、全局的管理问题，网络信息安全上的任何一个漏洞，都会导致信息的担心全性，也只有从系统综合整体的角度去看待、分析，兼顾管理和技术两个方面，才能取得有效、可行的措施，即计算机信息安全应遵循整体安全性原则，制定出合理的网络信息安全体系结构，这样才能真正做到整个系统的网络信息安全，为企业的稳定运行保驾护航。 何国伟 蒋井富本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第12页 共12页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页