企业网络信息安全状况

随着近年来网络安全事件不断地发生，安全问题也已成为IT业的一个热点，安全问题对于企业用户的发展也越来越重要。安全问题已经成为影响企业用户业务平台的稳定性和业务的正常提供的一个问题，所以提升企业自身网络安全性也已经成为增强企业竞争力的重要方面之一。随着网络的高速发展，网络的安全问题日益突出，近两年间，黑客攻击、网络病毒等屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。

经过调查，我们发现，目前一般企业集团存在以下几方面网络问题：

机房网络管理成本过高，并且造成了人力资源上的浪费；

存在服务器存储数据丢失的问题或误操作；

计算机病毒泛滥，给高效率工作造成极大的不便；

网络攻击严重，严重影响了日常的工作；

本方案基于以上企业出现的问题从网络安全方面提出实际解决措施。

1、外部网络安全：外部安全主要指来自外部的一些威胁和破坏，主要是以下几个方面：

1)网络拒绝服务攻击

2)外部黑客木马入侵

这里是通常所说的黑客威胁，当前大多数电信网络设备和服务都存在着被入侵的痕迹，甚至各种后门。这些是对网络自主运行的控制权的巨大威胁，使得企业在重要和关键应用场合没有信心，损失业务，甚至造成灾难性后果。

3)网络病毒感染

病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。

2、内部网络安全

最新调查显示，70%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业蒙受巨大的的损失。不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。这些都是企业内部网络中潜存的威胁。

3、企业内外网络之间的连接安全

企业内部网络与外部网络连接如没有采取一定的安全防护措施，内部网络就容易遭到来自外网的攻击。内部局域网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，在企业内部已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

随着企业的发展壮大及移动办公的普及，很多企业集团逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。

悫盾安全企业网络安全解决方案

针对企业不同的VLAN划分情况，在某些情况下，企业某些部门的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络安全问题对全局网络造成的影响。

将分散系统整合成一个异构网络系统，数据存储系统整合成网络数据中心，通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心，为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网络集中管理、监控技术，本方案将所有网络安全和数据安全产品有机的结合在一起，在漏洞预防、攻击防护、安全审计几方面给用户提供整体的解决方案，能够极大地提高系统防护效果，降低网络管理的风险和复杂性。

网络安全产品对一个完整的企业网络攻击及防护安全方案：

1、网络系统安全

（1）数据安全传输（VPN安全接入）

一般企业中心内部网络存在两套网络系统，其中一套为内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL或光纤接入，并与企业系统内部的总部、分支机构网络互连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。

在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网，由VPN设备实现网络数据传输的加密保护。悫盾安全公司IPSEC/SSLVPN多合一VPN网关，为企业移动办公人员提供远程VPN安全接入访问，悫盾安全VPN设备独有的“点点通”智能VPN管理平台，能为VPN组网提供了最灵活、最易用的全自动组网方式。ANYSEC-VPN安全网关集IPSEC/SSLVPN、上网行为管理、防火墙、动态VPN支持、流量控制管理于一体的专业安全接入产品，适用于大中小型规模企业数据互联，它用于满足移动用户、分支机构、供应商、合作伙伴等对IT资源(如基于Web的应用、企业OA/ERP系统、邮件系统、文件服务器、FTP服务器、远程控制、C/S应用系统等)的远程安全接入的需求。

（2）网络访问控制安全（下一代防火墙）

由于企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用下一代防火墙技术来实现的，悫盾安全下一代防火墙（NGFW）是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。悫盾安全下一代防火墙基于2-7层访问应用控制,识别2000多种应用和上千种网络行为动作,具备20000多条漏洞特征库、木马插件等恶意内容特征库，可以全面识别各种应用层和内容级别的各种安全威胁。可为企业、电信运营商和数据中心、高端行业用户提供高水平的卓越性能的内网安全防火墙方案。

（3）入侵检测防护

网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统(IDS)可与防火墙形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。

（4）Web应用防护（WEB防火墙）

建议在企业网站服务器部署WEB应用防火墙ANYSEC-WAF，为企业提供网站安全防护增值服务。Web应用防护系统是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。在提供Web应用实现深度防御的同时，实现Web应用安全防护，黑客漏洞攻击防护，恶意扫描及探测防护，DDOS/CC攻击防御，URL自学习保护、Web漏洞扫描、服务器防护、网页防篡改，数据库防篡改，网站访问统计，Web负载均衡等常见及最新的安全问题，为Web应用提供全方位的安全防护解决方案。通过WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能，保障网站应用服务系统的运行质量,帮助企业网站管理者准确地了解网站的运行状况并进行有针对性的调整。

2、网络病毒防护

因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，所以我们利用全方位的企业防毒产品，对企业采用“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。

在网络骨干接入处，安装具有防病毒功能的防火墙，由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处，因此，对主要网络协议进行杀毒处理(SMTP、FTP、HTTP)。

在服务器上安装单独的服务器杀毒软件产品，对服务器进行病毒保护。

由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品(客户端杀毒软件的工作模式是服务器端、客户端的方式)的服务器端，由客户端通过网络与服务器端连接后进行网络化安装。对产品升级，可通过在服务器端进行设置，自动通过INETRNET进行升级，再由客户端到服务器端进行升级，大大简化升级过程，并且整个升级是自动完成，不需要人工操作。通过这种方法，可以达到层层设防的作用，最终实现病毒防护。

3、安全审计

由于企业是一个比较庞大的网络系统，因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的，它可以让用户通过对记录的日志数据进行分析、比较，找出发生的网络安全问题的原因，并可作为以后的法律证据或者为以后的网络安全调整提供依据。

（1）网络安全审计

企业网络安全审计系统可以为企业提供用户网络行为审计和取证增值服务。悫盾安全公司自主研发的上网行为管理审计产品可有效保证海量审计数据不丢失；可实现网络数据查询操作的瞬时返回，真正实现即查即显；悫盾安全上网行为管理是集上网行为管控、流量控制、安全审计、安全防护一体的高性能互联网安全管理系统，同时管理有线网络和无线网络，做到全网全终端统一管控，全面识别与管控网络中与工作无关的应用，提高工作效率，具备多项专业的流量管理功能，合理分配带宽资源，提高带宽利用率。高达2000万条全球规模最大的中文URL数据库，提供强大的URL过滤。上网行为管理监控审计功能对内网进行全面细致的网络悫盾安全上网行为管理内置了强大的报表中心，可对全网的上网行为和流量进行采集和统计、分析用户网络行为。

（2）IT运维审计系统（堡垒机）

企业部署IT运维审计（堡垒机）系统，可以为运维人员提供统一的运维操作审计。悫盾安全运维堡垒机（又称IT运维管理系统）是针对管理“IT管理员”的设备，可对企业IT运维人员在运维操作过程中进行统一身份认证、统一授权、统一审计、统一监控，消除了传统运维过程中的盲区，实现了运维简单化、操作可控化、过程可视化，它通过Web方式对主机、服务器、网络设备、安全设备、数据库、应用等实施统一认证、授权、审计、分析；具有与身份认证系统无缝结合接口,支持用户密码、手机动态口令双因子认证。实现对操作过程的全程监控与审计录像回放，以及对违规操作行为的实时阻断,保证只有合法用户才能使用其拥有运维权限的关键资源。为组织在操作风险控制、内控安全及规范性等提供一套完善、有效的审计手段。

（3）运维监控网管系统（中科网警）

企业部署运维监控网管系统，可为企业运维人员提供统一的运维设备状态报警。悫盾安全自主研发的运维审计系统（中科网警系统）产品以高性能、高稳定性和实用设计为原则，运行于安全可靠的Linux操作系统，采用多层高性能架构设计，可管理上万个监控对象。全中文WEB架构，全面支持IP网络上的SNMP、WMI、SYSLOG和IPMI协议以及自有的SECROS协议，动力环境监控的Modbus协议，提供非常丰富IT网络监控和动力环境监控功能，操作简单，是追求高稳定性和高性价比的企业用户、政府、事业单位的首选网管产品。

4、数据安全防护应用

随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心，为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。

1）数据存储——基于RAID的存储技术防止系统硬件故障。

2）双机容错——提供系统应用级的故障处理，适用于高可靠性需求。

3）数据备份——基于时间对文件和数据库级别的系统故障提供解决方案。

企业内部存在大量的数据，而这里面又有许多重要的、机密的商业信息。而整个数据的安全保护就显得特别重要，对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点：

存储介质安全：在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。

数据安全：即数据在备份前是真实数据，没有经过篡改或含有病毒。

备份过程安全：确保数据在备份时是没有受到外界任何干扰，包括因异常断电而使数据备份中断的或其它情况。

备份数据的保管：对存有备份数据的存储介质，应保存在安全的地方，防火、防盗及各种灾害，并注意保存环境(温度、湿度等)的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据安全。

4）灾难恢复——对整个主机系统提供保障和系统的快速故障修复能力。