刘坤
摘要:目前中小企业加快了信息化建设,但由于网络安全意识薄弱、网络安全管理资金投入不足,很容易被攻击者入侵窃取资料,导致公司服务器出现故障。该文通过走访太仓中小企业了解目前企业网络安全方面存在的问题和风险,通过需求分析给出网络信息安全策略如防火墙、VPN等,帮助企业尽可能避免网络攻击造成的损失。
关键词:中小企业;信息安全;防火墙;VPN
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)22-0032-02
1背景
目前我国很多中小企业都开始广泛使用信息化手段提升自身的竞争力,借助信息化,企业可以更有效地管理资源,优化组合,提高企业运营效率,帮助企业更快的了解市场行情,促进企业发展。但与此同时信息安全问题也日益突出,每年企业因信息系统的安全问题而遭受经济损失难以估量。
本文针对太仓中小企业网络信息安全现状进行深入调研,走访企业了解企业网络信息安全的配置情况,可能存在的问题,然后根据现有的网络安全技术和手段帮助企业解决问题,以满足企业需求、投入资金少、专业技术管理人员投入少为需求给出解决策略,避免因信息安全问题造成的经济损失。
2中小企业网络信息安全现状研究
经调研分析,目前中小企业大致可以分为两类,一类是国内企业,一类是外企也就是总部在国外,国内有分公司或者工厂。总的来说,所有的中小企业都有自己的计算机网络、典型应用系统如办公自动化系统、信息查询系统、web应用、邮件服务、财务和人事系统等。根据中小企业计算机网络应用特点,一般需要保证数据具有实时性、机密性、安全性、完整性、可用性和不可抵赖性。
太仓中小企业众多,光德资企业就有200多家。企业的产品信息、业务数据、销售订单都需要利用信息化系统进行处理,有的甚至需要大数据平台分析处理,那么信息系统的安全性也是尤为突出的一个问题。对太仓中小企业而言,构建一个安全、可靠的IT系统是关系到企业能否适合时代新技术,健康良好快速发展的关键因素之一。太倉众多外企总部都在国外,因此总公司和分公司之间需要经常传输大量的数据,其中包括很多重要甚至机密的数据,对于数据传输的保密性、完整性要求更高。针对这些特点目前中小型企业网络存在的主要安全问题有:
1)弱口令造成信息泄露威胁
目前中小企业使用的各类系统较多,包括邮件、ERP、内部OA系统、电子商务系统等。面对众多的系统,员工要设置各类密码,非常麻烦,所以基本都会设置简单的便于记忆的弱口令,而且很多系统都设置相同的密码,长期不对密码进行更改,这样就很容易造成密码泄露,一旦成功入侵企业内部网络,就很容易窃取到密码非法进入系统获取资料。
2)网络病毒威胁
中小型企业员工一般都是单独使用计算机,并且所有计算机都可以访问互联网,员工根据自己的情况自行安装防病毒系统,由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同,如果不能正确安装使用防病毒软件,一台计算机感染病毒很快就传播到企业内部的多台计算机,甚至导致企业内部网络瘫痪。
3)企业主干网络没有划分VLAN
中小型企业网络系统中,由于网络规模小,没有专业网络设计维护人员,为了省事和方便,很多企业的系统没有划分VLAN或者没有按要求细化,造成同一广播域中计算机数量过多,容易造成广播风暴和网络带宽严重浪费。
4)无线网络密码泄露
无线网络的方便快捷使得它在企业中的应用快速发展起来,一般企业公司都在工作区域安装无线路由器等无线设备,方便公司员工及外来人员进人公司内部网络或者互联网。但由于无线密码设置简单,很容易被破译。互联网上的攻击者可以通过破译无线密码,轻松进入到公司内部网络,从而造成公司信息泄露。
5)移动终端安全隐患
随着3C时代的到来,公司企业员工使用移动设备连接公司网络,因此由移动终端设备带来的安全隐患也不可避免。对于企业IT部门而言,移动设备已成为网络安全的一个致命弱点,因为通过电子邮件、彩信、蓝牙等方式传播的病毒很容易对企业内网安全造成危害。
3中小企业网络信息安全解决策略研究
中小企业对信息安全的需求主要是保障公司网站稳定运行、避免商业机密被窃取、企业信息被恶意篡改,因此网络安全解决方案的可用性是中小企业首要考虑的问题,只有网络安全设备正常可用,才能保护企业网络安全。其次,中小企业规模小,资金不足,网络安全管理人才缺乏,安全解决方案的易用性也是企业必须考虑的因素,使用简单有效的方法提高企业网络安全,减少企业在资金、专业管理人才的投入同时又能保障公司网络信息安全。基于企业网络安全问题,对企业网络安全的全面整体规划如图1所示。
移动互联、大数据、云计算环境下,针对企业各类服务和后台系统建议找专业网络公司托管,这类公司有专业的网关、防火墙、入侵检测系统,能够为企业各类服务提供安全保障,这样中小企业也无需在花大量的资金自己购买这类安全设备、专业人员培训等,大大减轻了公司服务器管理和维护压力。针对目前存在的安全问题,给出以下安全策略:
1)加强企业员工网络安全管理
中小企业所有的系统口令包括员工设置登陆口令必须按照操作系统密码复杂性要求设置,至少8位字符,其中要包括字母大写、小写、数字、特殊符号中三种情况以上,由企业系统管理员或者网络管理员设置密码失效时间,规定在一定时间内必须更新密码,用简单切实可行的方法建立第一道安全大门。
2)加强企业网络入侵防范
中小企业可以利用防火墙加强企业网络入侵防范,实现企业内外网隔离,主要设置网络边界出口链路带宽要求、数量等情况,IP地址规划对防火墙地址转换的需求。通过防火墙的认证机制,过滤访问网络数据。通过防火墙权限设置,严格审核外网用户的非法登录,定期查看防火墙日志文件,对有攻击性的网络访问行为进行警告。endprint
3)VPN策略
一般公司都需要连接互联网,特别是针对太仓德资外企来说与德国总部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSL VPN使用浏览器内建的安全通道封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。
中小企业的远程访问环境变化较大,SSL VPN不需要安裝客户端软件远程用户,远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。企业可在较短时间内部署完SSLVPN,因此其部署和实施成本较低,其次SSLVPN还提高了平台的灵活性方便扩展应用和增强性能,对中小企业而言可以降低使用成本,最有效地保护投资。
4)无线网络安全策略
对于中小企业,建议选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能。在网络上,针对全部用户使用一致的授权规则,在不会被轻易损坏的位置部署硬件。
正确全面使用WEP机制来实现保密目标与共享密钥认证功能,通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流。其次必须在每个客户端和每个AP上实现WEP才能起作用,不使用预先定义的WEP密钥,避免使用缺省选项。密钥由用户来设定,并且能够经常更改,最后要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
5)移动终端安全策略
为了避免移动终端携带病毒连接到企业内网中,确保移动终端如智能手机、ipad、移动笔记本安装杀毒软件、防火墙并定期对移动设备进行系统漏洞补丁和更新,定期扫描杀毒,特别不要随意打开、下载不确定的邮件、链接和彩信,以免中木马病毒。如果一旦中毒,应该立刻断网,进行杀毒或者更新系统,以免木马病毒通过无线网络传播企业内部网络。
4结束语
通过深入太仓中小企业调研,了解企业的网络信息安全现状及存在问题,结合网络信息安全建设方案,从物理安全、计算机硬件软件安全、网络体系结构安全、病毒防范、入侵检查、防火墙配置、信息系统运行维护等方面给出切实可行的网络信息安全建设方案,有针对性对太仓中小企业网络信息安全建设策略研究。endprint