企业网络数据安全问题分析及应对策略研究

吕发智

（玉溪市公安局，云南 玉溪　653100）

0　引言

互联网的快速发展，促进了企业单位的信息化建设，互联网丰富的资源和日益成熟的网络建设在大大提高了企业的生产力和工作效率的同时，也给企业带来巨大的效益[1-3]。然而，伴随着网络技术的发展，各类黑客行为和网络攻击技术给企业的持续、快速、健康、安全发展带来困扰。近年来，大量企业的网络安全问题披露出来，触目惊心，如七天、如家等酒店的开房信息被泄露，给酒店带来了负面效益的同时，也给民众对私人信息的外漏带来惶恐；卡巴斯基总部被黑客入侵，国家机密面临泄漏的威胁；索尼官网被黑导致用户信息泄露等，这些网络安全问题足以引起全社会的关注，也充分说明：网络安全是企业发展建设的重要内容，也是一项亟待解决的重要工程。

1　企业的网络情况分析

企业网络因为企业规模大小、行业差异、运营方式以及治理方式等的不同导致有着不同的网络拓扑结构[4-5].目前主要分为两种,一种是集中型[6]，这种类型的企业网络一般在总部设立完善的网络布局，通常是采取专线接入、ADSL接入或多条线路接入等网络接入方式，一般网络中的终端总数在几十到几百台不等。在网络中划分若干子网，并部署与核心业务相关的服务器，如数据库、邮件服务器、文档资料库、甚至ERP服务器。另外一种是分散型，这种类型的企业网络是采取多分支机构办公及移动办公方式，各分支机构均匀网络部署，数量不多。大的分支采取专线接入，一般采取ADSL接入方式，主要是通过访问公司主机设备及资料库通过邮件或内部进行业务沟通交流。图1所示为分散型和集中型的综合型企业网络简图。

2　常见的企业安全问题

如上所述，企业网络安全问题日益严重，网络安全架构也面临着多方面的威胁。综合分析主要问题有以下几个：

2.1　外网安全问题

外网安全问题是最常见的问题，主要有：非法接入、外网入侵、黑客攻击、病毒传播、漏洞利用、僵尸木马，蠕虫入侵等问题[7-8]，这些已经成为企业网络安全最为广泛的威胁。其中蠕虫入侵是黑客们最常利用的入侵工具，这种病毒传播速度快，一旦网络系统遭到蠕虫侵袭，不仅会造成网络和系统处理性能的下降，网络拥塞，同时也会对核心敏感数据造成威胁，导致业务和敏感数据受到威胁。

2.2　内网安全问题

内网问题是目前企业内部网络最主要的安全问题，主要包括：带宽和各种应用的滥用、APT潜伏渗透、BYOD接入管控、WLAN使用控制问题、病毒蠕虫扩散、信息泄露等。

图1　综合型企业网络架构简图Fig.1　Comprehensive enterprise network architecture diagram

2.3　网络连接问题

网络连接问题主要指内部网络之间、内外网络之间的连接问题，如企业总部、各地分支机构、第三方合作伙伴、办公人员之间的网络连接，这些既要保障信息的及时共享，又要防止机密信息泄露。对于不同的接入方其所拥有的权限，既要满足企业的正常业务需求，又不能超越其网络权限，避免越权访问和敏感信息泄露。

2.4　运维管理安全

共享账号安全隐患，设备繁多控制策略复杂，操作无法监管，内部操作不透明，外部操作不可控，没有统一的身份管理平台，频繁切换应用程序登陆等问题困扰着企业网络的安全运维管理。

3　企业网络安全问题解决方案

针对上述网络安全问题，提出如图2所示网络安全规划图，该安全系统主要有以下几个部分构成：

防火墙系统：采用防火墙系统实现对内部网和广域网进行隔离保护，对内部网络中服务器子网通过单独的防火墙设备进行保护。

入侵检测系统：采用入侵检测设备，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应。

网络行为监控系统：对网络内的上网行为进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，组织非正当文件的下载行为。

图2　网络安全规划图Fig.2　Network security planning

病毒防护系统：强化病毒防护系统的应用策略和治理策略，增强病毒防护有效性。

垃圾邮件过滤系统：过滤邮件，组织垃圾邮件和病毒邮件的入侵。

移动用户治理系统：对接入内部网移动设备进行安全控制，确保接入设备的安全性，有效防止病毒或黑客程序攻击内网。

具体应对策略分为以下几点：

3.1　做好网络数据的安全隔离

当网络系统遭到外部攻击时，网络运维部门应该及时对数据中心的服务器操作系统进行漏洞修补，操作系统应遵循最小化安装的原则，关闭防火墙上的非必须端口，合理规划网络结构，通过采用VPN 技术，对重要数据进行内网和外网隔离[9-11]。对于较难发现的 Web 应用漏洞要引入第三方评测机构，纳入企业的信息等级保护并到公安机关备案，提高黑客入侵的难度和入侵成本。

3.2　加强数据的访问控制

数据访问控制是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段[12]，简而言之就是保证合法用户访问受权保护的网络数据资源，防止非法的主体进入受保护的网络数据资源。事实上系统中用户的密码设置简单、安全性能低是导致信息泄露的一个重要原因。建议在数据访问控制时采用动态口令认证的方式，并与用户的手机短信进行绑定发送，统一身份认证平台记录所有用户在某个时段内的认证结果，如果出现某一个用户多次认证失败时，系统将对该用户进行锁定，避免了被穷举攻击的可能[13]。

3.3　数据的加密存储与加密传输

数据加密技术是一种主动的安全防御策略，包括了数据存储的加密和在数据传输过程中使用加密技术，数据加密的有点体现在能用很小的代价即可为信息提供相当大的安全保护[14]。主要的加密技术有对称加密和非对称加密两种。从加密技术应用的逻辑位置看，有三种方式分别是链路加密，节点加密，端对端加密。不论哪种方式，在网络传输和存储中用密文代替明文，这样即使发生入侵或信息泄露，黑客也要花费较大的力气去进行数据解密。一旦攻击和入侵的成本远远大于收益，它就会望而止步了。

3.4　网络攻击检测

一些黑客通常会利用一些恶意程序攻击企业网络，并从中找到漏洞进入企业内部网络，对企业信息进行盗取或更改。为避免恶意网络攻击企业可，以引进入侵检测系统并将其与控制网络访问结合起来，对企业信息实行双重保护[15]。根据企业的网络结构将入侵检测系统深入到企业内部网络的各个环节，尤其是重要部门的机密信息中需要重点监护，利用防火墙技术实行企业网络的第一道保护屏障，再配以检测技术以及相关加密技术防火记录用户的身份信息，遇到无法识别的身份信息将数据传输给管理员。后续入侵检测技术将彻底阻挡黑客攻击，并对黑客身份信息进行分析。即时黑客通过这些得到的也是经过加密的数据，难以从中得到有效信息。通过这些网络安全技术的配合，全方位消除来自网络黑客的攻击，保障企业网络安全。

3.5　重要信息和数据的安全备份及网络安全产品相关日志的保留

在当前的网络空间攻防过程中，国内的网络防御与国外的黑客组织在技术层面的较量中暂时处于弱势，所以对于企业中的人事信息、商业机密、客户资料、财务状况等重要数据，要做到异地备份。这样即便遭遇了类似“勒索病毒”的感染，也可通过备份对数据进行恢复。特别需要注意的是《网络安全法》中明确规定[11]：各类防火墙、路由设备、服务器日志文件要保留 6 个月以上。一般来说清晰完整的日志留存能保证在网络遭到攻击后，能迅速准确的明晰黑客的攻击手段，定位黑客的攻击来源，避免事故的进一步扩大。

4　结论

随着网络时代的蓬勃发展，网络技术将会在未来很长一段时间内在企业的运转中发挥难以取代的作用，企业网络安全也将长期伴随企业经营管理，因此必须对企业网络实行动态管理，采取必要的网络安全预防策略，保障网络安全，为企业的健康快速发展建立安全的网络环境。