郝目举
【摘要】当今企业信息网络面临病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境,如何制定相应的防范措施,保护企业关键数据和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏是近些年信息网络安全重要研究方向。本文作者根据近些年信息网络安全工作经验及对该领域的不断探索、研究,阐述当下企业面临的一些网络安全问题,并根据发现的问题提出解决方案。
【关键词】企业网络安全;安全风险;安全防护
中图分类号:TN92 文献标识码:A DOI:10.12246/j.issn.1673-0348.2021.013..027
1. 目前企业面临的网络安全威胁
1.1 黑客攻击无孔不入,网络缺乏有效的安全手段
由于业务需要,企业办公网络、业务或办公数据需要在互联网上传输,而网络设备、主机系统都存在不同程度的安全漏洞,攻击者可以利用存在的漏洞进行破坏,这可能引起数据破坏、业务中断甚至系统宕机,严重影响企业网络的正常运行。
1.2 补丁升级与病毒库更新不及时
由于网络内各种平台的主机和设备存在安全漏洞,并没有及时修补最新的安全补丁,或主机和设备的软件配置存在安全隐患,杀毒软件的病毒特征库没有及时得到更新,给恶意的入侵者提供了可乘之机,使病毒和蠕虫的泛滥成为隐患。
1.3 攻击方法日新月异,终端安全令人堪忧
企业网络内已经被攻破的内网主机中可能被植入木马或者其它恶意的程序,成为攻击者手中所控制的“肉鸡”,攻击者可能以此作为跳板进一步攻击内网其它机器,窃取企业机密,或者将其作为DDOS工具向外发送大量的数据包,占用大量网络带宽。
1.4 网络应用缺乏监控,工作效率无法提高
上网聊天、网络游戏等行为严重影响工作效率,例如使用即时通讯工具来传播病毒,已经成为新病毒传播的流行趋势,使用P2P工具瘋狂下载电影、游戏、软件等大型文件,造成带宽无法满足关键业务应用系统的需求。员工通过电子邮件、即时通讯、网站论坛对外发送敏感信息,造成企业机密信息泄露。
1.5 公司要遵守相关法律法规及政策,合规要求越来越重要
员工使用企业网络访问非法网站、传播非法信息,会违反国家相关规定;员工访问企业业务系统,缺乏后期追究责任的手段,无法满足相关法律法规的合规要求。随着网络安全法的实施,对企业网络安全及等级保护要求提升到了一定高度。
1.6 非法外联难以控制、内部重要机密信息泄露频繁发生
员工通过VPN、移动通信技术、公众WIFI热点等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得企业内网的IT资源暴露在外部攻击者面前,攻击者可以通过非法外联线路线路进入企业内网;另外,内部员工可能通过这种不受监控的网络通道将企业的商业机密泄露出去,给企业带来经济损失且不易取证。
1.7 缺乏外设技术管理手段,数据泄密、病毒传播无法控制
外设是数据交换的一个主要途径,由于使用的方便性,已成为数据泄密、病毒感染的出入口。通过封贴端口、制度要求等方式无法灵活对外设进行管理,特别是对USB接口的管理,所以必须通过其它技术手段解决存在的问题。
1.8 安全设备众多,管理方式多样,管理员运维负担重
随着企业IT建设的发展,企业部署的安全产品也越来越多,不同产品有自己的管理方式,各类产品之间缺乏互操作性,很难做到协同调度、统一管理,从而也无法保证整个企业网络安全策略上的完整性和行为上的一致性。这种局面不仅加重网络管理人员的负担,势必也大大增加整个网络的维护费用。
2. 企业网络安全风险及解决方案
2.1 网络边界安全
2.1.1 网络边界收缩
由于互联网的开放性,给企业带来了巨大的使用危险性、复杂性和混乱性。用户在访问互联网信息时,很有可能受到网络上的木马、病毒的攻击,从而造成信息安全事故。因此网络边界收缩,建设统一的互联网与广域网出口,集中建设出口安全防御体系将大大提高网络安全防御效率。
2.1.2 下一代防火墙之入侵防御系统
入侵防御系统功能作为下一代防火墙的功能模块嵌入,采用串联的方式在边界接入区进行部署,对网络上的各种攻击进行实时阻断。入侵防御系统可应对多种特征的攻击,能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击;封堵主流的高级逃逸攻击;检测和防御主流的异常流量,含各类Flood攻击;提供用户自定义攻击特征码功能,可指定网络层到应用层的对比内容;提供虚拟补丁功能,让没有及时修补漏洞的客户,能够保障网络安全正常运行。
2.1.3 上网行为管理系统
上网行为管理系统是具备强大的用户认证、应用控制、网页过滤、外发审计、带宽管理等功能,可对内部的员工上网行为进行全方位的管理和实名制审计,起到保护Web访问安全、提升工作效率、避免企业机密信息泄露及法律风险、保障企业核心业务带宽等作用,帮助企业有效降低企业互联网使用风险。
2.2 业务区安全防护
2.2.1 WEB应用安全
为了解决网络层安全产品(如网络防火墙、入侵防御系统)等难以应对的Web应用层深度防御的问题,通过部署WAF可以有效的缓解网站及Web应用系统面临的常见威胁,快速地应对恶意攻击者对Web业务带来的冲击,对网站进行有效的安全加固。
部署web应用防火墙,通过Web应用防火墙的部署,可以有效检测和防御各种初级、高级及伪装变种的Web攻击行为,检测的攻击行为有SQL注入、跨站攻击、命令注入、协议违规、Webshell、非法扫描、非法爬虫、智能机器人、网页篡改、暴力破解、数据泄露、应用层DDOS、0day漏洞等各种攻击行为。通过语义分析技术有效识别SQL注入、XSS攻击,结合特征攻击引擎双重判断机制,提供更加准确的SQL注入、XSS攻击防护能力。通过机器学习形成正常和异常访问基线,采用智能评分机制判定高度可疑的攻击行为,并进行有效防护。
纵深业务安全防护,通过访问控制实现IP黑白名单的控制;可完整识别HTTP协议框架,对Web攻击行为进行阻断,灵活定制各种复杂Web防护特定策略;有效应对商业爬虫对商业数据的抓取;有效应对同行发起的恶意预定、抢购;有效应对应用层CC攻击对业务的冲击;敏感信息检测引擎,检测服务器返回的信息,有效识别身份证号、手机号等敏感信息。
2.2.2 数据库安全风险分析
随着企业的核心业务信息系统不断的网络化,随之而来的就是面临的信息安全风险日益增加。而这些安全风险中,来自内部的违规操作和信息泄露最为突出。由于企业的核心业务系统没有进行访问控制和安全审计,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。
根据应用安全风险及需求分析,结合目前网络现有防护手段,可部署数据库审计系统。通过部署数据库审计系统能够实现所有对数据库进行访问的行为进行全面的记录,以及包括对数据库操作的:“增、删、改、查等”全方位细粒度的审计。同时支持过程及行为回放功能,能够还原并回放所有对数据库的操作行为,包括:“访问的表、字段、返回信息、操作等”。从而使安全问题得到追溯,提供有据可查的功能和相关能力。
2.2.3 业务区蜜网系统
在业务系统区域部署蜜罐系统,通过“伪装技术”对运行网络、主机、业务系统增加其随机性,减少确定性、相似性、静态性,从而增加攻击者的攻击难度与代价。同时对外部向内部的渗透攻击行为进行捕获,从而了解其攻击手段和攻击信息,对异常行为和攻击行为进行拦截和处置。
蜜罐系統能够保持原有网络配置的完整性,并最小化操作管理,在内网中隐藏终端的真实IP地址,为终端分配虚拟IP地址,并使用户正常网络应用不受影响的情况下,实现网络拓扑和终端的网络身份高速随机跳变,把网络变成一个无法侦查和预测的迷宫,让攻击者搞不清网络状况,找不到攻击目标,长时间的潜伏和信息收集也将毫无用处,大大提高攻击者发现目标的难度,从而大大降低攻击成功地概率。
3. 终端办公安全风险分析
企业内每个使用计算机的人员,由于其分散性、不被重视、安全手段缺乏的特点,已经成为信息安全体系的薄弱环节。企业客户端主机均采用基于Windows平台的PC,存在较多的安全漏洞,除了本身极易受到病毒感染、黑客入侵和攻击外,还很容易通过网络应用(文件共享、电子邮件等)将安全风险迅速传播到其他主机和终端上,最终导致整个信息系统性能下降甚至瘫痪
3.1 企业版终端安全软件
统一管理终端的安全软件,可解决企业对终端安全统一管理的需求,提供全网统一体检、打补丁、杀病毒、开机加速、分发软件、发送公告等功能,致力解决企事业单位用户普遍的网络安全问题,让网络终端安全管理变得很简单。
3.2 统一流量分析
基于网络流量数据,运用大数据分析和机器学习技术建立网络异常行为检测模型,进行非常规服务分析、登录行为分析、邮件行为分析、数据行为分析等数种场景,实现对新型攻击和内部违规的检测和发现。该部分内容在大数据态势感知详述。
3.3 运维管理安全风险管理
3.3.1 运维风险管理
随着信息化的大力普及,企业信息化内控建设方面存在一定的滞后性,信息化设备的运维方面存在众多的安全隐患,如系统账号滥用、弱密码、越权访问、权限管理混乱、运维过程不透明、误操作、恶意数据泄露等众多安全问题,运维的服务器普遍存储着各种重要的业务数据,业务的稳定安全运行至关重要,运维过程中一旦误操作或者遭受恶意操作,没有任何访问控制和审计,将会导致事中无法管控、事后无法追溯调查取证,存在着极大的管理风险,随着国家对网络安全的重视,企业运维内控也变得日趋重要,如何管控内部各种运维人员的日常操作行为已经是信息化建设和管理必须重点考虑和解决的问题。
运维管理的核心任务是保证整个网络、服务器、存储等基础设施和业务系统的正常安全运行,需要重点考虑边界安全防护、数据库审计、终端安全、运维审计、安全管理、运维管理等。部署堡垒机后可以实现所有运维人员、主机、安全设备、数据库的集中管理。结合防火墙访问控制等措施可以确保堡垒机是所有运维的唯一通道,确保所有运维人员的操作行为能够完整审计和控制。
3.3.2 资产风险管理
面对网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,制定符合准能网络应用的安全策略显然是不现实的。因此,需要一种能扫描系统安全漏洞、Web应用安全漏洞、数据库安全漏洞、系统基线安全配置,并提出修改建议的综合安全评估系统。检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库、门户网站等进行扫描,预先查找出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。
部署远程安全评估系统能够全方位检测IT系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
4. 大数据态势感知
随着移动互联网的发展,云、大数据、边界计算、SDN、虚拟化等技术的应用,网络边界逐渐模糊,入网资产从单一到多元,不仅是传统的服务器和PC机,现在多种移动终端、办公终端、网络摄像头、智能家居也已接入企业网络。入网人员从简单到复杂,不只是企业办公人员,为提升企业服务体验,越来越多的临时访客和代维人员也能访问到企业的业务系统。此时传统的硬件安全产品只能针对单次攻击的拦截已不足以保障企业网络的安全。企业客户面临的更大安全问题是攻击组织通过复杂隐蔽手段,以窃取数据为目的高级威胁。急需通过多源安全数据收集,综合关联分析和用户画像分析,发现网络中的异常行为和数据泄露风险,联动安全防护设备应急响应。
大数据态势感知有3个组成部分,分别是大数据态势感知平台系统、综合网络流量探针、综合日志审计探针。
4.1 部署综合流量探针
综合流量探针部署在办公、4G网络或视频网络区域,针对弱点探测、渗透入侵、获取权限、命令与控制、数据盗取整个APT攻击链中的攻击行为都具备检测能力。同时基于双向流量的解析机制,实时发现由外到内和由内到外的网络攻击行为。
4.2 部署综合日志审计探针
综合日志审计探针作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。
4.3 部署大数据态势感知平台
大数据态势感知平台集合三个探针的数据,通过大数据分析,预制大量的安全场景、用户行为分析、深度感智能引擎、多维度态势感知、威胁情报。海量的安全告警中,分析提炼出关键的事件、把人工不可能完成的工作任务轻松完成,对流量的深度檢测,即时发现恶意网络行为,通过部署一个平台行程对安全事件监控、分析、溯源、处置、报告、使安全管理行程一个完整的闭环。
5. 小结
目前国家通过多个层面的活动来考验关键基础设施单位的安全防护水平,因此必须不断提升整体安全防护能力,方可在各种网络安全保障中从容应对,避免出现网络安全问题。定期进行资产风险评估、渗透测试、专家研判、应急响应等服务,不断提高安全攻击和安全事件的实施监测发现、快速应急响应、事件安全处置能力,通过持续的制度建设、人才建设、资金投入构建高效的安全防御体系。