導語：企業組織網絡信息安全現狀及對策一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

隨著國際環境的不斷變化，國家層面將網絡信息安全提升到了前所未有的高度。在新興攻擊手段層出不窮的今天，企業正面臨著愈發嚴峻的網絡安全風險形勢，網絡安全保障工作復雜程度也隨之不斷增大。企業亟需規劃建設集網絡安全技術、管理、運營于一體的網絡安全綜合體系，亟需對網絡信息安全建設進行科學、持續、全面的規劃和建設，并嚴格按照規劃設計內容，有計劃、有步驟地推動網絡信息安全建設工作不斷深入和完善。

網絡信息安全現狀

1.網絡環境監控

隨著網絡的發展，網絡應用不斷豐富以及Web2.0應用快速向業務環境滲透，大量應用建立在HTTP等基礎協議之上，或者隨機產生端口號，或者采用SSL加密等方式來隱藏內容，應用層面臨的惡意威脅越來越多。應用層攻擊。互聯網的快速發展，使得網絡應用已經開始變得復雜多樣，應用復雜度提高，安全威脅向應用化、深層化轉變，隱藏在應用中的攻擊增多，越來越多的基于應用的攻擊行為出現了，網絡攻擊也開始轉向應用層。據Gartner統計，目前75%攻擊轉移到應用層。惡意程序攻擊。系統運維者一般只關心操作系統、網絡設備的安全問題，而很少在意文件的漏洞。近年來，通過惡意文件開展攻擊比較普遍。將攻擊代碼埋設在Word、Excel、PDF及Flash等正常格式文件中，這類文件隱蔽性高、欺騙性強，只要用戶訪問這類文件，辦公電腦就有遭到劫持的危險，從而威脅系統和網絡的安全。用戶身份攻擊。原有僅針對IP采用的安全防護方法已經不能適應當前系統網絡攻防的發展，僅依賴IP的防護手段無法準確識別用戶身份，無法基于用戶身份做細粒度的策略管理。異常行為攻擊。對于傳統的攻擊行為，關注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道。但以APT為代表的異常行為攻擊偽裝成正常流量，沒有特別大的數據包，地址和內容也沒有可疑的不相配，一般不會觸發警報，即利用合法身份掩護，實施非法行為，同時通過加密通道外傳數據。面對這類攻擊威脅，需有一套更完善、更主動、更智能的安全防御體系。IPv6帶來的安全問題。IPv6已是大勢所趨，IPv6的使用也將會帶來一些獨特的安全難題。因此，如何在保證業務正常運營的前提下安全平滑過渡，以及保證安全防護在IPv4網絡和IPv6網絡上均實現無縫穩定運行，是十分頭疼的問題。

2.用戶訪問控制

隨著智慧企業的建設推動，傳統的IDC機房轉移到云端或云端SaaS應用，如何保護好在云計算和移動互聯網環境下系統及應用的安全性，是當前亟需解決的問題。運維工作量大。信息中心人員創建一個賬號耗時較長，人員增長迅速，崗位變動大，人員的賬號創建與日常運維工作十分耗費人員精力。人員變動處理不及時。各系統無法在第一時間獲悉用戶的狀態信息，當在崗人員發生變動時，各系統管理員無法及時對人員賬號進行處理。多套賬號密碼。各業務系統和部分公共應用系統擁有各自獨立的賬號與密碼體系，用戶需要記住多套賬號密碼，給日常辦公帶來諸多困擾，也影響了系統的使用效率，嚴重影響員工的使用體驗。安全審計困難。無法實現對用戶訪問行為、管理員用戶管理操作行為進行事件記錄。賬戶安全管理單一。目前許多系統采用最基本的用戶名密碼策略進行認證，一旦遺失密碼，則很大程度上造成企業內部信息安全的泄露等問題。

3.辦公文件安全

Gartner市場分析報告顯示，到2021年，90%的非結構化數據是文檔數據，海量數據不斷增長，給非結構化數據的存儲、查找、分享協作和管理帶來巨大挑戰。企業組織和IT管理員還需要關心企業的文檔數據安全，比如數據丟失風險，由于文檔和設備移動頻率大，丟失設備帶來數據丟失的概率大、風險高，再如管控風險，內部數據被外部用戶拿走，無法控制，風險加大。消費級網盤遠不能滿足企業組織的IT管理對文檔數據安全的要求。Gartner市場分析報告顯示，全球60%的企業CIO都認為，需要在IT建設規劃上，把企業文件同步共享納入到辦公方案規劃中。

4.專業技術人員配備

網絡安全建設是一項動態的體系化工作，具有特定的自身屬性，需要有較高的專業技能水平和豐富的網絡安全經驗的技術人員，將網絡安全設備系統發揮最大作用，解決“不會用、不能用、不好用”的尷尬局面。企業在網絡安全技術和管理層面都面臨不斷變化的挑戰。隨著信息化建設的不斷深化和完善，信息化建設中的網絡安全建設愈發重要和迫切，專業的網絡安全技術團隊可以科學有效地配合和支撐企業網絡安全運維、規劃和輕咨詢等工作。

網絡信息安全建設內容

本著嚴格落實網絡安全主體責任制度，按照“誰主管、誰負責、誰運營、誰負責”的要求，遵循“分級分域、動態防控”的原則進行企業網絡信息安全建設。

1.網絡邊界加固—終端監控

審計大量的辦公終端構成了內網的最外層網絡邊界。網絡邊界是網絡安全防御的最基層環節，同時也是薄弱環節。防病毒系統及準入系統仍然屬于“被動”防御范疇，有必要增加主動防御手段。惡意病毒、木馬蠕蟲進入辦公終端的方式主要有兩種：一是軟件程序下載，二是移動存儲作為病毒擺渡手段侵入。為防范移動存儲介質帶來的病毒侵入風險，需要對辦公終端的USB接口進行嚴格管控，授權使用管理。掌握辦公終端安裝非工作相關軟件程序，主動防御通過移動存儲介質擺渡和軟件程序安裝進入到辦公終端從而進入內網，同時兼顧發現辦公終端非法外聯互聯網等行為；加強辦公終端作為內網邊界的管理。

2.入侵防護系統

（1）用戶身份識別與控制功能用戶身份識別與基于用戶身份的訪問控制功能，可以有效解決終端網內漫游帶來的越權訪問。用戶身份識別與控制需要實現細粒度訪問控制。（2）更精細的應用層安全控制通過流檢測技術對各類應用進行深入分析，搭建應用協議識別框架，準確識別大部分主流應用協議，可以對基于應用識別的應用進行精細粒度管理，能夠很好地對這些應用安全漏洞和利用這些漏洞的攻擊進行檢測和防御。（3）基于用戶身份的行為分析建立基于正常網絡訪問模型的單位網絡“白環境”，當檢測到網絡中出現了違背白環境模型的異常行為時，則對其進行深入分析，以判斷是否是攻擊。在用戶身份識別、應用識別的基礎上，將用戶身份、業務系統、地理位置、操作頻次等多種與操作相關的網絡環境信息進行關聯分析，建立企業網絡白環境，準確識別用戶異常行為。（4）多種技術融合的入侵檢測機制以全面深入的協議分析為基礎，融合權威專家系統、智能協議識別、協議異常檢測、流量異常檢測、會話關聯分析以及狀態防火墻等多種技術，提供從網絡層、應用層到內容層的深度安全防護。（5）智能協議識別和分析智能協議識別技術通過動態分析網絡報文中包含的協議特征，發現其所在協議，然后遞交給相應的協議分析引擎進行處理，能夠在完全不需要管理員參與的情況下，高速、準確地檢測出通過動態端口或者智能隧道實施的惡意入侵，可以準確發現綁定在任意端口的各種木馬、后門，對于運用SmartTunnel技術的軟件也能準確捕獲和分析?；谔卣鞣治龅南到y主要檢測各類已知攻擊，了解攻擊特征后，制作相應的攻擊特征過濾器，對網絡中傳輸的數據包進行高速匹配，并進行相應的防護；協議異常檢測以深度協議分析為核心，通過學習和調整特定網絡環境下的“正常流量”值，來發現非預期的異常流量；2～7層深度入侵防護能力，可在受到攻擊之前提供前瞻性的保護；攻擊檢測和防御可主動防御已知和未知攻擊，實時阻斷各種黑客攻擊，如緩沖區溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問、蠕蟲病毒和僵尸網絡等。

3.統一身份認證

構建統一用戶管理系統，實現對用戶賬號的集中管控、集中認證、集中授權和集中審計，支持各級分權分域的管理，打造高標準的身份安全體系，為企業網絡安全工作保駕護航。將IT應用系統用戶帳號進行統一、集中的管理，幫助實現員工用戶身份的統一認證和單點登錄，改變原有各業務系統中的分散式身份認證及授權管理，實現對用戶的集中認證和授權管理，簡化用戶訪問內部各系統的過程，使得用戶只需要通過一次身份認證過程就可以訪問具有相應權限的所有資源，同時使用多因子認證、認證策略和安全審計加強安全性。（1）建立員工身份管理權威數據源確立統一身份管理與認證系統為核心身份數據源，建立統一身份全景生命周期視圖，實現從核心身份數據源到應用系統、AD域間數據同步，實現身份數據的集中供給、當前存量用戶身份映射關系維護，確定并建立人員身份管理流程。（2）實現應用系統帳號生命周期管理用戶身份及應用帳號生命周期管理統一視圖，人員身份屬性、帳號規則、角色規則的統一，帳號集中管理、密碼管理和帳號合規的檢查。（3）實現用戶權限的集中管理基于應用角色、組及用戶身份屬性的集中權限管理，開通、變更與收回，前期實現應用級授權管理，即平臺能夠控制員工主頁只能夠顯示和訪問員工權限內的系統，后期逐步實現細顆粒度授權管理。（4）建立統一身份認證中心，實現應用訪問單點登錄建立統一認證中心，用戶訪問統一入口，實現員工一個用戶名和密碼，一次登錄即能訪問其所有權限內的應用。（5）統一授權模型，基于角色和組多因子認證集成及靈活的、基于風險識別的安全認證策略配置，能夠根據用戶、應用配置不同的認證策略，后期支持與微信集成，實現微信掃碼登錄，提升系統使用的便利性。

4.企業私有云盤系統

對全部辦公終端的USB統一管理，對工作人員使用移動介質存儲數據進行限制，既要考慮網絡及數據安全，同時要兼顧日常工作的順利開展；建設企業級文檔管理系統（企業私有云盤管理系統）顯得尤為必要。（1）實現文檔的集管理將分散在個人電腦、U盤、移動硬盤、郵件、微信和OA系統的電子文檔進行集中管理。并通過細分權限控制文檔分發，確保技術資料、商務機密不被泄漏，幫助企業高效安全管理數據。（2）消除文檔安全隱患日常工作中，往往遇到由于硬盤損壞、誤刪、人員離職、病毒攻擊等導致的數據丟失問題。私有云盤的安全存儲和備份機制能夠有效保證文檔的安全性、完整性，做到員工離職帶不走，崗位資料一鍵交接。（3）提高團隊工作效率豐富的在線協作功能，例如工作流、文件催辦、一鍵分享、評論、關注、日志和版本等，可以減少文檔查找、分享、流轉、審批時間；管理人員也通過云盤洞悉一線員工的日常工作完成情況，隨時調閱不同崗位每天產出的圖紙、報表、方案、合同和日記等。（4）形成經驗沉淀私有云盤在使用過程中將各崗位的作業經驗以文檔的方式統一歸檔，無形之中沉淀了企業寶貴的生產、銷售和管理經驗，便于傳承，幫助入職員工快速獲取豐富的作業經驗，做到離職帶不走，入門快速學。

5.專業人員支撐運維

本著“人防+技防”的防護原則，引入專業的技術團隊負責網絡安全運維工作，專業的技術能力和豐富的網絡安全管理經驗可以提升網絡安全防護水平；引入更先進的網絡安全技術理念和管理手段，實現網絡安全由被動防御到主動防御、縱深防御、聯動防御的目標?；诋斍熬W絡安全狀況的評估，有針對性地對網絡安全進行加固。網絡安全加固服務在加固被動安全防御能力的基礎上，提升積極防御的能力，配合運維服務，將日常網絡安全服務工作有效落地，包括安全梳理、有針對性地安全加固及持續的安全運營。

6.等保合規建設—日志審計系統

日志審計系統是等級保護測評的必要條件，同時也是滿足網絡安全合規性的必要條件。《中華人民共和國網絡安全法》及等保2.0標準規定，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月。

7.掌控內網流量—威脅預警溯源

通過建設全流量威脅分析預警及溯源系統，全面掌握內網流量情況，在發生網絡安全事件前能夠實現及時預警，在發生網絡安全事件過程中能及時發現，在發生網絡安全事件后能進行溯源和定責工作，由“被動”防御轉變為“主動”發現。

8.邊界訪問控制—區域隔離防護

科學的網絡區域劃分和隔離是網絡安全建設的基礎工作，根據不同的功能區域劃分不同的邏輯區域，通過網絡隔離設備——防火墻，進行訪問控制，封堵高危端口，將網絡安全風險控制在可控區域內，防止網絡病毒及滲透行為在全網漫游。內網可劃分為骨干網隔離區、內網服務器區、分支機構接入區和外網服務器區。綜上所述，建設清單如表所示。

結語

網絡信息安全的復雜性、多變性以及信息系統的脆弱性，決定了網絡信息安全威脅的客觀存在。網絡信息安全是一個系統的、全局的管理問題，網絡信息安全上的任何一個漏洞，都會導致信息的不安全性，也只有從系統綜合整體的角度去看待、分析，兼顧管理和技術兩個方面，才能取得有效、可行的措施，即計算機信息安全應遵循整體安全性原則，制定出合理的網絡信息安全體系結構，這樣才能真正做到整個系統的網絡信息安全，為企業的穩定運行保駕護航。

作者：何國偉 蔣井富