《企业网络存在问题》由会员分享,可在线阅读,更多相关《企业网络存在问题(12页珍藏版)》请在金锄头文库上搜索。
1、第 1 章 企业网络安全背景1.1 企业网络发展状况互联网是人类最伟大的发明。互联网的快速发展促进了企事业单位的 信息化建设,互联网丰富的资源和日益成熟的网络基础建设大大提高了企 业的生产力和工作效率,互联网信息技术的持续使用,给企业的持续、快 速、高效发展提供了助力,企业的管理成本和生产成本得到了持续降低。然而,伴随着网络技术的发展,各类黑客行为和攻击技术给企业的持 续、快速、健康、安全的发展带来了困扰IDC报告指出针对企业的黑客 攻击事件呈现逐年递增的趋势。近年来,大量的企业信息安全事件出现在 我们的视野,如七天、如家等酒店的开房信息泄露,索尼影音官网被黑及 用户信息泄露,卡巴斯基总部被黑
2、客侵入等,这些事件不仅对企业的商业 活动和企业信誉带来损害,还对社会公民的正常生活造成干扰。普华永道 针对中国企业的一份调研报告指出“已检测到的信息安全事件对企业带来 的财务影响正在迅速增加,同时仍有许多攻击没被发现或者报告,仅在中 国内地与香港地区,失窃的知识产权或者商业机密的实际价值已远超数十 亿美元”。事实充分说明:网络安全是企业单位网络建设的重点内容,网 络安全建设和加固是一个持续的工程。1.2 企业网络安全问题当今企业都在广泛使用网络信息技术,以不断提高企业的核心竞争力 由于计算机网络的开放性,网络信息化给企业带来效益的同时,也给企业增加了风险隐患,企业网络安全问题日益严重。那么,企
3、业网络到底面临 哪些主要的安全问题呢?外网安全问题:非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻 击、漏洞利用、僵尸木马、信息泄露等已成为企业网络安全最为广泛的威 胁;内网安全问题:带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN 使用控制、病毒蠕虫扩散、信息泄露等已成为企业内部网络最主要的安全 问题;安全连接问题:内部网络之间、内外网络之间的连接安全,如企业总 部、各地分支机构、第三方合作伙伴、移动办公人员之间,既要保障信息 及时共享,又要防止机密信息泄露。对于不同接入方,其所拥有的权限, 既要能够满足正常业务的需求,又不能超越其职能权限,避免越权访问和 敏感信息泄露;运维管理安
4、全:共享帐号安全隐患,设备繁多控制策略复杂,操作无 法监管,内部操作不透明,外部操作不可控,没有统一的身份管理平台, 频繁切换应用程序登录,日志分散不可用,不能集中有效审计等问题困扰 着企业网络的安全运维管理。第 2 章 企业网络安全需求分析对于大部分企业来说,其 IT 网络的建设可以划分六个区域,分别为: 互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、 运维管理域。这六个区域因为承载的业务内容和作用不同,所面临的安全风险也有所不同,需要的安全防护措施亦有差别。2.1 互联网接入域安全需求分析互联网接入区域将企业内部网络与互联网逻辑隔离 ,作为企业内部用 户访问互联网的出口
5、, 其中互联网接入区域将单位内部网络与互联网逻 辑隔离,作为内部用户访问互联网的出口,同时承担着两方面的作用:一 是内部用户访问互联网的统一出口;二是为社会公众和合作伙伴提供企业 信息服务的入口。互联网接入域是连接企业内部与外部的桥梁,因此面临 着来自两个方向的安全威胁: 1)外部威胁,如黑客扫描和入侵、拒绝服 务攻击、病毒或蠕虫侵袭、僵尸木马、信息泄露等。 2)内部威胁,如无 意识的风险引入、网络资源滥用导致的新风险,以及内部的故意破坏等。2.1.1 防火墙访问控制通过防火墙在内部网络和外部网络之间构造一道保护屏障,从而保护 内部网络免受非法用户的侵入,通过防火墙将内外部网络隔离,实现有效
6、的边界访问控制,并界定用户的访问请求是否符合安全规则,基于防火墙 预设的访问控制规则、端口和协议的检测和控制机制等手段使可信双方进 行通信,并阻断不可信的访问行为。2.1.2 防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对内网服务器和业务系 统发起非法扫描,获取内部网络的安全漏洞,发起基于存在漏洞的恶意攻 击行为,从而获取到未授权的机密信息或内部系统的控制权限。2.1.3防御DDoS攻击DDoS攻击一般由黑客控制Internet上的“僵尸”系统完成,通过对 互联网上缺少防御的主机植入某些代码,这些机器就会被DDoS攻击者控 制,当黑客发动DDoS攻击时,只需要同时向这些将僵尸机发送
7、指令,攻 击就会由这些“僵尸”机器完成。DDoS攻击主要有带宽型攻击、流量型攻 击和应用型攻击,其主要的表现为利用海量的数据包、请求或应用消耗目 标网络或设备资源,导致无法处理正常的业务或访问请求,造成公司的服 务质量下降、生产效率降低、信誉受损等一系列问题。病毒蠕虫等威胁内容是黑客最常利用的网络入侵工具。网络蠕虫病毒 传播速度快,一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理 性能的下降,网络拥塞,同时也会对核心敏感数据造成严重的威胁,导致 业务和生产的中断、敏感信息泄露等问题。2.1.5 防零时差攻击零时差攻击(Zero-hour/day Att ack )是指从系统漏洞、协议弱点被
8、 发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差 几乎为零的攻击。零时差攻击对应用系统和网络的威胁和损害令人恐怖, 这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短 的时间内摧毁关键的应用系统,造成网络瘫痪等风险。2.1.6 防止间谍软件间谍软件能够在用户不知情的情况下偷偷进行非法安装,并且安装后 很难找到其踪影,并悄悄把截获的一些机密信息发送给第三者的软件。间 谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。 由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并建立了一个进 入个人电脑的通道,很容易对用户电脑做后续的攻击。间谍软件能够消耗
9、计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。它 还能够窃取密码、信用卡号和其它机密数据。因此,间谍软件对企业网络 的危害非常巨大,需要一种有效的手段防止间谍软件向企业内部网络渗透2.1.7 应用带宽管控内网用户在上班时间有意无意的进行与工作无关的网络行为,比如聊 天、炒股、玩网游、看视频、网购、手机 APP 使用等,严重影响工作效率, 并占用大量的带宽,导致关键业务应用或关键人员得不到足够的带宽资源 降低企业内部的工作效率。2.1.8 链路负载均衡企业往往会部署多条链路,保证网络服务的质量,消除单点故障,减 少停机时间。为提升外网用户从外部访问内部网站和应用系统的速度和性 能
10、,就需要对多条链路进行负载优化,实现在多条链路上动态平衡分配, 并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务 应用不中断。2.2.2 数据安全性保障在总部与小型分支或办事处之间基于互联网通信,组织信息平台上的 应用系统如果不经加密和认证等安全处理,跑在互联网这个不安全而又开 放的网络上,一旦重要数据如果遭到窃取,带来的损失将无法估量。因此, 有必要利用 VPN 等技术通过 Internet 建立安全可靠、经济便捷的虚拟专 用网络。2.3.1 系统漏洞攻击保护DMZ 区域内部有大量业务服务器,其底层和业务应用系统会不断产生 新的安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏
11、洞发起对 DMZ 区的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库 漏洞,实现对网站敏感信息监控、窃取、篡改等目的。因此需要有效的工 具来识别并防护针对系统漏洞的攻击。2.3.2 防止信息泄露和篡改黑客通过漏洞利用、WEB攻击、弱密码等手段一旦侵入了 DMZ系统, 将可能窃取DMZ系统数据库中储存的用户资料、身份信息、账户信息等敏 感数据,损害企业的经济利益;黑客也可能直接篡改企业对外Web网页内 容,使企业的形象和信誉受损;黑客甚至会在企业对外提供服务的网站挂 载木马病毒,网站的访问用户也会被木马病毒感染,这种情况下企业可能 因此而承担法律责任。233 WEB应用安全针
12、对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火 墙、入侵防御系统无法发现和阻止这些攻击。针对web应用的安全问题有:由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、 跨站脚本攻击等;系统底层漏洞问题,如服务器底层的操作系统和Web业 务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞 给了入侵者可乘之机;黑客、病毒木马等威胁还能利用弱口令、管理员界 面等潜在缺陷对网站进行攻击。334防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对外联区服务器和业务 系统发起非法扫描,获取内部网络的安全缺陷和漏洞,进一步发起恶意攻 击行为,从而获
13、取到未授权的机密信息或内部系统的控制权限。2 3 5防止拒绝服务黑客通过DOS/DDOS拒绝服务攻击使外联服务平台无法响应正常请求。 这种攻击行为使得Web等系统充斥大量要求回复的信息,严重消耗网络系 统资源,导致外联服务平台无法对外正常提供服务,影响企业正常的业务 开展。2 3 6防范内部威胁企业内部网络安全状况也影响着外联区域的安全,比如网络中存在的DoS 攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等, 内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会 破坏外联平台的安全稳定运行。2.4 数据中心域安全需求分析数据中心是 IT 建设的心脏,作为业务集中化部署、
14、发布、存储的区 域,数据中心承载着业务的核心数据以及机密信息。对于恶意攻击者而言, 数据中心永远是最具吸引力的目标。所以数据中心的安全建设显得格外重 要。数据中心主要的安全需求包括:2.4.1 防火墙隔离控制通过防火墙在数据中心构造一道网络层保护屏障,通过防火墙的区域 隔离和访问控制规则,来界定用户的访问请求是否符合安全要求,并隔离 来自 internet、intranet、extrane 等区域的安全风险,实现数据中心网 络接入安全。2.4.2 防止病毒蠕虫入侵服务器是数据中心中计算资源的核心来源,也用于连接网络资源、存 储资源,是数据中心中业务交付的重要支撑,因此也是网络入侵者最主要 的目
15、标。病毒、蠕虫、木马等恶意代码一旦感染数据中心服务器,就可能 在数据中心网络快速传播,消耗数据中心网络资源,劫持服务器应用,窃 取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。所以数据中心 网络安全建设需要包含检测和清除病毒蠕虫木马等恶意内容的机制。2.4.3 漏洞攻击保护数据中心大量的服务器底层操作系统和业务应用都可能存在安全漏 洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对数据中心业务服 务器的攻击,比如弱口令密码攻击、应用程序弱点利用、服务弱点利用等, 非法获取更多的内部操作管理权限,实现对内部敏感信息监控、窃取、篡 改等目的。因此需要有效的工具来识别并防护针对数据中心服务器业务
16、系 统漏洞的攻击。244防APT攻击黑客的攻击手段越来越先进,并带有很强的目的性。近几年 APT 攻击 经常见诸报端,这是一类攻击手段很先进、目的性和持续性很强的高级持 续性威胁(APT)。通常这种攻击方式都带有明确的攻击意图和不达目的不 休止的特点,黑客往往应用先进的攻击手段绕过防御体系,实现对企业高 价值机密信息的破坏、窃取、篡改等目的,从而给业务系统造成不可挽回 的损失。因此,数据中心安全建设需要考虑防范 APT 攻击,避免重要信息 资产失窃或破坏。245 防范内部威胁企业内部网络安全状况也影响着外联区域数据中心的安全,比如内部 网络中存在 DoS 攻击,或者存在感染病毒木马的终端,给黑客提供可利用 的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这 些问题都会破坏数据中心的安全稳定运行。2.4.6防止拒绝服
