企业网络存在问题

企业网络存在问题

第1章企业网络安全背景

1.1 企业网络发展状况

互联网是人类最伟大的发明。互联网的快速发展促进了企事业单位的信息化建设，互联网丰富的资源和日益成熟的网络基础建设大大提高了企业的生产力和工作效率，互联网信息技术的持续使用，给企业的持续、快速、高效发展提供了助力，企业的管理成本和生产成本得到了持续降低。

然而，伴随着网络技术的发展，各类黑客行为和攻击技术给企业的持续、快速、健康、安全的发展带来了困扰。IDC报告指出针对企业的黑客攻击事件呈现逐年递增的趋势。近年来，大量的企业信息安全事件出现在我们的视野，如七天、如家等酒店的开房信息泄露，索尼影音官网被黑及用户信息泄露，卡巴斯基总部被黑客侵入等，这些事件不仅对企业的商业活动和企业信誉带来损害，还对社会公民的正常生活造成干扰。普华永道针对中国企业的一份调研报告指出“已检测到的信息安全事件对企业带来的财务影响正在迅速增加，同时仍有许多攻击没被发现或者报告，仅在中国内地与香港地区，失窃的知识产权或者商业机密的实际价值已远超数十亿美元”。事实充分说明：网络安全是企业单位网络建设的重点内容，网络安全建设和加固是一个持续的工程。

1.2 企业网络安全问题

当今企业都在广泛使用网络信息技术，以不断提高企业的核心竞争力。由于计算机网络的开放性，网络信息化给企业带来效益的同时，也给

企业增加了风险隐患，企业网络安全问题日益严重。那么，企业网络到底面临哪些主要的安全问题呢？

外网安全问题：非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、漏洞利用、僵尸木马、信息泄露等已成为企业网络安全最为广泛的威胁；

内网安全问题：带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN 使用控制、病毒蠕虫扩散、信息泄露等已成为企业内部网络最主要的安全问题；

安全连接问题：内部网络之间、内外网络之间的连接安全，如企业总部、各地分支机构、第三方合作伙伴、移动办公人员之间，既要保障信息及时共享，又要防止机密信息泄露。对于不同接入方，其所拥有的权限，既要能够满足正常业务的需求，又不能超越其职能权限，避免越权访问和敏感信息泄露；

运维管理安全：共享帐号安全隐患，设备繁多控制策略复杂，操作无法监管，内部操作不透明，外部操作不可控，没有统一的身份管理平台，频繁切换应用程序登录，日志分散不可用，不能集中有效审计等问题困扰着企业网络的安全运维管理。

第2章企业网络安全需求分析

对于大部分企业来说，其IT网络的建设可以划分六个区域，分别为：互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、运维管理域。这六个区域因为承载的业务内容和作用不同，所面临的安全

风险也有所不同，需要的安全防护措施亦有差别。

2.1 互联网接入域安全需求分析

互联网接入区域将企业内部网络与互联网逻辑隔离,作为企业内部用户访问互联网的出口,其中互联网接入区域将单位内部网络与互联网逻辑隔离，作为内部用户访问互联网的出口，同时承担着两方面的作用：一是内部用户访问互联网的统一出口；二是为社会公众和合作伙伴提供企业信息服务的入口。互联网接入域是连接企业内部与外部的桥梁，因此面临着来自两个方向的安全威胁：1）外部威胁，如黑客扫描和入侵、拒绝服务攻击、病毒或蠕虫侵袭、僵尸木马、信息泄露等。2）内部威胁，如无意识的风险引入、网络资源滥用导致的新风险，以及内部的故意破坏等。

2.1.1 防火墙访问控制

通过防火墙在内部网络和外部网络之间构造一道保护屏障，从而保护内部网络免受非法用户的侵入，通过防火墙将内外部网络隔离，实现有效的边界访问控制，并界定用户的访问请求是否符合安全规则，基于防火墙预设的访问控制规则、端口和协议的检测和控制机制等手段使可信双方进行通信，并阻断不可信的访问行为。

2.1.2 防止黑客扫描入侵

外部黑客出于好奇、报复或经济利益等目的会对内网服务器和业务系统发起非法扫描，获取内部网络的安全漏洞，发起基于存在漏洞的恶意攻击行为，从而获取到未授权的机密信息或内部系统的控制权限。

2.1.3 防御DDoS攻击

DDoS攻击一般由黑客控制Internet上的“僵尸”系统完成，通过对互联网上缺少防御的主机植入某些代码，这些机器就会被DDoS攻击者控制，当黑客发动DDoS攻击时，只需要同时向这些将僵尸机发送指令，攻击就会由这些“僵尸”机器完成。DDoS攻击主要有带宽型攻击、流量型攻击和应用型攻击，其主要的表现为利用海量的数据包、请求或应用消耗目标网络或设备资源，导致无法处理正常的业务或访问请求，造成公司的服务质量下降、生产效率降低、信誉受损等一系列问题。

2.1.4 防止病毒蠕虫入侵

病毒蠕虫等威胁内容是黑客最常利用的网络入侵工具。网络蠕虫病毒传播速度快，一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，网络拥塞，同时也会对核心敏感数据造成严重的威胁，导致业务和生产的中断、敏感信息泄露等问题。

2.1.5 防零时差攻击

零时差攻击（Zero-hour/day Attack）是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。零时差攻击对应用系统和网络的威胁和损害令人恐怖，这相当于在用户没有任何防备的情况下，黑客发起了闪电战，可能在极短的时间内摧毁关键的应用系统，造成网络瘫痪等风险。

2.1.6 防止间谍软件

间谍软件能够在用户不知情的情况下偷偷进行非法安装，并且安装后很难找到其踪影，并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示，运行时用户也不知晓，删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动，并建立了一个进入个人电脑的通道，很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力，使计算机崩溃，并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。因此，间谍软件对企业网络的危害非常巨大，需要一种有效的手段防止间谍软件向企业内部网络渗透。

2.1.7 应用带宽管控

内网用户在上班时间有意无意的进行与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购、手机APP使用等，严重影响工作效率，并占用大量的带宽，导致关键业务应用或关键人员得不到足够的带宽资源，降低企业内部的工作效率。

2.1.8 链路负载均衡

企业往往会部署多条链路，保证网络服务的质量，消除单点故障，减少停机时间。为提升外网用户从外部访问内部网站和应用系统的速度和性能，就需要对多条链路进行负载优化，实现在多条链路上动态平衡分配，并在一条链路中断的时候能够智能地自动切换到另外一条链路，保障业务