不可不知 企业内网安全五大禁忌

不可不知企业内网安全五大禁忌

对于中小企业用户来说，病毒、黑客、恶意攻击已经不再是个“传说”了，在现阶段网络安全形势复杂多变的情况下，网络系统承载了企业运转的基石。FBI和CSI曾对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部。在损失金额上，由于内部人员泄密导致的损失是黑客造成损失的16倍。企业所遭受的损失方面，14%来自专利信息被窃取，12%来自内部人员的财务欺骗，5%是来自黑客的攻击。

既然超过八成的网络安全威胁来自企业内部，且能造成多方面的损失，那么部署真正适合、高效的企业内网安全系统，已经迫在眉睫。由于近年来网络安全形式日益复杂，网络攻击类型多种多样，攻击工具千变万化，攻击位置也不尽相同，部署企业内网安全系统也应谨慎实施。

一忌：大而无当

企业管理者在面对企业内网安全形势需求时，往往希望构筑一个面面俱到、一劳永逸的安全系统，因此在选择内网安全产品时，也希望可以“一步到位”的选择适用于所有环境及功能的“万能”产品，而忽略了企业因为所处行业、职能、网络应用特点所带来的对于内网安全的不同需求。

企业内网系统应该完善立体的安全防护

总的来说，企业内网安全面临着以下具有代表性的需求：

◆如何制定统一安全策略并贯彻实施;

◆如何防范移动电脑和存储设备随意接入内网;

◆如何防范内网设备非法外联;

◆如何管理客户端资产，保障设备正常运行;

◆如何及时发现网络中占用带宽最大的进程及客户端;

◆如何迅速控制异常客户端的运行;

◆如何防止内部重要信息数据泄露;

◆如何对客户端进行统一监控、管理

◆如何快速定位网络中病毒、蠕虫、黑客的引入点;

◆如何及时切断被侵入网络系统的联系;

◆如何架构网络安全报警平台，进行安全事件响应和查询，全面管理网络资源。

二忌：无的放矢

不同的企业对于内网安全有着不同的需求，企业网络管理者需制定出切实可行并且符合企业网络应用特点的内网安全策略，才可能达到预期的安全效果。

解决内网安全问题的常规途径

企业的网络系统复杂多样，从职能上可以分为：生产业务网和办公业务局域网;从部署位置上可以分为：内网系统和外网系统;从企业所处的行业上来划分，又可以分为具有不同行业特点的网络模式等等。因此，不同企业的不同网络区域也有着不同的安全需求。比如以企业的职能网络来说，其不同的特点为：

生产业务网：主要包含企业的营业服务器、业务服务器，主要应用有企业的产品序列、技术及专利、企业数据报表等等。这部分的安全需求主要是信息安全及数据保密为主;

办公业务局域网：主要用于企业总部及下属各级网络的办公自动化系统，办公业务局域网一般与一台中心交换机相连，由若干个VLAN组成。包括企业的发展规划、战略部署、上情下达的文件公告、企业人事信息等等，是用于正常办公及处理内部业务的系统，它又针对领导用户、财务部、一般用户等各级别的客户端有着不同的安全需求。

内网安全威胁造成损失的比率

现阶段，企业内网系统所面临的代表性的问题包括：

1、安全规范难以贯彻实施：内部的合规要求、安全操作等信息化管理手段难以被每个员工熟知和应用，无法对员工的行为做出有效管理;

2、外部终端缺乏准入控制：终端未经安全认证和授权接入到内网可以导致组织内部重要信息泄露或丢失;终端接入后对内网的非授权访问又难以管理，造成不可弥补的重大损失;

3、移动存储“危险性”被忽视：移动设备，包括笔记本电脑等和目前流行的智能手机，都可能未经安全检查而与企业内网链接，它们可以存储内网数据，甚至成为病毒传播的媒体;

4、网络资源的浪费：员工在工作时间内聊天、游戏、电影下载、登陆色情反动网站等行为大量存在，使内网流量负荷增加，影响工作效率及网络正常使用;

5、因为管理经验不足所造成的终端安全水平参差不齐：企业内网安全没有专人维护，客户端的漏洞密布、口令简陋、缺少必要的关键补丁，缺乏必要的安全知识，导致无法及时掌握企业内网进程运行情况。

三忌：复杂堆砌

正是缘于企业内网安全需求的多种多样，有些企业安全管理者针对其具体安全需求，不断的部署安全产品：防毒墙、防火墙、UTM、上网行为管理、杀毒工具、入侵检测产品等等，殊不知某些单一产品的功能并不单一，重复的部署不仅会造成企业成本的增加、资源的耗费，甚至可能面临诸多产品的兼容难题。

针对不同原因的安全威胁，应选择不同产品

针对企业内网安全的产品主要分为：

1、运行系统安全：即保证信息处理和传输系统的安全，侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。

2、网络上系统信息的安全：包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密等。

构建VPN也是安全使用互联网的重要一步

3、网络上信息传播安全：侧重于防止和控制非法、有害的信息进行传播后的后果，避免公用网络上大量自由传输的信息失控。

4、网络上信息内容的安全。侧重于保护信息的保密性、真实性和完整性，本质上是保护用户的利益和隐私。四忌：一成不变

鉴于网络安全形势随着技术的发展、更替，也面临着升级及更新换代的需要，因此以一成不变的光电来部署企业内网安全系统，认为一次部署就可以万事大吉，则是错误的观点。

比如目前第一代防火墙现已基本无法探测到利用僵尸网络作为传输方法的威胁，部署下一代防火墙则势在必行;现阶段IPv4资源面临着枯竭的危险，企业网络管理者则应该适时考虑向IPv6过渡的方案。

IPv4到IPv6的过渡

但在企业网络管理者部署内网安全架构时，需考虑到产品的应用是否足以满足现阶段的安全需求、是否具有良好的扩展性，且是否具有安全产品的基本特征，即可为未来的部署做好“铺垫”。

网络安全应具有以下四个方面的特征：