企业网络存在问题

1、企业网络存在问题第1章企业网络安全背景企业网络发展状况互联网是人类最伟大的发明。 互联网的快速发展促进了企事业单位的 信息化建设，互联网丰富的资源和日益成熟的网络基础建设大大提高了企 业的生产力和工作效率，互联网信息技术的持续使用，给企业的持续、快 速、高效发展提供了助力，企业的管理成本和生产成本得到了持续降低。然而，伴随着网络技术的发展，各类黑客行为和攻击技术给企业的持续、快速、健康、安全的发展带来了困扰。IDC报告指出针对企业的黑客攻击事件呈现逐年递增的趋势。近年来，大量的企业信息安全事件出现在 我们的视野，如七天、如家等酒店的开房信息泄露，索尼影音官网被黑及 用户信息泄露，卡巴斯基总部被

2、黑客侵入等，这些事件不仅对企业的商业 活动和企业信誉带来损害，还对社会公民的正常生活造成干扰。普华永道 针对中国企业的一份调研报告指出“已检测到的信息安全事件对企业带来的财务影响正在迅速增加，同时仍有许多攻击没被发现或者报告，仅在中 国内地与香港地区，失窃的知识产权或者商业机密的实际价值已远超数十 亿美元”。事实充分说明：网络安全是企业单位网络建设的重点内容，网 络安全建设和加固是一个持续的工程。企业网络安全问题当今企业都在广泛使用网络信息技术，以不断提高企业的核心竞争 力。由于计算机网络的开放性，网络信息化给企业带来效益的同时，也给企业增加了风险隐患，企业网络安全问题日益严重。那么，企业网络

3、到底面临哪些主要的安全问题呢？外网安全问题：非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻 击、漏洞利用、僵尸木马、信息泄露等已成为企业网络安全最为广泛的威 胁；内网安全问题：带宽和应用滥用、APT潜伏渗透、BYO裁入管控、WLAN 使用控制、病毒蠕虫扩散、信息泄露等已成为企业内部网络最主要的安全 问题；安全连接问题：内部网络之间、内外网络之间的连接安全，如企业总 部、各地分支机构、第三方合作伙伴、移动办公人员之间，既要保障信息 及时共享，又要防止机密信息泄露。对于不同接入方，其所拥有的权限， 既要能够满足正常业务的需求，又不能超越其职能权限，避免越权访问和 敏感信息泄露；运维管理安全：共享帐

4、号安全隐患，设备繁多控制策略复杂，操作无 法监管，内部操作不透明，外部操作不可控，没有统一的身份管理平台， 频繁切换应用程序登录，日志分散不可用，不能集中有效审计等问题困扰 着企业网络的安全运维管理。第2章 企业网络安全需求分析对于大部分企业来说， 其IT网络的建设可以划分六个区域，分别为：互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、 运维管理域。这六个区域因为承载的业务内容和作用不同，所面临的安全风险也有所不同，需要的安全防护措施亦有差别。互联网接入域安全需求分析互联网接入区域将企业内部网络与互联网逻辑隔离，作为企业内部用户访问互联网的出口 ，其中互联网接入区域将单位内部

5、网络与互联网逻 辑隔离，作为内部用户访问互联网的出口，同时承担着两方面的作用：一 是内部用户访问互联网的统一出口；二是为社会公众和合作伙伴提供企业信息服务的入口。互联网接入域是连接企业内部与外部的桥梁，因此面临 着来自两个方向的安全威胁：1）外部威胁，如黑客扫描和入侵、拒绝服 务攻击、病毒或蠕虫侵袭、僵尸木马、信息泄露等。2）内部威胁，如无意识的风险引入、网络资源滥用导致的新风险，以及内部的故意破坏等。防火墙访问控制通过防火墙在内部网络和外部网络之间构造一道保护屏障，从而保护 内部网络免受非法用户的侵入，通过防火墙将内外部网络隔离，实现有效 的边界访问控制，并界定用户的访问请求是否符合安全规则

6、，基于防火墙 预设的访问控制规则、端口和协议的检测和控制机制等手段使可信双方进 行通信，并阻断不可信的访问行为。防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对内网服务器和业务系 统发起非法扫描，获取内部网络的安全漏洞，发起基于存在漏洞的恶意攻 击行为，从而获取到未授权的机密信息或内部系统的控制权限。防御 DDoSC击DDoS$：击一般由黑客控制Internet 上的“僵尸”系统完成，通过对 互联网上缺少防御的主机植入某些代码，这些机器就会被DDoS攻击者控制，当黑客发动 DDoS攻击时，只需要同时向这些将僵尸机发送指令，攻 击就会由这些“僵尸”机器完成。 DDoS击主要有带宽型攻击

7、、流量型攻 击和应用型攻击，其主要的表现为利用海量的数据包、请求或应用消耗目 标网络或设备资源，导致无法处理正常的业务或访问请求，造成公司的服 务质量下降、生产效率降低、信誉受损等一系列问题。防止病毒蠕虫入侵病毒蠕虫等威胁内容是黑客最常利用的网络入侵工具。网络蠕虫病毒 传播速度快，一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理 性能的下降，网络拥塞，同时也会对核心敏感数据造成严重的威胁，导致 业务和生产的中断、敏感信息泄露等问题。防零时差攻击零时差攻击(Zero-hour/day Attack )是指从系统漏洞、协议弱点被 发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差

8、几乎为零的攻击。零时差攻击对应用系统和网络的威胁和损害令人恐怖， 这相当于在用户没有任何防备的情况下，黑客发起了闪电战，可能在极短 的时间内摧毁关键的应用系统，造成网络瘫痪等风险。防止间谍软件间谍软件能够在用户不知情的情况下偷偷进行非法安装，并且安装后 很难找到其踪影，并悄悄把截获的一些机密信息发送给第三者的软件。间 谍软件在安装时什么都不显示， 运行时用户也不知晓，删除起来非常困难。 由于间谍软件隐藏在用户计算机中、秘密监视用户活动，并建立了一个进 入个人电脑的通道，很容易对用户电脑做后续的攻击。间谍软件能够消耗 计算能力，使计算机崩溃，并使用户被淹没在网络广告的汪洋大海中。它 还能够窃取密

9、码、信用卡号和其它机密数据。因此，间谍软件对企业网络 的危害非常巨大，需要一种有效的手段防止间谍软件向企业内部网络渗 透。应用带宽管控内网用户在上班时间有意无意的进行与工作无关的网络行为，比如聊 天、炒股、玩网游、看视频、网购、手机APP使用等，严重影响工作效率， 并占用大量的带宽，导致关键业务应用或关键人员得不到足够的带宽资 源，降低企业内部的工作效率。链路负载均衡企业往往会部署多条链路，保证网络服务的质量，消除单点故障，减 少停机时间。为提升外网用户从外部访问内部网站和应用系统的速度和性 能，就需要对多条链路进行负载优化，实现在多条链路上动态平衡分配， 并在一条链路中断的时候能够智能地自动

10、切换到另外一条链路，保障业务5应用不中断数据安全性保障在总部与小型分支或办事处之间基于互联网通信，组织信息平台上的应用系统如果不经加密和认证等安全处理，跑在互联网这个不安全而又开放的网络上，一旦重要数据如果遭到窃取，带来的损失将无法估量。因此，有必要利用VPN等技术通过Internet 建立安全可靠、经济便捷的虚拟专 用网络。系统漏洞攻击保护DM次域内部有大量业务服务器，其底层和业务应用系统会不断产生 新的安全漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞发起对DMZ区的攻击，比如 mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库 漏洞，实现对网站敏感信息监控、窃取、篡改等目的。因此需

11、要有效的工 具来识别并防护针对系统漏洞的攻击。防止信息泄露和篡改黑客通过漏洞利用、 WE畋击、弱密码等手段一旦侵入了DM冻统，将可能窃取DM臻统数据库中储存的用户资料、身份信息、账户信息等敏 感数据，损害企业的经济利益；黑客也可能直接篡改企业对外Web网页内容，使企业的形象和信誉受损；黑客甚至会在企业对外提供服务的网站挂 载木马病毒，网站的访问用户也会被木马病毒感染，这种情况下企业可能 因此而承担法律责任WEB应用安全针对Web应用的攻击往往隐藏在正常访问业务行为中，导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。 针又web应用的安全问题有：由于Web应用程序的编写过程中引入的安全漏洞问

12、题，比如SQL注入、跨站脚本攻击等；系统底层漏洞问题，如服务器底层的操作系统和Web业务常用的发布系统（如IIS、Apache）,这些系统本身存在诸多的安全漏洞 给了入侵者可乘之机；黑客、病毒木马等威胁还能利用弱口令、管理员界 面等潜在缺陷对网站进行攻击。防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对外联区服务器和业务 系统发起非法扫描，获取内部网络的安全缺陷和漏洞，进一步发起恶意攻 击行为，从而获取到未授权的机密信息或内部系统的控制权限。防止拒绝服务黑客通过DOS/DDOS巨绝服务攻击使外联服务平台无法响应正常请 求。这种攻击行为使得 We瞪系统充斥大量要求回复的信息，严重消耗网

13、 络系统资源，导致外联服务平台无法对外正常提供服务，影响企业正常的 业务开展。防范内部威胁企业内部网络安全状况也影响着外联区域的安全，比如网络中存在的7DoS攻击，或者存在感染病毒木马的终端，给黑客提供可利用的跳板等， 内部员工的非法扫描和渗透攻击，及非授权违规操作行为，这些问题都会 破坏外联平台的安全稳定运行。数据中心域安全需求分析数据中心是IT建设的心脏，作为业务集中化部署、发布、存储的区 域，数据中心承载着业务的核心数据以及机密信息。对于恶意攻击者而言,数据中心永远是最具吸引力的目标。所以数据中心的安全建设显得格外重要。数据中心主要的安全需求包括：防火墙隔离控制通过防火墙在数据中心构造一

14、道网络层保护屏障，通过防火墙的区域 隔离和访问控制规则，来界定用户的访问请求是否符合安全要求，并隔离 来自internet 、intranet 、extrane 等区域的安全风险，实现数据中心网 络接入安全。防止病毒蠕虫入侵服务器是数据中心中计算资源的核心来源，也用于连接网络资源、存 储资源，是数据中心中业务交付的重要支撑，因此也是网络入侵者最主要 的目标。病毒、蠕虫、木马等恶意代码一旦感染数据中心服务器，就可能 在数据中心网络快速传播，消耗数据中心网络资源，劫持服务器应用，窃 取敏感信息，发送垃圾信息，甚至重定向用户到恶意网页。所以数据中心 网络安全建设需要包含检测和清除病毒蠕虫木马等恶意内

15、容的机制。漏洞攻击保护数据中心大量的服务器底层操作系统和业务应用都可能存在安全漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞发起对数据中心业务服 务器的攻击，比如弱口令密码攻击、应用程序弱点利用、服务弱点利用等， 非法获取更多的内部操作管理权限，实现对内部敏感信息监控、窃取、篡 改等目的。因此需要有效的工具来识别并防护针对数据中心服务器业务系 统漏洞的攻击。防APT攻击黑客的攻击手段越来越先进，并带有很强的目的性。近几年APT攻击经常见诸报端，这是一类攻击手段很先进、目的性和持续性很强的高级持 续性威胁（APT）。通常这种攻击方式都带有明确的攻击意图和不达目的不 休止的特点，黑客往往应用先进的

16、攻击手段绕过防御体系，实现对企业高 价值机密信息的破坏、窃取、篡改等目的，从而给业务系统造成不可挽回 的损失。因此，数据中心安全建设需要考虑防范APT攻击，避免重要信息资产失窃或破坏。防范内部威胁企业内部网络安全状况也影响着外联区域数据中心的安全，比如内部网络中存在DoS攻击，或者存在感染病毒木马的终端，给黑客提供可利用 的跳板等，内部员工的非法扫描和渗透攻击，及非授权违规操作行为，这 些问题都会破坏数据中心的安全稳定运行。防止拒绝服务数据中心作为业务集中化部署、发布、存储的区域，数据中心承载着业务的核心数据以及机密信息，其业务的可靠性非常关键。黑客利用协议 漏洞或控制“肉鸡”向数据中心服务器

17、发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题，对数据中心的可靠造成危害。WEB应用安全数据中心有大量的 WE而用，黑客针对Web应用的攻击往往隐藏在正 常访问业务行为中，导致传统防火墙、入侵防御系统无法发现和阻止这些 攻击。针对web应用的安全问题有：由于Web应用程序的编写过程中引入的安全漏洞问题，比如SQL注入、跨站脚本攻击等；系统底层漏洞问题，如服务器底层的操作系统和Web业务常用的发布系统（如IIS、Apache）,这些系统本身存在诸多的安全漏洞 给了入侵者可乘之机；黑客、病毒木马等威胁还能利用弱口令、管理员界 面等潜在缺陷对网站进行攻击。虚拟云化风险保护虚拟化云数

18、据中心是数据中心的发展方向，通过虚拟化技术构建基础设施资源池，实现资源的按需分配，提高整体资源利用率。但云数据中心 虚拟化也带来了新的安全风险，比如虚拟化导致了风险集中、流量复杂、 边界弱化、越权访问等问题，因此需要一种适合虚拟化云数据中心的安全 管控机制，提供虚拟化内部的安全区域划分、边界管控、二到七层安全保10内网办公域安全需求分析随着全球信息化及网络技术的不断发展，网络安全问题特别是内部网络安全问题正在日益突出。“堡垒最容易从内部攻破”，因此做好企业内网 办公区域的网络安全建设，对于企业整体网络的安全保护意义重大。无论 是内部终端的违规外联、违规接入和违规操作，还是内部系统数据保密性、

19、可控性和可用性要求，都是企业内网办公区域安全建设需要思考的问题。那么，企业内网办公区主要有哪些安全需求呢？2.5.2漏洞病毒防护内网办公区分布有大量的终端设备，如果这些终端不能及时更新系统漏洞补丁，将会给黑客可乘之机，一旦某台终端感染病毒，很容易向全网 扩散。因此，内网安全建设需要包括：具备快速发现终端设备的系统漏洞 并自动分发补丁能力，具备快速有效的定位网络中病毒、蠕虫、黑客的引 入点并及时、准确的切断安全事件发生点的能力。2.1.6防止僵尸网络僵尸网络是攻击者出于恶意目的，采用多种传播手段，通过互联网使大量主机感染僵尸程序，从而控制这些被感染的主机，从而在控制者和被 感染主机之间形成一个一对多控制的网络，黑客利用这些僵尸主机作