思維導(dǎo)圖:

企業(yè)網(wǎng)絡(luò)安全威脅概覽

企業(yè)存在來自內(nèi)部和外部的安全威脅，下圖是一張典型的企業(yè)網(wǎng)絡(luò)架構(gòu)圖：

企業(yè)網(wǎng)絡(luò)的安全威脅來源大致可以分為以下幾部分：

• 外部威脅：來自企業(yè)網(wǎng)絡(luò)外部的安全威脅，如DDoS攻擊，病毒、木馬、蠕蟲等網(wǎng)絡(luò)入侵，網(wǎng)絡(luò)掃描，垃圾郵件，釣魚郵件，針對(duì)Web服務(wù)器的攻擊等；

• 內(nèi)部威脅：網(wǎng)絡(luò)結(jié)構(gòu)不可靠，網(wǎng)絡(luò)未隔離，終端存在漏洞，員工行為不受控，信息安全違規(guī)操作，信息泄露，惡意員工，權(quán)限管理混亂，非法接入等。

為了有針對(duì)性地防范企業(yè)網(wǎng)絡(luò)安全威脅，企業(yè)工程師會(huì)根據(jù)威脅來源將網(wǎng)絡(luò)劃分為不同區(qū)域：

企業(yè)網(wǎng)絡(luò)不同區(qū)域的安全威脅及防范措施：

• 通信網(wǎng)絡(luò)架構(gòu)：具備高可靠性保障業(yè)務(wù)的正常運(yùn)行；部署VPN等措施保障數(shù)據(jù)傳輸?shù)臋C(jī)密性與完整性；

• 邊界區(qū)域：部署AntiDDoS方案應(yīng)對(duì)DoS攻擊；部署防火墻設(shè)備起到網(wǎng)絡(luò)隔離及流量控制的目的；IPS設(shè)備則用于防范外網(wǎng)的病毒、入侵等威脅；

• 計(jì)算環(huán)境：對(duì)終端進(jìn)行安全加固，防范漏洞帶來的威脅；部署IPS設(shè)備應(yīng)對(duì)外網(wǎng)的入侵行為；部署終端IPS或殺毒軟件應(yīng)對(duì)病毒入侵；

• 管理中心：通過堡壘機(jī)管控管理員的權(quán)限，降低惡意操作帶來的影響，監(jiān)控運(yùn)維操作，做到運(yùn)維過程可回溯；iMaster-NCE管控員工權(quán)限，降低信息泄露的風(fēng)險(xiǎn)，同時(shí)防范非法接入。

上述網(wǎng)絡(luò)方案中部署了如下網(wǎng)絡(luò)設(shè)備：

• 路由器

• 交換機(jī)

• 防火墻

• IPS設(shè)備

• AntiDDoS設(shè)備

• UMA堡壘機(jī)

• iMaster-NCE

通信網(wǎng)絡(luò)安全需求與方案

需求1 - 網(wǎng)絡(luò)架構(gòu)可靠性

• 三級(jí)等保的要求：應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

• 防火墻雙機(jī)熱備

需求2 – 區(qū)域隔離

通常在出口處部署防火墻，防火墻通過將所連接的不同網(wǎng)絡(luò)分隔在不同安全區(qū)域隔離內(nèi)外網(wǎng)，而通過在防火墻上部署地址轉(zhuǎn)換技術(shù)，可以在一定程度上隱藏內(nèi)網(wǎng)IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)。

部署防火墻：

• 安全區(qū)域

• 地址轉(zhuǎn)換技術(shù)

需求3 - 信息保密性

企業(yè)有出差員工，或者大型企業(yè)有多個(gè)分支機(jī)構(gòu)。出差員工和企業(yè)總部，企業(yè)分支和企業(yè)總部之間在不安全的Internet上進(jìn)行數(shù)據(jù)傳輸時(shí)，可能存在數(shù)據(jù)被竊取或篡改的風(fēng)險(xiǎn)，原因在于：

• 企業(yè)數(shù)據(jù)傳輸本身未加密或加密程度不夠；

• 中間人攻擊（Man-in-the-Middle Attack）

信息保密性安全方案

由于Internet的開放性，導(dǎo)致企業(yè)和其分支機(jī)構(gòu)在Internet上傳輸數(shù)據(jù)的安全性無法保證，可以使用VPN技術(shù)在Internet上構(gòu)建安全可靠的傳輸隧道或者專線。

區(qū)域邊界安全威脅與防護(hù)

威脅1 - DDoS攻擊

DDoS攻擊是指攻擊者通過控制大量僵尸主機(jī)，向攻擊目標(biāo)發(fā)送大量攻擊報(bào)文，導(dǎo)致被攻擊目標(biāo)所在網(wǎng)絡(luò)的鏈路擁塞，系統(tǒng)資源耗盡，從而無法向正常用戶提供服務(wù)。

DDoS攻擊種類

根據(jù)攻擊報(bào)文類型的不同，可以分為TCP Flood、UDP Flood、ICMP Flood、HTTP Flood和GRE Flood等。

DDoS攻擊安全防范

通過在企業(yè)網(wǎng)絡(luò)出口部署防火墻或者專業(yè)AntiDDoS設(shè)備，阻斷來自外部的DDoS攻擊。對(duì)于需要防范大流量DDoS攻擊的場(chǎng)景，也可以選擇專業(yè)的AntiDDoS設(shè)備。

SYN Flood攻擊是通過偽造一個(gè)源地址的SYN報(bào)文，發(fā)送給受害主機(jī)，受害主機(jī)回復(fù)SYN+ACK報(bào)文給這些地址后，不會(huì)收到ACK報(bào)文，導(dǎo)致受害主機(jī)保持了大量的半連接，直到超時(shí)。這些半連接可以耗盡主機(jī)資源，使受害主機(jī)無法建立正常TCP連接，從而達(dá)到攻擊的目的。

威脅2 - 單包攻擊

單包攻擊不像DDoS攻擊通過使網(wǎng)絡(luò)擁塞，或消耗系統(tǒng)資源的方式進(jìn)行攻擊，而是通過發(fā)送有缺陷的報(bào)文，使主機(jī)或服務(wù)器在處理這類報(bào)文時(shí)系統(tǒng)崩潰，或發(fā)送特殊控制報(bào)文、掃描類報(bào)文探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)，為真正的攻擊做準(zhǔn)備。

單包攻擊常見有

• 掃描型攻擊

• IP Scan：利用IP地址掃描工具探測(cè)目標(biāo)地址，確定目標(biāo)系統(tǒng)是否存活。

• 畸形報(bào)文攻擊

• Smurf攻擊：發(fā)送ICMP請(qǐng)求，該請(qǐng)求包的目標(biāo)地址設(shè)置為受害網(wǎng)絡(luò)的廣播地址，源地址為服務(wù)器地址。該網(wǎng)絡(luò)的所有主機(jī)都回應(yīng)此ICMP請(qǐng)求，回應(yīng)報(bào)文全部發(fā)往服務(wù)器，導(dǎo)致服務(wù)器不能正常提供服務(wù)。

• 特殊報(bào)文控制類攻擊

• Tracert報(bào)文攻擊：攻擊者利用TTL為0時(shí)返回的ICMP超時(shí)報(bào)文，和到達(dá)目的地址時(shí)返回的ICMP端口不可達(dá)報(bào)文來發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過的路徑，它可以窺探網(wǎng)絡(luò)的結(jié)構(gòu)。

單包攻擊與DDoS都屬于DoS攻擊。

單包攻擊安全防范

防火墻具有單包攻擊防范功能，可以對(duì)掃描類攻擊、畸形報(bào)文攻擊和特殊報(bào)文控制類攻擊進(jìn)行有效防范。

不同單包攻擊的原理不同，防火墻采用的防范原理也不同。以下對(duì)地址掃描攻擊原理和其防范原理進(jìn)行介紹。

Rate：同一源IP每秒發(fā)往不同目的地址的ICMP報(bào)文數(shù)量。

威脅3 – 用戶行為不受控

用內(nèi)容安全過濾：

• URL（Uniform Resource Locator）過濾可以對(duì)員工訪問的URL進(jìn)行控制，允許或禁止用戶訪問某些網(wǎng)頁(yè)資源，達(dá)到規(guī)范上網(wǎng)行為的目的；

• DNS過濾在域名解析階段進(jìn)行控制，防止員工隨意訪問非法或惡意的網(wǎng)站，帶來病毒、木馬和蠕蟲等威脅攻擊；

• 文件過濾通過阻斷特定類型的文件傳輸，可以降低內(nèi)部網(wǎng)絡(luò)執(zhí)行惡意代碼和感染病毒的風(fēng)險(xiǎn)，還可以防止員工將公司機(jī)密文件泄漏到互聯(lián)網(wǎng)；

• 內(nèi)容過濾包括文件內(nèi)容過濾和應(yīng)用內(nèi)容過濾。文件內(nèi)容過濾是對(duì)用戶上傳和下載的文件內(nèi)容中包含的關(guān)鍵字進(jìn)行過濾。管理員可以控制對(duì)哪些應(yīng)用傳輸?shù)奈募约澳姆N類型的文件進(jìn)行文件內(nèi)容過濾。應(yīng)用內(nèi)容過濾是對(duì)應(yīng)用協(xié)議中包含的關(guān)鍵字進(jìn)行過濾。針對(duì)不同應(yīng)用，設(shè)備過濾的內(nèi)容不同；

• 郵件過濾：通過檢查發(fā)件人和收件人的郵箱地址、附件大小和附件個(gè)數(shù)來實(shí)現(xiàn)過濾；

• 應(yīng)用行為控制功能用來對(duì)用戶的HTTP行為和FTP行為（如上傳、下載）進(jìn)行精確的控制。

威脅4 - 外部網(wǎng)絡(luò)入侵行為

外部網(wǎng)絡(luò)入侵有：

病毒

一種可感染或附著在應(yīng)用程序或文件中的惡意代碼，一般通過郵件或文件共享等協(xié)議進(jìn)行傳播，威脅用戶主機(jī)和網(wǎng)絡(luò)的安全。病毒能夠自我復(fù)制，但需要通過打開受感染的文件，啟用宏等手動(dòng)操作才能激活。

SQL注入

SQL注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語(yǔ)法里的一些組合，通過破壞SQL語(yǔ)句的原始邏輯，進(jìn)而執(zhí)行攻擊者所希望的操作。SQL注入漏洞屬于高危型Web漏洞。

DDoS攻擊

DDoS攻擊通過發(fā)出海量數(shù)據(jù)包，造成目標(biāo)設(shè)備負(fù)載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬或是設(shè)備資源耗盡。

入侵防御安全防范

防火墻的入侵防御功能對(duì)所有通過的報(bào)文進(jìn)行檢測(cè)分析，并實(shí)時(shí)決定允許通過或阻斷。也可使用IPS設(shè)備對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行防御。

防火墻/IPS設(shè)備通常部署在網(wǎng)絡(luò)出口處，抵擋來自互聯(lián)網(wǎng)的威脅。

防火墻/IPS設(shè)備上具備入侵防御功能模塊，該模塊通過將流經(jīng)防火墻/IPS設(shè)備的流量與加載的簽名庫(kù)做對(duì)比并根據(jù)危險(xiǎn)程度進(jìn)行相應(yīng)處理，簽名庫(kù)是簽名的集合。

簽名：用來描述網(wǎng)絡(luò)中存在的該入侵行為的特征，及設(shè)備需要對(duì)其采取的動(dòng)作。

計(jì)算環(huán)境安全威脅與防護(hù)

終端軟件漏洞

企業(yè)內(nèi)網(wǎng)終端軟件存在漏洞，往往給攻擊者可乘之機(jī)，不管是從外網(wǎng)或是內(nèi)網(wǎng)進(jìn)行的網(wǎng)絡(luò)攻擊，內(nèi)網(wǎng)終端感染病毒后，借助內(nèi)網(wǎng)設(shè)備之間的信任關(guān)系，病毒通過橫向擴(kuò)散，最終往往造成內(nèi)網(wǎng)大量終端設(shè)備感染。

CVE（Common Vulnerabilities and Exposures）是一個(gè)披露漏洞的平臺(tái)，它會(huì)提供編號(hào)作為漏洞對(duì)應(yīng)的字符串式特征。

終端軟件漏洞應(yīng)對(duì)方式

• 對(duì)企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件和應(yīng)用軟件及時(shí)打補(bǔ)丁，并且安裝防病毒軟件。

• 使用NAC（Network Admission Control）方案，對(duì)企業(yè)網(wǎng)絡(luò)自有的終端和外來接入的終端進(jìn)行安全性檢查，阻止不符合要求的終端接入網(wǎng)絡(luò)。

• 使用漏洞掃描工具掃描企業(yè)網(wǎng)絡(luò)，對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估。檢測(cè)網(wǎng)絡(luò)中的設(shè)備存在的漏洞并及時(shí)進(jìn)行修復(fù)。

• 進(jìn)行滲透測(cè)試，使用專業(yè)人士對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性進(jìn)行評(píng)估，并給出針對(duì)性的改進(jìn)措施。

管理中心安全需求與方案

需求1 – 管理員權(quán)限管控

某些情況下，企業(yè)員工因?yàn)槔婊虿粷M，會(huì)實(shí)施危害企業(yè)信息安全的行為。比如盜取企業(yè)機(jī)密數(shù)據(jù)，破壞企業(yè)網(wǎng)絡(luò)基礎(chǔ)實(shí)施等。

管理員權(quán)限管控安全方案

對(duì)于可能發(fā)生的企業(yè)員工的信息安全風(fēng)險(xiǎn)行為，可以從技術(shù)和管理兩方面進(jìn)行應(yīng)對(duì)。

技術(shù)方面

• 更嚴(yán)密的權(quán)限管理，比如UMA

• 更可靠的備份機(jī)制

管理方面

• 在企業(yè)內(nèi)部經(jīng)常進(jìn)行信息安全案例宣傳，提高員工安全意識(shí)；

• ?對(duì)于高安全需求的區(qū)域，可以使用門禁系統(tǒng)；

• 關(guān)注員工工作生活狀態(tài)，及時(shí)進(jìn)行心理輔導(dǎo)，防止員工因心理問題造成的信息安全風(fēng)險(xiǎn)行為。

需求2 - 上網(wǎng)權(quán)限管控

除了從企業(yè)外部網(wǎng)絡(luò)帶來的安全風(fēng)險(xiǎn)，企業(yè)內(nèi)網(wǎng)安全隱患也日益增加。企業(yè)內(nèi)可能會(huì)有外來人員，如果出現(xiàn)非法接入和非授權(quán)訪問時(shí)，也會(huì)存在導(dǎo)致業(yè)務(wù)系統(tǒng)遭受破壞、關(guān)鍵信息資產(chǎn)泄露的風(fēng)險(xiǎn)。

• 惡意人員接入網(wǎng)絡(luò)之后，會(huì)進(jìn)行破壞，或盜取信息的活動(dòng)；

• 接入網(wǎng)絡(luò)的終端，如果攜帶有病毒，有可能導(dǎo)致病毒在企業(yè)內(nèi)網(wǎng)傳播。

應(yīng)對(duì)非法接入，可以從技術(shù)和管理兩方面入手：

• 使用網(wǎng)絡(luò)準(zhǔn)入控制方案；

• 對(duì)于出入企業(yè)的人員進(jìn)行嚴(yán)格的行政管理。

上網(wǎng)權(quán)限管控方案

對(duì)于非法接入的應(yīng)對(duì)措施，華為提供NAC方案，可以對(duì)接入用戶進(jìn)行安全控制，實(shí)現(xiàn)只有合法的用戶、安全的終端才可以接入網(wǎng)絡(luò)。

NAC具有以下功能：

• 身份認(rèn)證：對(duì)接入網(wǎng)絡(luò)的用戶身份進(jìn)行合法性認(rèn)證，只有合法的用戶才能接入企業(yè)網(wǎng)絡(luò)；

• 訪問控制：根據(jù)用戶身份、接入時(shí)間、接入地點(diǎn)、終端類型、接入方式精細(xì)匹配用戶，控制用戶能夠訪問的資源；

• 對(duì)終端進(jìn)行安全性檢查，只有“健康的、安全的”用戶終端才可以接入網(wǎng)絡(luò)。

可以通過管理手段，規(guī)范員工進(jìn)入企業(yè)內(nèi)部，嚴(yán)格控制外來人員的進(jìn)入。

• 外來訪問人員必須要提前登記，并出示有效證件才能進(jìn)入；

• 使用安保人員和設(shè)備控制外來人員及車輛的進(jìn)入；

• 對(duì)企業(yè)內(nèi)部重要區(qū)域，可使用門禁系統(tǒng)，限制不符合權(quán)限的人員進(jìn)入；

• 禁止在計(jì)算機(jī)等設(shè)備上私自插入U(xiǎn)盤等存儲(chǔ)設(shè)備。

創(chuàng)建訪客網(wǎng)絡(luò)供外來訪問人員進(jìn)行接入，與企業(yè)辦公網(wǎng)絡(luò)隔離，消除安全風(fēng)險(xiǎn)。?