您好, 訪客   登錄/注冊

企業網絡安全規劃研究

來源:用戶上傳      作者:

  摘 要 網絡安全外部形勢瞬息萬變,攻擊數量持續上升,企業網絡安全的重要性日益提升,針對企業面臨的網絡安全風險,本文結合法規要求及優秀實踐,從縱深防御、動態防護,綜合治理三個角度提出企業網絡安全的規劃要點。
  關鍵詞 規劃;網絡安全;企業信息化
  1 新時期網絡安全背景
  《中華人民共和國網絡安全法》的頒布、《網絡安全等級保護標準 》的修訂,要求企業加強網絡安全制度建設,落實責任制,切實承擔網絡安全職責。
  同時,外部威脅日益增多,國家互聯網應急中心(CNCERT/CC)統計數據顯示,2017年我國境內約2萬個網站被篡改,較2016年增長20%;國家信息安全漏洞共享平臺(CNVD)統計數據顯示2017年收錄的漏洞數量約1.6萬個,較2016年增長47%。對企業的生產經營造成較大威脅[1]。
  2 企業網絡安全整體規劃
  企業的網絡安全規劃,需要以“網絡安全等級保護”為核心,結合網絡安全的各項工作內容和企業實際管理特點,構建從內到外的安全技術縱深防護手段,實現安全態勢的統一監控和預警處置,同時強化各類安全工作的協同互補。在網絡安全的建設過程中,嚴格落實三同步(與信息系統同步規劃設計、同步實施、同步投入運行)。
  2.1 縱深防御
  縱深防御旨在多個層次防線上使用互相獨立的不同防護手段,使每一層都能在前一層安全控制失效或漏洞被利用時提供冗余,從而達到阻止攻擊的效果。參照《信息安全技術 網絡安全等級保護基本要求》,企業縱深防御可以分為:物理環境安全、通信網絡安全、計算環境安全 這幾層。通過在不同層進行相應的安全加固,避免網絡安全的單點風險,有效的防范外部攻擊。
  物理環境安全主要指機房及數據中心安全,包括防震防雷擊、防火、防水防潮、電磁防護、溫濕度控制、電力供應保障以及出入機房的專職值守及電子門禁等。在實際防護過程中,重點關注的是對人員進出機房的管理以及機房動力環境(暖通、電力)的保障。
  通信網絡安全主要包括網絡架構的可靠性、網絡邊界防護、信息傳輸中的加密及防竊取、網絡的安全審計。對于大型集團的網絡,需要根據業務及應用系統的重要性,同時做好內部網絡的分區分域隔離。網絡安全是企業的防護重點,目前大量企業安全防護主要集中在網絡邊界防護上,防護手段包括部署防護墻、WAF、防DDos攻擊、上網行為管理設備等。但除了關注網絡邊界安全外,大型企業需要更加關注內網的分區分域隔離,以及總部和分支機構數據傳輸過程中的數據加密,避免出現網絡邊界某一點被攻擊后,整個內網被全面突破。
  計算環境安全包括兩大部分內容,一部分是服務器/云平臺/虛擬主機的身份鑒別、訪問控制、惡意代碼防范等。另一部分是部署在服務器上的應用系統和數據的安全,同樣包括訪問控制、身份鑒別、系統備份恢復、敏感數據的分級分類及全生命周期管理等。這塊是技術防護的難點和重點,在防護過程中,第一是要建立基線,關閉不必要的端口并授權用戶最小權限;第二是要加強密碼的管理,需要定期更換密碼及加強密碼的復雜度。第三定期進行漏洞掃描和滲透測試,確保系統的健壯性。
  2.2 動態防護
  縱深防御是靜態的防護,更多地體現在對已知威脅的防護上。但對于未知威脅,可參考NIS信息安全框架中的IPDRR模型(即識別、保護、調查、響應、恢復),圍繞安全事件,將防線前移,關注事件處置的同時感知網絡安全態勢并做出預測識別,形成動態防護。在動態防護上,更強調的是識別、響應恢復能力。主要包括監測預警和應急處置
  監測預警是對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測,并在發生異常時提前預警;應急處置是安全事件發生后,第一時間采取相應措施處置或進行升級上報,處置妥當后指導恢復,并進行分析總結。企業在動態防護過程中,可以通過建設安全運營中心(SOC)/態勢感知平臺來實現網絡安全事件的通報預警、快速處置、追蹤溯源等。有效解決安全事件被動響應、安全系統相對孤立的問題,切實提高集團公司網絡安全事件及風險的發現、分析、響應、處置及預警能力。同時配合應急演練和攻防實戰,提升企業的安全事件的處置能力。
  2.3 綜合管理
  企業的網絡安全除了技術防護和日常安全運營外,還有組織機構、人才隊伍、制度標準、監督檢查、專項經費等多項工作。
  其中最為重要的是制度標準和監督檢查,一方面通過制定制度標準,明確管理要求和技術標準,做到“有據可依,有法必依”,另一方面通過開展監督檢查,建立常態化的網絡安全監督檢查機制,做到“監督必嚴,違法必究”及時發現薄弱環節及時整改。企業需要不斷完善內控制度及技術標準/配置基線。同時,強化與其他業務部門的協調聯動,強化外部供應商管理、人員調動離職管理等[2]。
  3 結束語
  本文從網絡安全等級保護制度出發,結合企業網絡安全優秀實踐,系統性提出企業網絡安全規劃應考慮的三大方面,對企業的網絡安全防護建設有較強的現實意義。但由于企業網絡安全涉及的內容龐雜,部分內容未展開說明,企業在借鑒時,可參考相應的等保標準及ISO27001等內容。
  參考文獻
  [1] 任婷,于城.從新技術角度談等級保護2.0[J].信息通信技術,2018, (06):12-17.
  [2] 企業網絡規劃建設中的安全體系研究[J].信息系統工程,2018,(3):79.
轉載注明來源:http://www.hailuomaifang.com/1/view-14900790.htm

?
99久久国产综合精麻豆