近年来单位的网络结构越来越复杂，所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、网站挂马、垃圾邮件、网络资源滥用等，极大地困扰着用户，给单位的信息网络造成严重的破坏。

现有网络分为DMZ服务器区和内网办公区，DMZ服务器运行着各种业务系统，威胁不仅包括针对网络、主机、系统等基础设施的攻击，而且还包含针对业务系统的特定攻击。内网办公区人员、终端设备、网络应用众多，使用者的安全意识和掌握的安全技能也参差不齐，导致内网办公区面临诸多安全威胁。

随着单位总部信息化应用的不断深化，围绕ERP系统、一体化门户以及财务管控等业务系统的上线运行，信息网络安全更加凸显重要，需要可靠的网络环境作保障。

威胁分析

内网信息系统是面向单位内部员工的业务支撑系统，因此其威胁主要来自网络内部。

1.非法扫描和攻击

有些单位内部人员出于好奇、报复、经济利益等目的，会恶意扫描和攻击财务部、人力资源部等内网关键部门的计算机，从而窃取软件源代码、薪资信息、合同信息等公司机密资料。

2.网络蠕虫病毒侵袭

网络蠕虫病毒传播速度快，难以快速定位并清除。一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。

3.不安全系统配置

由于终端用户的安全意识和安全技能存在着不足之处，计算机不能及时安装补丁或者开放了不受保护的共享文件夹，都成为被攻击的隐患。

4.外来人员的非法访问

由于单位的业务发展需要，经常会有外部人员接入内网进行业务交流、数据交换等操作。外部人员携带的电脑不受单位控制，存在很大的安全威胁，很有可能会导致网络蠕虫病毒进入内网或访问到存储单位机密信息的计算机。

5.单位内部用户的违规操作

为保障系统安全，单位会制定一系列的安全规范、流程来约束内部用户的行为，而有些人员为图方便会违反操作规程，带来不必要的安全问题。

6.未及时安装补丁程序

为避免补丁程序与业务系统软件冲突造成的系统故障，核心业务系统服务器有时不能及时安装系统、软件的补丁程序，使得服务器陷入无保护的状态。

7.DDoS/DoS攻击

DDoS攻击出现在十年前，是一种技术含量不高，但攻击效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为了恶意入侵者的新宠，特别是针对应用层的C&C攻击，直接威胁单位业务系统的可用性安全。

8.Web相关攻击

随着系统、软件厂商对安全问题的重视，系统级安全漏洞正在减少，应用层攻击，特别是针对Web系统的攻击成为入侵者的主要攻击手段，例如：SQL注入、XSS跨站脚本、网站挂马等等。

风险分析

我们主要从以下几个方面关注内网办公区和DMZ区可能面临的安全风险：

1.单位机密信息泄露的风险

单位内部员工的非法扫描和渗透攻击，以及外来人员的非授权访问，严重威胁着单位内网办公区内的敏感信息，例如：软件源代码、员工薪酬信息、商务合同信息等。一旦这些机密信息泄露，将会给单位带来不可估量的损失。

2.网络可用性的风险

目前利用漏洞传播的网络蠕虫病毒传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，一旦蠕虫爆发便会造成单位网络瘫痪。网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。

3.内部员工非法操作的安全风险

内部员工的授权或非授权违规操作，是威胁内部服务器区安全的重要因素，直接危害业务系统及核心数据的机密性及完整性。

4.系统不能安全补丁程序的安全风险

系统不能安装补丁程序作为一种被动威胁自身并无危害，但其为蠕虫病毒的传播和内部员工的恶意攻击提供了便利条件，是亟待解决的基础安全问题。

5.关键信息被篡改的风险

Web网站是单位对外发布信息的网络媒介，一旦发布的信息被恶意篡改将会影响单位的可信度。而业务系统中的重要数据被篡改，则会给单位带来经济上的损失。如果被别有用心之人发布了不实言论，单位将有可能面临法律问题。

6.业务系统不可用的风险

系统被DDoS攻击后不可用将失去其存在的意义，会给对网上业务系统高度依赖、对业务系统及时性要求较高的单位带来不可估量的损失。

7.损害单位声誉的风险

单位网站被篡改或者被植入木马，访问网站的用户将成为受害者，而单位也会因此而使自身的声誉遭受损害。

需求分析

根据对单位内网办公区和DMZ区的威胁、风险分析，其信息安全需求主要包括以下方面：

1.防御内部员工的非法扫描和渗透攻击，限制对敏感区域的访问，避免机密信息泄露，并记录违规操作，保障敏感信息的机密性和完整性。

2.阻止蠕虫、网络病毒爆发对单位网络的破坏，缩小扩散的范围，保障单位网络的正常运行和网络信息系统的安全性。

3.有效控制外来人员对内网资源的访问，避免外来人员窃取公司机密信息，防止其携带的网络蠕虫病毒扩散到单位内网。

4.实时的发现和阻止蠕虫以及网络病毒爆发对单位内网服务器区的影响，保障单位网络信息系统的正常运行。

5.提供有效方法防范针对未安装补丁系统的攻击行为。

6.防御各种流量型、资源耗尽型、应用层DDoS攻击，提高网络信息系统的可用性。

7.防御针对 Web、Mail等业务系统的攻击，保证业务系统的安全稳定运行。

混合防护解决方案

针对上述需求分析，部署网络入侵防护系统，能够有效防御2至7层的各种攻击，保证网络信息系统的安全稳定运行。

笔者单位网络结构相对复杂，不仅包括有总部，还有各地的直属单位，既要保护网络边界的安全，同时又要保护单位内网的安全。

针对单位网络的特点，入侵保护系统应采用混合防护的解决方案：

1.在笔者单位总部网络的出入口处在线部署网络入侵防护系统，以实现路由防护，提供从网络层、应用层到内容层的深度安全防护。

2.在笔者单位总部的内部网段之间以及与直属单位网络之间在线部署网络入侵防护系统，提供透明接入的、独立多路一进一出的、交换式的多进多出的全方位和立体式的安全防护体系，实现内网的安全区域划分和控制。

3.在单位服务器区和办公区旁路部署网络入侵防护系统，相当于入侵检测系统（IDS），监测、分析服务器区的安全状况，保护服务器安全。

4.通过一个控制台，实现对全网网络入侵防护系统设备的集中管理、安全信息的集中分析和处理，有效解决单位面临的安全问题，提高投资回报率。

结论

随着信息化建设的不断推进，信息网络安全成为信息化建设系统工程的“短板”，而单位所面临的安全问题和威胁越来越繁杂多变，尤其诸如蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件、网络资源滥用等混合威胁的风险，给单位的信息网络造成严重破坏。随着单位信息化应用的不断深化，围绕ERP系统、一体化门户以及财务管控等业务系统的上线运行，信息网络安全更加凸显重要。

网络信息系统安全的建设，应严把数据、流程、监管三个关口，为单位现代化管理与信息化建设提供有力支撑。网络入侵防护系统的建设和使用，将大大提升信息网络安全防护能力，为公司信息网络提供动态的、深度的、主动的安全防御，标志着公司及直属单位信息网络整体安全防护水平的全面提升，信息网络安全管理实现等级升级。