刘艳花

（邯郸市人民政府办公室 河北省邯郸市 056000）

随着互联网的发展，企业办公逐渐进入了信息化时代，除了传统的企业网站宣传、员工浏览网页收发邮件外，移动办公、企业ERP、CRM 等各种业务系统逐渐部署到网络上。互联网给企业带来了便利，但同时也带来了网络安全隐患。企业出现网络安全问题，已不仅仅是对企业本身带来损失，可能会波及经济、社会等各个领域，加强网络安全防护对企业履行网络安全责任、保护企业数据资产已非常必要。

1 网络安全典型问题

1.1 计算机终端感染病毒

企业网络中某台计算机感染勒索病毒，计算机界面被锁定，文件被加密后无法使用；计算机感染蠕虫病毒，蓝屏、频繁重启，文件被破坏或删除，其他计算机也被传播感染；计算机感染挖矿病毒，机器卡顿、CPU 和内存资源被占满；计算机终端被植入木马，某些端口被打开，黑客通过端口进入计算机系统，重要文件和资料被破坏或窃取；计算机被植入僵尸程序，成为僵尸主机，发起对其他计算机的攻击。

1.2 业务系统遭受攻击

企业业务系统服务器感染病毒，导致正常服务不能使用；黑客利用业务系统漏洞入侵服务器，客户信息泄露、业务系统文件被窃取；企业网站被篡改，对企业生产经营活动或社会形象造成影响。

1.3 网络遭受攻击

互联网出口遭受攻击，病毒在网络内流窜，用户不能正常上网；黑客通过扫描开启的网络端口入侵网络，窃取内部信息。

2 网络安全薄弱点

企业大多数员工认为信息中心已加装防火墙等网络安全设备，作为使用者只需用网即可，网络安全与使用者没有关系。其实，网络安全责任不仅仅是企业信息中心的责任，每名用网人员都是直接责任人员，其不当操作习惯可能会给整个网络带来更大的隐患。除此之外，弱口令、业务系统漏洞、端口暴露也是引起网络安全问题的常见原因。

2.1 计算机使用行为不规范

计算机使用人员网络安全意识薄弱，不能规范上网行为，对计算机长期不杀毒、不打补丁，移动存储介质无专人管理，未经查杀病毒、木马随意接入计算机，通过微信、QQ 群接收无关的文件，随意下载、安装软件，访问与工作无关的网站，点击来源不明的链接、邮件或可疑文件，使用办公网络私接路由器、发射Wi-Fi 信号，通过办公计算机连接手机等其他终端。下班时间不断电，给黑客带来可乘之机。员工或临时的外来人员所使用的笔记本电脑以及U 盘等移动设备由于经常接入各种网络环境使用，如果管理不善，很有可能携带病毒或木马，一旦未经审查就接入企业网络，可能对网络安全构成巨大的威胁。

2.2 弱口令屡禁不止

口令好比打开业务系统大门的钥匙，非常重要但往往被忽视。管理员对业务系统后台密码设置简单、数据库默认口令不修改，系统不具备强制用户设置高强度密码的功能。普通用户为了方便记忆，设置“记住密码”，没有定期修改密码的习惯。邮箱、社交平台等多个账号使用同一密码，面临被“撞库”的风险。黑客轻易破解密码，进入后台获取系统权限，导致数据泄露或信息篡改。

2.3 业务系统漏洞

软件设计不按信息安全等级保护要求进行模块化设计、软件工程实现中造成的软件系统内部逻辑混乱、功能冗余等，都会在软件设计上形成漏洞。常见漏洞包括SQL 注入、文件上传、目录遍历、文件包含、命令执行、代码执行、跨站脚本攻击等。系统运行维护人员没有根据业务系统漏洞发布情况及时修补漏洞，没有漏洞扫描工具识别漏洞，甚至废弃不用的业务系统服务器长时间不关闭，这些将给企业数据资产带来很大风险。

2.4 随意开启端口

运行维护人员为了方便远程维护，随意开启网络设备或服务器端口；长期不用的地址映射或端口不及时清除；计算机开启135、137、138、139、445 等高危端口，开启远程操作后长期不关闭。攻击者一旦与这些端口建立连接，很可能会获得局域网内各种共享信息。

2.5 网络安全防护薄弱

作为连接企业与互联网的枢纽，互联网出口区域的重要性不言而喻，可是有的企业不重视设备投入，互联网出口只加装防火墙，未加装入侵防御等设备深入应用层拦截恶意代码攻击；对网络或业务系统未开展等级保护测评，没有进行分区分域差别化防护；防火墙策略设置颗粒度较大，未能有效拦截非法地址或异常流量；对分支机构接入网未设置边界防护，忽视来自内部的攻击；核心区缺乏审计设备，对攻击束手无策，出现问题无法追踪溯源。

3 管理制度

建立全方位的网络安全防护体系，管理制度必不可少。用管理制度来加强网络安全领导、保障网络安全责任落实执行和网络安全事件应急响应。

3.1 成立网络安全工作领导小组

为加强网络安全统筹规划和组织协调，明确以企业负责人为组长、企业副职和各分支机构负责人为副组长、各部门经理为成员的组织机构，建立和完善安全防范联动机制，有效解决网络安全方面存在的问题。网络安全工作领导小组办公室设在信息中心。网络安全工作纳入各部门绩效考核。

3.2 制定网络安全责任制实施细则

网络安全已不仅仅是信息中心的责任，每名员工都是网络安全工作直接责任人。责任制细则将网络安全责任划分到信息中心、业务部门和全体员工，出现网络安全事件时，根据发生原因和溯源核查结果，实施责任追究。

3.3 制定应急预案

将网络安全事件划分等级，根据一般事件、较大事件、重大事件采取不同等级的应急措施和报告流程。确保一旦发生问题，根据严重程度和影响范围，能够及时报告分支机构信息技术部、部门负责人、信息中心进行有效处置，较大事件和重大事件要向企业负责人报告。

4 技术防护

4.1 网络架构

良好的架构设计是实现网络设备可管可控的前提。尤其是大中型企业，其规模大、员工多、办公地点分散、网络结构复杂、信息系统数量多，企业总部网络需要规划为层次清晰的三层结构，如图1所示。核心层实现骨干网之间的优化传输、汇聚层处理来自接入层设备的通信量、接入层使本地网段终端用户接入网络。为减少网络风暴，接入层全部使用支持VLAN 划分的三层交换机。

图1：网络架构

企业办公网与互联网强逻辑隔离，员工使用一台计算机既能访问内部业务区各类服务，又能访问互联网，当访问内部业务区时，互联网自动切断，当访问互联网时，内部业务区网络自动切断。分支机构通过运营商数据专线或MPLS VPN 线路与企业总部实现连接。

4.2 分区分域保护

信息安全等级保护坚持自主定级原则，为加强安全，对企业总部网络、企业移动办公系统、ERP 业务系统等实施三级网络安全等级保护，对分支机构网络实施二级网络安全等级保护。按照网络安全等级保护2.0 标准，划分网络边界和安全区域，设置互联网出口区、DMZ区、核心区、运维管理区、内部业务区、接入区等区域，各安全域实现差异化防护，有效保障网络安全。如图2所示。

图2：分区分域保护

（1）互联网出口区。在互联网出口串接防火墙，将企业内部网络和互联网隔离，对非法访问进行过滤与控制，构建内部网络保护屏障。同时，面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层数据，各种混合攻击多借助病毒的传播方式进行，为此，串接入侵防御设备（IPS）来弥补防火墙的不足。IPS 提供了攻击特征库，对网络流量进行特征检测，符合特征的入侵流量将被拦截。串接上网行为管理设备对网络多媒体、网络游戏、炒股、非法网站访问等行为进行精细化识别和管控，对网络流量、用户上网行为进行深入分析与审计。

（2）DMZ 区。该区域部署面向互联网开放部分服务的Web 服务器，比如企业网站前台页面、办公系统移动服务端等。该区域需要部署WAF 设备，防止外部对企业网站、办公系统的DDoS 攻击、SQL 注入、跨站脚本攻击、网页篡改、数据窃取等攻击，阻断对Web服务器的恶意访问和违规操作。

（3）核心区。核心区由两台高性能核心交换机组成双机热备结构，保障设备和线路的冗余部署。

（4）运维管理区。运维管理区部署入侵检测（IDS）、日志审计、态势感知系统、漏洞扫描、堡垒机、数据库审计、EDR 等设备，旁挂在核心交换机上，形成较为全面的安全监控和审计体系，实现网络攻击的防护、监视和定位溯源。IDS 监听、收集和分析网络流量，审计获得的信息，检查网络中是否存在违反安全策略的行为和被攻击迹象，由于其旁路部署，对于来自内部和外部的攻击行为都能够起到有效的发现作用。IDS 可与防火墙等安全产品进行联动，实现动态的安全维护。日志审计设备收集全网设备的日志信息，对日志范式化处理并进行监测。态势感知系统在对网络安全事件统一采集与整合的基础上，实现对事件的关联分析和预警通报，对攻击追踪溯源，可视化揭示和还原安全事件，并基于网络威胁进行态势预测。漏洞扫描设备能够利用漏洞库全面、快速、准确地发现被扫描网络中的主机资产，准确识别主机名称、端口情况、操作系统以及开放的服务等，对这些资产进行脆弱性检查并提供修补方案。随着网络设备的增多，安装堡垒机加强对技术人员操作行为的监管与审计已非常必要，对网络设备、安全设备和服务器的运维操作都通过堡垒机来开展，实现对设备操作的审计和记录。数据库审计设备通过用户操作行为的记录和分析，实现业务系统数据操作审计和追溯，对数据库遭受的风险行为进行实时告警。安装终端管控系统（EDR），实现对接入区计算机终端的管控。

（5）内部业务区。内部业务区部署的内部邮件系统、企业ERP、办公系统数据库不对外开放，只由内部员工访问。串接防火墙、入侵防御和WAF 设备，对Web 应用软件、业务系统存在的漏洞以及SQL 注入、跨站脚本等攻击进行有针对性的防护，保障内部业务数据安全。

（6）接入区。接入网各计算机安装EDR 客户端，可以禁止使用非授权的U 盘和移动硬盘等存储设备、禁止非授权的网络访问，实现终端病毒查杀、补丁分发、漏洞修复，保障接入终端可管可控。

（7）分支机构网络。分支机构与企业总部网络要有防护边界，使用防火墙等网络安全设备实现独立组网。为保障网络安全，分支机构可统一使用企业总部互联网出口，也可单独建立互联网出口但要加强出口防护。

为实现企业办公网与互联网的强逻辑隔离，需要采取跨网隔离措施：DMZ 区与内部业务区的服务器之间通过网闸等跨网隔离设施进行数据交换；接入终端安装Inode 客户端软件，实现对用户终端的网络访问控制，访问业务系统时自动断开互联网，访问互联网时断开业务系统，保证跨两网访问有效隔离。

4.3 业务系统设计

业务系统要进行压力测试并单独开展网络安全等级保护测评。业务系统软件一定要注意分层架构，应用程序、数据库、文件采取分布式部署结构，面向移动端的业务层部署在互联网区，存储重要文件或数据的服务器不能部署在DMZ 区，必须部署在内部业务区。数据存储、传输过程中采用加密技术进行加密处理，保证信息的安全性和完整性。移动办公等业务系统地址不能直接映射到互联网，手机等移动终端必须安装VPN 客户端，通过VPN 网关设备建立的虚拟专用通道保障访问内部资源的安全性。

5 日常管理

“三分技术、七分管理”同样适用于网络管理。网络安全日常管理主要包括信息中心对网络的精细化管理和全体人员对网络安全制度的落实执行。

5.1 定期检查设备配置

企业信息中心常态化检查设备配置，发挥设备使用效能，必要时定期聘请厂商专业技术人员，对设备端口和策略进行检查，细化所有设备的网络安全策略，隔离、屏蔽无关IP，关闭不用的端口、服务和映射。企业信息中心、分支机构技术中心要频繁开展病毒查杀、入侵检测、漏洞扫描、安全审计等基础网络安全工作。规范操作，需要远程维护的，必须通过VPN 专用通道连接设备端口，其余时间一律在企业内部通过登录堡垒机维护设备。

5.2 加强业务系统管理

实践证明大量攻击案例都是黑客利用了系统漏洞或弱口令，攻入企业内部获得一定权限。信息中心技术人员一定要对对业务系统数据定期备份转储，跟进系统版本更新信息，扫描并及时修补系统漏洞；系统管理员账号、普通用户客户端账号都要设置强度密码，避免弱口令带来危害。

5.3 严格管控计算机终端

信息中心统一规划IP 地址，所有接入网络的计算机终端都要进行IP 地址绑定。员工安装EDR 系统客户端，对计算机终端定期开展杀毒和补丁修复工作，关闭所有不使用的端口和服务。办公用移动存储介质专人管理，在接入办公计算机前要查杀病毒、木马等恶意代码。禁止通过微信、QQ等即时通讯工具接收可能引起病毒的文件。严禁下载、安装与工作无关的软件。不访问与工作无关的网站，不点击来源不明的链接、邮件或可疑文件。禁止使用办公网络私接路由器、发射Wi-Fi 信号，禁止通过办公计算机连接手机等其他终端。非工作时间办公计算机及时断电。

5.4 检查、考核、培训

在网络安全工作领导小组的领导下，每名员工都要签订网络安全责任书，企业信息中心联合各分支机构技术中心和人力资源部门，定期开展网络安全检查，细化检查表各项评分，人力资源部门将网络安全执行情况纳入部门、人员绩效考核，计入年度考核得分。企业信息中心搜集网络安全事件案例，就网络安全事件和新上业务系统开展专项培训，采用图片、动画等方式，以通俗易懂的语言对全体员工开展培训，使员工对网络安全责任有清晰的认识。

6 应急演练

由企业信息中心牵头组织，按照事前准备、事中预防、事后巩固的原则，根据应急响应工作流程每年定期组织应急预案演练。通过应急演练，完善应急预案的不足之处，检验网络安全防护体系的建设成果，提升应急事件的响应和紧急处置能力。

6.1 启动阶段

由企业领导、信息中心负责人、相关人员组成指挥决策组，组建攻防演练团队，动员全体员工参与。邀请公安网安支队人员、知名网络安全设备生产厂商技术人员、等级保护测评机构人员组成攻击组，针对可能存在的薄弱环节，制定应急演练工作方案，工作方案应包括应急演练时间、范围、人员组成、工作流程、安全措施等。防御组要摸清家底，理清信息化资产清单和设备配置。

6.2 备战阶段

信息中心技术人员对移动办公业务系统、业务数据库、企业网站等重点资源加强防护，开展设备配置核查、弱口令检查、漏洞扫描等自查工作，对防火墙、身份认证、VPN等关键部位进行风险评估。企业各部门提高思想认识，加强部门计算机终端安全。

6.3 演练和保障阶段

攻击组通过搜集信息、挖掘漏洞、爆破密码、利用漏洞，以渗透业务系统、模拟重点部门计算机感染勒索病毒、向员工发送钓鱼邮件等方式，模拟黑客攻击行为。防御组利用态势感知等可视化安全管控平台，对设备日志、流量进行监测、分析，对入侵痕进行排查，发现异常立即处置报告。

6.4 总结阶段

防护组全面复盘总结，从攻击事件、风险等级、攻击路径和漏洞利用四个维度展开分析。总结经验做法和不足之处，严格按时间整改到位，并书面报告。

应急演练验证了日常管理、技术防护的有效性，发现了薄弱环节，锻炼了技术队伍，使企业员工对网络安全问题有了身临其境的认识，直观地体验到网络使用也能带来安全隐患。

7 结束语

网络安全防护体系的建设为企业提供了较为完善有效的整体网络防护方案，为企业信息化发展奠定了基础框架。网络安全已不单靠技术防护解决问题，网络安全制度和日常管理对网络安全亦为重要。网络安全不是信息中心一个部门的责任，企业领导者、普通用网员工都需要重视和参与。实践证明防护体系建设有效保障了网络安全，极大降低了网络安全事件的发生。随着信息技术的发展，企业将会选用更加新颖的网络安全防护产品，但都离不开网络安全防护基础体系的支撑。本论文对各类企业甚至政府部门应对网络安全问题具有普遍参考意义。