思維導圖:

企業(yè)網(wǎng)絡安全威脅概覽

企業(yè)存在來自內部和外部的安全威脅，下圖是一張典型的企業(yè)網(wǎng)絡架構圖：

企業(yè)網(wǎng)絡的安全威脅來源大致可以分為以下幾部分：

• 外部威脅：來自企業(yè)網(wǎng)絡外部的安全威脅，如DDoS攻擊，病毒、木馬、蠕蟲等網(wǎng)絡入侵，網(wǎng)絡掃描，垃圾郵件，釣魚郵件，針對Web服務器的攻擊等；

• 內部威脅：網(wǎng)絡結構不可靠，網(wǎng)絡未隔離，終端存在漏洞，員工行為不受控，信息安全違規(guī)操作，信息泄露，惡意員工，權限管理混亂，非法接入等。

為了有針對性地防范企業(yè)網(wǎng)絡安全威脅，企業(yè)工程師會根據(jù)威脅來源將網(wǎng)絡劃分為不同區(qū)域：

企業(yè)網(wǎng)絡不同區(qū)域的安全威脅及防范措施：

• 通信網(wǎng)絡架構：具備高可靠性保障業(yè)務的正常運行；部署VPN等措施保障數(shù)據(jù)傳輸?shù)臋C密性與完整性；

• 邊界區(qū)域：部署AntiDDoS方案應對DoS攻擊；部署防火墻設備起到網(wǎng)絡隔離及流量控制的目的；IPS設備則用于防范外網(wǎng)的病毒、入侵等威脅；

• 計算環(huán)境：對終端進行安全加固，防范漏洞帶來的威脅；部署IPS設備應對外網(wǎng)的入侵行為；部署終端IPS或殺毒軟件應對病毒入侵；

• 管理中心：通過堡壘機管控管理員的權限，降低惡意操作帶來的影響，監(jiān)控運維操作，做到運維過程可回溯；iMaster-NCE管控員工權限，降低信息泄露的風險，同時防范非法接入。

上述網(wǎng)絡方案中部署了如下網(wǎng)絡設備：

• 路由器

• 交換機

• 防火墻

• IPS設備

• AntiDDoS設備

• UMA堡壘機

• iMaster-NCE

通信網(wǎng)絡安全需求與方案

需求1 - 網(wǎng)絡架構可靠性

• 三級等保的要求：應提供通信線路、關鍵網(wǎng)絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性。

• 防火墻雙機熱備

需求2 – 區(qū)域隔離

通常在出口處部署防火墻，防火墻通過將所連接的不同網(wǎng)絡分隔在不同安全區(qū)域隔離內外網(wǎng)，而通過在防火墻上部署地址轉換技術，可以在一定程度上隱藏內網(wǎng)IP地址，保護內部網(wǎng)絡。

部署防火墻：

• 安全區(qū)域

• 地址轉換技術

需求3 - 信息保密性

企業(yè)有出差員工，或者大型企業(yè)有多個分支機構。出差員工和企業(yè)總部，企業(yè)分支和企業(yè)總部之間在不安全的Internet上進行數(shù)據(jù)傳輸時，可能存在數(shù)據(jù)被竊取或篡改的風險，原因在于：

• 企業(yè)數(shù)據(jù)傳輸本身未加密或加密程度不夠；

• 中間人攻擊（Man-in-the-Middle Attack）

信息保密性安全方案

由于Internet的開放性，導致企業(yè)和其分支機構在Internet上傳輸數(shù)據(jù)的安全性無法保證，可以使用VPN技術在Internet上構建安全可靠的傳輸隧道或者專線。

區(qū)域邊界安全威脅與防護

威脅1 - DDoS攻擊

DDoS攻擊是指攻擊者通過控制大量僵尸主機，向攻擊目標發(fā)送大量攻擊報文，導致被攻擊目標所在網(wǎng)絡的鏈路擁塞，系統(tǒng)資源耗盡，從而無法向正常用戶提供服務。

DDoS攻擊種類

根據(jù)攻擊報文類型的不同，可以分為TCP Flood、UDP Flood、ICMP Flood、HTTP Flood和GRE Flood等。

DDoS攻擊安全防范

通過在企業(yè)網(wǎng)絡出口部署防火墻或者專業(yè)AntiDDoS設備，阻斷來自外部的DDoS攻擊。對于需要防范大流量DDoS攻擊的場景，也可以選擇專業(yè)的AntiDDoS設備。

SYN Flood攻擊是通過偽造一個源地址的SYN報文，發(fā)送給受害主機，受害主機回復SYN+ACK報文給這些地址后，不會收到ACK報文，導致受害主機保持了大量的半連接，直到超時。這些半連接可以耗盡主機資源，使受害主機無法建立正常TCP連接，從而達到攻擊的目的。

威脅2 - 單包攻擊

單包攻擊不像DDoS攻擊通過使網(wǎng)絡擁塞，或消耗系統(tǒng)資源的方式進行攻擊，而是通過發(fā)送有缺陷的報文，使主機或服務器在處理這類報文時系統(tǒng)崩潰，或發(fā)送特殊控制報文、掃描類報文探測網(wǎng)絡結構，為真正的攻擊做準備。

單包攻擊常見有

• 掃描型攻擊

• IP Scan：利用IP地址掃描工具探測目標地址，確定目標系統(tǒng)是否存活。

• 畸形報文攻擊

• Smurf攻擊：發(fā)送ICMP請求，該請求包的目標地址設置為受害網(wǎng)絡的廣播地址，源地址為服務器地址。該網(wǎng)絡的所有主機都回應此ICMP請求，回應報文全部發(fā)往服務器，導致服務器不能正常提供服務。

• 特殊報文控制類攻擊

• Tracert報文攻擊：攻擊者利用TTL為0時返回的ICMP超時報文，和到達目的地址時返回的ICMP端口不可達報文來發(fā)現(xiàn)報文到達目的地所經(jīng)過的路徑，它可以窺探網(wǎng)絡的結構。

單包攻擊與DDoS都屬于DoS攻擊。

單包攻擊安全防范

防火墻具有單包攻擊防范功能，可以對掃描類攻擊、畸形報文攻擊和特殊報文控制類攻擊進行有效防范。

不同單包攻擊的原理不同，防火墻采用的防范原理也不同。以下對地址掃描攻擊原理和其防范原理進行介紹。

Rate：同一源IP每秒發(fā)往不同目的地址的ICMP報文數(shù)量。

威脅3 – 用戶行為不受控

用內容安全過濾：

• URL（Uniform Resource Locator）過濾可以對員工訪問的URL進行控制，允許或禁止用戶訪問某些網(wǎng)頁資源，達到規(guī)范上網(wǎng)行為的目的；

• DNS過濾在域名解析階段進行控制，防止員工隨意訪問非法或惡意的網(wǎng)站，帶來病毒、木馬和蠕蟲等威脅攻擊；

• 文件過濾通過阻斷特定類型的文件傳輸，可以降低內部網(wǎng)絡執(zhí)行惡意代碼和感染病毒的風險，還可以防止員工將公司機密文件泄漏到互聯(lián)網(wǎng)；

• 內容過濾包括文件內容過濾和應用內容過濾。文件內容過濾是對用戶上傳和下載的文件內容中包含的關鍵字進行過濾。管理員可以控制對哪些應用傳輸?shù)奈募约澳姆N類型的文件進行文件內容過濾。應用內容過濾是對應用協(xié)議中包含的關鍵字進行過濾。針對不同應用，設備過濾的內容不同；

• 郵件過濾：通過檢查發(fā)件人和收件人的郵箱地址、附件大小和附件個數(shù)來實現(xiàn)過濾；

• 應用行為控制功能用來對用戶的HTTP行為和FTP行為（如上傳、下載）進行精確的控制。

威脅4 - 外部網(wǎng)絡入侵行為

外部網(wǎng)絡入侵有：

病毒

一種可感染或附著在應用程序或文件中的惡意代碼，一般通過郵件或文件共享等協(xié)議進行傳播，威脅用戶主機和網(wǎng)絡的安全。病毒能夠自我復制，但需要通過打開受感染的文件，啟用宏等手動操作才能激活。

SQL注入

SQL注入攻擊指的是通過構建特殊的輸入作為參數(shù)傳入Web應用程序，而這些輸入大都是SQL語法里的一些組合，通過破壞SQL語句的原始邏輯，進而執(zhí)行攻擊者所希望的操作。SQL注入漏洞屬于高危型Web漏洞。

DDoS攻擊

DDoS攻擊通過發(fā)出海量數(shù)據(jù)包，造成目標設備負載過高，最終導致網(wǎng)絡帶寬或是設備資源耗盡。

入侵防御安全防范

防火墻的入侵防御功能對所有通過的報文進行檢測分析，并實時決定允許通過或阻斷。也可使用IPS設備對網(wǎng)絡入侵行為進行防御。

防火墻/IPS設備通常部署在網(wǎng)絡出口處，抵擋來自互聯(lián)網(wǎng)的威脅。

防火墻/IPS設備上具備入侵防御功能模塊，該模塊通過將流經(jīng)防火墻/IPS設備的流量與加載的簽名庫做對比并根據(jù)危險程度進行相應處理，簽名庫是簽名的集合。

簽名：用來描述網(wǎng)絡中存在的該入侵行為的特征，及設備需要對其采取的動作。

計算環(huán)境安全威脅與防護

終端軟件漏洞

企業(yè)內網(wǎng)終端軟件存在漏洞，往往給攻擊者可乘之機，不管是從外網(wǎng)或是內網(wǎng)進行的網(wǎng)絡攻擊，內網(wǎng)終端感染病毒后，借助內網(wǎng)設備之間的信任關系，病毒通過橫向擴散，最終往往造成內網(wǎng)大量終端設備感染。

CVE（Common Vulnerabilities and Exposures）是一個披露漏洞的平臺，它會提供編號作為漏洞對應的字符串式特征。

終端軟件漏洞應對方式

• 對企業(yè)網(wǎng)絡終端設備的系統(tǒng)軟件和應用軟件及時打補丁，并且安裝防病毒軟件。

• 使用NAC（Network Admission Control）方案，對企業(yè)網(wǎng)絡自有的終端和外來接入的終端進行安全性檢查，阻止不符合要求的終端接入網(wǎng)絡。

• 使用漏洞掃描工具掃描企業(yè)網(wǎng)絡，對信息安全進行風險評估。檢測網(wǎng)絡中的設備存在的漏洞并及時進行修復。

• 進行滲透測試，使用專業(yè)人士對企業(yè)網(wǎng)絡系統(tǒng)安全性進行評估，并給出針對性的改進措施。

管理中心安全需求與方案

需求1 – 管理員權限管控

某些情況下，企業(yè)員工因為利益或不滿，會實施危害企業(yè)信息安全的行為。比如盜取企業(yè)機密數(shù)據(jù)，破壞企業(yè)網(wǎng)絡基礎實施等。

管理員權限管控安全方案

對于可能發(fā)生的企業(yè)員工的信息安全風險行為，可以從技術和管理兩方面進行應對。

技術方面

• 更嚴密的權限管理，比如UMA

• 更可靠的備份機制

管理方面

• 在企業(yè)內部經(jīng)常進行信息安全案例宣傳，提高員工安全意識；

• ?對于高安全需求的區(qū)域，可以使用門禁系統(tǒng)；

• 關注員工工作生活狀態(tài)，及時進行心理輔導，防止員工因心理問題造成的信息安全風險行為。

需求2 - 上網(wǎng)權限管控

除了從企業(yè)外部網(wǎng)絡帶來的安全風險，企業(yè)內網(wǎng)安全隱患也日益增加。企業(yè)內可能會有外來人員，如果出現(xiàn)非法接入和非授權訪問時，也會存在導致業(yè)務系統(tǒng)遭受破壞、關鍵信息資產(chǎn)泄露的風險。

• 惡意人員接入網(wǎng)絡之后，會進行破壞，或盜取信息的活動；

• 接入網(wǎng)絡的終端，如果攜帶有病毒，有可能導致病毒在企業(yè)內網(wǎng)傳播。

應對非法接入，可以從技術和管理兩方面入手：

• 使用網(wǎng)絡準入控制方案；

• 對于出入企業(yè)的人員進行嚴格的行政管理。

上網(wǎng)權限管控方案

對于非法接入的應對措施，華為提供NAC方案，可以對接入用戶進行安全控制，實現(xiàn)只有合法的用戶、安全的終端才可以接入網(wǎng)絡。

NAC具有以下功能：

• 身份認證：對接入網(wǎng)絡的用戶身份進行合法性認證，只有合法的用戶才能接入企業(yè)網(wǎng)絡；

• 訪問控制：根據(jù)用戶身份、接入時間、接入地點、終端類型、接入方式精細匹配用戶，控制用戶能夠訪問的資源；

• 對終端進行安全性檢查，只有“健康的、安全的”用戶終端才可以接入網(wǎng)絡。

可以通過管理手段，規(guī)范員工進入企業(yè)內部，嚴格控制外來人員的進入。

• 外來訪問人員必須要提前登記，并出示有效證件才能進入；

• 使用安保人員和設備控制外來人員及車輛的進入；

• 對企業(yè)內部重要區(qū)域，可使用門禁系統(tǒng)，限制不符合權限的人員進入；

• 禁止在計算機等設備上私自插入U盤等存儲設備。

創(chuàng)建訪客網(wǎng)絡供外來訪問人員進行接入，與企業(yè)辦公網(wǎng)絡隔離，消除安全風險。?