企业网络安全规划研究
来源:用户上传
作者:
摘 要 网络安全外部形势瞬息万变,攻击数量持续上升,企业网络安全的重要性日益提升,针对企业面临的网络安全风险,本文结合法规要求及优秀实践,从纵深防御、动态防护,综合治理三个角度提出企业网络安全的规划要点。
关键词 规划;网络安全;企业信息化
1 新时期网络安全背景
《中华人民共和国网络安全法》的颁布、《网络安全等级保护标准 》的修订,要求企业加强网络安全制度建设,落实责任制,切实承担网络安全职责。
同时,外部威胁日益增多,国家互联网应急中心(CNCERT/CC)统计数据显示,2017年我国境内约2万个网站被篡改,较2016年增长20%;国家信息安全漏洞共享平台(CNVD)统计数据显示2017年收录的漏洞数量约1.6万个,较2016年增长47%。对企业的生产经营造成较大威胁[1]。
2 企业网络安全整体规划
企业的网络安全规划,需要以“网络安全等级保护”为核心,结合网络安全的各项工作内容和企业实际管理特点,构建从内到外的安全技术纵深防护手段,实现安全态势的统一监控和预警处置,同时强化各类安全工作的协同互补。在网络安全的建设过程中,严格落实三同步(与信息系统同步规划设计、同步实施、同步投入运行)。
2.1 纵深防御
纵深防御旨在多个层次防线上使用互相独立的不同防护手段,使每一层都能在前一层安全控制失效或漏洞被利用时提供冗余,从而达到阻止攻击的效果。参照《信息安全技术 网络安全等级保护基本要求》,企业纵深防御可以分为:物理环境安全、通信网络安全、计算环境安全 这几层。通过在不同层进行相应的安全加固,避免网络安全的单点风险,有效的防范外部攻击。
物理环境安全主要指机房及数据中心安全,包括防震防雷击、防火、防水防潮、电磁防护、温湿度控制、电力供应保障以及出入机房的专职值守及电子门禁等。在实际防护过程中,重点关注的是对人员进出机房的管理以及机房动力环境(暖通、电力)的保障。
通信网络安全主要包括网络架构的可靠性、网络边界防护、信息传输中的加密及防窃取、网络的安全审计。对于大型集团的网络,需要根据业务及应用系统的重要性,同时做好内部网络的分区分域隔离。网络安全是企业的防护重点,目前大量企业安全防护主要集中在网络边界防护上,防护手段包括部署防护墙、WAF、防DDos攻击、上网行为管理设备等。但除了关注网络边界安全外,大型企业需要更加关注内网的分区分域隔离,以及总部和分支机构数据传输过程中的数据加密,避免出现网络边界某一点被攻击后,整个内网被全面突破。
计算环境安全包括两大部分内容,一部分是服务器/云平台/虚拟主机的身份鉴别、访问控制、恶意代码防范等。另一部分是部署在服务器上的应用系统和数据的安全,同样包括访问控制、身份鉴别、系统备份恢复、敏感数据的分级分类及全生命周期管理等。这块是技术防护的难点和重点,在防护过程中,第一是要建立基线,关闭不必要的端口并授权用户最小权限;第二是要加强密码的管理,需要定期更换密码及加强密码的复杂度。第三定期进行漏洞扫描和渗透测试,确保系统的健壮性。
2.2 动态防护
纵深防御是静態的防护,更多地体现在对已知威胁的防护上。但对于未知威胁,可参考NIS信息安全框架中的IPDRR模型(即识别、保护、调查、响应、恢复),围绕安全事件,将防线前移,关注事件处置的同时感知网络安全态势并做出预测识别,形成动态防护。在动态防护上,更强调的是识别、响应恢复能力。主要包括监测预警和应急处置
监测预警是对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,并在发生异常时提前预警;应急处置是安全事件发生后,第一时间采取相应措施处置或进行升级上报,处置妥当后指导恢复,并进行分析总结。企业在动态防护过程中,可以通过建设安全运营中心(SOC)/态势感知平台来实现网络安全事件的通报预警、快速处置、追踪溯源等。有效解决安全事件被动响应、安全系统相对孤立的问题,切实提高集团公司网络安全事件及风险的发现、分析、响应、处置及预警能力。同时配合应急演练和攻防实战,提升企业的安全事件的处置能力。
2.3 综合管理
企业的网络安全除了技术防护和日常安全运营外,还有组织机构、人才队伍、制度标准、监督检查、专项经费等多项工作。
其中最为重要的是制度标准和监督检查,一方面通过制定制度标准,明确管理要求和技术标准,做到“有据可依,有法必依”,另一方面通过开展监督检查,建立常态化的网络安全监督检查机制,做到“监督必严,违法必究”及时发现薄弱环节及时整改。企业需要不断完善内控制度及技术标准/配置基线。同时,强化与其他业务部门的协调联动,强化外部供应商管理、人员调动离职管理等[2]。
3 结束语
本文从网络安全等级保护制度出发,结合企业网络安全优秀实践,系统性提出企业网络安全规划应考虑的三大方面,对企业的网络安全防护建设有较强的现实意义。但由于企业网络安全涉及的内容庞杂,部分内容未展开说明,企业在借鉴时,可参考相应的等保标准及ISO27001等内容。
参考文献
[1] 任婷,于城.从新技术角度谈等级保护2.0[J].信息通信技术,2018, (06):12-17.
[2] 企业网络规划建设中的安全体系研究[J].信息系统工程,2018,(3):79.
转载注明来源:https://www.xzbu.com/1/view-14900790.htm
