（思維導(dǎo)圖）

1、企業(yè)網(wǎng)絡(luò)安全威脅概覽

企業(yè)存在來自內(nèi)部和外部的安全威脅，企業(yè)網(wǎng)絡(luò)的安全威脅來源大致可以分為以下幾部分：

• 外部威脅：來自企業(yè)網(wǎng)絡(luò)外部的安全威脅，如DDoS攻擊，病毒、木馬、蠕蟲等網(wǎng)絡(luò)入侵，網(wǎng)絡(luò)掃描，垃圾郵件，釣魚郵件，針對Web服務(wù)器的攻擊等；
• 內(nèi)部威脅：網(wǎng)絡(luò)結(jié)構(gòu)不可靠，網(wǎng)絡(luò)未隔離，終端存在漏洞，員工行為不受控，信息安全違規(guī)操作，信息泄露，惡意員工，權(quán)限管理混亂，非法接入等。

為了有針對性地防范企業(yè)網(wǎng)絡(luò)安全威脅，企業(yè)工程師會根據(jù)威脅來源將網(wǎng)絡(luò)劃分為不同區(qū)域，企業(yè)網(wǎng)絡(luò)不同區(qū)域的安全威脅及防范措施：

• 通信網(wǎng)絡(luò)架構(gòu)：具備高可靠性保障業(yè)務(wù)的正常運行；部署VPN等措施保障數(shù)據(jù)傳輸?shù)臋C密性與完整性；
• 邊界區(qū)域：部署AntiDDoS方案應(yīng)對DoS攻擊；部署防火墻設(shè)備起到網(wǎng)絡(luò)隔離及流量控制的目的；IPS設(shè)備則用于防范外網(wǎng)的病毒、入侵等威脅；
• 計算環(huán)境：對終端進行安全加固，防范漏洞帶來的威脅；部署IPS設(shè)備應(yīng)對外網(wǎng)的入侵行為；部署終端IPS或殺毒軟件應(yīng)對病毒入侵；
• 管理中心：通過堡壘機管控管理員的權(quán)限，降低惡意操作帶來的影響，監(jiān)控運維操作，做到運維過程可回溯；iMaster-NCE管控員工權(quán)限，降低信息泄露的風(fēng)險，同時防范非法接入。

上述網(wǎng)絡(luò)方案中部署了如下網(wǎng)絡(luò)設(shè)備：
路由器、交換機、防火墻、IPS設(shè)備、AntiDDoS設(shè)備、UMA堡壘機、iMaster-NCE

02、通信網(wǎng)絡(luò)安全需求與方案

需求1 - 網(wǎng)絡(luò)架構(gòu)可靠性

• 三級等保的要求：應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。
• 防火墻雙機熱備。

需求2 – 區(qū)域隔離

通常在出口處部署防火墻，防火墻通過將所連接的不同網(wǎng)絡(luò)分隔在不同安全區(qū)域隔離內(nèi)外網(wǎng)，而通過在防火墻上部署地址轉(zhuǎn)換技術(shù)，可以在一定程度上隱藏內(nèi)網(wǎng)IP地址，保護內(nèi)部網(wǎng)絡(luò)。

部署防火墻：

• 安全區(qū)域
• 地址轉(zhuǎn)換技術(shù)

需求3 - 信息保密性

企業(yè)有出差員工，或者大型企業(yè)有多個分支機構(gòu)。出差員工和企業(yè)總部，企業(yè)分支和企業(yè)總部之間在不安全的Internet上進行數(shù)據(jù)傳輸時，可能存在數(shù)據(jù)被竊取或篡改的風(fēng)險，原因在于：

• 企業(yè)數(shù)據(jù)傳輸本身未加密或加密程度不夠；
• 中間人攻擊（Man-in-the-Middle Attack）

信息保密性安全方案
由于Internet的開放性，導(dǎo)致企業(yè)和其分支機構(gòu)在Internet上傳輸數(shù)據(jù)的安全性無法保證，可以使用VPN技術(shù)在Internet上構(gòu)建安全可靠的傳輸隧道或者專線。

3、區(qū)域邊界安全威脅與防護

威脅1 - DDoS攻擊

DDoS攻擊是指攻擊者通過控制大量僵尸主機，向攻擊目標發(fā)送大量攻擊報文，導(dǎo)致被攻擊目標所在網(wǎng)絡(luò)的鏈路擁塞，系統(tǒng)資源耗盡，從而無法向正常用戶提供服務(wù)。

DDoS攻擊種類

根據(jù)攻擊報文類型的不同，可以分為TCP Flood、UDP Flood、ICMP Flood、HTTP Flood和GRE Flood等。

DDoS攻擊安全防范
通過在企業(yè)網(wǎng)絡(luò)出口部署防火墻或者專業(yè)AntiDDoS設(shè)備，阻斷來自外部的DDoS攻擊。對于需要防范大流量DDoS攻擊的場景，也可以選擇專業(yè)的AntiDDoS設(shè)備。

SYN Flood攻擊是通過偽造一個源地址的SYN報文，發(fā)送給受害主機，受害主機回復(fù)SYN+ACK報文給這些地址后，不會收到ACK報文，導(dǎo)致受害主機保持了大量的半連接，直到超時。這些半連接可以耗盡主機資源，使受害主機無法建立正常TCP連接，從而達到攻擊的目的。

威脅2 - 單包攻擊

單包攻擊不像DDoS攻擊通過使網(wǎng)絡(luò)擁塞，或消耗系統(tǒng)資源的方式進行攻擊，而是通過發(fā)送有缺陷的報文，使主機或服務(wù)器在處理這類報文時系統(tǒng)崩潰，或發(fā)送特殊控制報文、掃描類報文探測網(wǎng)絡(luò)結(jié)構(gòu)，為真正的攻擊做準備。

單包攻擊常見有：

• 掃描型攻擊
• IP Scan：利用IP地址掃描工具探測目標地址，確定目標系統(tǒng)是否存活。

• 畸形報文攻擊
• Smurf攻擊：發(fā)送ICMP請求，該請求包的目標地址設(shè)置為受害網(wǎng)絡(luò)的廣播地址，源地址為服務(wù)器地址。該網(wǎng)絡(luò)的所有主機都回應(yīng)此ICMP請求，回應(yīng)報文全部發(fā)往服務(wù)器，導(dǎo)致服務(wù)器不能正常提供服務(wù)。

• 特殊報文控制類攻擊
• Tracert報文攻擊：攻擊者利用TTL為0時返回的ICMP超時報文，和到達目的地址時返回的ICMP端口不可達報文來發(fā)現(xiàn)報文到達目的地所經(jīng)過的路徑，它可以窺探網(wǎng)絡(luò)的結(jié)構(gòu)。

單包攻擊與DDoS都屬于DoS攻擊。

單包攻擊安全防范
防火墻具有單包攻擊防范功能，可以對掃描類攻擊、畸形報文攻擊和特殊報文控制類攻擊進行有效防范。
不同單包攻擊的原理不同，防火墻采用的防范原理也不同。以下對地址掃描攻擊原理和其防范原理進行介紹。
Rate：同一源IP每秒發(fā)往不同目的地址的ICMP報文數(shù)量。

威脅3 – 用戶行為不受控

用內(nèi)容安全過濾：

• URL（Uniform Resource Locator）過濾可以對員工訪問的URL進行控制，允許或禁止用戶訪問某些網(wǎng)頁資源，達到規(guī)范上網(wǎng)行為的目的；
• DNS過濾在域名解析階段進行控制，防止員工隨意訪問非法或惡意的網(wǎng)站，帶來病毒、木馬和蠕蟲等威脅攻擊；
• 文件過濾通過阻斷特定類型的文件傳輸，可以降低內(nèi)部網(wǎng)絡(luò)執(zhí)行惡意代碼和感染病毒的風(fēng)險，還可以防止員工將公司機密文件泄漏到互聯(lián)網(wǎng)；
• 內(nèi)容過濾包括文件內(nèi)容過濾和應(yīng)用內(nèi)容過濾。文件內(nèi)容過濾是對用戶上傳和下載的文件內(nèi)容中包含的關(guān)鍵字進行過濾。管理員可以控制對哪些應(yīng)用傳輸?shù)奈募约澳姆N類型的文件進行文件內(nèi)容過濾。應(yīng)用內(nèi)容過濾是對應(yīng)用協(xié)議中包含的關(guān)鍵字進行過濾。針對不同應(yīng)用，設(shè)備過濾的內(nèi)容不同；
• 郵件過濾：通過檢查發(fā)件人和收件人的郵箱地址、附件大小和附件個數(shù)來實現(xiàn)過濾；
• 應(yīng)用行為控制功能用來對用戶的HTTP行為和FTP行為（如上傳、下載）進行精確的控制。

威脅4 - 外部網(wǎng)絡(luò)入侵行為

外部網(wǎng)絡(luò)入侵有：

• 病毒：一種可感染或附著在應(yīng)用程序或文件中的惡意代碼，一般通過郵件或文件共享等協(xié)議進行傳播，威脅用戶主機和網(wǎng)絡(luò)的安全。病毒能夠自我復(fù)制，但需要通過打開受感染的文件，啟用宏等手動操作才能激活。
• SQL注入：SQL注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語法里的一些組合，通過破壞SQL語句的原始邏輯，進而執(zhí)行攻擊者所希望的操作。SQL注入漏洞屬于高危型Web漏洞。
• DDoS攻擊：DDoS攻擊通過發(fā)出海量數(shù)據(jù)包，造成目標設(shè)備負載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬或是設(shè)備資源耗盡。

入侵防御安全防范

防火墻的入侵防御功能對所有通過的報文進行檢測分析，并實時決定允許通過或阻斷。也可使用IPS設(shè)備對網(wǎng)絡(luò)入侵行為進行防御。
防火墻/IPS設(shè)備通常部署在網(wǎng)絡(luò)出口處，抵擋來自互聯(lián)網(wǎng)的威脅。
防火墻/IPS設(shè)備上具備入侵防御功能模塊，該模塊通過將流經(jīng)防火墻/IPS設(shè)備的流量與加載的簽名庫做對比并根據(jù)危險程度進行相應(yīng)處理，簽名庫是簽名的集合。
簽名：用來描述網(wǎng)絡(luò)中存在的該入侵行為的特征，及設(shè)備需要對其采取的動作。

04、計算環(huán)境安全威脅與防護

終端軟件漏洞
企業(yè)內(nèi)網(wǎng)終端軟件存在漏洞，往往給攻擊者可乘之機，不管是從外網(wǎng)或是內(nèi)網(wǎng)進行的網(wǎng)絡(luò)攻擊，內(nèi)網(wǎng)終端感染病毒后，借助內(nèi)網(wǎng)設(shè)備之間的信任關(guān)系，病毒通過橫向擴散，最終往往造成內(nèi)網(wǎng)大量終端設(shè)備感染。

CVE（Common Vulnerabilities and Exposures）是一個披露漏洞的平臺，它會提供編號作為漏洞對應(yīng)的字符串式特征。

終端軟件漏洞應(yīng)對方式：

• 對企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件和應(yīng)用軟件及時打補丁，并且安裝防病毒軟件。
• 使用NAC（Network Admission Control）方案，對企業(yè)網(wǎng)絡(luò)自有的終端和外來接入的終端進行安全性檢查，阻止不符合要求的終端接入網(wǎng)絡(luò)。
• 使用漏洞掃描工具掃描企業(yè)網(wǎng)絡(luò)，對信息安全進行風(fēng)險評估。檢測網(wǎng)絡(luò)中的設(shè)備存在的漏洞并及時進行修復(fù)。
• 進行滲透測試，使用專業(yè)人士對企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性進行評估，并給出針對性的改進措施。

05、管理中心安全需求與方案

需求1 – 管理員權(quán)限管控

某些情況下，企業(yè)員工因為利益或不滿，會實施危害企業(yè)信息安全的行為。比如盜取企業(yè)機密數(shù)據(jù)，破壞企業(yè)網(wǎng)絡(luò)基礎(chǔ)實施等。

管理員權(quán)限管控安全方案
對于可能發(fā)生的企業(yè)員工的信息安全風(fēng)險行為，可以從技術(shù)和管理兩方面進行應(yīng)對。

技術(shù)方面：

• 更嚴密的權(quán)限管理，比如UMA
• 更可靠的備份機制

管理方面：

• 在企業(yè)內(nèi)部經(jīng)常進行信息安全案例宣傳，提高員工安全意識；
• 對于高安全需求的區(qū)域，可以使用門禁系統(tǒng)；
• 關(guān)注員工工作生活狀態(tài)，及時進行心理輔導(dǎo)，防止員工因心理問題造成的信息安全風(fēng)險行為。

需求2 - 上網(wǎng)權(quán)限管控

除了從企業(yè)外部網(wǎng)絡(luò)帶來的安全風(fēng)險，企業(yè)內(nèi)網(wǎng)安全隱患也日益增加。企業(yè)內(nèi)可能會有外來人員，如果出現(xiàn)非法接入和非授權(quán)訪問時，也會存在導(dǎo)致業(yè)務(wù)系統(tǒng)遭受破壞、關(guān)鍵信息資產(chǎn)泄露的風(fēng)險。

• 惡意人員接入網(wǎng)絡(luò)之后，會進行破壞，或盜取信息的活動；
• 接入網(wǎng)絡(luò)的終端，如果攜帶有病毒，有可能導(dǎo)致病毒在企業(yè)內(nèi)網(wǎng)傳播。

應(yīng)對非法接入，可以從技術(shù)和管理兩方面入手：

• 使用網(wǎng)絡(luò)準入控制方案；
• 對于出入企業(yè)的人員進行嚴格的行政管理。

上網(wǎng)權(quán)限管控方案

對于非法接入的應(yīng)對措施，華為提供NAC方案，可以對接入用戶進行安全控制，實現(xiàn)只有合法的用戶、安全的終端才可以接入網(wǎng)絡(luò)。

NAC具有以下功能：

• 身份認證：對接入網(wǎng)絡(luò)的用戶身份進行合法性認證，只有合法的用戶才能接入企業(yè)網(wǎng)絡(luò)；
• 訪問控制：根據(jù)用戶身份、接入時間、接入地點、終端類型、接入方式精細匹配用戶，控制用戶能夠訪問的資源；
• 對終端進行安全性檢查，只有“健康的、安全的”用戶終端才可以接入網(wǎng)絡(luò)。

可以通過管理手段，規(guī)范員工進入企業(yè)內(nèi)部，嚴格控制外來人員的進入。

• 外來訪問人員必須要提前登記，并出示有效證件才能進入；
• 使用安保人員和設(shè)備控制外來人員及車輛的進入；
• 對企業(yè)內(nèi)部重要區(qū)域，可使用門禁系統(tǒng)，限制不符合權(quán)限的人員進入；
• 禁止在計算機等設(shè)備上私自插入U盤等存儲設(shè)備。

創(chuàng)建訪客網(wǎng)絡(luò)供外來訪問人員進行接入，與企業(yè)辦公網(wǎng)絡(luò)隔離，消除安全風(fēng)險。