第1章企业网络安全背景1.1企业网络发展状况互联网是人类最伟大的发明。互联网的快速发展促进了企事业单位的信息化建设,互联网丰富的资源和日益成熟的网络基础建设大大提高了企业的生产力和工作效率,互联网信息技术的持续使用,给企业的持续、快速、高效发展提供了助力,企业的管理成本和生产成本得到了持续降低。然而,伴随着网络技术的发展,各类黑客行为和攻击技术给企业的持续、快速、健康、安全的发展带来了困扰。IDC报告指出针对企业的黑客攻击事件呈现逐年递增的趋势。近年来,大量的企业信息安全事件出现在我们的视野,如七天、如家等酒店的开房信息泄露,索尼影音官网被黑及用户信息泄露,卡巴斯基总部被黑客侵入等,这些事件不仅对企业的商业活动和企业信誉带来损害,还对社会公民的正常生活造成干扰。普华永道针对中国企业的一份调研报告指出“已检测到的信息安全事件对企业带来的财务影响正在迅速增加,同时仍有许多攻击没被发现或者报告,仅在中国内地与香港地区,失窃的知识产权或者商业机密的实际价值已远超数十亿美元”。事实充分说明:网络安全是企业单位网络建设的重点内容,网络安全建设和加固是一个持续的工程。1.2企业网络安全问题当今企业都在广泛使用网络信息技术,以不断提高企业的核心竞争力。由于计算机网络的开放性,网络信息化给企业带来效益的同时,也给企业增加了风险隐患,企业网络安全问题日益严重。那么,企业网络到底面临哪些主要的安全问题呢?外网安全问题:非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、漏洞利用、僵尸木马、信息泄露等已成为企业网络安全最为广泛的威胁;内网安全问题:带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN使用控制、病毒蠕虫扩散、信息泄露等已成为企业内部网络最主要的安全问题;安全连接问题:内部网络之间、内外网络之间的连接安全,如企业总部、各地分支机构、第三方合作伙伴、移动办公人员之间,既要保障信息及时共享,又要防止机密信息泄露。对于不同接入方,其所拥有的权限,既要能够满足正常业务的需求,又不能超越其职能权限,避免越权访问和敏感信息泄露;运维管理安全:共享帐号安全隐患,设备繁多控制策略复杂,操作无法监管,内部操作不透明,外部操作不可控,没有统一的身份管理平台,频繁切换应用程序登录,日志分散不可用,不能集中有效审计等问题困扰着企业网络的安全运维管理。第2章企业网络安全需求分析对于大部分企业来说,其IT网络的建设可以划分六个区域,分别为:互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、运维管理域。这六个区域因为承载的业务内容和作用不同,所面临的安全风险也有所不同,需要的安全防护措施亦有差别。2.1互联网接入域安全需求分析互联网接入区域将企业内部网络与互联网逻辑隔离,作为企业内部用户访问互联网的出口,其中互联网接入区域将单位内部网络与互联网逻辑隔离,作为内部用户访问互联网的出口,同时承担着两方面的作用:一是内部用户访问互联网的统一出口;二是为社会公众和合作伙伴提供企业信息服务的入口。互联网接入域是连接企业内部与外部的桥梁,因此面临着来自两个方向的安全威胁:1)外部威胁,如黑客扫描和入侵、拒绝服务攻击、病毒或蠕虫侵袭、僵尸木马、信息泄露等。2)内部威胁,如无意识的风险引入、网络资源滥用导致的新风险,以及内部的故意破坏等。2.1.1防火墙访问控制通过防火墙在内部网络和外部网络之间构造一道保护屏障,从而保护内部网络免受非法用户的侵入,通过防火墙将内外部网络隔离,实现有效的边界访问控制,并界定用户的访问请求是否符合安全规则,基于防火墙预设的访问控制规则、端口和协议的检测和控制机制等手段使可信双方进行通信,并阻断不可信的访问行为。2.1.2防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对内网服务器和业务系统发起非法扫描,获取内部网络的安全漏洞,发起基于存在漏洞的恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。2.1.3防御DDoS攻击DDoS攻击一般由黑客控制Internet上的“僵尸”系统完成,通过对互联网上缺少防御的主机植入某些代码,这些机器就会被DDoS攻击者控制,当黑客发动DDoS攻击时,只需要同时向这些将僵尸机发送指令,攻击就会由这些“僵尸”机器完成。DDoS攻击主要有带宽型攻击、流量型攻击和应用型攻击,其主要的表现为利用海量的数据包、请求或应用消耗目标网络或设备资源,导致无法处理正常的业务或访问请求,造成公司的服务质量下降、生产效率降低、信誉受损等一系列问题。2.1.4防止病毒蠕虫入侵病毒蠕虫等威胁内容是黑客最常利用的网络入侵工具。网络蠕虫病毒传播速度快,一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,网络拥塞,同时也会对核心敏感数据造成严重的威胁,导致业务和生产的中断、敏感信息泄露等问题。2.1.5防零时差攻击零时差攻击(Zero-hour/dayAttack)是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。零时差攻击对应用系统和网络的威胁和损害令人恐怖,这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短的时间内摧毁关键的应用系统,造成网络瘫痪等风险。2.1.6防止间谍软件间谍软件能够在用户不知情的情况下偷偷进行非法安装,并且安装后很难找到其踪影,并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。因此,间谍软件对企业网络的危害非常巨大,需要一种有效的手段防止间谍软件向企业内部网络渗透。2.1.7应用带宽管控内网用户在上班时间有意无意的进行与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购、手机APP使用等,严重影响工作效率,并占用大量的带宽,导致关键业务应用或关键人员得不到足够的带宽资源,降低企业内部的工作效率。2.1.8链路负载均衡企业往往会部署多条链路,保证网络服务的质量,消除单点故障,减少停机时间。为提升外网用户从外部访问内部网站和应用系统的速度和性能,就需要对多条链路进行负载优化,实现在多条链路上动态平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务应用不中断。2.2.2数据安全性保障在总部与小型分支或办事处之间基于互联网通信,组织信息平台上的应用系统如果不经加密和认证等安全处理,跑在互联网这个不安全而又开放的网络上,一旦重要数据如果遭到窃取,带来的损失将无法估量。因此,有必要利用VPN等技术通过Internet建立安全可靠、经济便捷的虚拟专用网络。2.3.1系统漏洞攻击保护DMZ区域内部有大量业务服务器,其底层和业务应用系统会不断产生新的安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对DMZ区的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对网站敏感信息监控、窃取、篡改等目的。因此需要有效的工具来识别并防护针对系统漏洞的攻击。2.3.2防止信息泄露和篡改黑客通过漏洞利用、WEB攻击、弱密码等手段一旦侵入了DMZ系统,将可能窃取DMZ系统数据库中储存的用户资料、身份信息、账户信息等敏感数据,损害企业的经济利益;黑客也可能直接篡改企业对外Web网页内容,使企业的形象和信誉受损;黑客甚至会在企业对外提供服务的网站挂载木马病毒,网站的访问用户也会被木马病毒感染,这种情况下企业可能因此而承担法律责任。2.3.3WEB应用安全针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。针对web应用的安全问题有:由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、跨站脚本攻击等;系统底层漏洞问题,如服务器底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞给了入侵者可乘之机;黑客、病毒木马等威胁还能利用弱口令、管理员界面等潜在缺陷对网站进行攻击。3.3.4防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对外联区服务器和业务系统发起非法扫描,获取内部网络的安全缺陷和漏洞,进一步发起恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。2.3.5防止拒绝服务黑客通过DOS/DDOS拒绝服务攻击使外联服务平台无法响应正常请求。这种攻击行为使得Web等系统充斥大量要求回复的信息,严重消耗网络系统资源,导致外联服务平台无法对外正常提供服务,影响企业正常的业务开展。2.3.6防范内部威胁企业内部网络安全状况也影响着外联区域的安全,比如网络中存在的DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏外联平台的安全稳定运行。2.4数据中心域安全需求分析数据中心是IT建设的心脏,作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息。对于恶意攻击者而言,数据中心永远是最具吸引力的目标。所以数据中心的安全建设显得格外重要。数据中心主要的安全需求包括:2.4.1防火墙隔离控制通过防火墙在数据中心构造一道网络层保护屏障,通过防火墙的区域隔离和访问控制规则,来界定用户的访问请求是否符合安全要求,并隔离来自internet、intranet、extrane等区域的安全风险,实现数据中心网络接入安全。2.4.2防止病毒蠕虫入侵服务器是数据中心中计算资源的核心来源,也用于连接网络资源、存储资源,是数据中心中业务交付的重要支撑,因此也是网络入侵者最主要的目标。病毒、蠕虫、木马等恶意代码一旦感染数据中心服务器,就可能在数据中心网络快速传播,消耗数据中心网络资源,劫持服务器应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。所以数据中心网络安全建设需要包含检测和清除病毒蠕虫木马等恶意内容的机制。2.4.3漏洞攻击保护数据中心大量的服务器底层操作系统和业务应用都可能存在安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对数据中心业务服务器的攻击,比如弱口令密码攻击、应用程序弱点利用、服务弱点利用等,非法获取更多的内部操作管理权限,实现对内部敏感信息监控、窃取、篡改等目的。因此需要有效的工具来识别并防护针对数据中心服务器业务系统漏洞的攻击。2.4.4防APT攻击黑客的攻击手段越来越先进,并带有很强的目的性。近几年APT攻击经常见诸报端,这是一类攻击手段很先进、目的性和持续性很强的高级持续性威胁(APT)。通常这种攻击方式都带有明确的攻击意图和不达目的不休止的特点,黑客往往应用先进的攻击手段绕过防御体系,实现对企业高价值机密信息的破坏、窃取、篡改等目的,从而给业务系统造成不可挽回的损失。因此,数据中心安全建设需要考虑防范APT攻击,避免重要信息资产失窃或破坏。2.4.5防范内部威胁企业内部网络安全状况也影响着外联区域数据中心的安全,比如内部网络中存在DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏数据中心的安全稳定运行。2.4.6防止拒绝服务数据中心作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息,其业务的可靠性非常关键。黑客利用协议漏洞或控制“肉鸡”向数据中心服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题,对数据中心的可靠造成危害。2.4.7WEB应用安全数据中心有大量的WEB应用,黑客针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。针对web应用的安全问题有:由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、跨站脚本攻击等;系统底层漏洞问题,如服务器底层的操作