摘要:在全球科技高速发展、全球网络开放共享的今天,政府和企业在向数字化转型的同时,必然会面临数据泄露、恶意攻击、人才流失等诸多网络安全问题,同时也会给网络安全技术的发展带来巨大的机遇。从安全审计、安全防护和安全服务3个角度出发,阐述了企业在网络安全综合体系建设中的工作思路和想法。
关键词:网络安全;安全审计;安全防护;安全服务;安全体系
0引言
一直以来,国家对各行业的信息系统安全保护非常重视,早在1994年就了《中华人民共和国计算机信息系统安全保护条例》。2014年2月27日,中央网络安全和信息化领导小组宣告成立,中共中央总书记、国家主席、中央军委主席亲自担任组长,显示出国家最高层保障网络安全、维护国家利益、推动信息化发展的决心。指出“没有网络安全,就没有国家安全”。在当前复杂的国际和国内网络安全局势下,国家最高层的这一战略部署显得尤为重要。2016年11月7日《中华人民共和国网络安全法》,2017年6月1日起正式施行,旨在保护公众个人信息安全,落实网络服务商主体责任,保护关键基础信息设施,表明维护国家网络主权的坚强决心。社会的发展加速了信息化的步伐,随之而来的是无处不在的安全风险,然而又不会让你刻意感受到它们的存在。企业在业务建设初期一般只会着重考虑业务的互联互通性和平稳性,相对而言弱化了安全防护方面的建设,不可避免地会留下大量的安全隐患,这些安全漏洞一旦被不怀好意的攻击者发现,并通过网络技术加以利用,后果将不堪设想。近几年来全球频发的诸如数据泄露、信息系统遭受攻击等信息安全事件,使得大部分企业开始越来越重视网络安全体系的建设,其目的是保障企业信息和业务的机密性、完整性和可用性。根据国家等级保护的要求,遵循完整性、经济性、动态性、专业性、标准性、可控性、易用性、可管理性的原则,一般企业大致可以从安全审计、安全防护、安全服务3个方面进行网络安全综合体系建设。
1安全审计
通常安全审计系统由5个关键模块组成:采集器、Agent、通信模块、关联引擎、管理中心。采集器:主要实现日志采集、日志解析、格式统一、日志预处理、日志传送等功能。被审计设备分为标准设备(支持Syslog或SNMPtrap)和非标设备(不支持Syslog和SNMPtrap)。采集器主要完成针对标准设备日志的收集功能。采集器把采集的日志数据进行过滤并转化为统一定义的标准数据格式,并完成日志压缩和归并。Agent:Agent主要完成非标准设备(不支持Syslog和SNMPtrap)的安全日志采集,Agent采集到日志信息后,通过SYSLOG日志发送给采集器。Agent一般主要包括文件型Agent、数据库型Agent、Api型Agent等,支持windows主机日志及性能采集,支持通过SNMPGet方式对主流安全设备、网络设备的性能数据采集,支持IIS、Apacheweb服务器日志收集,支持Mysql、SQLserver数据库日志采集。通信模块:通信模块实现采集器与日志审计平台间的通信,将格式统一后的日志直接写入数据库,同时提交给关联引擎进行分析处理。通信模块可以接收多个采集器的日志。在日志审计平台尚未支持统一日志格式时,能够根据要求,将日志转换为所需要的日志格式。关联引擎:由于日志审计平台收集到的事件种类多数量大,为了更有效地对这些海量的事件进行分析和处理,确保第一时间对各种存在的安全问题采取措施,平台必须具有强大的事件处理和分析功能。目前对事件进行处理和分析最有效的方法就是做事件的关联,包括实时关联分析、跨设备关联分析、基于事件因果关系、事件安全要素、跨协议层、多层架构、时间回溯以及关联结果回放等内容。管理中心:通过对所有资产输出的日志告警数据、性能监测数据、服务质量监测数据、安全监测数据进行整合识别,从安全视角多维度进行可视化,通过可视化的监测界面,运维人员可实时、直观、全面地掌握业务的安全状况,同时可以实现关联规则、识别策略的自定义,知识库、采集器、Agent等模块的升级管理等功能。
2安全防护
对于信息系统规模相对比较庞大的企业来说,除了安全审计建设以外,配合以下3个防护手段也是必不可少的,可以大大增强企业的整体安全状况:终端防护:终端类型简单可以分为固定终端和移动终端两类,对于不同终端,根据具体的终端类型、通信方式、应用方式等需要选择适宜的管控技术,例如固定终端禁止使用光驱和USB接口;安装企业版统一防病毒软件;关闭445、138、139等类似高危端口;企业严禁内外网混用,所有需要接入内网进行运维的固定终端和移动终端必须通过堡垒机并采取软硬结合的加密方式。边界防护:严格按照等级保护要求将企业信息系统进行分级分域,不同网络域之间加强边界防护,采用防火墙隔离技术(部署下一代网络防火墙)、协议隔离技术(部署入侵防御系统)、物理隔离技术等手段对核心业务进行安全隔离,实现两个网络域之间访问资源的有效控制,防止攻击者轻易跨越边界实施攻击或者进行超越权限的资源获取。应用防护:传统的4层以下网络防护已经不能满足目前企业融合大数据业务的发展,特别是大量门户网站的应用,一旦页面遭受攻击者篡改,后果将不堪设想。因此Web应用防护的需求大大增加。部署Web应用防火墙,可以提供有效的针对Web应用层的流量监控和攻击防御,而且支持透明部署和硬件Bypass功能的Web应用防火墙无需改变企业现有网络结构和DNS配置,安装部署简易方便。
3安全服务
网络安全日常维护有别于以往其他类型的维护工作,漏洞扫描、渗透测试、病毒库更新、攻击防护策略调整、软件代码检测等技术手段需要长期持续地贯彻于日常工作中,工作量大,专业度高。因此引入具有大型企业网络安全服务实施经验的专业第三方网络安全服务商,将是企业保障系统持续安全运行的必需手段,只有专业安全人员的服务才能最大程度地发挥安全资产的价值,保障安全资产投资的有效性,协助完成企业网络安全工作,最大程度提高企业的安全等级,同时企业也应当通过这些日常安全维护工作,迅速培养自己的网络安全技术人才,尽快适应公司网络安全工作的实际需要。网络安全服务一般从安全技术和安全管理两个方面入手,通过安全技术手段解决信息系统自身的脆弱性以及外在的安全威胁,安全管理手段作为后盾解决企业内部因人员疏忽造成的潜在风险,以及无法通过技术手段解决的疑难问题,这两种方式相互补足,形成一套有效的常态化的安全服务体系。网络安全服务可以通过模块化加以分门别类列出,不同的阶段执行不同的安全服务模块,各个模块穿插执行,形成立体防护体系,例如漏洞扫描、安全加固、渗透测试和安全预警,这几个模块是最基本的安全需求,需要定期执行;期间可穿插执行安全培训和安全管理制度完善模块;新上线系统基线核查模块从源头保证系统安全稳定运行;漏洞升级测试、应急演练和DDOS压力测试模块则可以提升员工对应急事件的了解和认识。
4结束语
对于企业来说,网络安全将会最终成为一个基本属性,也是评判其健壮性的重要指标之一。它无处不在,无时不在,又不会让你刻意感受到它的存在。防御者需要抵御住所有的攻击和入侵,而攻击者只需要找到一个漏洞或者一个后门,就能一招致命。因此企业在发展壮大的道路上,只有紧抓网络安全综合体系建设,将社会责任和企业责任完美融合,才能走得更远,飞得更高。
参考文献:
[1]江新辉.现代通信网络安全防护技术的应用[J].无线互联技术,2016,10(14):143-144.
[2]王瑞梁.新时期企业网络管理的现状及对策研究[J].电脑知识与技术,2017,13(2):47-48.
[3]李建坤.浅析信息化时代网络安全[J].中国管理信息化,2018,(3):160-161.
[4]郭勇.大数据时代计算机网络安全维护与管理措施研究[J].网络安全技术与应用,2018,(08):48-49.
作者:朱霖 单位:江苏省广电有线信息网络股份有限公司
