不可不知 中小企业内网安全五大禁忌

内网安全禁忌之：大而无当

　　对于中小企业用户来说，病毒、黑客、恶意攻击已经不再是个“传说”了，在现阶段网络安全形势复杂多变的情况下，网络系统承载了企业运转的基石。FBI和CSI曾对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部。在损失金额上，由于内部人员泄密导致的损失是黑客造成损失的16倍。企业所遭受的损失方面，14%来自专利信息被窃取，12%来自内部人员的财务欺骗，5%是来自黑客的攻击。

    既然超过八成的网络安全威胁来自企业内部，且能造成多方面的损失，那么部署真正适合、高效的企业内网安全系统，已经迫在眉睫。

    由于近年来网络安全形式日益复杂，网络攻击类型多种多样，攻击工具千变万化，攻击位置也不尽相同，部署企业内网安全系统也应谨慎实施。

　　一忌：大而无当

　　企业管理者在面对企业内网安全形势需求时，往往希望构筑一个面面俱到、一劳永逸的安全系统，因此在选择内网安全产品时，也希望可以“一步到位”的选择适用于所有环境及功能的“万能”产品，而忽略了企业因为所处行业、职能、网络应用特点所带来的对于内网安全的不同需求。

企业内网系统应该完善立体的安全防护（图片来自互联网）

    总的来说，企业内网安全面临着以下具有代表性的需求：

    ·如何制定统一安全策略并贯彻实施；　　

    ·如何防范移动电脑和存储设备随意接入内网；

　　·如何防范内网设备非法外联；

　　·如何管理客户端资产，保障设备正常运行；

　　·如何及时发现网络中占用带宽最大的进程及客户端；

　　·如何迅速控制异常客户端的运行；

　　·如何防止内部重要信息数据泄露；

　　·如何对客户端进行统一监控、管理

　　·如何快速定位网络中病毒、蠕虫、黑客的引入点；

    ·如何及时切断被侵入网络系统的联系；

　　·如何架构网络安全报警平台，进行安全事件响应和查询，全面管理网络资源。

内网安全禁忌之：无的放矢

　　　二忌：无的放矢

　　不同的企业对于内网安全有着不同的需求，企业网络管理者需制定出切实可行并且符合企业网络应用特点的内网安全策略，才可能达到预期的安全效果。

解决内网安全问题的常规途径

　　企业的网络系统复杂多样，从职能上可以分为：生产业务网和办公业务局域网；从部署位置上可以分为：内网系统和外网系统；从企业所处的行业上来划分，又可以分为具有不同行业特点的网络模式等等。因此，不同企业的不同网络区域也有着不同的安全需求。比如以企业的职能网络来说，其不同的特点为：

　　生产业务网：主要包含企业的营业服务器、业务服务器，主要应用有企业的产品序列、技术及专利、企业数据报表等等。这部分的安全需求主要是信息安全及数据保密为主；

　　办公业务局域网：主要用于企业总部及下属各级网络的办公自动化系统，办公业务局域网一般与一台中心交换机相连，由若干个VLAN组成。包括企业的发展规划、战略部署、上情下达的文件公告、企业人事信息等等，是用于正常办公及处理内部业务的系统，它又针对领导用户、财务部、一般用户等各级别的客户端有着不同的安全需求。

内网安全威胁造成损失的比率

    现阶段，企业内网系统所面临的代表性的问题包括：

　　1、安全规范难以贯彻实施：内部的合规要求、安全操作等信息化管理手段难以被每个员工熟知和应用，无法对员工的行为做出有效管理；

    2、外部终端缺乏准入控制：终端未经安全认证和授权接入到内网可以导致组织内部重要信息泄露或丢失；终端接入后对内网的非授权访问又难以管理，造成不可弥补的重大损失；

　　3、移动存储“危险性”被忽视：移动设备，包括笔记本电脑等和目前流行的智能手机，都可能未经安全检查而与企业内网链接，它们可以存储内网数据，甚至成为病毒传播的媒体；

　　4、网络资源的浪费：员工在工作时间内聊天、游戏、电影下载、登陆色情反动网站等行为大量存在，使内网流量负荷增加，影响工作效率及网络正常使用；

　　5、因为管理经验不足所造成的终端安全水平参差不齐：企业内网安全没有专人维护，客户端的漏洞密布、口令简陋、缺少必要的关键补丁，缺乏必要的安全知识，导致无法及时掌握企业内网进程运行情况。

内网安全禁忌之：功能的复杂堆砌

　　三忌：复杂堆砌

　　正是缘于企业内网安全需求的多种多样，有些企业安全管理者针对其具体安全需求，不断的部署安全产品：防毒墙、防火墙、UTM、上网行为管理、杀毒工具、入侵检测产品等等，殊不知某些单一产品的功能并不单一，重复的部署不仅会造成企业成本的增加、资源的耗费，甚至可能面临诸多产品的兼容难题。

针对不同原因的安全威胁，应选择不同产品

　　针对企业内网安全的产品主要分为：

　　1、运行系统安全：即保证信息处理和传输系统的安全，侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。

　　2、网络上系统信息的安全：包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密等。

构建VPN也是安全使用互联网的重要一步（图片来自互联网）

    3、网络上信息传播安全：侧重于防止和控制非法、有害的信息进行传播后的后果，避免公用网络上大量自由传输的信息失控。

　　4、网络上信息内容的安全。侧重于保护信息的保密性、真实性和完整性，本质上是保护用户的利益和隐私。

　　四忌：一成不变

　　鉴于网络安全形势随着技术的发展、更替，也面临着升级及更新换代的需要，因此以一成不变的光电来部署企业内网安全系统，认为一次部署就可以万事大吉，则是错误的观点。

　　比如目前第一代防火墙现已基本无法探测到利用僵尸网络作为传输方法的威胁，部署下一代防火墙则势在必行；现阶段IPv4资源面临着枯竭的危险，企业网络管理者则应该适时考虑向IPv6过渡的方案。

IPv4到IPv6的过渡

    但在企业网络管理者部署内网安全架构时，需考虑到产品的应用是否足以满足现阶段的安全需求、是否具有良好的扩展性，且是否具有安全产品的基本特征，即可为未来的部署做好“铺垫”。

内网安全禁忌之：一成不变

　　网络安全应具有以下四个方面的特征：

　　1、保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

　　2、完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

　　3、可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；

　　4、可控性：对信息的传播及内容具有控制能力。

　　五忌：无备有患

　　由于目前企业的办公与运行对于网络的依赖越来越多，因此一旦企业网络系统面临威胁，则可能对企业的整个运行都带来影响与损失。用户的一次错误操作，系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。

　　同样是不可抗拒的天灾人祸，在2001年9月11日，在世贸大厦办公的金融巨头摩根斯坦利，在遭遇恐怖袭击后几小时即宣布：摩根斯坦利全球营业部可在第二天照常营业；而此前在世贸大厦办公的350家企业，在事故发生一年后，有200家由于重要信息系统的破坏、关键数据的丢失而关闭。

备份系统

　　因此为了维护企业内网的安全，必须对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。

已有多个机构贯彻实施了容灾备份

　　对企业比较重要的数据的保护来说，选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的，配合各种灾难恢复软件，可以较为全面地保护数据的安全。

内网安全禁忌之：无备有患

　　一套适合企业的容灾备份系统应该具有以下特性：

　　1、支持多个操作平台，能够实现跨平台备份；

　　2、备份体系具有扩展性和升级性，方便企业数据扩充；

　　3、便于操作，数据备份调取时无需重装操作系统。

　　4、备份操作和管理系统简便高效。

　　5、备份与恢复功能支持联机操作。

　　6、可设定备份用户权限。

　　7、能够实现备份硬件资源在系统间的共享，实现多服务器多数据流的并行备份。

　　安全体系的建立和维护除了需要技术手段外，还需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过日常的安全常识培训来提高，行为的约束只能通过严格的管理体制，并利用法律手段来实现。因此一份完整的企业内网安全策略及规范也是必不可少的。要提高内网的安全，可以使用的方法还很多：

　　·提高安全意识，不要随意打开来历不明的电子邮件及文件，不要随便运行不了解的程序；尽量避免从不知名网站下载软件，即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。

邮件的反病毒处理模式（图片来自互联网）

　　·将防护工作当成日常例性工作，及时下载安装系统补丁，定时更新防毒组件，将防毒软件保持在常驻状态防御。

定时更新防毒组建可有效防御不断变化的威胁攻击

　　·由于黑客经常会针对特定的日期发动攻击，企业网络安全管理者应在某些特定时刻特别提高警惕。

　　技术防护，是多种保障内网安全策略中的一种，为了更好地解决内网的安全问题，企业内网安全管理者需要有更为开阔的思路，不能仅仅停留在对于安全问题的被动防御，还应以积极的态度主动应对来自安全方面的挑战。