對于中小企業(yè)用戶來說，病毒、黑客、惡意攻擊已經(jīng)不再是個“傳說”了，在現(xiàn)階段網(wǎng)絡(luò)安全形勢復(fù)雜多變的情況下，網(wǎng)絡(luò)系統(tǒng)承載了企業(yè)運(yùn)轉(zhuǎn)的基石。FBI和CSI曾對484家公司進(jìn)行了網(wǎng)絡(luò)安全專項調(diào)查，調(diào)查結(jié)果顯示：超過85%的安全威脅來自公司內(nèi)部。在損失金額上，由于內(nèi)部人員泄密導(dǎo)致的損失是黑客造成損失的16倍。企業(yè)所遭受的損失方面，14%來自專利信息被竊取，12%來自內(nèi)部人員的財務(wù)欺騙，5%是來自黑客的攻擊。

既然超過八成的網(wǎng)絡(luò)安全威脅來自企業(yè)內(nèi)部，且能造成多方面的損失，那么部署真正適合、高效的企業(yè)內(nèi)網(wǎng)安全系統(tǒng)，已經(jīng)迫在眉睫。由于近年來網(wǎng)絡(luò)安全形式日益復(fù)雜，網(wǎng)絡(luò)攻擊類型多種多樣，攻擊工具千變?nèi)f化，攻擊位置也不盡相同，部署企業(yè)內(nèi)網(wǎng)安全系統(tǒng)也應(yīng)謹(jǐn)慎實施。

一忌：大而無當(dāng)

企業(yè)管理者在面對企業(yè)內(nèi)網(wǎng)安全形勢需求時，往往希望構(gòu)筑一個面面俱到、一勞永逸的安全系統(tǒng)，因此在選擇內(nèi)網(wǎng)安全產(chǎn)品時，也希望可以“一步到位”的選擇適用于所有環(huán)境及功能的“萬能”產(chǎn)品，而忽略了企業(yè)因為所處行業(yè)、職能、網(wǎng)絡(luò)應(yīng)用特點所帶來的對于內(nèi)網(wǎng)安全的不同需求。

企業(yè)內(nèi)網(wǎng)系統(tǒng)應(yīng)該完善立體的安全防護(hù)

總的來說，企業(yè)內(nèi)網(wǎng)安全面臨著以下具有代表性的需求：

◆如何制定統(tǒng)一安全策略并貫徹實施;

◆如何防范移動電腦和存儲設(shè)備隨意接入內(nèi)網(wǎng);

◆如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián);

◆如何管理客戶端資產(chǎn)，保障設(shè)備正常運(yùn)行;

◆如何及時發(fā)現(xiàn)網(wǎng)絡(luò)中占用帶寬最大的進(jìn)程及客戶端;

◆如何迅速控制異?？蛻舳说倪\(yùn)行;

◆如何防止內(nèi)部重要信息數(shù)據(jù)泄露;

◆如何對客戶端進(jìn)行統(tǒng)一監(jiān)控、管理

◆如何快速定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點;

◆如何及時切斷被侵入網(wǎng)絡(luò)系統(tǒng)的聯(lián)系;

◆如何架構(gòu)網(wǎng)絡(luò)安全報警平臺，進(jìn)行安全事件響應(yīng)和查詢，全面管理網(wǎng)絡(luò)資源。#p#

二忌：無的放矢

不同的企業(yè)對于內(nèi)網(wǎng)安全有著不同的需求，企業(yè)網(wǎng)絡(luò)管理者需制定出切實可行并且符合企業(yè)網(wǎng)絡(luò)應(yīng)用特點的內(nèi)網(wǎng)安全策略，才可能達(dá)到預(yù)期的安全效果。

解決內(nèi)網(wǎng)安全問題的常規(guī)途徑

企業(yè)的網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣，從職能上可以分為：生產(chǎn)業(yè)務(wù)網(wǎng)和辦公業(yè)務(wù)局域網(wǎng);從部署位置上可以分為：內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng);從企業(yè)所處的行業(yè)上來劃分，又可以分為具有不同行業(yè)特點的網(wǎng)絡(luò)模式等等。因此，不同企業(yè)的不同網(wǎng)絡(luò)區(qū)域也有著不同的安全需求。比如以企業(yè)的職能網(wǎng)絡(luò)來說，其不同的特點為：

生產(chǎn)業(yè)務(wù)網(wǎng)：主要包含企業(yè)的營業(yè)服務(wù)器、業(yè)務(wù)服務(wù)器，主要應(yīng)用有企業(yè)的產(chǎn)品序列、技術(shù)及專利、企業(yè)數(shù)據(jù)報表等等。這部分的安全需求主要是信息安全及數(shù)據(jù)保密為主;

辦公業(yè)務(wù)局域網(wǎng)：主要用于企業(yè)總部及下屬各級網(wǎng)絡(luò)的辦公自動化系統(tǒng)，辦公業(yè)務(wù)局域網(wǎng)一般與一臺中心交換機(jī)相連，由若干個VLAN組成。包括企業(yè)的發(fā)展規(guī)劃、戰(zhàn)略部署、上情下達(dá)的文件公告、企業(yè)人事信息等等，是用于正常辦公及處理內(nèi)部業(yè)務(wù)的系統(tǒng)，它又針對領(lǐng)導(dǎo)用戶、財務(wù)部、一般用戶等各級別的客戶端有著不同的安全需求。

內(nèi)網(wǎng)安全威脅造成損失的比率

現(xiàn)階段，企業(yè)內(nèi)網(wǎng)系統(tǒng)所面臨的代表性的問題包括：

1、安全規(guī)范難以貫徹實施：內(nèi)部的合規(guī)要求、安全操作等信息化管理手段難以被每個員工熟知和應(yīng)用，無法對員工的行為做出有效管理;

2、外部終端缺乏準(zhǔn)入控制：終端未經(jīng)安全認(rèn)證和授權(quán)接入到內(nèi)網(wǎng)可以導(dǎo)致組織內(nèi)部重要信息泄露或丟失;終端接入后對內(nèi)網(wǎng)的非授權(quán)訪問又難以管理，造成不可彌補(bǔ)的重大損失;

3、移動存儲“危險性”被忽視：移動設(shè)備，包括筆記本電腦等和目前流行的智能手機(jī)，都可能未經(jīng)安全檢查而與企業(yè)內(nèi)網(wǎng)鏈接，它們可以存儲內(nèi)網(wǎng)數(shù)據(jù)，甚至成為病毒傳播的媒體;

4、網(wǎng)絡(luò)資源的浪費：員工在工作時間內(nèi)聊天、游戲、電影下載、登陸色情反動網(wǎng)站等行為大量存在，使內(nèi)網(wǎng)流量負(fù)荷增加，影響工作效率及網(wǎng)絡(luò)正常使用;

5、因為管理經(jīng)驗不足所造成的終端安全水平參差不齊：企業(yè)內(nèi)網(wǎng)安全沒有專人維護(hù)，客戶端的漏洞密布、口令簡陋、缺少必要的關(guān)鍵補(bǔ)丁，缺乏必要的安全知識，導(dǎo)致無法及時掌握企業(yè)內(nèi)網(wǎng)進(jìn)程運(yùn)行情況。#p#

三忌：復(fù)雜堆砌

正是緣于企業(yè)內(nèi)網(wǎng)安全需求的多種多樣，有些企業(yè)安全管理者針對其具體安全需求，不斷的部署安全產(chǎn)品：防毒墻、防火墻、UTM、上網(wǎng)行為管理、殺毒工具、入侵檢測產(chǎn)品等等，殊不知某些單一產(chǎn)品的功能并不單一，重復(fù)的部署不僅會造成企業(yè)成本的增加、資源的耗費，甚至可能面臨諸多產(chǎn)品的兼容難題。

針對不同原因的安全威脅，應(yīng)選擇不同產(chǎn)品

針對企業(yè)內(nèi)網(wǎng)安全的產(chǎn)品主要分為：

1、運(yùn)行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，側(cè)重于保證系統(tǒng)正常運(yùn)行，避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。

2、網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計，安全問題跟蹤，計算機(jī)病毒防治，數(shù)據(jù)加密等。

構(gòu)建VPN也是安全使用互聯(lián)網(wǎng)的重要一步

3、網(wǎng)絡(luò)上信息傳播安全：側(cè)重于防止和控制非法、有害的信息進(jìn)行傳播后的后果，避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍?/p>

4、網(wǎng)絡(luò)上信息內(nèi)容的安全。側(cè)重于保護(hù)信息的保密性、真實性和完整性，本質(zhì)上是保護(hù)用戶的利益和隱私。#p#

四忌：一成不變

鑒于網(wǎng)絡(luò)安全形勢隨著技術(shù)的發(fā)展、更替，也面臨著升級及更新?lián)Q代的需要，因此以一成不變的光電來部署企業(yè)內(nèi)網(wǎng)安全系統(tǒng)，認(rèn)為一次部署就可以萬事大吉，則是錯誤的觀點。

比如目前第一代防火墻現(xiàn)已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅，部署下一代防火墻則勢在必行;現(xiàn)階段IPv4資源面臨著枯竭的危險，企業(yè)網(wǎng)絡(luò)管理者則應(yīng)該適時考慮向IPv6過渡的方案。

IPv4到IPv6的過渡

但在企業(yè)網(wǎng)絡(luò)管理者部署內(nèi)網(wǎng)安全架構(gòu)時，需考慮到產(chǎn)品的應(yīng)用是否足以滿足現(xiàn)階段的安全需求、是否具有良好的擴(kuò)展性，且是否具有安全產(chǎn)品的基本特征，即可為未來的部署做好“鋪墊”。

網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征：

1、保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。

2、完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

3、可用性：可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊;

4、可控性：對信息的傳播及內(nèi)容具有控制能力。#p#

五忌：無備有患

由于目前企業(yè)的辦公與運(yùn)行對于網(wǎng)絡(luò)的依賴越來越多，因此一旦企業(yè)網(wǎng)絡(luò)系統(tǒng)面臨威脅，則可能對企業(yè)的整個運(yùn)行都帶來影響與損失。用戶的一次錯誤操作，系統(tǒng)的一次意外斷電以及其他一些更有針對性的災(zāi)難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

同樣是不可抗拒的天災(zāi)人禍，在2001年9月11日，在世貿(mào)大廈辦公的金融巨頭摩根斯坦利，在遭遇恐怖襲擊后幾小時即宣布：摩根斯坦利全球營業(yè)部可在第二天照常營業(yè);而此前在世貿(mào)大廈辦公的350家企業(yè)，在事故發(fā)生一年后，有200家由于重要信息系統(tǒng)的破壞、關(guān)鍵數(shù)據(jù)的丟失而關(guān)閉。

備份系統(tǒng)

因此為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全，必須對重要資料進(jìn)行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進(jìn)而蒙受重大損失。

[[30251]]

已有多個機(jī)構(gòu)貫徹實施了容災(zāi)備份

對企業(yè)比較重要的數(shù)據(jù)的保護(hù)來說，選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的，配合各種災(zāi)難恢復(fù)軟件，可以較為全面地保護(hù)數(shù)據(jù)的安全。

一套適合企業(yè)的容災(zāi)備份系統(tǒng)應(yīng)該具有以下特性：

1、支持多個操作平臺，能夠?qū)崿F(xiàn)跨平臺備份;

2、備份體系具有擴(kuò)展性和升級性，方便企業(yè)數(shù)據(jù)擴(kuò)充;

3、便于操作，數(shù)據(jù)備份調(diào)取時無需重裝操作系統(tǒng)。

4、備份操作和管理系統(tǒng)簡便高效。

5、備份與恢復(fù)功能支持聯(lián)機(jī)操作。

6、可設(shè)定備份用戶權(quán)限。

7、能夠?qū)崿F(xiàn)備份硬件資源在系統(tǒng)間的共享，實現(xiàn)多服務(wù)器多數(shù)據(jù)流的并行備份。

安全體系的建立和維護(hù)除了需要技術(shù)手段外，還需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過日常的安全常識培訓(xùn)來提高，行為的約束只能通過嚴(yán)格的管理體制，并利用法律手段來實現(xiàn)。因此一份完整的企業(yè)內(nèi)網(wǎng)安全策略及規(guī)范也是必不可少的。要提高內(nèi)網(wǎng)的安全，可以使用的方法還很多：

◆提高安全意識，不要隨意打開來歷不明的電子郵件及文件，不要隨便運(yùn)行不了解的程序;盡量避免從不知名網(wǎng)站下載軟件，即使從知名的網(wǎng)站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統(tǒng)進(jìn)行掃描。

定時更新防毒組建可有效防御不斷變化的威脅攻擊

◆將防護(hù)工作當(dāng)成日常例性工作，及時下載安裝系統(tǒng)補(bǔ)丁，定時更新防毒組件，將防毒軟件保持在常駐狀態(tài)防御。

定時更新防毒組建可有效防御不斷變化的威脅攻擊

◆由于黑客經(jīng)常會針對特定的日期發(fā)動攻擊，企業(yè)網(wǎng)絡(luò)安全管理者應(yīng)在某些特定時刻特別提高警惕。

技術(shù)防護(hù)，是多種保障內(nèi)網(wǎng)安全策略中的一種，為了更好地解決內(nèi)網(wǎng)的安全問題，企業(yè)內(nèi)網(wǎng)安全管理者需要有更為開闊的思路，不能僅僅停留在對于安全問題的被動防御，還應(yīng)以積極的態(tài)度主動應(yīng)對來自安全方面的挑戰(zhàn)。