劉坤

摘要：目前中小企業(yè)加快了信息化建設(shè)，但由于網(wǎng)絡(luò)安全意識(shí)薄弱、網(wǎng)絡(luò)安全管理資金投入不足，很容易被攻擊者入侵竊取資料，導(dǎo)致公司服務(wù)器出現(xiàn)故障。該文通過(guò)走訪太倉(cāng)中小企業(yè)了解目前企業(yè)網(wǎng)絡(luò)安全方面存在的問(wèn)題和風(fēng)險(xiǎn)，通過(guò)需求分析給出網(wǎng)絡(luò)信息安全策略如防火墻、VPN等，幫助企業(yè)盡可能避免網(wǎng)絡(luò)攻擊造成的損失。

關(guān)鍵詞：中小企業(yè)；信息安全；防火墻；VPN

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）22-0032-02

1背景

目前我國(guó)很多中小企業(yè)都開(kāi)始廣泛使用信息化手段提升自身的競(jìng)爭(zhēng)力，借助信息化，企業(yè)可以更有效地管理資源，優(yōu)化組合，提高企業(yè)運(yùn)營(yíng)效率，幫助企業(yè)更快的了解市場(chǎng)行情，促進(jìn)企業(yè)發(fā)展。但與此同時(shí)信息安全問(wèn)題也日益突出，每年企業(yè)因信息系統(tǒng)的安全問(wèn)題而遭受經(jīng)濟(jì)損失難以估量。

本文針對(duì)太倉(cāng)中小企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀進(jìn)行深入調(diào)研，走訪企業(yè)了解企業(yè)網(wǎng)絡(luò)信息安全的配置情況，可能存在的問(wèn)題，然后根據(jù)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)和手段幫助企業(yè)解決問(wèn)題，以滿足企業(yè)需求、投入資金少、專業(yè)技術(shù)管理人員投入少為需求給出解決策略，避免因信息安全問(wèn)題造成的經(jīng)濟(jì)損失。

2中小企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀研究

經(jīng)調(diào)研分析，目前中小企業(yè)大致可以分為兩類，一類是國(guó)內(nèi)企業(yè)，一類是外企也就是總部在國(guó)外，國(guó)內(nèi)有分公司或者工廠?？偟膩?lái)說(shuō)，所有的中小企業(yè)都有自己的計(jì)算機(jī)網(wǎng)絡(luò)、典型應(yīng)用系統(tǒng)如辦公自動(dòng)化系統(tǒng)、信息查詢系統(tǒng)、web應(yīng)用、郵件服務(wù)、財(cái)務(wù)和人事系統(tǒng)等。根據(jù)中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用特點(diǎn)，一般需要保證數(shù)據(jù)具有實(shí)時(shí)性、機(jī)密性、安全性、完整性、可用性和不可抵賴性。

太倉(cāng)中小企業(yè)眾多，光德資企業(yè)就有200多家。企業(yè)的產(chǎn)品信息、業(yè)務(wù)數(shù)據(jù)、銷售訂單都需要利用信息化系統(tǒng)進(jìn)行處理，有的甚至需要大數(shù)據(jù)平臺(tái)分析處理，那么信息系統(tǒng)的安全性也是尤為突出的一個(gè)問(wèn)題。對(duì)太倉(cāng)中小企業(yè)而言，構(gòu)建一個(gè)安全、可靠的IT系統(tǒng)是關(guān)系到企業(yè)能否適合時(shí)代新技術(shù)，健康良好快速發(fā)展的關(guān)鍵因素之一。太倉(cāng)眾多外企總部都在國(guó)外，因此總公司和分公司之間需要經(jīng)常傳輸大量的數(shù)據(jù)，其中包括很多重要甚至機(jī)密的數(shù)據(jù)，對(duì)于數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性要求更高。針?duì)這些特點(diǎn)目前中小型企業(yè)網(wǎng)絡(luò)存在的主要安全問(wèn)題有：

1）弱口令造成信息泄露威脅

目前中小企業(yè)使用的各類系統(tǒng)較多，包括郵件、ERP、內(nèi)部OA系統(tǒng)、電子商務(wù)系統(tǒng)等。面對(duì)眾多的系統(tǒng)，員工要設(shè)置各類密碼，非常麻煩，所以基本都會(huì)設(shè)置簡(jiǎn)單的便于記憶的弱口令，而且很多系統(tǒng)都設(shè)置相同的密碼，長(zhǎng)期不對(duì)密碼進(jìn)行更改，這樣就很容易造成密碼泄露，一旦成功入侵企業(yè)內(nèi)部網(wǎng)絡(luò)，就很容易竊取到密碼非法進(jìn)入系統(tǒng)獲取資料。

2）網(wǎng)絡(luò)病毒威脅

中小型企業(yè)員工一般都是單獨(dú)使用計(jì)算機(jī)，并且所有計(jì)算機(jī)都可以訪問(wèn)互聯(lián)網(wǎng)，員工根據(jù)自己的情況自行安裝防病毒系統(tǒng)，由于員工對(duì)病毒預(yù)防知識(shí)和防病毒軟件的使用方法掌握情況不同，如果不能正確安裝使用防病毒軟件，一臺(tái)計(jì)算機(jī)感染病毒很快就傳播到企業(yè)內(nèi)部的多臺(tái)計(jì)算機(jī)，甚至導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)癱瘓。

3）企業(yè)主干網(wǎng)絡(luò)沒(méi)有劃分VLAN

中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)中，由于網(wǎng)絡(luò)規(guī)模小，沒(méi)有專業(yè)網(wǎng)絡(luò)設(shè)計(jì)維護(hù)人員，為了省事和方便，很多企業(yè)的系統(tǒng)沒(méi)有劃分VLAN或者沒(méi)有按要求細(xì)化，造成同一廣播域中計(jì)算機(jī)數(shù)量過(guò)多，容易造成廣播風(fēng)暴和網(wǎng)絡(luò)帶寬嚴(yán)重浪費(fèi)。

4）無(wú)線網(wǎng)絡(luò)密碼泄露

無(wú)線網(wǎng)絡(luò)的方便快捷使得它在企業(yè)中的應(yīng)用快速發(fā)展起來(lái)，一般企業(yè)公司都在工作區(qū)域安裝無(wú)線路由器等無(wú)線設(shè)備，方便公司員工及外來(lái)人員進(jìn)人公司內(nèi)部網(wǎng)絡(luò)或者互聯(lián)網(wǎng)。但由于無(wú)線密碼設(shè)置簡(jiǎn)單，很容易被破譯?；ヂ?lián)網(wǎng)上的攻擊者可以通過(guò)破譯無(wú)線密碼，輕松進(jìn)入到公司內(nèi)部網(wǎng)絡(luò)，從而造成公司信息泄露。

5）移動(dòng)終端安全隱患

隨著3C時(shí)代的到來(lái)，公司企業(yè)員工使用移動(dòng)設(shè)備連接公司網(wǎng)絡(luò)，因此由移動(dòng)終端設(shè)備帶來(lái)的安全隱患也不可避免。對(duì)于企業(yè)IT部門而言，移動(dòng)設(shè)備已成為網(wǎng)絡(luò)安全的一個(gè)致命弱點(diǎn)，因?yàn)橥ㄟ^(guò)電子郵件、彩信、藍(lán)牙等方式傳播的病毒很容易對(duì)企業(yè)內(nèi)網(wǎng)安全造成危害。

3中小企業(yè)網(wǎng)絡(luò)信息安全解決策略研究

中小企業(yè)對(duì)信息安全的需求主要是保障公司網(wǎng)站穩(wěn)定運(yùn)行、避免商業(yè)機(jī)密被竊取、企業(yè)信息被惡意篡改，因此網(wǎng)絡(luò)安全解決方案的可用性是中小企業(yè)首要考慮的問(wèn)題，只有網(wǎng)絡(luò)安全設(shè)備正常可用，才能保護(hù)企業(yè)網(wǎng)絡(luò)安全。其次，中小企業(yè)規(guī)模小，資金不足，網(wǎng)絡(luò)安全管理人才缺乏，安全解決方案的易用性也是企業(yè)必須考慮的因素，使用簡(jiǎn)單有效的方法提高企業(yè)網(wǎng)絡(luò)安全，減少企業(yè)在資金、專業(yè)管理人才的投入同時(shí)又能保障公司網(wǎng)絡(luò)信息安全?；谄髽I(yè)網(wǎng)絡(luò)安全問(wèn)題，對(duì)企業(yè)網(wǎng)絡(luò)安全的全面整體規(guī)劃如圖1所示。

移動(dòng)互聯(lián)、大數(shù)據(jù)、云計(jì)算環(huán)境下，針對(duì)企業(yè)各類服務(wù)和后臺(tái)系統(tǒng)建議找專業(yè)網(wǎng)絡(luò)公司托管，這類公司有專業(yè)的網(wǎng)關(guān)、防火墻、入侵檢測(cè)系統(tǒng)，能夠?yàn)槠髽I(yè)各類服務(wù)提供安全保障，這樣中小企業(yè)也無(wú)需在花大量的資金自己購(gòu)買這類安全設(shè)備、專業(yè)人員培訓(xùn)等，大大減輕了公司服務(wù)器管理和維護(hù)壓力。針對(duì)目前存在的安全問(wèn)題，給出以下安全策略：

1）加強(qiáng)企業(yè)員工網(wǎng)絡(luò)安全管理

中小企業(yè)所有的系統(tǒng)口令包括員工設(shè)置登陸口令必須按照操作系統(tǒng)密碼復(fù)雜性要求設(shè)置，至少8位字符，其中要包括字母大寫、小寫、數(shù)字、特殊符號(hào)中三種情況以上，由企業(yè)系統(tǒng)管理員或者網(wǎng)絡(luò)管理員設(shè)置密碼失效時(shí)間，規(guī)定在一定時(shí)間內(nèi)必須更新密碼，用簡(jiǎn)單切實(shí)可行的方法建立第一道安全大門。

2）加強(qiáng)企業(yè)網(wǎng)絡(luò)入侵防范

中小企業(yè)可以利用防火墻加強(qiáng)企業(yè)網(wǎng)絡(luò)入侵防范，實(shí)現(xiàn)企業(yè)內(nèi)外網(wǎng)隔離，主要設(shè)置網(wǎng)絡(luò)邊界出口鏈路帶寬要求、數(shù)量等情況，IP地址規(guī)劃對(duì)防火墻地址轉(zhuǎn)換的需求。通過(guò)防火墻的認(rèn)證機(jī)制，過(guò)濾訪問(wèn)網(wǎng)絡(luò)數(shù)據(jù)。通過(guò)防火墻權(quán)限設(shè)置，嚴(yán)格審核外網(wǎng)用戶的非法登錄，定期查看防火墻日志文件，對(duì)有攻擊性的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行警告。endprint

3）VPN策略

一般公司都需要連接互聯(lián)網(wǎng)，特別是針對(duì)太倉(cāng)德資外企來(lái)說(shuō)與德國(guó)總部公司通信安全性是非常重要的，可以采用SSLVPN策略。SSL VPN使用瀏覽器內(nèi)建的安全通道封包處理功能，用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器，然后透過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。

中小企業(yè)的遠(yuǎn)程訪問(wèn)環(huán)境變化較大，SSL VPN不需要安裝客戶端軟件遠(yuǎn)程用戶，遠(yuǎn)程用戶只需借助標(biāo)準(zhǔn)的瀏覽器連接Internet，即可訪問(wèn)企業(yè)的網(wǎng)絡(luò)資源。企業(yè)可在較短時(shí)間內(nèi)部署完SSLVPN，因此其部署和實(shí)施成本較低，其次SSLVPN還提高了平臺(tái)的靈活性方便擴(kuò)展應(yīng)用和增強(qiáng)性能，對(duì)中小企業(yè)而言可以降低使用成本，最有效地保護(hù)投資。

4）無(wú)線網(wǎng)絡(luò)安全策略

對(duì)于中小企業(yè)，建議選擇比較有安全保證的產(chǎn)品來(lái)部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時(shí)還要做到如下幾點(diǎn)：修改設(shè)備的默認(rèn)值，指定專用于無(wú)線網(wǎng)絡(luò)的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能。在網(wǎng)絡(luò)上，針對(duì)全部用戶使用一致的授權(quán)規(guī)則，在不會(huì)被輕易損壞的位置部署硬件。

正確全面使用WEP機(jī)制來(lái)實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能，通過(guò)在每幀中加入一個(gè)校驗(yàn)和的做法來(lái)保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來(lái)試圖破解密鑰流。其次必須在每個(gè)客戶端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用，不使用預(yù)先定義的WEP密鑰，避免使用缺省選項(xiàng)。密鑰由用戶來(lái)設(shè)定，并且能夠經(jīng)常更改，最后要使用最堅(jiān)固的WEP版本，并與標(biāo)準(zhǔn)的最新更新版本保持同步。

5）移動(dòng)終端安全策略

為了避免移動(dòng)終端攜帶病毒連接到企業(yè)內(nèi)網(wǎng)中，確保移動(dòng)終端如智能手機(jī)、ipad、移動(dòng)筆記本安裝殺毒軟件、防火墻并定期對(duì)移動(dòng)設(shè)備進(jìn)行系統(tǒng)漏洞補(bǔ)丁和更新，定期掃描殺毒，特別不要隨意打開(kāi)、下載不確定的郵件、鏈接和彩信，以免中木馬病毒。如果一旦中毒，應(yīng)該立刻斷網(wǎng)，進(jìn)行殺毒或者更新系統(tǒng)，以免木馬病毒通過(guò)無(wú)線網(wǎng)絡(luò)傳播企業(yè)內(nèi)部網(wǎng)絡(luò)。

4結(jié)束語(yǔ)

通過(guò)深入太倉(cāng)中小企業(yè)調(diào)研，了解企業(yè)的網(wǎng)絡(luò)信息安全現(xiàn)狀及存在問(wèn)題，結(jié)合網(wǎng)絡(luò)信息安全建設(shè)方案，從物理安全、計(jì)算機(jī)硬件軟件安全、網(wǎng)絡(luò)體系結(jié)構(gòu)安全、病毒防范、入侵檢查、防火墻配置、信息系統(tǒng)運(yùn)行維護(hù)等方面給出切實(shí)可行的網(wǎng)絡(luò)信息安全建設(shè)方案，有針對(duì)性對(duì)太倉(cāng)中小企業(yè)網(wǎng)絡(luò)信息安全建設(shè)策略研究。endprint