文章目录
一、企业网络安全威胁概览
1.1、企业网络架构
企业面临来自内部与外部的双重安全威胁。典型网络架构包括:
- 边界区域:部署防火墙、AntiDDoS等设备
- 计算环境:服务器区(Web服务器、邮件服务器)
- 办公区:员工终端接入区域
- 管理中心:iMaster-NCE、UMA堡垒机等集中管理组件
1.2、安全架构设计方法
- 管理措施:制定安全制度、应急流程,定期开展安全意识培训。
- 技术措施:划分网络区域(通信网络、边界、计算环境、管理中心),实施针对性防护。
二、通信网络安全需求与方案
2.1、网络架构可靠性
- 三级等保要求关键设备硬件冗余(线路、防火墙、服务器)。
- 防火墙采用双机热备组网,保障高可用性。
2.2、区域隔离
- 防火墙划分 Trust(内网) 与 Untrust(外网) 区域。
- 启用NAT技术隐藏内网IP,防止公网扫描攻击。
2.3、信息保密性
- 出差员工或分支通过 IPSec VPN / SSL-TLS VPN 加密接入总部。
- 高安全需求企业可租用运营商专线保障传输安全。
三、区域边界安全威胁与防护
3.1、DDoS攻击
| 类型 | 描述 |
|---|---|
TCP Flood |
如SYN Flood,耗尽服务器连接资源 |
UDP Flood |
发送大量UDP包导致链路拥塞 |
ICMP Flood |
利用Ping洪水或超大数据包攻击 |
HTTP Flood |
模拟浏览器请求,消耗Web资源 |
GRE Flood |
利用GRE隧道消耗解封装资源 |
数据显示Q2 2021中
UDP Flood占比最高(60%)
防御机制:AntiDDoS + 源认证
- 对
SYN Flood启动源认证:防火墙拦截并验证真实客户端 - 合法用户通过后加入白名单,攻击流量因无法回包被丢弃
3.2、单包攻击
| 类型 | 描述 |
|---|---|
| 畸形报文攻击 | Teardrop、murf、Land等致系统崩溃 |
| 特殊报文攻击 | 探测网络结构,为后续攻击铺垫 |
| 扫描窥探攻击 | ICMP端口扫描识别存活主机与开放端口 |
防范方式
- 防火墙设置阈值,检测同一源
IP频繁发送ICMP请求 - 超过阈值则加入黑名单,阻断扫描行为
3.3、用户行为不受控
- 70%安全事件源于内部误操作
- 解决方案:
iMaster-NCE进行访问权限管控- 防火墙启用内容过滤:URL过滤、DNS过滤、文件过滤、应用行为控制等
3.4、外部网络入侵
| 入侵类型 | 描述 |
|---|---|
| 病毒 | 感染文件传播,需手动触发激活 |
| SQL注入 | 构造恶意SQL参数破坏逻辑,属高危漏洞 |
| DDoS攻击 | 泛洪攻击耗尽带宽或资源 |
防范方式:入侵防御(IPS)
- 部署防火墙IPS设备,匹配流量与签名库
- 自动更新签名库,识别已知攻击模式
- 异常流量阻断,正常流量放行
四、计算环境安全威胁与防护
4.1、终端软件漏洞
- 内网终端漏洞易被利用,导致横向扩散
- 典型案例:
WannaCry勒索病毒利用"永恒之蓝"漏洞MSHTML漏洞用于恶意附件传播- 虚拟机软件漏洞可导致拒绝服务
应对方式
- 及时打补丁,安装防病毒软件
- 网络准入控制(NAC):对接入终端进行安全检查
- 漏洞扫描与渗透测试
- 流程:目标确认 → 信息收集 → 漏洞探测 → 利用 → 渗透
- 输出测试报告,指导安全加固
五、管理中心安全需求与方案
5.1、管理员权限管控
技术层面
- 最小授权原则:通过UMA统一运维审计控制权限
- 行为监控与日志审计
- 建立可靠备份机制,快速恢复受损系统
管理层面
- 定期宣传信息安全案例,提升员工意识
- 关注员工心理状态,预防人为风险
- 关键区域部署门禁系统
5.2、上网权限管控
技术层面:NAC方案
- 身份认证:802.1X、Portal、MAC认证等方式
- 访问控制:基于用户身份、设备类型、接入时间、位置等策略控制
- 终端安全检查:仅允许"健康终端"接入
管理层面
- 外来人员需登记并出示证件
- 设置访客网络(Guest-WiFi),与办公网隔离
- 使用安保人员与设备控制进出
份、设备类型、接入时间、位置等策略控制
- 终端安全检查:仅允许"健康终端"接入
管理层面
- 外来人员需登记并出示证件
- 设置访客网络(Guest-WiFi),与办公网隔离
- 使用安保人员与设备控制进出
示例:企业部署Employee-WiFi(办公网)与Guest-WiFi(访客网),实现物理隔离,降低安全风险