一、方案背景

随着互联网的蓬勃发展，企业网络业务飞速增长，企业内部网络环境日益复杂，各类业务系统和数据资产在内部网络大量出现。与此同时，企业面临着来自网络内外的各种安全威胁，如病毒木马植入、系统漏洞利用、业务中断、数据泄露等、非法接入、违规操作等风险，导致企业网络安全问题频发。目前企业网络面临的典型安全问题包括：网络边界防护薄弱，来路不明流量直接进出内网；重要业务系统防护措施不足，关键资产和信息面临威胁；终端和服务器存在大量安全漏洞未修补，安全配置混乱；核心业务系统间的网络隔离和安全控制不足；日志审计与安全监测能力缺失，安全事件响应缓慢等问题。为应对日益严峻的网络安全局面，亟须构建网络安全防护体系，提高网络环境的安全管理水平。

二、安全痛点

• 内网安全管理难度大：内网设备数量众多，分布广泛，难以实现统一管理。
• 安全隐患发现不及时：内网安全事件往往难以第一时间发现，导致损失扩大。
• 非法接入风险高：内网存在诸多未授权设备接入的风险，如手机、平板等。
• 病毒攻击防范不足：内网容易遭受病毒攻击，如勒索软件、木马等。
• 不安全的身份验证：弱密码和未经授权的访问可能导致未经授权的用户访问敏感信息。
• 网络漏洞威胁：存在大量未打补丁的脆弱设备，安全配置漏洞多，未修补的漏洞可能被黑客利用，进一步威胁内部网络。
• 数据泄露风险大：企业内部数据可能因员工疏忽或恶意行为而泄露，导致信息资产损失，数据传输过程中存在被窃取、泄露的风险。

三、需求分析

• 保障内网设备安全运行：确保内网设备稳定、可靠运行，避免因安全问题影响正常业务。
• 及时发现并处理安全事件：提高内网安全事件的发现和处理效率，减少损失。
• 防止非法接入：严格控制内网设备的接入权限，确保只有授权设备可以接入。
• 数据安全保护：保障内网数据传输安全，防止数据泄露、篡改。
• 病毒攻击防范：建立有效的病毒防范体系，减少内网遭受病毒攻击的风险。
• 访问控制：实现严格的身份验证和访问控制，确保只有授权用户能够访问敏感信息。
• 数据加密：对敏感数据进行加密，以保护数据在传输和存储中的安全。
• 漏洞管理：及时修补和更新系统，以防止已知漏洞的利用。
• 培训与教育：提供员工安全意识培训，减少内部威胁的风险。
• 威胁情报：实时获取威胁情报，以识别和应对新的安全威胁。

四、设计原则

• 安全性：安全性原则
• 在网络安全、系统安全、应用安全、安全保障机制等，拥有系统性的安全策略和机制，可以根据不同的业务需求和应用处理，形成有效的安全措施及举措。
• 可控性：实现内网设备的统一管理，确保方案的实施效果。
• 实用性：方案应具有实用性，方便用户操作和管理。
• 扩展性：考虑到企业业务的发展，方案应具备可扩展性，方便后期升级和扩展。
• 多因素身份验证：使用多因素身份验证来确保只有授权用户能够访问敏感信息。
• 灵活性：考虑到企业不同的需求和网络拓扑，提供可定制化的解决方案。
• 合规性：遵守法规和行业标准，以确保合规性和数据隐私。
• 先进性原则：采用先进的基于计算机网络的软件、系统产品以及模块化的设计，从而保证系统在技术上领先。

五、建设依据

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国密码法》

《中华人民共和国个人信息保护法》

《信息安全技术 信息系统安全等级保护基本要求》

《网络数据安全管理条例》（征求意见稿）

《关键信息基础设施安全保护条例》

《网络安全等级保护条例》（征求意见稿）

六、整体方案设计

1）加强网络边界防护

在网络边界部署新一代防火墙，启用应用识别、入侵防御、数据防泄漏、AV防病毒、URL过滤等功能模块，检测并过滤非法流量。预算充足情况下可以增加IPS入侵防御系统、上网行为管理等安全设备。并制定严格的访问控制策略，禁止来源不明的外部流量直接访问内网，仅允许特定授权的应用、服务和端口。在互联网入口部署DDoS高防设备，设置流量清洗阈值，对异常大流量进行限速或清洗。在互联网出口设置Web应用防火墙，通过WAF功能检测并拦截SQL注入、XSS跨站、恶意BOT等网络攻击。

2）实施网络访问控制

根据用户和终端标识设定细粒度的访问控制策略，按照最小权限原则授权。对核心业务系统实施三层防火墙隔离。采用802.1X和NAC解决方案，对每一个访问用户和设备进行安全状态检测后，才允许访问网络。

3）加固终端和服务器安全

对Windows服务器实施金镜策略强化，Linux服务器执行基线加固，进行统一化安全配置。在终端部署EDR端点防护产品，严格管控访问，进行行为监控和应急响应。对域控制器和核心数据库等特权账号实施更严格的安全策略，执行双因素认证、行为分析。

4）实施安全监测与审计

在内外网关键夹点部署高性能网络行为分析设备，通过流量分析检测威胁。建设日志中心，使用安全信息和事件管理系统进行实时分析，并设置严格的告警策略。

5）加强员工安全教育与培训

制定网络和信息系统使用管理规定，规范员工网络行为，对违规行为进行惩戒。定期更新信息安全培训内容，强化政策宣贯，提高员工安全意识和风险防范能力。对涉及核心系统的员工进行背景审查，确认无不良记录后方可授予访问权限。

6）实施数据分类和访问控制

对业务数据进行分类，区分一般业务数据和敏感核心数据。根据数据敏感程度，实施多级的逻辑访问控制，核心数据库实施双因素认证。对特权用户访问敏感系统和数据进行监控审计，发现非授权访问行为。

7）推行零信任网络原则

不仅对外部访问，也对内部访问实施严格的身份验证和授权控制。强化对内部网络流量和用户行为的监控，发现潜在风险。核心资产在内网也要进行隔离，避免感染蔓延。

8）制定完善的应急预案

制定网络安全事件应急预案，明确职责分工和响应流程。建设专业的CERT应急响应团队，加强演练，提高响应效率。提前与网信、公安、供应商等建立应急协作机制。完善监控、预警和通信系统支持，快速发现威胁并做出响应。

9）进行定期评估和整改

定期进行渗透测试，评估方案防护效果，并针对薄弱环节进行加固，发现解决方案存在的问题。收集技术和情报信息，及时优化和迭代解决方案。

七、方案成效：

1. 网络边界防护能力得到全面提升，来源不明确的外部流量大幅减少，有效降低入侵威胁。
2. 重要业务系统部署防护模块，入侵检测和应急响应能力显著增强。
3. 终端和服务器存在的安全漏洞得到有效修复，安全配置也得到规范，系统安全性得以改善。
4. 通过微隔离等技术手段，实现核心系统的逻辑隔离，不同安全域之间的网络流量明显减少。
5. 建立集中式的日志分析系统，扩大了安全监测范围，安全事件的发现和响应速度大幅提升。
6. 该网络安全解决方案在提高边界防护、增强重要系统自我防护、规范系统配置、实现网络隔离、强化安全监测等方面发挥了显著作用，全面增强了企业网络的安全防护能力。

八、方案价值：

1. 大幅降低企业网络遭受入侵或病毒感染的风险，保障内部网络安全。
2. 增强重要业务系统的自我防护能力，降低关键系统遭遇攻击的概率。
3. 规范网络环境配置，修复系统漏洞，消除安全隐患。
4. 实现网络环境的安全隔离与控制，防止安全事件扩散。
5. 实现对网络运行情况的监测与审计，快速发现并响应安全事件。
6. 保障企业核心业务系统稳定高效运行，避免由于网络攻击造成的业务中断损失。
7. 提升企业网络环境整体安全管理水平和防护能力。