淺談企業(yè)信息網(wǎng)絡(luò)的安全防護體系

◆湯 華

（合肥第二發(fā)電廠 安徽 230041）

淺談企業(yè)信息網(wǎng)絡(luò)的安全防護體系

◆湯 華

（合肥第二發(fā)電廠 安徽 230041）

互聯(lián)網(wǎng)技術(shù)的發(fā)展帶來了辦公形式的改變，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、移動辦公等新型辦公形式逐漸流行，企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)逐漸發(fā)展。眾所周知，信息網(wǎng)絡(luò)中存在一定的風(fēng)險，企業(yè)網(wǎng)絡(luò)容易受到攻擊進而造成信息泄露，給企業(yè)帶來不必要的損失。企業(yè)應(yīng)加大網(wǎng)絡(luò)建設(shè)投入，不斷更新網(wǎng)絡(luò)安全技術(shù)，維護網(wǎng)絡(luò)安全。本文主要探討了企業(yè)網(wǎng)絡(luò)中存在的安全隱患，并指出了建設(shè)企業(yè)網(wǎng)絡(luò)安全防護體系的措施。

網(wǎng)絡(luò)安全；信息泄露；安全防護體系；企業(yè)網(wǎng)絡(luò)

0 引言

互聯(lián)網(wǎng)的發(fā)展改變了人們的生活與工作方式，實現(xiàn)了信息交流的便捷性。然而，互聯(lián)網(wǎng)中也存在一定的安全隱患，病毒、木馬、蠕蟲的出現(xiàn)極大地損害了人們利益，影響了正常的網(wǎng)絡(luò)環(huán)境。對于企業(yè)來講，實現(xiàn)辦公信息化必須要建設(shè)網(wǎng)絡(luò)安全防護體系，企業(yè)管理人員應(yīng)分析內(nèi)部網(wǎng)絡(luò)特點，加大網(wǎng)絡(luò)設(shè)備投入，利用新型計算機技術(shù)來確保企業(yè)網(wǎng)絡(luò)的穩(wěn)定性，從而提升企業(yè)競爭力。

1 企業(yè)網(wǎng)絡(luò)中存在的安全隱患

1.1 網(wǎng)絡(luò)建設(shè)規(guī)劃不合理

很多企業(yè)都缺乏合適的網(wǎng)絡(luò)建設(shè)方案，這一現(xiàn)象較為普遍。因為企業(yè)在剛剛成立時，往往會忽視網(wǎng)絡(luò)建設(shè)，隨著企業(yè)業(yè)務(wù)的擴展以及規(guī)模的加大，對網(wǎng)絡(luò)的依賴性逐漸提高，工作人員需要使用計算機進行相關(guān)文件的處理，然而由于建設(shè)規(guī)劃的缺失導(dǎo)致網(wǎng)絡(luò)安全事故頻發(fā)，影響正常工作的進行。企業(yè)內(nèi)部網(wǎng)絡(luò)寬帶缺乏足夠的承載力，這一現(xiàn)象在很多企業(yè)中都存在，降低了工作效率，影響了企業(yè)競爭力的提高。

1.2 缺乏完善的防御體系

在互聯(lián)網(wǎng)進步的同時，網(wǎng)絡(luò)攻擊形式也在逐漸變化，破壞性增強，傳染性加快，并且病毒種類多樣化，難以提前防范，對企業(yè)網(wǎng)絡(luò)的威脅較大。然而，很多企業(yè)忽視防御體系的構(gòu)建，缺乏入侵審計，監(jiān)控工作效率低下，缺乏統(tǒng)一的安全防護標準，對安全策略制定的重視不足，因此難以抵擋網(wǎng)絡(luò)攻擊。

1.3 缺乏明確的物理層邊界

隨著企業(yè)規(guī)模的逐漸加大，分支機構(gòu)逐漸增多。為了確保企業(yè)整體發(fā)展，分支機構(gòu)與總公司間存在一定的網(wǎng)絡(luò)聯(lián)系。然而，總部網(wǎng)絡(luò)與分支機構(gòu)內(nèi)部網(wǎng)絡(luò)之間缺乏明確的物理層邊界。移動辦公的應(yīng)用雖然極大地實現(xiàn)了企業(yè)內(nèi)部信息共享，但同時也帶來新的網(wǎng)絡(luò)安全風(fēng)險。

1.4 缺乏先進的網(wǎng)絡(luò)設(shè)備

隨著計算機技術(shù)的進步以及網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)產(chǎn)品的更新?lián)Q代逐漸加快。一些企業(yè)原本重金購進的先進設(shè)備經(jīng)過長時間的使用后便會成為相對落后的設(shè)備，因此企業(yè)網(wǎng)絡(luò)設(shè)備的更新難以適應(yīng)社會的發(fā)展。部分企業(yè)缺乏充足的資金來及時更新設(shè)備，只能利用原有的設(shè)備處理企業(yè)事務(wù)，大大降低了工作效率。并且一些企業(yè)忽視網(wǎng)絡(luò)設(shè)備的檢查維護，導(dǎo)致現(xiàn)有的網(wǎng)絡(luò)設(shè)備中存在一定的故障和漏洞，影響正常辦公，嚴重時甚至?xí)绊懙骄W(wǎng)絡(luò)安全。

1.5 管理工作困難

企業(yè)員工都需要使用企業(yè)網(wǎng)絡(luò)進行辦公，因此網(wǎng)絡(luò)出口較多，增大了網(wǎng)絡(luò)管理工作的難度。員工的流動性大，網(wǎng)絡(luò)業(yè)務(wù)的逐漸擴展，辦公人員沒有良好的上網(wǎng)習(xí)慣，缺乏安全意識，在下載文件時隨意性較大，以上事實都會造成企業(yè)內(nèi)部信息泄露或感染病毒，影響網(wǎng)絡(luò)安全。

2 企業(yè)網(wǎng)絡(luò)安全防護體系的構(gòu)建

2.1 建設(shè)目標

企業(yè)網(wǎng)絡(luò)安全管理人員要在掌握企業(yè)網(wǎng)絡(luò)性質(zhì)、使用人員、安全防護目標的前提下劃分邏輯子網(wǎng)，邏輯子網(wǎng)不同，安全防護體系也應(yīng)有所差別。并且要做好網(wǎng)絡(luò)邊界以及安全訪問的監(jiān)管力度，實現(xiàn)區(qū)域間的信息交流，建設(shè)安全防護體系，確保企業(yè)網(wǎng)絡(luò)安全穩(wěn)定：（1）分析整體的網(wǎng)絡(luò)安全事件，并將復(fù)雜的工作進行合理劃分，使其轉(zhuǎn)化成局部的、簡單的網(wǎng)絡(luò)安全防護問題，從而加強對網(wǎng)絡(luò)安全風(fēng)險的控制，提升網(wǎng)絡(luò)的正常運行能力；（2）劃分安全域，改善網(wǎng)絡(luò)架構(gòu)，對企業(yè)內(nèi)部網(wǎng)絡(luò)進行合理的規(guī)劃與設(shè)計；（3）了解不同區(qū)域網(wǎng)絡(luò)維護的重難點，確保現(xiàn)有安全設(shè)備的正常運行，確保這些設(shè)備的使用率；（4）加大網(wǎng)絡(luò)維護力度，安排專業(yè)人員負責(zé)每日監(jiān)察，合理投放審計設(shè)備，定期進行網(wǎng)絡(luò)審核以及網(wǎng)絡(luò)檢查，及時發(fā)現(xiàn)存在的安全隱患，促進網(wǎng)絡(luò)安全防護體系的建立。

2.2 安全域的劃分

現(xiàn)代企業(yè)在劃分安全域時主要依據(jù)以下三種方式：業(yè)務(wù)系統(tǒng)、安全防護等級以及系統(tǒng)行為。另外，應(yīng)該依據(jù)不同層次、不同區(qū)域中企業(yè)網(wǎng)絡(luò)的主要內(nèi)容來劃分安全域，主要應(yīng)該參考其網(wǎng)絡(luò)管理形式和業(yè)務(wù)內(nèi)容，從而保證企業(yè)生產(chǎn)的正常進行，實現(xiàn)安全域的合理劃分。為了達到以上要求，在劃分安全域時應(yīng)利用多種劃分形式，綜合考慮每種劃分方式的優(yōu)缺點，實現(xiàn)優(yōu)勢互補。并參考企業(yè)網(wǎng)絡(luò)業(yè)務(wù)規(guī)模以及管理目標，提高安全域劃分的合理性。

（1）在結(jié)合業(yè)務(wù)要求的基礎(chǔ)上劃分企業(yè)網(wǎng)絡(luò)，將其劃分成內(nèi)網(wǎng)和外網(wǎng)兩部分。外網(wǎng)主要是互聯(lián)網(wǎng)出口，并將外網(wǎng)與內(nèi)網(wǎng)服務(wù)進行隔離，從而減少安全威脅，避免因員工操作不規(guī)范而引起安全事故，提升內(nèi)網(wǎng)的安全性。

（2）結(jié)合不同業(yè)務(wù)要求對內(nèi)網(wǎng)和外網(wǎng)的安全區(qū)域進行劃分。內(nèi)網(wǎng)應(yīng)該劃分為生產(chǎn)管理網(wǎng)和辦公信息網(wǎng)兩部分，并且可以根據(jù)信息保密要求進一步劃分為辦公網(wǎng)、管理網(wǎng)、財務(wù)網(wǎng)等；外網(wǎng)應(yīng)該劃分為對外網(wǎng)站、業(yè)務(wù)接入網(wǎng)等。安全域的合理劃分，有利于闡明網(wǎng)絡(luò)邊界，使監(jiān)管人員了解保護對象以及防護范圍。

（3）結(jié)合系統(tǒng)行為以及防護能力對不同子網(wǎng)進行安全域的劃分，主要劃分成邊界接入域、服務(wù)提供域、基礎(chǔ)保障域三部分。

其中，邊界接入域位于信息系統(tǒng)與其他系統(tǒng)的邊界處；服務(wù)提供域能夠保護信息系統(tǒng)的安全，其主要功能是防止信息系統(tǒng)中數(shù)據(jù)信息的泄露與篡改，并能夠在等級保護方案的引導(dǎo)下實現(xiàn)分級保護；基礎(chǔ)保障域的功能是維護安全設(shè)備的正常運行，保護網(wǎng)絡(luò)系統(tǒng)監(jiān)管中心的安全，確保系統(tǒng)軟件不受入侵。

2.3 動態(tài)防護系統(tǒng)

計算機技術(shù)的進步以及網(wǎng)絡(luò)的發(fā)展使企業(yè)網(wǎng)絡(luò)需要處理的網(wǎng)絡(luò)威脅不斷增加。當(dāng)前，網(wǎng)絡(luò)攻擊形式多樣，病毒種類不斷增加，因此建設(shè)網(wǎng)絡(luò)安全防護系統(tǒng)需要考慮到技術(shù)的發(fā)展，并結(jié)合防御技術(shù)、防御措施、企業(yè)員工等多種因素構(gòu)建以入侵檢測為基礎(chǔ)的動態(tài)防護系統(tǒng)。以入侵檢測為基礎(chǔ)的動態(tài)防護系統(tǒng)主要包括以下內(nèi)容：安全防護、入侵檢測、應(yīng)急處理機制、風(fēng)險控制以及備份恢復(fù)，當(dāng)檢測到企業(yè)網(wǎng)絡(luò)可能受到入侵時，防護系統(tǒng)會立刻啟動應(yīng)急處理機制，若網(wǎng)絡(luò)已經(jīng)受到攻擊，文件受到破壞，利用備份恢復(fù)還原系統(tǒng)文件以及原有的網(wǎng)絡(luò)設(shè)置，使企業(yè)網(wǎng)絡(luò)能夠持續(xù)運行。在動態(tài)防護系統(tǒng)中可以將防護信息通過反饋機制傳遞給企業(yè)管理人員，進而增強風(fēng)險控制水準，提升防御水平。

2.4 安全防護方法

通常情況下，確保企業(yè)網(wǎng)絡(luò)正常運行的主要防護方法是設(shè)置防火墻，但是防火墻僅具備有限的防護功能，無法對企業(yè)網(wǎng)絡(luò)中的全部層次進行安全防護。為了提高安全防護效果，應(yīng)實行分層縱深的防護方法，擴大安全防護的范圍，確保安全防護體系的完整性、綜合性以及高效性。分層縱深意味著不同層次采取不同的防護方法，例如物理層、網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)層、應(yīng)用層應(yīng)分別運用物理安全防護、網(wǎng)絡(luò)防護、操作系統(tǒng)防護、數(shù)據(jù)庫防護以及應(yīng)用系統(tǒng)防護的方法，這樣可以根據(jù)不同層次的網(wǎng)絡(luò)特點進行精準防護。比如，為了對企業(yè)網(wǎng)絡(luò)進行訪問控制，可以對網(wǎng)絡(luò)層中訪問控制以及資源控制模塊進行設(shè)置，并在數(shù)據(jù)層與應(yīng)用層中增添身份信息以及認證系統(tǒng)，防止用戶進行越權(quán)操作和不規(guī)范操作；為了在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中減少操作失誤和權(quán)利濫用現(xiàn)象，應(yīng)在系統(tǒng)層、數(shù)據(jù)層以及應(yīng)用層增添網(wǎng)絡(luò)行為管理模塊，監(jiān)管內(nèi)部用戶的上網(wǎng)行為，保護數(shù)據(jù)的非法外泄、保證網(wǎng)絡(luò)服務(wù)器不受破壞，提升系統(tǒng)安全性。

3 結(jié)束語

為了更好地實現(xiàn)網(wǎng)上辦公，企業(yè)管理人員應(yīng)明確網(wǎng)絡(luò)安全的重要性，加快建設(shè)企業(yè)網(wǎng)絡(luò)安全防護體系。該體系的建立，需要參考企業(yè)網(wǎng)絡(luò)自身的特點以及實際運行情況，從多方面分析建設(shè)防護體系的措施，明確企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險，運用動態(tài)防護系統(tǒng)來確保企業(yè)網(wǎng)絡(luò)的正常運行。

[1]周文.淺談企業(yè)內(nèi)部信息網(wǎng)絡(luò)安全防護體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014.

[2]賈君君,王文庭, 楊揚等.淺談大型企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)[J].中國管理信息化, 2012.

[3]劉冬梅.淺談大型石油企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)[J].中國新通信, 2015.