淺析企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密防護

張曉鵬

中圖分類號：X931 文獻標(biāo)識：A 文章編號：1674-1145（2017）11-000-02

摘 要 打造數(shù)字化企業(yè)已成為當(dāng)前各大中型企業(yè)發(fā)展的主要目標(biāo)。企業(yè)內(nèi)部網(wǎng)絡(luò)作為信息化建設(shè)的主要載體，其網(wǎng)絡(luò)安全保密已經(jīng)成為當(dāng)前各企業(yè)不可忽視的首要問題。本文對企業(yè)網(wǎng)絡(luò)安全保密存在的問題進行了深入探討，并提出了對應(yīng)的改進和防范措施。

關(guān)鍵詞 計算機 網(wǎng)絡(luò) 安全 對策

隨著我國經(jīng)濟與科技的不斷發(fā)展，數(shù)字化管理作為為網(wǎng)絡(luò)時代的產(chǎn)物，已經(jīng)成為企業(yè)管理發(fā)展的方向。信息化不斷的發(fā)展，使企業(yè)在流程管理和整體效率上得到了全面的提升，并且日益成為影響企業(yè)競爭的關(guān)鍵性因素。同時，伴隨信息化不斷深入企業(yè)的業(yè)務(wù)流程，大量的企業(yè)核心信息以電子化的形式存在和應(yīng)用。也正是在這種電子化趨勢下，電子信息的易傳輸和易復(fù)制屬性為企業(yè)機密信息的安全管理帶來了新的挑戰(zhàn)。對于目前企業(yè)信息安全工作形勢的嚴(yán)峻性和工作的緊迫性，我們必須要有一個清醒的認(rèn)識，決不可掉以輕心。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密問題已經(jīng)成為當(dāng)前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。

一、企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的定義

企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密是指企業(yè)利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在企業(yè)的內(nèi)部網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

通俗地說，企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密主要是指保護企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)，使其沒有危險、不受威脅、不出事故。從技術(shù)角度來說，企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的技術(shù)特征主要表現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。

二、企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的結(jié)構(gòu)層次及防護措施

企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的結(jié)構(gòu)層次主要包括：物理層面、技術(shù)層面和管理層面三個層面。這三個層面的具體內(nèi)容及防護措施如下：

圖1 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型

（一）物理層面的安全防護

物理安全策略保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全，是整個網(wǎng)絡(luò)安全保密的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。其目的是保護計算機系統(tǒng)、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備等硬件實體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個方面：

1.環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護，確保計算機系統(tǒng)有一個良好的工作環(huán)境。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。

2.設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。機房的安全防護是針對環(huán)境的物理災(zāi)害和防止未授權(quán)的個人或團體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全，首先，應(yīng)考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統(tǒng)中心設(shè)備外設(shè)安全防護圈，以防止非法暴力入侵；第四計算機系統(tǒng)中心設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。

（二）技術(shù)層面的安全防護

技術(shù)層面主要需要保護網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問，并確保數(shù)據(jù)安全。只有解決網(wǎng)絡(luò)的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)的安全管理主要依靠訪問控制、數(shù)據(jù)安全兩個方面來進行防御。

1.訪問控制。訪問控制是網(wǎng)絡(luò)安全保密防范和保護的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全保密最重要的核心策略之一，訪問控制涉及的技術(shù)比較廣，主要包括網(wǎng)絡(luò)準(zhǔn)入控制、AD域控制用戶行為。

（1）網(wǎng)絡(luò)準(zhǔn)入控制。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全保密防范和保護的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。技術(shù)上需要對企業(yè)內(nèi)部網(wǎng)絡(luò)的內(nèi)部授權(quán)設(shè)備進行MAC地址綁定、IP地址綁定等配置，使其具備唯一、固定的接入點；對未使用的交換機端口采取邏輯控制，將其配置關(guān)閉（Shutdown）。通過技術(shù)和物理兩方面防護手段結(jié)合控制，可以確保交換機的已使用端口與用戶綁定，用戶的網(wǎng)絡(luò)接入點固定，IP固定，用戶無法私自挪動網(wǎng)絡(luò)接入位置，如若違規(guī)，交換機將立即關(guān)閉違規(guī)端口；交換機未使用端口始終處于不可用狀態(tài)。這樣，無論通過已使用端口還是未使用端口，未授權(quán)設(shè)備均無法接入涉密網(wǎng)絡(luò)。

（2）AD域控制用戶行為。AD域控制用戶行為可以控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。

2.數(shù)據(jù)安全部分。隨著計算機的普及和信息技術(shù)的進步，特別是計算機網(wǎng)絡(luò)的飛速發(fā)展，信息安全的重要性日趨明顯。但是，作為信息安全的一個重要內(nèi)容——數(shù)據(jù)的重要性卻往往被人們所忽視。只要發(fā)生數(shù)據(jù)傳輸、數(shù)據(jù)存儲和數(shù)據(jù)交換，就有可能產(chǎn)生數(shù)據(jù)故障。這時，如果沒有采取相應(yīng)手段與措施，就會導(dǎo)致數(shù)據(jù)的丟失。有時造成的損失是無法彌補和無法估量的。如何保護好計算機網(wǎng)絡(luò)系統(tǒng)中存儲的數(shù)據(jù)，保證系統(tǒng)穩(wěn)定可靠地運行，并為業(yè)務(wù)系統(tǒng)提供快捷可靠的訪問，通過以下四個方面來防護：

（1）數(shù)據(jù)庫的備份與恢復(fù)。備份系統(tǒng)對于涉密信息系統(tǒng)的重要性不言而喻。服務(wù)器、數(shù)據(jù)庫中的數(shù)據(jù)采用備份軟件，對服務(wù)器操作系統(tǒng)，數(shù)據(jù)庫，各應(yīng)用軟件進行全備份或增量備份。但實際上，許多用戶計算機上存有涉密數(shù)據(jù)。對于用戶計算機的數(shù)據(jù)備份采取多種措施，如與其他用戶相互備份非涉密數(shù)據(jù)，在服務(wù)器上建立網(wǎng)絡(luò)存儲備份系統(tǒng)，為涉密人員提供充足的備份空間，以備份涉密數(shù)據(jù)。

（2）切斷傳播途徑，接口控制。計算機開放了許多外設(shè)輸入輸出接口，如串口、并口、USB、1394、紅外傳輸、讀卡器等接口。這些接口是信息外泄和黑客攻擊的重要途徑，應(yīng)嚴(yán)格控制。選用接口控制軟件，禁用無線傳輸接口，管理物理接口，物理上拆除讀卡器、無線MODEN、無線網(wǎng)卡等。部署三合一管理系統(tǒng)，管理涉密信息系統(tǒng)內(nèi)部專用的涉密移動存儲介質(zhì)，此類移動存儲介質(zhì)通過注冊和授權(quán)，在涉密信息系統(tǒng)之外無法使用，防止介質(zhì)在涉密信息系統(tǒng)內(nèi)外交叉使用，截斷涉密信息網(wǎng)絡(luò)與外部網(wǎng)絡(luò)和計算機的數(shù)據(jù)交叉通道。

（3）提高網(wǎng)絡(luò)反病毒技術(shù)能力。涉密信息系統(tǒng)的每一臺計算機都應(yīng)安裝防病毒軟件，服務(wù)器安裝服務(wù)器版，內(nèi)網(wǎng)用戶安裝網(wǎng)絡(luò)版，單機用戶安裝單機版。定期更新防病毒軟件病毒特征庫，查看分析病毒日志和報告。對系統(tǒng)中存在的異常進程，文件作詳細(xì)分析，防止病毒和惡意代碼滋生。加強網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中，限制只能由服務(wù)器才允許執(zhí)行的文件。

（4）內(nèi)網(wǎng)安全風(fēng)險管理與審計。內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)主要針對的是內(nèi)部網(wǎng)絡(luò)的一些越權(quán)獲取數(shù)據(jù)、信息泄密、一機兩用、非法接入、私自使用外來移動存儲設(shè)備、未經(jīng)允許接入設(shè)備等行為進行監(jiān)查管理，可有效管理和阻止網(wǎng)絡(luò)內(nèi)部主要針對主機的有害行為，并且將過程記錄下來提供給事后審計和查證，檢查單位可以通過查看可靠的審計日志輸出，對所有違規(guī)行為做到有據(jù)可查，對內(nèi)部網(wǎng)絡(luò)行為的管理監(jiān)控結(jié)果有效，審計結(jié)果取證完整、記錄可信。通過對行為而不是內(nèi)容進行監(jiān)管，還可防止管理人員接觸無關(guān)的秘密，減少泄密的可能，使單位內(nèi)部的秘密得到可靠保護。

（三）管理層面安全防護

企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題，不僅是設(shè)備，技術(shù)的問題，更是管理的問題。對于企業(yè)網(wǎng)絡(luò)的管理人員來講，一定要提高網(wǎng)絡(luò)安全保密意識，加強網(wǎng)絡(luò)安全保密技術(shù)的掌握，注重對領(lǐng)導(dǎo)和員工的網(wǎng)絡(luò)安全保密知識培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡(luò)安全保密中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓(xùn)。增強內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質(zhì)，具體體現(xiàn)在以下兩個方面：

1.健全安全管理機構(gòu)。在公司內(nèi)部，都應(yīng)當(dāng)設(shè)立相應(yīng)級別的、負(fù)責(zé)信息安全的專門管理機構(gòu)。安全管理機構(gòu)的人員應(yīng)包括領(lǐng)導(dǎo)和專業(yè)人員。按照不同任務(wù)進行分工以確立各自的職責(zé)。一類人員是負(fù)責(zé)確定安全措施，包括方針、政策、策略的制定，并協(xié)調(diào)、監(jiān)督、檢查安全措施的實施：另一類人員是負(fù)責(zé)分工具體管理系統(tǒng)的安全工作，包括安全管理員、安全審計員和系統(tǒng)管理員。在分工的基礎(chǔ)上，應(yīng)有具體的負(fù)責(zé)人，以負(fù)責(zé)整個網(wǎng)絡(luò)系統(tǒng)的安全。

2.確立安全管理的原則和規(guī)章制度。一個完整的信息安全管理體系還應(yīng)當(dāng)有安全管理的原則和嚴(yán)格的規(guī)章制度。企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題，不僅是設(shè)備，技術(shù)的問題，更是管理的問題。需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。除此之外，還應(yīng)教育計算機用戶和全體工作人員，應(yīng)自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴(yán)格分工等管理制度。

三、結(jié)語

總之，安全是個過程，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及物理、技術(shù)和管理三個層面。企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有三個層面緊密結(jié)合，才能使企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密確實有效，確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

參考文獻：

[1] 王根宏.讓信息系統(tǒng)登錄更安全[J].網(wǎng)絡(luò)安全和信息化，2017（8）：124-127.

[2] 楊大偉，鄭澎.終端安全管理系統(tǒng)提升運維效率[J].網(wǎng)絡(luò)安全和信息化，2017（3）：122-126.