淺談小型企業網絡安全防護體系建設

◆朱小朋 劉鐵林

（1.西安衛星測控中心 陜西 710043；2.陸軍工程大學 河北 050000）

據統計，全世界平均每10 分鐘就會發生一次網絡安全事件，網絡安全正在面臨前所未有的挑戰。當前，很多小型企業都在加強自身網絡建設，以適應信息化的要求，然而由于各種因素影響，外加網絡自身的開放性，使得該類企業更容易受到網絡威脅，造成各方面受損，因此需要企業明晰網絡現狀和安全常見漏洞，掌握防范措施，及時有效地規避可能受到的網絡威脅，確保企業穩定正常運行。

1 當前小型企業網絡安全建設的現狀

1.1 網絡防范裝備建設投入力度不大

當前，各小型企業只能根據自身的情況和管理層的重視程度，建設自身網絡的安全防護體系，建設水平參差不齊，沒有統一的規范和標準。由于網絡安全看不見摸不著，平時也不容易發生網絡安全事件，很多小型企業因為投資成本，不愿過多投入，導致網絡安全防護手段匱乏。

1.2 網絡防御技術和能力上存在差距

當前，企業采購的計算機、路由器等裝備，其CPU、操作系統等核心部件大多使用國外產品，均處于被動受控的情況下，存在漏洞，同時由于考慮人力資本因素，很多小型企業網絡配置要么外包進行建設維護，要么公司員工兼職，網絡技術水平有限，防范意識不足，不明人員利用網絡系統漏洞或薄弱環節，用盡手段破解網絡系統的“安全閥門”，通過特殊指令或者專用軟件進入企業網絡系統，侵入計算機終端，竊取、修改破壞信息，使得企業造成重大損失，有的甚至不可挽回。

1.3 網絡安全防范意識淡薄

當前，很多企業使用了防火墻、探針等網絡安全措施，有的企業使用物理隔離，使得負責人員產生了麻痹心理，認為內網安全；有的員工認為網絡安全比較遙遠，不會輕易發生；有的員工沒有一點安全防范意識和技術，隨意下載各類軟件，形成網絡漏洞；有的公司有規定，但隨意變更，涉密電腦與連接互聯網電腦交叉使用，感染病毒和木馬，加之防范經驗的不足，給了不明人員有了可乘之機，使得企業網絡安全時時面臨嚴峻挑戰和各類風險。

2 小型企業網絡安全建設應遵循的原則

網絡安全建設是一項系統性的工作，必須整合融入，應遵循以下原則：

2.1 軟硬一體、整體推動

要堅持硬件建設與安全管理相提并重，要從人員 、技術、制度 、管理等多種方面，綜合運用各種手段，盡可能構建功能互補的縱深安全體系，使網絡安全體系成為整體。

2.2 區分功能、分域保護

要按照計算機承擔的功能和技術資料的密級，進行區域劃分，劃分核心、重要、一般三個功能區域，每個功能區域配備不同的網絡安全硬件措施，科學制定各區域安全防御策略和訪問控制方法，整體提高企業安全保障的有效性。

2.3 協調發展、易于延伸

要把網絡安全建設與企業各系統同步建設，網絡安全措施要跟上企業設備的配備，不能出現滯后現象，避免造成不必要的漏洞。要盡量采用良好的可擴展性，盡量減少資源的浪費，保證安全體系措施有效持續。

3 加強小型企業網絡安全體系建設幾點意見

3.1 完善網絡基礎設施

網絡基礎設施安全包括物理和環境安全、網絡與通信安全，應用與數據安全，其中物理環境安全重點加強各網絡設備物理環境的安全、計算機硬件設備的安全和傳輸介質安全等，要盡可能采取國產化設備，時時在線升級系統。網絡與通信安全如路由器、交換機、防火墻等，盡可能進行加密處理或加裝網絡安全設備，網絡傳輸協議盡可能采取SSH 協議、SSL 協議等安全性較高的協議規范進行處理。應用與數據安全要采用網絡準入控制技術，要將未使用端口斷開或關閉設備，要進行了IP/MAC 地址綁定等必要措施。

3.2 完善安全管理體系

要立足企業實際，健全管理體系，包括安全管理機構與人員、安全策略和管理制度、安全運維管理等。如建立網絡安全小組，設置信息安全管理崗位，選定專業人士擔任；定期進行安全檢查，開展網絡安全意識培訓；制定信息安全管理制度，教育人員嚴格遵守各項規定，確保制度到位、有章可依等。

3.3 完善安全技術體系

要建立立體性安全防護體系，在關鍵網絡節點部署安全檢測設備，部署網絡攻擊行為分析設備，及時掌握網絡攻擊行為規律，及時對攻擊源、類型、目的、時間進行記錄，提供報警功能；要建立漏洞補丁分發系統和防病毒系統，及時修補各類終端存在的漏洞，查殺木馬和病毒；要建立信息流基線，采取抓包等手段實施監控信息流線；要加強惡意代碼、垃圾郵件防范，部署惡意代碼與垃圾郵件防護機制，及時檢測并清除。

4 小結

小型企業技術資本薄弱，更容易受到攻擊，構建網絡安全體系十分重要。本文分析了當前小型企業網絡安全基本現狀，提出了開展網絡安全基本原則和措施，為小型企業開展網絡安全工作提供參考。