淺談企業計算機網絡安全管理

樊水喬

摘 要：隨著企業中的信息化應用越來越多，企業在其發展的過程中計算機網絡起到了非常重要的作用，但是，企業在實際的計算機網絡應用過程中也出現了一些可能引發網絡安全隱患的問題，使得企業的計算機網絡安全問題層出不窮，加強企業計算機網絡安全管理是保證企業信息化安全的基礎。論文主要論述企業計算機網絡安全處理措施及管理內容，通過對企業計算機網絡安全管理，提升企業信息安全總體水平。

關鍵詞：計算機網絡;網絡安全;信息安全;網絡安全管理

中圖分類號：TP393.08 文獻標識碼：A

0 引言

習近平總書記強調“沒有網絡安全就沒有國家安全”，并成立了中央網絡安全和信息化領導小組，親自擔任組長[1]。按照國家《網絡安全法》和《網絡安全等級保護條例》對網絡運營者履行安全保護義務的總體要求，落實各企業、各層級網絡安全責任。

1 企業的計算機網絡安全的現狀及存在的問題

（1）網絡被攻擊。未對企業暴露在互聯網上的設備、應用、數據庫等進行排查評估，未對廢棄、無主系統關停下線。

（2）網絡防御不牢。存在內網違規外聯，受病毒木馬入侵;存在主機漏洞被利用及重要信息數據泄露等方面的安全隱患，未構建邊界管控和態勢感知能力。

（3）無重點防護對象。未對目標系統和重要系統實現實時監控，未對威脅、攻擊進行統計，發生安全事件不能及時預警等。同時存在系統漏洞補丁未及時補打，系統未及時更新。網絡系統共享性、開放性要求比較高，這就導致不法犯罪分子有機會利用網絡系統性質的漏洞，非法進入系統內部，竊取相關信息與數據，此種漏洞帶來了許多安全隱患[2]。

（4）未實行主動防御。未建設網絡安全聯動共享機制，沒有通過風險監測、威脅識別、安全防護等。

（5）未建立體系化的安全管理措施。沒有結合企業內外部實際情況，完善企業網絡安全評估、安全監測、應急處置等網絡安全管理體系。

2 企業的計算機網絡安全管理措施

2.1 風險清理

2.1.1 敏感信息清理

以互聯網系統為重點，全面核查互聯網系統的相關設備，對各應用系統的技術方案、網絡拓撲圖、系統源代碼、賬號、口令等敏感信息進行全面排查，梳理應用系統傳輸數據使用的訪問源、目的、協議、端口信息，清理服務器、應用系統、數據庫中不使用的賬戶、弱口令。

2.1.2 網絡邊界梳理

對互聯網、廣域專網、數據中心、網絡安全域等網絡邊界進行排查。

2.1.3 廢棄設備清理

對廢棄設備進行下線處理。對暴露在互聯網上的設備、應用、數據庫等網絡資產重點進行排查，關閉不必要的主機和應用。

2.1.4 系統訪問服務摸底清理

以面向互聯網提供服務的應用系統為重點，全面梳理各系統（包含應用系統管理后臺、中間件管理后臺、數據庫）對外開放的端口等訪問服務信息，確保各系統訪問源、目的、協議、端口實現服務最小化精準管控。

2.1.5 特權賬戶摸底清理

全面梳理各應用系統的特權賬戶，特權賬戶的權限責任到人，避免權限擴大、崗位不相容等安全問題，及時清理不必要和無主賬戶，按照密碼復雜度要求統一重置特權賬戶密碼。

2.1.6 全員網絡安全意識教育

在公司全級次范圍下發安全提醒通知，要求員工不隨意打開陌生可疑郵件鏈接及附件，不在郵箱或網盤中明文存儲敏感信息，不向不明身份人員提供系統賬號密碼，不允許無關人員進入辦公場所或重點區域，不允許非工作人員使用計算機類終端設備，工作賬號和生活賬號不使用相同口令，嚴禁使用空口令、弱口令等。

2.2 安全加固

2.2.1 收斂網絡攻擊暴露面

一是加強互聯網出口管理。核查互聯網出口及在互聯網出口的安全防護設備情況，確保全級次企業互聯網邊界安全。二是加強移動辦公管理。嚴格落實VPN、移動應用APP等各類移動辦公系統的安全管控策略，強化安全管控，確保移動辦公入口安全。三是加強網絡基礎設施管理。核查交換機、路由器、防火墻等網絡基礎設施的服務端口，關閉3 389等高危端口和無用端口，切斷交換機、防火墻等基礎設施上的不必要鏈路。四是加強信息系統服務管理。清查各應用系統服務協議和服務端口，嚴格執行最小化訪問控制策略，啟用系統防火墻。五是加強網絡接入管理。梳理防火墻策略，進行基于源、目的、協議、端口的精準管控。

2.2.2 縱深防御

一是加強安全隔離設備管理。核查主干網防火墻配置細粒度訪問控制策略，并確保在線可管理。二是加強分區分域管理。對服務器和信息系統訪問進行基于源、目的、協議、端口的精準管控;除特殊業務需要，禁止445、135-139、22、3 389等高危險端口互通訪問策略。三是嚴控違規訪問。開展違規訪問的全局監測，對于違反隔離策略的訪問行為進行及時斷網處理。

2.2.3 重點防護

一是加強服務器訪問管理。遠程運維管理必須采用安全堡壘機進行運維，針對網絡設備、安全設備、服務器等嚴格限制管理主機IP地址訪問范圍，禁止Telnet，Http等明文鏈接傳輸。二是加強移動端安全管理。全面梳理移動APP（含微信公眾號），落實責任主體，對移動APP 進行安全檢測，發現問題及時整改，責任主體不清和無法完成整改的做下線處理。三是強化特權用戶安全管理。核查網絡設備、安全設備、應用系統、數據庫等特權用戶設置情況，實現特權用戶數量、權限最小化，限制特權用戶的訪問地址，并對操作行為進行審計等。四是加強數據庫權限管理。清理數據庫賬戶，關閉非必須賬戶，嚴格落實強口令設置，對數據訪問實現字段級的授權鑒權控制和全程審計。

2.2.4 主動防御

一是部署終端安全態勢感知系統。在公司對外提供服務的業務系統中部署終端安全態勢感知終端，對于網絡攻擊行為進行及時預警。二是加強安全設備信息集中管理。通過對全流量分析設備、Web防火墻、IDS、IPS、數據庫審計等開展攻擊安全事件實時監測，實現對WEB攻擊、掃描工具、登錄爆破、數據庫敏感操作、常見木馬行為、HTTP Tunnel、WebShell網站后門等風險的有效監測，主動監測發現攻擊行為。

3 保障機制

3.1 落實責任

企業要組織對所負責信息系統（包括工控系統）按照“橫向到邊，縱向到底”的原則落實網絡安全責任，確保每個應用、每個服務、每個IP，無一遺漏，確保網絡安全責任細化落實到信息系統管理、建設、運維、使用的具體部門、崗位和人員。企業還應組織與相關人員簽訂安全責任書。

3.2 人員保障

企業應設置專職信息化管理人員，負責企業的計算機網絡安全工作。對信息化管理人員進行培訓，同時開展應急預案，開展應急處置工作演練。

3.3 經費保障

網絡設備硬件，軟件費用及信息化管理工作有關隱患排查、演習演練、場地設備等必要條件所需費用。

3.4 管理制度

建立健全計算機網絡安全相關管理制度，每年根據管理要求不斷完善管理制度，保障企業內計算機網絡安全管理。

4 結論

通過企業計算機網絡安全存在的問題，建立相關企業計算機網絡安全管理的應對措施，在很大程度上防御來自網絡的信息安全攻擊事件，對提高企業計算機網絡安全管理有更深一層的認識，為企業計算機網絡安全管理提供參考和借鑒。

參考文獻：

[1]張新剛，于波，田燕，等.大數據時代高校網絡空間安全層次化保障體系分析[J].網絡安全技術應用，2017（01）：104-105.

[2]冉興程.提高計算機網絡可靠性的方法研究[J].海峽科技與產業，2017（04）：80-81.