企業信息網絡安全管理的建設與運維研究

摘? 要：現代信息技術的發展與大數據的廣泛應用，推動了各行業走向信息化可持續發展道路。而在信息化的過程中，最不可忽視的便是網絡安全，如何構建一套完善的網絡安全管理體系至關重要。文章從網絡安全管理的角度入手，對企業網絡安全管理體系建設進行了研究，結合企業現階段的網絡安全管理進行探索和思考，對企業在信息網絡安全方面的建設與運維進行探討。

關鍵詞：網絡安全;網絡環境;管理體系

中圖分類號：TP393? ? ? ? ? ? 文獻標識碼：A文章編號：2096-4706（2022）06-0133-04

Research on the Construction and Operation and Maintenance of Enterprise Information Network Security Management

GUO Xiaoyu

（SDIC Guangxi Wind Power Co.， Ltd.， Qinzhou? 535000， China）

Abstract： The development of modern information technology and the wide application of big data have promoted various industries to the road of information sustainable development. In the process of informatization， the most could not be ignored is network security. How to build a perfect network security management system is very important. Starting from the perspective of network security management， this paper studies the construction of enterprise network security management system， explores and considers the network security management of enterprises on the current stage， and discusses the construction， operation and maintenance of enterprise information network security aspect.

Keywords： network security; network environment; management system

0? 引? 言

近年來隨著互聯網經濟的不斷發展，網絡安全提高到越來越重要的位置。國家相繼出臺了《網絡安全法》《國家安全法》等法律法規，將網絡安全提升到了一個新的高度。與此同時，網絡安全風險卻充斥著我們日常工作和生活中，特別是在企業管理中，網絡安全變得愈發的重要。

企業信息網絡的安全性將直接影響到自身經營活動的開展。因此，建設一套完善的企業網絡安全管理體系變得尤為重要，能大大加強企業的抗風險能力，助推企業快速穩定發展。企業網絡安全管理體系包括初期建設、中期調試、后期使用、日常運維和應急管理等方面，每個方面都銜接在一起組成一個整體。完備的企業網絡安全管理體系建設將有助于防范和抵御網絡安全風險，形成網絡安全保護屏障。

目前，大多數企業的網絡安全管理主要還是依靠網絡安全設備開展活動，而設備只是輔助網絡安全體系建設的一個工具，要形成完備的網絡安全防護體系。還需要制度和人員等措施進行綜合管控，不斷強化企業網絡安全制度和人員的管理。

在目前互聯網網絡安全形勢較為嚴峻的環境下，不完善的網絡安全管理體系將威脅著企業的發展。本文將從網絡安全的角度，針對企業信息網絡安全管理體系的建設與運維進行論述。

1? 企業網絡安全管理體系構建

網絡安全管理體系的建設是企業網絡安全工作的基礎，貫穿到網絡安全管理工作的方方面面，如圖1所示。在體系建設的過程中，需要充分考慮系統初期建設、軟硬件調試、人員培訓、安全風險方案等多個因素。體系的建設需要遵循安全、可靠、穩定的原則，通過測試信息系統及其網絡環境來評估安全風險，進而發現安全需求，來指導網絡安全體系的建設，最終保障信息系統的安全穩定運行。

一套完備的網絡安全管理體系的構建主要包括以下幾個方面：制定網絡安全目標、建立組織機構、實施風險評估、制定安全策略、教育培訓、網絡安全事件管理與持續改進。

具體來說，一是要制定網絡安全目標和尋找實現目標的途徑，如根據企業自身業務的實際情況，確定哪些信息系統是需要特殊的安全保障，參照信息系統等級保護測評相關的管理辦法，對不同的信息系統進行分類分級，并確定哪些信息系統會影響到企業的關鍵業務，進而研究和尋找這些目標的途徑。二是建立組織機構，即建立網絡安全組織機構，設置崗位、配置人員并分配職責，遵循網絡安全“三權分立”的原則，在信息系統管理內配置好系統管理員、安全管理員、審計員;三是實施風險評估，即開展信息網絡安全風險評估和管理，組織有資質的外部網絡安全測評機構對信息系統開展安全風險評估，查找網絡安全風險問題和隱患;

進一步來說，四是制定安全策略，即根據信息系統的重要性和安全保障程度來制定相對應的網絡安全策略，如關閉不必要的端口、限制相應IP地址登錄等措施。并針對開展安全評估內容，對發現的問題進行整改和完善;五是教育培訓，即網絡信息安全的教育與培訓，通過教育培訓來提升網絡安全管理人員的網絡安全技能。同時，也要對企業的員工開展網絡安全風險的教育和培訓，宣貫常見的網絡安全風險及其應對方法，提升員工的網絡安全意識。六是網絡安全事件管理，即做好網絡安全事件的應急管理，形成相應的應急處置流程和預案。在遇到突發的網絡安全事件時能夠從應急預案中獲取解決辦法;七是持續改進，即網絡安全的持續改進，通過對體系構建過程中產生的問題進行分析和研判，不斷改進體系的方法來提升整體的安全性與合理化程度。78B3293E-D178-40C9-B86C-84410D402017

總的來說，要從網絡安全管理工作過程中提煉出一套適用于現代企業的網絡安全管理方法，并不斷改進和完善，使之達到符合相應的要求和規范。

2? 企業網絡安全管理

面對當前日益復雜的網絡安全形勢，企業對網絡安全的重視程度也在不斷提高。國家層面的網絡安全建設已在密集部署，各個地方也在積極推進重要領域網絡安全防護建設工作。企業整體的網絡安全建設需遵循“安全管理、防護技術、應急備用”的三維立體網絡安全防護監控體系，如圖2所示，三個維度相互支撐、相互融合、動態關聯，并不斷發展凈化。

2.1? 文檔管理

在網絡安全管理體系構建的過程中，相關文檔的形成是非常有必要的。文檔的類型主要包括手冊、規范、指南和記錄。手冊是指向企業組織內部和外部提供關于網絡安全管理體系的一致信息的文件，規范是指闡明企業網絡安全管理要求的文件和說明，指南是指闡明推薦方法與建議的文件，記錄是指為完成網絡安全保障活動或達到的網絡安全保障結果提供客觀證據的文件或證明。

參照“金字塔”層級來說，包含四個級別的文件。一級文件是指國家網絡安全的相關方針和政策;二級文件是指行業或企業的制度、流程以及規范;三級文件是指適用于企業基層的使用手冊、操作指南和作業指導書;四級文件是指在日常網絡安全管理工作中形成的日志、記錄、檢查表、模板和表單等。

2.2? 人員管理

在企業的網絡安全管理中，人員管理是較為重要的一環，如圖3所示。網絡安全設備再好，也需要人去管理和維護。對于網絡安全人才的管理，要牢牢抓住其本質，即為對抗。對于網絡安全人員來說，在工作中要從攻擊者的視角來分析問題，再以防御者的視角來解決問題。隨著時代的快速發展，網絡安全知識和管理內容迭代速度過快，需要不斷開展能力培訓和提升。

強化崗位輪換機制，根據企業的實際工作需要，在網絡、主機、應用和系統終端等網絡安全崗位進行輪換。首先要接觸網絡安全運維，從日常的運維管理工作中積累經驗，再逐步開展網絡安全研究、項目建設等工作，提升人員的網絡安全能力和人員獲得感。定期開展企業網絡安全人才盤點，充分做好團隊的知識管理，強化其憂患意識，不斷開展網絡安全事件推演，對關鍵的網絡安全人員進行知識固化。培養網絡安全復合型人才，即既要懂技術又要懂管理。

此外，還需注重信息系統外包人員的管理。在某些企業的信息系統管理中，因外部運維人員操作失誤導致的網絡安全風險不在少數。部分外包人員存在網絡安全意識淡薄、網絡安全管理技術水平低等問題，可能會造成信息系統維護上存在安全隱患，進而導致企業整體的網絡安全管理受到威脅。

2.3? 設備管理

網絡安全設備的管理是企業網絡安全管理的載體，主要通過采取適當的技術措施對網絡環境和信息資產中的各類服務和信息進行相應的監督、管理和控制，以此來保障企業網絡運行的安全穩定。網絡安全設備的選型需要結合企業自身的實際需要來確定，與此同時構建網絡安全管理體系需要一套完備的網絡安全設備來支撐。

常用的網絡安全設備，如防火墻、入侵檢測系統和VPN系統等都是常用的網絡安全設備。需要結合企業生產業務和人員的數量來確定設備的選型，

2.4? 防護策略管理

網絡安全設備的策略管理是企業網絡安全管理的紐帶，再好再貴的網絡安全設備都需要周全的防護策略去維護。防護策略需要根據企業的業務需要進行設置，如在辦公網絡環境下需要設置好辦公內網終端的訪問權限，工控生產環境需設置好策略的白名單等。

2.5? 網絡環境管理

日常辦公所處的網絡環境和信息系統所存放的網絡環境基本所屬同一個環境，這是一個非常重要的部分。這里主要指的是狹義的網絡環境，如企業的內網等。在網絡環境的總體設計上，要根據相關法律法規的要求，并結合企業的實際情況，合理劃分網絡安全區域，按照不同區域的不同功能和安全要求，將網絡劃分為不同的安全域，以便實施不同的安全策略。

在具體實施階段，要規劃好網絡環境內的IP地址分布，制定所屬網絡環境IP地址的分配細則，制定網絡設備的路由和交換配置策略。設計好網絡線路和網絡重要設備冗余措施，制定信息系統和網絡安全設備的策略備份，部署網絡冗余路由和交換設備，部署負載均衡的系統和數據備份等。在網絡環境邊界部署相關對應的網絡安全設備，設計和規劃網絡安全設備具體部署位置和控制措施。還要規劃好網絡遠程接入安全，保障遠程用戶安全地接入到企業網絡中。

網絡環境的好與壞直接影響到公司網絡的健康度，必要的網絡安全設備配置以及針對企業不同需求而進行的網絡安全策略配置，都對企業網絡環境起到非常積極的作用。

3? 企業網絡安全應急管理

企業應急響應體系的建設是指在突發重大網絡安全事件后，對包括計算機運行在內的業務運行進行維持或恢復的各種技術和管理策略及規程。網絡安全應急管理是管理體系中一個非常重要的部分，其包括：應急響應需求分析和應急響應策略的確定、應急預案文檔的編制、應急預案的測試、培訓、演練和維護。

根據應急響應的PDCERF方法，應急流程一般分為六個階段：即準備、檢測、遏制、根除、恢復和跟蹤，如圖4所示。

準備階段，以業務為核心，針對各業務系統可能發生的安全事件，為迅速、有效、有序地開展應急行動制定預案，明確了在網絡安全事件發生前、發生過程中以及結束之后，誰負責干什么、何時干以及相應的策略方法和資源準備等;檢測階段，即確定網絡安全事件的性質和處理人。確定網絡安全事件的應急等級，指定事件的責任人，以確定需要啟動哪一級別的應急預案。遏制階段，要及時采取行動，初步分析網絡安全事件的性質，確定適當的封鎖方法，以最快最簡單的方式恢復系統的基本功能，同時還要匯總數據，估算損失和隔離效果。78B3293E-D178-40C9-B86C-84410D402017

在控制事態的發展后。根除階段，針對網絡安全事件進行詳細分析，確定原因分析漏洞，修改安全策略，并加強監測工作，檢查存在的網絡安全問題和隱患。恢復階段，根據需要進行相應的安全加固，審核合格后運行。并持續匯總分析，根據各業務系統的運行情況判斷隔離措施的有效性。跟進階段，對網絡安全事件開展調查評估和責任確定，形成事件備案，健全和完善應急方案的內容。在跟進階段中，最重要的任務便是要記錄下整個應急響應的過程，將其寫進網絡安全事件報告內。報告內容至少包括網絡安全事件的類型、時間、檢測方法、遏制方法、根除方法和事件影響范圍等。如屬于新型網絡安全事件，應納入案例或者經驗庫。

應急管理是管理體系中最后一環，也是網絡信息安全防護的最后一道防線。我們在應急預案的制定過程中，要考慮到網絡安全事件處理流程和應急處理流程，將事件處理流程的環節和應急預案的各個部分有機結合起來。應急響應服務的目的是盡可能低減小和控制住網絡安全事件的損失，提供有效的響應和恢復指導，為企業網絡安全提供最后一道保障。

4? 結? 論

縱觀當今時代的企業網絡安全建設，由于網絡安全地位的不斷提升，需要企業對網絡安全有進一步的認識和提高。目前，大部分企業的網絡信息安全體系建設正處于建立和完善階段。在網絡安全信息基礎設施的安全建設、技術平臺的搭建、信息系統安全建設、組織管理完善與制度標準建設等方面仍然存在不足之處。我們需要不斷提高自身的網絡安全意識，進一步完善企業的網絡安全管理體系。

參考文獻：

[1] 付云霞.建立企業網絡安全管理體系探討 [J].信息系統工程：2013（2）：77-78.

[2] 石松柏.企業網絡安全建設工作的探討 [J].數字技術與應用：2021，39（4），186-188.

[3] 呂毅.談銀行業網絡安全人才觀 [J].中國信息安全，2018（12），60-61.

[4] 鐘劍.企業網絡安全建設中的關鍵因素研究 [J].網絡空間安全，2019，10（4），23-30.

[5] 曹雅斌.網絡信息安全專業人員培訓認證探討與實踐 [J].信息安全研究，2018，4（12），1124-1126.

[6] 戴延軍.企業信息安全管理及風險防范策略分析 [J].現代信息科技，2020，4（12）：142-144.

作者簡介：郭曉宇（1993—），男，漢族，廣西合浦人，助理工程師，本科，研究方向：企業網絡安全與信息化運維管理。

收稿日期：2022-02-1078B3293E-D178-40C9-B86C-84410D402017