◆湯 華

（合肥第二發(fā)電廠 安徽 230041）

淺談企業(yè)信息網(wǎng)絡(luò)的安全防護(hù)體系

◆湯 華

（合肥第二發(fā)電廠 安徽 230041）

互聯(lián)網(wǎng)技術(shù)的發(fā)展帶來(lái)了辦公形式的改變，辦公自動(dòng)化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、移動(dòng)辦公等新型辦公形式逐漸流行，企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)逐漸發(fā)展。眾所周知，信息網(wǎng)絡(luò)中存在一定的風(fēng)險(xiǎn)，企業(yè)網(wǎng)絡(luò)容易受到攻擊進(jìn)而造成信息泄露，給企業(yè)帶來(lái)不必要的損失。企業(yè)應(yīng)加大網(wǎng)絡(luò)建設(shè)投入，不斷更新網(wǎng)絡(luò)安全技術(shù)，維護(hù)網(wǎng)絡(luò)安全。本文主要探討了企業(yè)網(wǎng)絡(luò)中存在的安全隱患，并指出了建設(shè)企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的措施。

網(wǎng)絡(luò)安全；信息泄露；安全防護(hù)體系；企業(yè)網(wǎng)絡(luò)

0 引言

互聯(lián)網(wǎng)的發(fā)展改變了人們的生活與工作方式，實(shí)現(xiàn)了信息交流的便捷性。然而，互聯(lián)網(wǎng)中也存在一定的安全隱患，病毒、木馬、蠕蟲(chóng)的出現(xiàn)極大地?fù)p害了人們利益，影響了正常的網(wǎng)絡(luò)環(huán)境。對(duì)于企業(yè)來(lái)講，實(shí)現(xiàn)辦公信息化必須要建設(shè)網(wǎng)絡(luò)安全防護(hù)體系，企業(yè)管理人員應(yīng)分析內(nèi)部網(wǎng)絡(luò)特點(diǎn)，加大網(wǎng)絡(luò)設(shè)備投入，利用新型計(jì)算機(jī)技術(shù)來(lái)確保企業(yè)網(wǎng)絡(luò)的穩(wěn)定性，從而提升企業(yè)競(jìng)爭(zhēng)力。

1 企業(yè)網(wǎng)絡(luò)中存在的安全隱患

1.1 網(wǎng)絡(luò)建設(shè)規(guī)劃不合理

很多企業(yè)都缺乏合適的網(wǎng)絡(luò)建設(shè)方案，這一現(xiàn)象較為普遍。因?yàn)槠髽I(yè)在剛剛成立時(shí)，往往會(huì)忽視網(wǎng)絡(luò)建設(shè)，隨著企業(yè)業(yè)務(wù)的擴(kuò)展以及規(guī)模的加大，對(duì)網(wǎng)絡(luò)的依賴性逐漸提高，工作人員需要使用計(jì)算機(jī)進(jìn)行相關(guān)文件的處理，然而由于建設(shè)規(guī)劃的缺失導(dǎo)致網(wǎng)絡(luò)安全事故頻發(fā)，影響正常工作的進(jìn)行。企業(yè)內(nèi)部網(wǎng)絡(luò)寬帶缺乏足夠的承載力，這一現(xiàn)象在很多企業(yè)中都存在，降低了工作效率，影響了企業(yè)競(jìng)爭(zhēng)力的提高。

1.2 缺乏完善的防御體系

在互聯(lián)網(wǎng)進(jìn)步的同時(shí)，網(wǎng)絡(luò)攻擊形式也在逐漸變化，破壞性增強(qiáng)，傳染性加快，并且病毒種類多樣化，難以提前防范，對(duì)企業(yè)網(wǎng)絡(luò)的威脅較大。然而，很多企業(yè)忽視防御體系的構(gòu)建，缺乏入侵審計(jì)，監(jiān)控工作效率低下，缺乏統(tǒng)一的安全防護(hù)標(biāo)準(zhǔn)，對(duì)安全策略制定的重視不足，因此難以抵擋網(wǎng)絡(luò)攻擊。

1.3 缺乏明確的物理層邊界

隨著企業(yè)規(guī)模的逐漸加大，分支機(jī)構(gòu)逐漸增多。為了確保企業(yè)整體發(fā)展，分支機(jī)構(gòu)與總公司間存在一定的網(wǎng)絡(luò)聯(lián)系。然而，總部網(wǎng)絡(luò)與分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)之間缺乏明確的物理層邊界。移動(dòng)辦公的應(yīng)用雖然極大地實(shí)現(xiàn)了企業(yè)內(nèi)部信息共享，但同時(shí)也帶來(lái)新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.4 缺乏先進(jìn)的網(wǎng)絡(luò)設(shè)備

隨著計(jì)算機(jī)技術(shù)的進(jìn)步以及網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)產(chǎn)品的更新?lián)Q代逐漸加快。一些企業(yè)原本重金購(gòu)進(jìn)的先進(jìn)設(shè)備經(jīng)過(guò)長(zhǎng)時(shí)間的使用后便會(huì)成為相對(duì)落后的設(shè)備，因此企業(yè)網(wǎng)絡(luò)設(shè)備的更新難以適應(yīng)社會(huì)的發(fā)展。部分企業(yè)缺乏充足的資金來(lái)及時(shí)更新設(shè)備，只能利用原有的設(shè)備處理企業(yè)事務(wù)，大大降低了工作效率。并且一些企業(yè)忽視網(wǎng)絡(luò)設(shè)備的檢查維護(hù)，導(dǎo)致現(xiàn)有的網(wǎng)絡(luò)設(shè)備中存在一定的故障和漏洞，影響正常辦公，嚴(yán)重時(shí)甚至?xí)绊懙骄W(wǎng)絡(luò)安全。

1.5 管理工作困難

企業(yè)員工都需要使用企業(yè)網(wǎng)絡(luò)進(jìn)行辦公，因此網(wǎng)絡(luò)出口較多，增大了網(wǎng)絡(luò)管理工作的難度。員工的流動(dòng)性大，網(wǎng)絡(luò)業(yè)務(wù)的逐漸擴(kuò)展，辦公人員沒(méi)有良好的上網(wǎng)習(xí)慣，缺乏安全意識(shí)，在下載文件時(shí)隨意性較大，以上事實(shí)都會(huì)造成企業(yè)內(nèi)部信息泄露或感染病毒，影響網(wǎng)絡(luò)安全。

2 企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建

2.1 建設(shè)目標(biāo)

企業(yè)網(wǎng)絡(luò)安全管理人員要在掌握企業(yè)網(wǎng)絡(luò)性質(zhì)、使用人員、安全防護(hù)目標(biāo)的前提下劃分邏輯子網(wǎng)，邏輯子網(wǎng)不同，安全防護(hù)體系也應(yīng)有所差別。并且要做好網(wǎng)絡(luò)邊界以及安全訪問(wèn)的監(jiān)管力度，實(shí)現(xiàn)區(qū)域間的信息交流，建設(shè)安全防護(hù)體系，確保企業(yè)網(wǎng)絡(luò)安全穩(wěn)定：（1）分析整體的網(wǎng)絡(luò)安全事件，并將復(fù)雜的工作進(jìn)行合理劃分，使其轉(zhuǎn)化成局部的、簡(jiǎn)單的網(wǎng)絡(luò)安全防護(hù)問(wèn)題，從而加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的控制，提升網(wǎng)絡(luò)的正常運(yùn)行能力；（2）劃分安全域，改善網(wǎng)絡(luò)架構(gòu)，對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行合理的規(guī)劃與設(shè)計(jì)；（3）了解不同區(qū)域網(wǎng)絡(luò)維護(hù)的重難點(diǎn)，確?，F(xiàn)有安全設(shè)備的正常運(yùn)行，確保這些設(shè)備的使用率；（4）加大網(wǎng)絡(luò)維護(hù)力度，安排專業(yè)人員負(fù)責(zé)每日監(jiān)察，合理投放審計(jì)設(shè)備，定期進(jìn)行網(wǎng)絡(luò)審核以及網(wǎng)絡(luò)檢查，及時(shí)發(fā)現(xiàn)存在的安全隱患，促進(jìn)網(wǎng)絡(luò)安全防護(hù)體系的建立。

2.2 安全域的劃分

現(xiàn)代企業(yè)在劃分安全域時(shí)主要依據(jù)以下三種方式：業(yè)務(wù)系統(tǒng)、安全防護(hù)等級(jí)以及系統(tǒng)行為。另外，應(yīng)該依據(jù)不同層次、不同區(qū)域中企業(yè)網(wǎng)絡(luò)的主要內(nèi)容來(lái)劃分安全域，主要應(yīng)該參考其網(wǎng)絡(luò)管理形式和業(yè)務(wù)內(nèi)容，從而保證企業(yè)生產(chǎn)的正常進(jìn)行，實(shí)現(xiàn)安全域的合理劃分。為了達(dá)到以上要求，在劃分安全域時(shí)應(yīng)利用多種劃分形式，綜合考慮每種劃分方式的優(yōu)缺點(diǎn)，實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)。并參考企業(yè)網(wǎng)絡(luò)業(yè)務(wù)規(guī)模以及管理目標(biāo)，提高安全域劃分的合理性。

（1）在結(jié)合業(yè)務(wù)要求的基礎(chǔ)上劃分企業(yè)網(wǎng)絡(luò)，將其劃分成內(nèi)網(wǎng)和外網(wǎng)兩部分。外網(wǎng)主要是互聯(lián)網(wǎng)出口，并將外網(wǎng)與內(nèi)網(wǎng)服務(wù)進(jìn)行隔離，從而減少安全威脅，避免因員工操作不規(guī)范而引起安全事故，提升內(nèi)網(wǎng)的安全性。

（2）結(jié)合不同業(yè)務(wù)要求對(duì)內(nèi)網(wǎng)和外網(wǎng)的安全區(qū)域進(jìn)行劃分。內(nèi)網(wǎng)應(yīng)該劃分為生產(chǎn)管理網(wǎng)和辦公信息網(wǎng)兩部分，并且可以根據(jù)信息保密要求進(jìn)一步劃分為辦公網(wǎng)、管理網(wǎng)、財(cái)務(wù)網(wǎng)等；外網(wǎng)應(yīng)該劃分為對(duì)外網(wǎng)站、業(yè)務(wù)接入網(wǎng)等。安全域的合理劃分，有利于闡明網(wǎng)絡(luò)邊界，使監(jiān)管人員了解保護(hù)對(duì)象以及防護(hù)范圍。

（3）結(jié)合系統(tǒng)行為以及防護(hù)能力對(duì)不同子網(wǎng)進(jìn)行安全域的劃分，主要?jiǎng)澐殖蛇吔缃尤胗颉⒎?wù)提供域、基礎(chǔ)保障域三部分。

其中，邊界接入域位于信息系統(tǒng)與其他系統(tǒng)的邊界處；服務(wù)提供域能夠保護(hù)信息系統(tǒng)的安全，其主要功能是防止信息系統(tǒng)中數(shù)據(jù)信息的泄露與篡改，并能夠在等級(jí)保護(hù)方案的引導(dǎo)下實(shí)現(xiàn)分級(jí)保護(hù)；基礎(chǔ)保障域的功能是維護(hù)安全設(shè)備的正常運(yùn)行，保護(hù)網(wǎng)絡(luò)系統(tǒng)監(jiān)管中心的安全，確保系統(tǒng)軟件不受入侵。

2.3 動(dòng)態(tài)防護(hù)系統(tǒng)

計(jì)算機(jī)技術(shù)的進(jìn)步以及網(wǎng)絡(luò)的發(fā)展使企業(yè)網(wǎng)絡(luò)需要處理的網(wǎng)絡(luò)威脅不斷增加。當(dāng)前，網(wǎng)絡(luò)攻擊形式多樣，病毒種類不斷增加，因此建設(shè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)需要考慮到技術(shù)的發(fā)展，并結(jié)合防御技術(shù)、防御措施、企業(yè)員工等多種因素構(gòu)建以入侵檢測(cè)為基礎(chǔ)的動(dòng)態(tài)防護(hù)系統(tǒng)。以入侵檢測(cè)為基礎(chǔ)的動(dòng)態(tài)防護(hù)系統(tǒng)主要包括以下內(nèi)容：安全防護(hù)、入侵檢測(cè)、應(yīng)急處理機(jī)制、風(fēng)險(xiǎn)控制以及備份恢復(fù)，當(dāng)檢測(cè)到企業(yè)網(wǎng)絡(luò)可能受到入侵時(shí)，防護(hù)系統(tǒng)會(huì)立刻啟動(dòng)應(yīng)急處理機(jī)制，若網(wǎng)絡(luò)已經(jīng)受到攻擊，文件受到破壞，利用備份恢復(fù)還原系統(tǒng)文件以及原有的網(wǎng)絡(luò)設(shè)置，使企業(yè)網(wǎng)絡(luò)能夠持續(xù)運(yùn)行。在動(dòng)態(tài)防護(hù)系統(tǒng)中可以將防護(hù)信息通過(guò)反饋機(jī)制傳遞給企業(yè)管理人員，進(jìn)而增強(qiáng)風(fēng)險(xiǎn)控制水準(zhǔn)，提升防御水平。

2.4 安全防護(hù)方法

通常情況下，確保企業(yè)網(wǎng)絡(luò)正常運(yùn)行的主要防護(hù)方法是設(shè)置防火墻，但是防火墻僅具備有限的防護(hù)功能，無(wú)法對(duì)企業(yè)網(wǎng)絡(luò)中的全部層次進(jìn)行安全防護(hù)。為了提高安全防護(hù)效果，應(yīng)實(shí)行分層縱深的防護(hù)方法，擴(kuò)大安全防護(hù)的范圍，確保安全防護(hù)體系的完整性、綜合性以及高效性。分層縱深意味著不同層次采取不同的防護(hù)方法，例如物理層、網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)層、應(yīng)用層應(yīng)分別運(yùn)用物理安全防護(hù)、網(wǎng)絡(luò)防護(hù)、操作系統(tǒng)防護(hù)、數(shù)據(jù)庫(kù)防護(hù)以及應(yīng)用系統(tǒng)防護(hù)的方法，這樣可以根據(jù)不同層次的網(wǎng)絡(luò)特點(diǎn)進(jìn)行精準(zhǔn)防護(hù)。比如，為了對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制，可以對(duì)網(wǎng)絡(luò)層中訪問(wèn)控制以及資源控制模塊進(jìn)行設(shè)置，并在數(shù)據(jù)層與應(yīng)用層中增添身份信息以及認(rèn)證系統(tǒng)，防止用戶進(jìn)行越權(quán)操作和不規(guī)范操作；為了在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中減少操作失誤和權(quán)利濫用現(xiàn)象，應(yīng)在系統(tǒng)層、數(shù)據(jù)層以及應(yīng)用層增添網(wǎng)絡(luò)行為管理模塊，監(jiān)管內(nèi)部用戶的上網(wǎng)行為，保護(hù)數(shù)據(jù)的非法外泄、保證網(wǎng)絡(luò)服務(wù)器不受破壞，提升系統(tǒng)安全性。

3 結(jié)束語(yǔ)

為了更好地實(shí)現(xiàn)網(wǎng)上辦公，企業(yè)管理人員應(yīng)明確網(wǎng)絡(luò)安全的重要性，加快建設(shè)企業(yè)網(wǎng)絡(luò)安全防護(hù)體系。該體系的建立，需要參考企業(yè)網(wǎng)絡(luò)自身的特點(diǎn)以及實(shí)際運(yùn)行情況，從多方面分析建設(shè)防護(hù)體系的措施，明確企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，運(yùn)用動(dòng)態(tài)防護(hù)系統(tǒng)來(lái)確保企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。

[1]周文.淺談企業(yè)內(nèi)部信息網(wǎng)絡(luò)安全防護(hù)體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014.

[2]賈君君,王文庭, 楊揚(yáng)等.淺談大型企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)[J].中國(guó)管理信息化, 2012.

[3]劉冬梅.淺談大型石油企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)[J].中國(guó)新通信, 2015.