肖斌

[摘 要]在當前的信息安全形勢下，企業(yè)要以安全策略為核心，堅持技術(shù)和管理相結(jié)合，建立覆蓋網(wǎng)絡(luò)管理、設(shè)備管理、系統(tǒng)管理、人員及權(quán)限管理、安全基線管理等多個方面的制度體系，采取防火墻、入侵防護、安全審計、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全技術(shù)防護措施，并堅持定期對信息系統(tǒng)運行情況進行評估分析。此外，通過安全模擬演練、應(yīng)急事件實戰(zhàn)演練、網(wǎng)絡(luò)區(qū)域劃分、安全審計及CA統(tǒng)一身份認證、安全運維監(jiān)控等技術(shù)手段的實施與改進，進一步了增強網(wǎng)絡(luò)及網(wǎng)絡(luò)安全防護能力。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 管理流程 安全體系框架 安全防護策略

中圖分類號：TP 文獻標識碼：A 文章編號：1009-914X（2017）01-0394-01

企業(yè)在網(wǎng)絡(luò)安全方面的整體需求涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運行和信息內(nèi)容安全、運行維護的多個方面，包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、網(wǎng)站安全、應(yīng)急管理、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容，這些方方面面的安全需求，也就要求企業(yè)要有一流的安全隊伍、合理的安全體系框架以及切實可行的安全防護策略。

一、強化安全隊伍建設(shè)和管理要求

企業(yè)要做好、做優(yōu)網(wǎng)絡(luò)安全工作，首先要面臨的就是組織機構(gòu)和人才隊伍建設(shè)問題，因此，專門的網(wǎng)絡(luò)安全組織機構(gòu)對每個企業(yè)來講都是必不可少的。在此基礎(chǔ)上，企業(yè)要結(jié)合每季度或者每月的網(wǎng)絡(luò)安全演練、安全檢查等工作成果和反饋意見，持續(xù)加強網(wǎng)絡(luò)安全管理隊伍建設(shè)，細化安全管理員和系統(tǒng)管理員的安全責(zé)任，進一步明確具體的分工安排及責(zé)任人，形成清晰的權(quán)責(zé)體系。同時，在企業(yè)網(wǎng)絡(luò)自查工作部署上，也要形成正式的檢查結(jié)果反饋意見，并在網(wǎng)絡(luò)安全工作會議上明確檢查的形式、流程及相關(guān)的文件和工作記錄安排，做到分工明確、責(zé)任到人，做到規(guī)范化、流程化、痕跡化管理，形成規(guī)范的檢查過程和完整的工作記錄，從而完成管理流程和要求的塑造，為企業(yè)后續(xù)的網(wǎng)絡(luò)安全工作提供強勁、持久的源動力和執(zhí)行力。

二、搭建科學(xué)合理的安全體系框架

一般來講，我國有不少企業(yè)的網(wǎng)絡(luò)安全架構(gòu)是以策略為核心，以管理體系、技術(shù)體系和運維體系共同支撐的一個框架，其較為明顯的特點是：上下貫通、前后協(xié)同、分級分域、動態(tài)管理、積極預(yù)防。

上下貫通，就是要求企業(yè)整個網(wǎng)絡(luò)安全工作的引領(lǐng)與落實貫通一致，即企業(yè)整體的網(wǎng)絡(luò)安全方針和策略要在實際的工作中得到貫徹實施；前后協(xié)同，就是要求企業(yè)得網(wǎng)絡(luò)安全組織機構(gòu)和人員，要積極總結(jié)實際的工作經(jīng)驗和成果，結(jié)合企業(yè)當前的網(wǎng)絡(luò)安全態(tài)勢，最新的國際、國內(nèi)安全形勢變化，每年對企業(yè)的網(wǎng)絡(luò)安全方針和策略進行不斷的修正，達到前后協(xié)同的效果。分級分域，就是要求企業(yè)要結(jié)合自身的網(wǎng)絡(luò)拓撲架構(gòu)、各個業(yè)務(wù)系統(tǒng)及辦公系統(tǒng)的安全需求、企業(yè)存儲及使用的相關(guān)數(shù)據(jù)重要程度、各個系統(tǒng)及服務(wù)的使用人員等情況，明確劃分每個員工的系統(tǒng)權(quán)限、網(wǎng)絡(luò)權(quán)限，對使用人員進行分級管理，并對相關(guān)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器等進行分區(qū)域管理，針對不同區(qū)域的設(shè)備設(shè)定不同的安全級別。

動態(tài)管理，就是要求企業(yè)的整體安全策略和方針、每個階段的安全計劃和工作內(nèi)容，都要緊密跟蹤自身的信息化發(fā)展變化情況，并要在國內(nèi)突發(fā)或重大安全事件的引導(dǎo)下，適時調(diào)整、完善和創(chuàng)新安全管理模式和要求，持續(xù)提升、改進和強化技術(shù)防護手段，保證網(wǎng)絡(luò)安全水平與企業(yè)的信息化發(fā)展水平相適應(yīng)，與國內(nèi)的信息安全形勢相契合；積極預(yù)防就是要求企業(yè)在業(yè)務(wù)系統(tǒng)的開發(fā)全過程，包括可研分析、經(jīng)濟效益分析、安全分析、系統(tǒng)規(guī)劃設(shè)計、開工實施、上線運行、維護保障等多個環(huán)節(jié)上要抱有主動的態(tài)度，采取積極的防護措施，不要等到問題發(fā)生了再去想對策、想辦法，要盡可能的提前評估潛在的安全隱患，并著手落實各種預(yù)防性措施，并運用多種監(jiān)控工具和手段，定期感知企業(yè)的網(wǎng)絡(luò)安全狀態(tài)，提升網(wǎng)絡(luò)安全事故的預(yù)警能力和應(yīng)急處置能力。

三、落實切實可行的安全防護策略

在安全策略方面，企業(yè)的安全防護策略制定思路可以概括為：依據(jù)國家網(wǎng)絡(luò)安全戰(zhàn)略的方針政策、法律法規(guī)、制度，按照相關(guān)行業(yè)標準規(guī)范要求，結(jié)合自身的安全環(huán)境和信息化發(fā)展戰(zhàn)略，契合最新的安全形勢和安全事件，從總體方針和分項策略兩個方面進行制定并完善網(wǎng)絡(luò)安全策略體系，并在后續(xù)的工作中，以總方針為指導(dǎo)，逐步建立覆蓋網(wǎng)絡(luò)安全各個環(huán)節(jié)的網(wǎng)絡(luò)安全分項策略，作為各項網(wǎng)絡(luò)安全工作的開展、建立目標和原則。

在網(wǎng)絡(luò)安全管理體系方面，企業(yè)要將上述安全策略、方針所涉及的相關(guān)細化目標、步驟、環(huán)節(jié)形成具體可行的企業(yè)管理制度，以制度的形勢固化下來，并強化對相關(guān)企業(yè)領(lǐng)導(dǎo)、安全機構(gòu)管理人員、業(yè)務(wù)辦公人員的安全形勢和常識培訓(xùn)，提高企業(yè)從上至下的安全防護能力和安全水平；在運維管理體系建設(shè)方面，企業(yè)要對每個運維操作進行實時化監(jiān)控，在不借助第三方監(jiān)控工具如堡壘機的條件下，要由專人進行監(jiān)管，以防止運維操作帶來的安全隱患，同時，企業(yè)也要階段性的對各個網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、安全設(shè)備等進行安全評估，分析存在的安全漏洞或隱患，制定合理的解決措施，從而形成日常安全運維、定期安全評估、季度安全分析等流程化管理要求和思路。

在技術(shù)防護體系建設(shè)方面，企業(yè)可以參照PPDRR模型，通過“策略、防護、檢測、響應(yīng)、恢復(fù)”這五個環(huán)節(jié)，不斷進行技術(shù)策略及體系的修正，從而搭建一套縱向關(guān)聯(lián)、橫向支撐的架構(gòu)體系，完成對主機安全、終端安全、應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全等各個層面的覆蓋，實現(xiàn)技術(shù)體系的完整性和完備性。企業(yè)常用的技術(shù)防護體系建設(shè)可以從以下幾個方面考慮：

（1）區(qū)域邊界防護策略：企業(yè)可以考慮在各個區(qū)域的邊界、互聯(lián)網(wǎng)或者局域網(wǎng)出口部署下一代防火墻、入侵檢測與防御設(shè)備（如果條件合適，可以考慮選擇入侵防御設(shè)備）、上網(wǎng)行為管理、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全新技術(shù)和新設(shè)備，從而對互聯(lián)網(wǎng)出口或者重要區(qū)域邊界進行全面的防護，提高內(nèi)網(wǎng)出入接口的安全保障水平。此外，針對有企業(yè)生產(chǎn)網(wǎng)的情況，要對生產(chǎn)網(wǎng)與內(nèi)網(wǎng)進行物理隔離，并對接入生產(chǎn)網(wǎng)的各種終端設(shè)備進行防病毒查收、報備，防止影響生產(chǎn)安全的各種事件發(fā)生，保障企業(yè)的財產(chǎn)安全。

（2）身份認證和安全保密策略：在企業(yè)員工進行網(wǎng)絡(luò)應(yīng)用、業(yè)務(wù)應(yīng)用過程中，尤其是終端上網(wǎng)、財務(wù)核算付款等應(yīng)用過程，必須要建立嚴格的身份認證和安全保密策略，包括：建立統(tǒng)一的數(shù)字證書認證體系、保密U盤、密碼器等配套設(shè)備，并針對終端上網(wǎng)采用DHCP服務(wù)器或者部署相關(guān)的終端管理軟件，MAC及IP綁定軟件等，以控制員工的網(wǎng)絡(luò)訪問，并利用上網(wǎng)行為管理進行審計。在業(yè)務(wù)應(yīng)用許可上，如果條件允許，可以考慮在數(shù)字證書的兼容下，建設(shè)統(tǒng)一的單點登錄系統(tǒng)，完成對員工各個系統(tǒng)用戶名、密碼的統(tǒng)一管理和數(shù)字證書認證，實現(xiàn)統(tǒng)一管理、統(tǒng)一審核、統(tǒng)一審計。此外，在數(shù)據(jù)及信息安全保密上，要對重要的員工數(shù)據(jù)、財務(wù)數(shù)據(jù)等進行加密存儲、單獨存儲，對相關(guān)的數(shù)據(jù)庫和數(shù)據(jù)表進行加密，并嚴格審計訪問和使用相關(guān)數(shù)據(jù)的行為，同時，也要在數(shù)據(jù)傳輸過程中采取MD5等加密手段，防止利用wireshark等截獲明文數(shù)據(jù)。

（3）安全運行和運維策略：在日常運行過程中，企業(yè)要建立定期檢查、評估、分析的安全機制，對網(wǎng)絡(luò)安全的整體狀態(tài)要有針對性的掌控，并適時結(jié)合云安全、大數(shù)據(jù)等新技術(shù)和工具，建立云預(yù)警平臺，并結(jié)合日志服務(wù)器、監(jiān)控預(yù)警服務(wù)器等定期對網(wǎng)絡(luò)行為進行審計，實現(xiàn)預(yù)警、審計、響應(yīng)、修復(fù)的全過程聯(lián)動。同時，針對重要數(shù)據(jù)和服務(wù)要建立相應(yīng)的容災(zāi)備份機制，對數(shù)據(jù)進行異地存儲，對應(yīng)用進行雙機互備，從而進一步強化系統(tǒng)應(yīng)用和數(shù)據(jù)的安全防護水平。此外，在當前云服務(wù)租賃等越來越盛行的情況下，企業(yè)應(yīng)該與服務(wù)供應(yīng)商簽署嚴格的安全保密協(xié)議，明確雙方的責(zé)任和義務(wù)，并對相關(guān)的服務(wù)外包過程、日常運維過程等進行監(jiān)管，提高系統(tǒng)應(yīng)用的安全水平。