徐 燁

中國(guó)移動(dòng)通信集團(tuán)內(nèi)蒙古有限公司，內(nèi)蒙古 呼和浩特 010011

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，中小企業(yè)對(duì)網(wǎng)絡(luò)的依賴(lài)越來(lái)越強(qiáng)，但由于資金、技術(shù)及管理者對(duì)網(wǎng)絡(luò)信息資產(chǎn)的重視程度等問(wèn)題，導(dǎo)致中小企業(yè)網(wǎng)絡(luò)基本上沒(méi)有采取恰當(dāng)?shù)木W(wǎng)絡(luò)安全保護(hù)措施而處于裸奔狀態(tài)，使得中小企業(yè)更易淪為網(wǎng)絡(luò)攻擊的受害者。因此，如何低成本、高效率地做好網(wǎng)絡(luò)與信息安全加固成為廣大中小企業(yè)面臨的迫切需求。

1 方案介紹

中小企業(yè)的網(wǎng)絡(luò)安全防護(hù)應(yīng)不僅僅是安全產(chǎn)品和技術(shù)方面需要考慮的事情，更應(yīng)是從安全管理、安全技術(shù)和人員培訓(xùn)等多方面綜合構(gòu)建全面的安全防護(hù)體系。

在安全管理方面，企業(yè)內(nèi)部要建立起一套完整的安全策略體系。一是制定相關(guān)的網(wǎng)絡(luò)安全管理辦法和安全維護(hù)的規(guī)范章程；二是制定安全設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等的安全操作手冊(cè)；三是制定相應(yīng)的預(yù)警和應(yīng)急處理流程、計(jì)劃、預(yù)案。

在安全技術(shù)方面，分別從安全網(wǎng)絡(luò)部署、操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備安全、數(shù)據(jù)庫(kù)安全等方面謀劃安全策略。

在人員培訓(xùn)方面，要高度重視，對(duì)員工進(jìn)行密碼、密鑰操作規(guī)范培訓(xùn)，提高員工信息安全素養(yǎng)，使其養(yǎng)成良好的個(gè)人信息管理習(xí)慣，控制好個(gè)人信息的使用范圍[1]。

2 方案內(nèi)容及實(shí)施

2.1 信息安全管理方案

2.1.1 建立信息安全管理體系

對(duì)于中小企業(yè)來(lái)說(shuō)，要想預(yù)防可能出現(xiàn)的安全問(wèn)題，則必須建立起完善、可操作性強(qiáng)的安全管理制度。只有有了制度并正確執(zhí)行制度規(guī)定的措施，才可以降低安全管理出現(xiàn)紕漏的概率，進(jìn)而降低公司的運(yùn)營(yíng)風(fēng)險(xiǎn)。

2.1.2 明確職責(zé)和使用權(quán)限

需要明確網(wǎng)絡(luò)安全管理人員在工作中所承擔(dān)的職責(zé)，在設(shè)備管理上要責(zé)任到人。在系統(tǒng)使用上，明確操作人員的權(quán)限，不可賦予網(wǎng)絡(luò)安全管理人員工作需要以外的額外權(quán)限，合理劃分各部門(mén)安全職責(zé)，確定配置人員角色。

2.1.3 建立考核機(jī)制

根據(jù)信息安全審核制度、信息發(fā)布登記制度等的執(zhí)行情況制定相應(yīng)的獎(jiǎng)懲辦法，激勵(lì)員工提高安全意識(shí)，做好安全操作。

2.1.4 安全應(yīng)急防御

安全應(yīng)急防御包括威脅與風(fēng)險(xiǎn)的應(yīng)對(duì)預(yù)案、應(yīng)急防御機(jī)制、應(yīng)急演練等。

2.2 安全技術(shù)服務(wù)方案

對(duì)掌握大量個(gè)人信息的企業(yè)而言，堵住人為的漏洞需要完善管理制度，而堵住技術(shù)本身的漏洞則最好還是使用技術(shù)。要加強(qiáng)新產(chǎn)品新技術(shù)的應(yīng)用推廣，不斷完善信息系統(tǒng)安全設(shè)備諸如防火墻、入侵檢測(cè)系統(tǒng)、認(rèn)證系統(tǒng)等的性能，強(qiáng)化應(yīng)用數(shù)據(jù)的存取和審計(jì)功能，確保系統(tǒng)中的用戶(hù)個(gè)人信息得到更加穩(wěn)妥的防護(hù)。與此同時(shí)，可以使用技術(shù)加強(qiáng)個(gè)人信息的保護(hù)。比如，加密個(gè)人敏感數(shù)據(jù)，即使這些數(shù)據(jù)不小心被盜，也將是看不懂而無(wú)用的數(shù)據(jù)[2]。

2.2.1 安全網(wǎng)絡(luò)部署

（1）防火墻部署

部署針對(duì)辦公用的計(jì)算機(jī)所有網(wǎng)絡(luò)通信和數(shù)據(jù)包流入流出的防火墻。如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪(fǎng)問(wèn)互聯(lián)網(wǎng)，互聯(lián)網(wǎng)上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。

（2）入侵檢測(cè)（保護(hù)）系統(tǒng)部署

入侵檢測(cè)（保護(hù)）系統(tǒng)分為兩種形式。一種是IDS入侵檢測(cè)系統(tǒng)。實(shí)現(xiàn)原理是被動(dòng)的監(jiān)控網(wǎng)絡(luò)流量，不改變網(wǎng)絡(luò)結(jié)構(gòu)，通常是通過(guò)端口鏡像來(lái)捕獲流經(jīng)（出入）該網(wǎng)絡(luò)的所有數(shù)據(jù)包。依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能地發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果。另一種是 IPS入侵防御系統(tǒng)，主動(dòng)地在線(xiàn)部署，旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)實(shí)時(shí)阻斷各類(lèi)攻擊性的流量，尤其是應(yīng)用層的威脅，而不是簡(jiǎn)單地發(fā)出告警。

（3）集中認(rèn)證、鑒權(quán)、授權(quán)和單點(diǎn)登錄方案

有條件的企業(yè)，可以從系統(tǒng)安全角度出發(fā)，部署堡壘機(jī)，監(jiān)控系統(tǒng)的日常維護(hù)中的運(yùn)維操作，以達(dá)到賬號(hào)單點(diǎn)登錄，操作授權(quán)的目的。

2.2.2 操作系統(tǒng)安全

（1）端口資源

根據(jù)各產(chǎn)品中不同類(lèi)型的設(shè)備對(duì)系統(tǒng)端口占用的要求，整理出所有與應(yīng)用軟件相關(guān)的端口列表清單。在配置網(wǎng)絡(luò)防火墻時(shí)，在網(wǎng)絡(luò)防火墻中進(jìn)行策略過(guò)濾配置，將所有非系統(tǒng)必須的端口全部關(guān)閉，降低設(shè)備受攻擊的風(fēng)險(xiǎn)。

（2）安全漏洞

安全漏洞是系統(tǒng)受攻擊的安全隱患。不定期地掃描安全漏洞，并根據(jù)掃描結(jié)果更新補(bǔ)丁關(guān)乎到操作系統(tǒng)運(yùn)行的穩(wěn)定性。

（3）防病毒系統(tǒng)

防病毒集中監(jiān)控，檢查是否安裝防病毒系統(tǒng)，是否進(jìn)行最新病毒庫(kù)的更新等。

（4）用戶(hù)管理

在設(shè)備管理上要責(zé)任到人，實(shí)行誰(shuí)主管、誰(shuí)負(fù)責(zé)的原則。在系統(tǒng)使用上，必須明確操作人員的權(quán)限，通過(guò)權(quán)限分配策略，對(duì)操作維護(hù)人員的系統(tǒng)維護(hù)權(quán)限進(jìn)行必要的限制。合理劃分各部門(mén)安全職責(zé)，確定配置人員角色通過(guò)對(duì)用戶(hù)名、用戶(hù)密碼等的限制策略，防止非法用戶(hù)登錄。同時(shí)根據(jù)用戶(hù)的工作分工可將同類(lèi)用戶(hù)歸屬到一個(gè)用戶(hù)組，方便管理員對(duì)用戶(hù)進(jìn)行管理；通過(guò)對(duì)用戶(hù)密碼長(zhǎng)度、弱口令檢測(cè)、密碼有效期等規(guī)則的設(shè)置，保證密碼復(fù)雜程度，減少密碼被盜風(fēng)險(xiǎn)等[3]。

（5）日志管理

做好日志管理，系統(tǒng)可以方便地查詢(xún)所有應(yīng)用軟件系統(tǒng)日志、操作日志和安全日志等相關(guān)信息。

2.2.3 網(wǎng)絡(luò)設(shè)備安全

查看防火墻、路由器等網(wǎng)絡(luò)設(shè)備上的策略，檢查是否存在不限制范圍的策略，是否開(kāi)放有不必要的端口或啟用了多余的協(xié)議、對(duì)病毒或攻擊常用端口進(jìn)行過(guò)濾、配置SSH登錄與遠(yuǎn)程登錄限制，是否對(duì)空閑物理端口做了shutdown，是否對(duì)密碼做了加密，是否對(duì)Console口及 TTY口做了密碼限制，路由策略是否沖突、SNMP協(xié)議默認(rèn)公共字段的修改、啟用日志服務(wù)、對(duì)策略進(jìn)行優(yōu)化、啟用安全協(xié)議等。

2.2.4 數(shù)據(jù)庫(kù)安全

對(duì)MS SQLServer、Oracle數(shù)據(jù)進(jìn)行安全評(píng)估和加固，包括賬號(hào)安全、審計(jì)、數(shù)據(jù)庫(kù)連接安全、數(shù)據(jù)庫(kù)安全組件配置、數(shù)據(jù)庫(kù)補(bǔ)丁等。

2.3 人員安全操作培訓(xùn)

定期進(jìn)行安全管理培訓(xùn)，主要包括 3個(gè)方面：一是安全產(chǎn)品、安全技術(shù)、安全策略的培訓(xùn)，對(duì)互聯(lián)網(wǎng)利用較多的人，要加強(qiáng)對(duì)個(gè)人計(jì)算機(jī)的安全防護(hù)意識(shí)。在日常工作中，要加密重要的個(gè)人信息，設(shè)置Windows和屏幕保護(hù)密碼。在互聯(lián)網(wǎng)瀏覽網(wǎng)頁(yè)和注冊(cè)賬戶(hù)時(shí)，不要泄露個(gè)人敏感信息。妥善保管自己的口令、賬號(hào)密碼，并不時(shí)修改。二是制度管理、資產(chǎn)管理、技術(shù)管理和風(fēng)險(xiǎn)管理的培訓(xùn)。三是提高網(wǎng)絡(luò)運(yùn)維人員的安全意識(shí)，增長(zhǎng)安全技術(shù)知識(shí)。普通人員要注意網(wǎng)站針對(duì)個(gè)人數(shù)據(jù)保護(hù)的聲明和措施，對(duì)那些可以匿名登錄的網(wǎng)站要堅(jiān)決匿名登錄，不訪(fǎng)問(wèn)安全性不明的網(wǎng)站，不輕易加入各類(lèi)社交網(wǎng)絡(luò)，不與來(lái)歷不明的人共享信息。盡量不要在QQ空間、個(gè)人網(wǎng)站、論壇等上傳個(gè)人重要信息。

[1]斯坦普.信息安全原理與實(shí)踐[M].北京：清華大學(xué)出版社，2013.

[2]雅各布森.網(wǎng)絡(luò)安全基礎(chǔ)：網(wǎng)絡(luò)攻防、協(xié)議與安全[M].北京：電子工業(yè)出版社，2011.

[3]科飛管理咨詢(xún)公司.BS7799理解與實(shí)施[M].北京：機(jī)械工業(yè)出版社，2002.