徐 燁

中國移動通信集團內蒙古有限公司，內蒙古 呼和浩特 010011

隨著互聯(lián)網(wǎng)的廣泛應用，中小企業(yè)對網(wǎng)絡的依賴越來越強，但由于資金、技術及管理者對網(wǎng)絡信息資產(chǎn)的重視程度等問題，導致中小企業(yè)網(wǎng)絡基本上沒有采取恰當?shù)木W(wǎng)絡安全保護措施而處于裸奔狀態(tài)，使得中小企業(yè)更易淪為網(wǎng)絡攻擊的受害者。因此，如何低成本、高效率地做好網(wǎng)絡與信息安全加固成為廣大中小企業(yè)面臨的迫切需求。

1 方案介紹

中小企業(yè)的網(wǎng)絡安全防護應不僅僅是安全產(chǎn)品和技術方面需要考慮的事情，更應是從安全管理、安全技術和人員培訓等多方面綜合構建全面的安全防護體系。

在安全管理方面，企業(yè)內部要建立起一套完整的安全策略體系。一是制定相關的網(wǎng)絡安全管理辦法和安全維護的規(guī)范章程；二是制定安全設備、操作系統(tǒng)、網(wǎng)絡設備等的安全操作手冊；三是制定相應的預警和應急處理流程、計劃、預案。

在安全技術方面，分別從安全網(wǎng)絡部署、操作系統(tǒng)安全、網(wǎng)絡設備安全、數(shù)據(jù)庫安全等方面謀劃安全策略。

在人員培訓方面，要高度重視，對員工進行密碼、密鑰操作規(guī)范培訓，提高員工信息安全素養(yǎng)，使其養(yǎng)成良好的個人信息管理習慣，控制好個人信息的使用范圍[1]。

2 方案內容及實施

2.1 信息安全管理方案

2.1.1 建立信息安全管理體系

對于中小企業(yè)來說，要想預防可能出現(xiàn)的安全問題，則必須建立起完善、可操作性強的安全管理制度。只有有了制度并正確執(zhí)行制度規(guī)定的措施，才可以降低安全管理出現(xiàn)紕漏的概率，進而降低公司的運營風險。

2.1.2 明確職責和使用權限

需要明確網(wǎng)絡安全管理人員在工作中所承擔的職責，在設備管理上要責任到人。在系統(tǒng)使用上，明確操作人員的權限，不可賦予網(wǎng)絡安全管理人員工作需要以外的額外權限，合理劃分各部門安全職責，確定配置人員角色。

2.1.3 建立考核機制

根據(jù)信息安全審核制度、信息發(fā)布登記制度等的執(zhí)行情況制定相應的獎懲辦法，激勵員工提高安全意識，做好安全操作。

2.1.4 安全應急防御

安全應急防御包括威脅與風險的應對預案、應急防御機制、應急演練等。

2.2 安全技術服務方案

對掌握大量個人信息的企業(yè)而言，堵住人為的漏洞需要完善管理制度，而堵住技術本身的漏洞則最好還是使用技術。要加強新產(chǎn)品新技術的應用推廣，不斷完善信息系統(tǒng)安全設備諸如防火墻、入侵檢測系統(tǒng)、認證系統(tǒng)等的性能，強化應用數(shù)據(jù)的存取和審計功能，確保系統(tǒng)中的用戶個人信息得到更加穩(wěn)妥的防護。與此同時，可以使用技術加強個人信息的保護。比如，加密個人敏感數(shù)據(jù)，即使這些數(shù)據(jù)不小心被盜，也將是看不懂而無用的數(shù)據(jù)[2]。

2.2.1 安全網(wǎng)絡部署

（1）防火墻部署

部署針對辦公用的計算機所有網(wǎng)絡通信和數(shù)據(jù)包流入流出的防火墻。如果不通過防火墻，公司內部的人就無法訪問互聯(lián)網(wǎng)，互聯(lián)網(wǎng)上的人也無法和公司內部的人進行通信。

（2）入侵檢測（保護）系統(tǒng)部署

入侵檢測（保護）系統(tǒng)分為兩種形式。一種是IDS入侵檢測系統(tǒng)。實現(xiàn)原理是被動的監(jiān)控網(wǎng)絡流量，不改變網(wǎng)絡結構，通常是通過端口鏡像來捕獲流經(jīng)（出入）該網(wǎng)絡的所有數(shù)據(jù)包。依照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能地發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果。另一種是 IPS入侵防御系統(tǒng)，主動地在線部署，旨在準確監(jiān)測網(wǎng)絡異常流量，自動實時阻斷各類攻擊性的流量，尤其是應用層的威脅，而不是簡單地發(fā)出告警。

（3）集中認證、鑒權、授權和單點登錄方案

有條件的企業(yè)，可以從系統(tǒng)安全角度出發(fā)，部署堡壘機，監(jiān)控系統(tǒng)的日常維護中的運維操作，以達到賬號單點登錄，操作授權的目的。

2.2.2 操作系統(tǒng)安全

（1）端口資源

根據(jù)各產(chǎn)品中不同類型的設備對系統(tǒng)端口占用的要求，整理出所有與應用軟件相關的端口列表清單。在配置網(wǎng)絡防火墻時，在網(wǎng)絡防火墻中進行策略過濾配置，將所有非系統(tǒng)必須的端口全部關閉，降低設備受攻擊的風險。

（2）安全漏洞

安全漏洞是系統(tǒng)受攻擊的安全隱患。不定期地掃描安全漏洞，并根據(jù)掃描結果更新補丁關乎到操作系統(tǒng)運行的穩(wěn)定性。

（3）防病毒系統(tǒng)

防病毒集中監(jiān)控，檢查是否安裝防病毒系統(tǒng)，是否進行最新病毒庫的更新等。

（4）用戶管理

在設備管理上要責任到人，實行誰主管、誰負責的原則。在系統(tǒng)使用上，必須明確操作人員的權限，通過權限分配策略，對操作維護人員的系統(tǒng)維護權限進行必要的限制。合理劃分各部門安全職責，確定配置人員角色通過對用戶名、用戶密碼等的限制策略，防止非法用戶登錄。同時根據(jù)用戶的工作分工可將同類用戶歸屬到一個用戶組，方便管理員對用戶進行管理；通過對用戶密碼長度、弱口令檢測、密碼有效期等規(guī)則的設置，保證密碼復雜程度，減少密碼被盜風險等[3]。

（5）日志管理

做好日志管理，系統(tǒng)可以方便地查詢所有應用軟件系統(tǒng)日志、操作日志和安全日志等相關信息。

2.2.3 網(wǎng)絡設備安全

查看防火墻、路由器等網(wǎng)絡設備上的策略，檢查是否存在不限制范圍的策略，是否開放有不必要的端口或啟用了多余的協(xié)議、對病毒或攻擊常用端口進行過濾、配置SSH登錄與遠程登錄限制，是否對空閑物理端口做了shutdown，是否對密碼做了加密，是否對Console口及 TTY口做了密碼限制，路由策略是否沖突、SNMP協(xié)議默認公共字段的修改、啟用日志服務、對策略進行優(yōu)化、啟用安全協(xié)議等。

2.2.4 數(shù)據(jù)庫安全

對MS SQLServer、Oracle數(shù)據(jù)進行安全評估和加固，包括賬號安全、審計、數(shù)據(jù)庫連接安全、數(shù)據(jù)庫安全組件配置、數(shù)據(jù)庫補丁等。

2.3 人員安全操作培訓

定期進行安全管理培訓，主要包括 3個方面：一是安全產(chǎn)品、安全技術、安全策略的培訓，對互聯(lián)網(wǎng)利用較多的人，要加強對個人計算機的安全防護意識。在日常工作中，要加密重要的個人信息，設置Windows和屏幕保護密碼。在互聯(lián)網(wǎng)瀏覽網(wǎng)頁和注冊賬戶時，不要泄露個人敏感信息。妥善保管自己的口令、賬號密碼，并不時修改。二是制度管理、資產(chǎn)管理、技術管理和風險管理的培訓。三是提高網(wǎng)絡運維人員的安全意識，增長安全技術知識。普通人員要注意網(wǎng)站針對個人數(shù)據(jù)保護的聲明和措施，對那些可以匿名登錄的網(wǎng)站要堅決匿名登錄，不訪問安全性不明的網(wǎng)站，不輕易加入各類社交網(wǎng)絡，不與來歷不明的人共享信息。盡量不要在QQ空間、個人網(wǎng)站、論壇等上傳個人重要信息。

[1]斯坦普.信息安全原理與實踐[M].北京：清華大學出版社，2013.

[2]雅各布森.網(wǎng)絡安全基礎：網(wǎng)絡攻防、協(xié)議與安全[M].北京：電子工業(yè)出版社，2011.

[3]科飛管理咨詢公司.BS7799理解與實施[M].北京：機械工業(yè)出版社，2002.