張曉鵬

中圖分類號：X931 文獻標識：A 文章編號：1674-1145（2017）11-000-02

摘 要 打造數(shù)字化企業(yè)已成為當前各大中型企業(yè)發(fā)展的主要目標。企業(yè)內部網(wǎng)絡作為信息化建設的主要載體，其網(wǎng)絡安全保密已經(jīng)成為當前各企業(yè)不可忽視的首要問題。本文對企業(yè)網(wǎng)絡安全保密存在的問題進行了深入探討，并提出了對應的改進和防范措施。

關鍵詞 計算機 網(wǎng)絡 安全 對策

隨著我國經(jīng)濟與科技的不斷發(fā)展，數(shù)字化管理作為為網(wǎng)絡時代的產(chǎn)物，已經(jīng)成為企業(yè)管理發(fā)展的方向。信息化不斷的發(fā)展，使企業(yè)在流程管理和整體效率上得到了全面的提升，并且日益成為影響企業(yè)競爭的關鍵性因素。同時，伴隨信息化不斷深入企業(yè)的業(yè)務流程，大量的企業(yè)核心信息以電子化的形式存在和應用。也正是在這種電子化趨勢下，電子信息的易傳輸和易復制屬性為企業(yè)機密信息的安全管理帶來了新的挑戰(zhàn)。對于目前企業(yè)信息安全工作形勢的嚴峻性和工作的緊迫性，我們必須要有一個清醒的認識，決不可掉以輕心。隨著各企業(yè)內部網(wǎng)絡規(guī)模的急劇膨脹，網(wǎng)絡用戶的快速增長，企業(yè)內部網(wǎng)絡安全保密問題已經(jīng)成為當前各企業(yè)網(wǎng)絡建設中不可忽視的首要問題。

一、企業(yè)內部網(wǎng)絡安全保密的定義

企業(yè)內部網(wǎng)絡安全保密是指企業(yè)利用網(wǎng)絡管理控制和技術措施，保證在企業(yè)的內部網(wǎng)絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。企業(yè)內部網(wǎng)絡安全保密包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

通俗地說，企業(yè)內部網(wǎng)絡安全保密主要是指保護企業(yè)內部網(wǎng)絡信息系統(tǒng)，使其沒有危險、不受威脅、不出事故。從技術角度來說，企業(yè)內部網(wǎng)絡安全保密的技術特征主要表現(xiàn)在網(wǎng)絡系統(tǒng)的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。

二、企業(yè)內部網(wǎng)絡安全保密的結構層次及防護措施

企業(yè)內部網(wǎng)絡安全保密的結構層次主要包括：物理層面、技術層面和管理層面三個層面。這三個層面的具體內容及防護措施如下：

圖1 網(wǎng)絡系統(tǒng)網(wǎng)絡的安全體系層次模型

（一）物理層面的安全防護

物理安全策略保證計算機網(wǎng)絡系統(tǒng)各種設備的物理安全，是整個網(wǎng)絡安全保密的前提。物理安全是保護計算機網(wǎng)絡設備、設施免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統(tǒng)、應用服務器、網(wǎng)絡設備等硬件實體和通信鏈路層網(wǎng)絡設備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面：

1.環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護，確保計算機系統(tǒng)有一個良好的工作環(huán)境。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地，要注意其外部環(huán)境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。

2.設備安全。包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。機房的安全防護是針對環(huán)境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網(wǎng)絡設施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全，首先，應考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統(tǒng)中心設備外設安全防護圈，以防止非法暴力入侵；第四計算機系統(tǒng)中心設備所在的建筑物應具有抵御各種自然災害的設施。

（二）技術層面的安全防護

技術層面主要需要保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問，并確保數(shù)據(jù)安全。只有解決網(wǎng)絡的安全問題，才可以排除網(wǎng)絡中最大的安全隱患，對于內部網(wǎng)絡的安全管理主要依靠訪問控制、數(shù)據(jù)安全兩個方面來進行防御。

1.訪問控制。訪問控制是網(wǎng)絡安全保密防范和保護的主要策略。它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全保密最重要的核心策略之一，訪問控制涉及的技術比較廣，主要包括網(wǎng)絡準入控制、AD域控制用戶行為。

（1）網(wǎng)絡準入控制。入網(wǎng)訪問控制是保證網(wǎng)絡資源不被非法使用，是網(wǎng)絡安全保密防范和保護的主要策略。它為網(wǎng)絡訪問提供了第一層訪問控制。技術上需要對企業(yè)內部網(wǎng)絡的內部授權設備進行MAC地址綁定、IP地址綁定等配置，使其具備唯一、固定的接入點；對未使用的交換機端口采取邏輯控制，將其配置關閉（Shutdown）。通過技術和物理兩方面防護手段結合控制，可以確保交換機的已使用端口與用戶綁定，用戶的網(wǎng)絡接入點固定，IP固定，用戶無法私自挪動網(wǎng)絡接入位置，如若違規(guī)，交換機將立即關閉違規(guī)端口；交換機未使用端口始終處于不可用狀態(tài)。這樣，無論通過已使用端口還是未使用端口，未授權設備均無法接入涉密網(wǎng)絡。

（2）AD域控制用戶行為。AD域控制用戶行為可以控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權限，網(wǎng)絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。

2.數(shù)據(jù)安全部分。隨著計算機的普及和信息技術的進步，特別是計算機網(wǎng)絡的飛速發(fā)展，信息安全的重要性日趨明顯。但是，作為信息安全的一個重要內容——數(shù)據(jù)的重要性卻往往被人們所忽視。只要發(fā)生數(shù)據(jù)傳輸、數(shù)據(jù)存儲和數(shù)據(jù)交換，就有可能產(chǎn)生數(shù)據(jù)故障。這時，如果沒有采取相應手段與措施，就會導致數(shù)據(jù)的丟失。有時造成的損失是無法彌補和無法估量的。如何保護好計算機網(wǎng)絡系統(tǒng)中存儲的數(shù)據(jù)，保證系統(tǒng)穩(wěn)定可靠地運行，并為業(yè)務系統(tǒng)提供快捷可靠的訪問，通過以下四個方面來防護：

（1）數(shù)據(jù)庫的備份與恢復。備份系統(tǒng)對于涉密信息系統(tǒng)的重要性不言而喻。服務器、數(shù)據(jù)庫中的數(shù)據(jù)采用備份軟件，對服務器操作系統(tǒng)，數(shù)據(jù)庫，各應用軟件進行全備份或增量備份。但實際上，許多用戶計算機上存有涉密數(shù)據(jù)。對于用戶計算機的數(shù)據(jù)備份采取多種措施，如與其他用戶相互備份非涉密數(shù)據(jù)，在服務器上建立網(wǎng)絡存儲備份系統(tǒng)，為涉密人員提供充足的備份空間，以備份涉密數(shù)據(jù)。

（2）切斷傳播途徑，接口控制。計算機開放了許多外設輸入輸出接口，如串口、并口、USB、1394、紅外傳輸、讀卡器等接口。這些接口是信息外泄和黑客攻擊的重要途徑，應嚴格控制。選用接口控制軟件，禁用無線傳輸接口，管理物理接口，物理上拆除讀卡器、無線MODEN、無線網(wǎng)卡等。部署三合一管理系統(tǒng)，管理涉密信息系統(tǒng)內部專用的涉密移動存儲介質，此類移動存儲介質通過注冊和授權，在涉密信息系統(tǒng)之外無法使用，防止介質在涉密信息系統(tǒng)內外交叉使用，截斷涉密信息網(wǎng)絡與外部網(wǎng)絡和計算機的數(shù)據(jù)交叉通道。

（3）提高網(wǎng)絡反病毒技術能力。涉密信息系統(tǒng)的每一臺計算機都應安裝防病毒軟件，服務器安裝服務器版，內網(wǎng)用戶安裝網(wǎng)絡版，單機用戶安裝單機版。定期更新防病毒軟件病毒特征庫，查看分析病毒日志和報告。對系統(tǒng)中存在的異常進程，文件作詳細分析，防止病毒和惡意代碼滋生。加強網(wǎng)絡目錄和文件訪問權限的設置。在網(wǎng)絡中，限制只能由服務器才允許執(zhí)行的文件。

（4）內網(wǎng)安全風險管理與審計。內網(wǎng)安全風險管理與審計系統(tǒng)主要針對的是內部網(wǎng)絡的一些越權獲取數(shù)據(jù)、信息泄密、一機兩用、非法接入、私自使用外來移動存儲設備、未經(jīng)允許接入設備等行為進行監(jiān)查管理，可有效管理和阻止網(wǎng)絡內部主要針對主機的有害行為，并且將過程記錄下來提供給事后審計和查證，檢查單位可以通過查看可靠的審計日志輸出，對所有違規(guī)行為做到有據(jù)可查，對內部網(wǎng)絡行為的管理監(jiān)控結果有效，審計結果取證完整、記錄可信。通過對行為而不是內容進行監(jiān)管，還可防止管理人員接觸無關的秘密，減少泄密的可能，使單位內部的秘密得到可靠保護。

（三）管理層面安全防護

企業(yè)內部網(wǎng)絡的安全問題，不僅是設備，技術的問題，更是管理的問題。對于企業(yè)網(wǎng)絡的管理人員來講，一定要提高網(wǎng)絡安全保密意識，加強網(wǎng)絡安全保密技術的掌握，注重對領導和員工的網(wǎng)絡安全保密知識培訓，而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡安全保密中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質，具體體現(xiàn)在以下兩個方面：

1.健全安全管理機構。在公司內部，都應當設立相應級別的、負責信息安全的專門管理機構。安全管理機構的人員應包括領導和專業(yè)人員。按照不同任務進行分工以確立各自的職責。一類人員是負責確定安全措施，包括方針、政策、策略的制定，并協(xié)調、監(jiān)督、檢查安全措施的實施：另一類人員是負責分工具體管理系統(tǒng)的安全工作，包括安全管理員、安全審計員和系統(tǒng)管理員。在分工的基礎上，應有具體的負責人，以負責整個網(wǎng)絡系統(tǒng)的安全。

2.確立安全管理的原則和規(guī)章制度。一個完整的信息安全管理體系還應當有安全管理的原則和嚴格的規(guī)章制度。企業(yè)內部網(wǎng)絡的安全問題，不僅是設備，技術的問題，更是管理的問題。需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴格分工等管理制度。

三、結語

總之，安全是個過程，它是一個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看，主要涉及物理、技術和管理三個層面。企業(yè)內部網(wǎng)絡的安全管理，不僅要看所采用的安全技術和防范措施，而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有三個層面緊密結合，才能使企業(yè)內部網(wǎng)絡安全保密確實有效，確保企業(yè)內部網(wǎng)絡的安全。

參考文獻：

[1] 王根宏.讓信息系統(tǒng)登錄更安全[J].網(wǎng)絡安全和信息化，2017（8）：124-127.

[2] 楊大偉，鄭澎.終端安全管理系統(tǒng)提升運維效率[J].網(wǎng)絡安全和信息化，2017（3）：122-126.