樊水喬

摘 要：隨著企業(yè)中的信息化應(yīng)用越來越多，企業(yè)在其發(fā)展的過程中計(jì)算機(jī)網(wǎng)絡(luò)起到了非常重要的作用，但是，企業(yè)在實(shí)際的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用過程中也出現(xiàn)了一些可能引發(fā)網(wǎng)絡(luò)安全隱患的問題，使得企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全問題層出不窮，加強(qiáng)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理是保證企業(yè)信息化安全的基礎(chǔ)。論文主要論述企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全處理措施及管理內(nèi)容，通過對企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理，提升企業(yè)信息安全總體水平。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;信息安全;網(wǎng)絡(luò)安全管理

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

習(xí)近平總書記強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全”，并成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，親自擔(dān)任組長[1]。按照國家《網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》對網(wǎng)絡(luò)運(yùn)營者履行安全保護(hù)義務(wù)的總體要求，落實(shí)各企業(yè)、各層級(jí)網(wǎng)絡(luò)安全責(zé)任。

1 企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及存在的問題

（1）網(wǎng)絡(luò)被攻擊。未對企業(yè)暴露在互聯(lián)網(wǎng)上的設(shè)備、應(yīng)用、數(shù)據(jù)庫等進(jìn)行排查評(píng)估，未對廢棄、無主系統(tǒng)關(guān)停下線。

（2）網(wǎng)絡(luò)防御不牢。存在內(nèi)網(wǎng)違規(guī)外聯(lián)，受病毒木馬入侵;存在主機(jī)漏洞被利用及重要信息數(shù)據(jù)泄露等方面的安全隱患，未構(gòu)建邊界管控和態(tài)勢感知能力。

（3）無重點(diǎn)防護(hù)對象。未對目標(biāo)系統(tǒng)和重要系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，未對威脅、攻擊進(jìn)行統(tǒng)計(jì)，發(fā)生安全事件不能及時(shí)預(yù)警等。同時(shí)存在系統(tǒng)漏洞補(bǔ)丁未及時(shí)補(bǔ)打，系統(tǒng)未及時(shí)更新。網(wǎng)絡(luò)系統(tǒng)共享性、開放性要求比較高，這就導(dǎo)致不法犯罪分子有機(jī)會(huì)利用網(wǎng)絡(luò)系統(tǒng)性質(zhì)的漏洞，非法進(jìn)入系統(tǒng)內(nèi)部，竊取相關(guān)信息與數(shù)據(jù)，此種漏洞帶來了許多安全隱患[2]。

（4）未實(shí)行主動(dòng)防御。未建設(shè)網(wǎng)絡(luò)安全聯(lián)動(dòng)共享機(jī)制，沒有通過風(fēng)險(xiǎn)監(jiān)測、威脅識(shí)別、安全防護(hù)等。

（5）未建立體系化的安全管理措施。沒有結(jié)合企業(yè)內(nèi)外部實(shí)際情況，完善企業(yè)網(wǎng)絡(luò)安全評(píng)估、安全監(jiān)測、應(yīng)急處置等網(wǎng)絡(luò)安全管理體系。

2 企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全管理措施

2.1 風(fēng)險(xiǎn)清理

2.1.1 敏感信息清理

以互聯(lián)網(wǎng)系統(tǒng)為重點(diǎn)，全面核查互聯(lián)網(wǎng)系統(tǒng)的相關(guān)設(shè)備，對各應(yīng)用系統(tǒng)的技術(shù)方案、網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)源代碼、賬號(hào)、口令等敏感信息進(jìn)行全面排查，梳理應(yīng)用系統(tǒng)傳輸數(shù)據(jù)使用的訪問源、目的、協(xié)議、端口信息，清理服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫中不使用的賬戶、弱口令。

2.1.2 網(wǎng)絡(luò)邊界梳理

對互聯(lián)網(wǎng)、廣域?qū)＞W(wǎng)、數(shù)據(jù)中心、網(wǎng)絡(luò)安全域等網(wǎng)絡(luò)邊界進(jìn)行排查。

2.1.3 廢棄設(shè)備清理

對廢棄設(shè)備進(jìn)行下線處理。對暴露在互聯(lián)網(wǎng)上的設(shè)備、應(yīng)用、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)重點(diǎn)進(jìn)行排查，關(guān)閉不必要的主機(jī)和應(yīng)用。

2.1.4 系統(tǒng)訪問服務(wù)摸底清理

以面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用系統(tǒng)為重點(diǎn)，全面梳理各系統(tǒng)（包含應(yīng)用系統(tǒng)管理后臺(tái)、中間件管理后臺(tái)、數(shù)據(jù)庫）對外開放的端口等訪問服務(wù)信息，確保各系統(tǒng)訪問源、目的、協(xié)議、端口實(shí)現(xiàn)服務(wù)最小化精準(zhǔn)管控。

2.1.5 特權(quán)賬戶摸底清理

全面梳理各應(yīng)用系統(tǒng)的特權(quán)賬戶，特權(quán)賬戶的權(quán)限責(zé)任到人，避免權(quán)限擴(kuò)大、崗位不相容等安全問題，及時(shí)清理不必要和無主賬戶，按照密碼復(fù)雜度要求統(tǒng)一重置特權(quán)賬戶密碼。

2.1.6 全員網(wǎng)絡(luò)安全意識(shí)教育

在公司全級(jí)次范圍下發(fā)安全提醒通知，要求員工不隨意打開陌生可疑郵件鏈接及附件，不在郵箱或網(wǎng)盤中明文存儲(chǔ)敏感信息，不向不明身份人員提供系統(tǒng)賬號(hào)密碼，不允許無關(guān)人員進(jìn)入辦公場所或重點(diǎn)區(qū)域，不允許非工作人員使用計(jì)算機(jī)類終端設(shè)備，工作賬號(hào)和生活賬號(hào)不使用相同口令，嚴(yán)禁使用空口令、弱口令等。

2.2 安全加固

2.2.1 收斂網(wǎng)絡(luò)攻擊暴露面

一是加強(qiáng)互聯(lián)網(wǎng)出口管理。核查互聯(lián)網(wǎng)出口及在互聯(lián)網(wǎng)出口的安全防護(hù)設(shè)備情況，確保全級(jí)次企業(yè)互聯(lián)網(wǎng)邊界安全。二是加強(qiáng)移動(dòng)辦公管理。嚴(yán)格落實(shí)VPN、移動(dòng)應(yīng)用APP等各類移動(dòng)辦公系統(tǒng)的安全管控策略，強(qiáng)化安全管控，確保移動(dòng)辦公入口安全。三是加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理。核查交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施的服務(wù)端口，關(guān)閉3 389等高危端口和無用端口，切斷交換機(jī)、防火墻等基礎(chǔ)設(shè)施上的不必要鏈路。四是加強(qiáng)信息系統(tǒng)服務(wù)管理。清查各應(yīng)用系統(tǒng)服務(wù)協(xié)議和服務(wù)端口，嚴(yán)格執(zhí)行最小化訪問控制策略，啟用系統(tǒng)防火墻。五是加強(qiáng)網(wǎng)絡(luò)接入管理。梳理防火墻策略，進(jìn)行基于源、目的、協(xié)議、端口的精準(zhǔn)管控。

2.2.2 縱深防御

一是加強(qiáng)安全隔離設(shè)備管理。核查主干網(wǎng)防火墻配置細(xì)粒度訪問控制策略，并確保在線可管理。二是加強(qiáng)分區(qū)分域管理。對服務(wù)器和信息系統(tǒng)訪問進(jìn)行基于源、目的、協(xié)議、端口的精準(zhǔn)管控;除特殊業(yè)務(wù)需要，禁止445、135-139、22、3 389等高危險(xiǎn)端口互通訪問策略。三是嚴(yán)控違規(guī)訪問。開展違規(guī)訪問的全局監(jiān)測，對于違反隔離策略的訪問行為進(jìn)行及時(shí)斷網(wǎng)處理。

2.2.3 重點(diǎn)防護(hù)

一是加強(qiáng)服務(wù)器訪問管理。遠(yuǎn)程運(yùn)維管理必須采用安全堡壘機(jī)進(jìn)行運(yùn)維，針對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等嚴(yán)格限制管理主機(jī)IP地址訪問范圍，禁止Telnet，Http等明文鏈接傳輸。二是加強(qiáng)移動(dòng)端安全管理。全面梳理移動(dòng)APP（含微信公眾號(hào)），落實(shí)責(zé)任主體，對移動(dòng)APP 進(jìn)行安全檢測，發(fā)現(xiàn)問題及時(shí)整改，責(zé)任主體不清和無法完成整改的做下線處理。三是強(qiáng)化特權(quán)用戶安全管理。核查網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等特權(quán)用戶設(shè)置情況，實(shí)現(xiàn)特權(quán)用戶數(shù)量、權(quán)限最小化，限制特權(quán)用戶的訪問地址，并對操作行為進(jìn)行審計(jì)等。四是加強(qiáng)數(shù)據(jù)庫權(quán)限管理。清理數(shù)據(jù)庫賬戶，關(guān)閉非必須賬戶，嚴(yán)格落實(shí)強(qiáng)口令設(shè)置，對數(shù)據(jù)訪問實(shí)現(xiàn)字段級(jí)的授權(quán)鑒權(quán)控制和全程審計(jì)。

2.2.4 主動(dòng)防御

一是部署終端安全態(tài)勢感知系統(tǒng)。在公司對外提供服務(wù)的業(yè)務(wù)系統(tǒng)中部署終端安全態(tài)勢感知終端，對于網(wǎng)絡(luò)攻擊行為進(jìn)行及時(shí)預(yù)警。二是加強(qiáng)安全設(shè)備信息集中管理。通過對全流量分析設(shè)備、Web防火墻、IDS、IPS、數(shù)據(jù)庫審計(jì)等開展攻擊安全事件實(shí)時(shí)監(jiān)測，實(shí)現(xiàn)對WEB攻擊、掃描工具、登錄爆破、數(shù)據(jù)庫敏感操作、常見木馬行為、HTTP Tunnel、WebShell網(wǎng)站后門等風(fēng)險(xiǎn)的有效監(jiān)測，主動(dòng)監(jiān)測發(fā)現(xiàn)攻擊行為。

3 保障機(jī)制

3.1 落實(shí)責(zé)任

企業(yè)要組織對所負(fù)責(zé)信息系統(tǒng)（包括工控系統(tǒng)）按照“橫向到邊，縱向到底”的原則落實(shí)網(wǎng)絡(luò)安全責(zé)任，確保每個(gè)應(yīng)用、每個(gè)服務(wù)、每個(gè)IP，無一遺漏，確保網(wǎng)絡(luò)安全責(zé)任細(xì)化落實(shí)到信息系統(tǒng)管理、建設(shè)、運(yùn)維、使用的具體部門、崗位和人員。企業(yè)還應(yīng)組織與相關(guān)人員簽訂安全責(zé)任書。

3.2 人員保障

企業(yè)應(yīng)設(shè)置專職信息化管理人員，負(fù)責(zé)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全工作。對信息化管理人員進(jìn)行培訓(xùn)，同時(shí)開展應(yīng)急預(yù)案，開展應(yīng)急處置工作演練。

3.3 經(jīng)費(fèi)保障

網(wǎng)絡(luò)設(shè)備硬件，軟件費(fèi)用及信息化管理工作有關(guān)隱患排查、演習(xí)演練、場地設(shè)備等必要條件所需費(fèi)用。

3.4 管理制度

建立健全計(jì)算機(jī)網(wǎng)絡(luò)安全相關(guān)管理制度，每年根據(jù)管理要求不斷完善管理制度，保障企業(yè)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)安全管理。

4 結(jié)論

通過企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題，建立相關(guān)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理的應(yīng)對措施，在很大程度上防御來自網(wǎng)絡(luò)的信息安全攻擊事件，對提高企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理有更深一層的認(rèn)識(shí)，為企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理提供參考和借鑒。

參考文獻(xiàn)：

[1]張新剛，于波，田燕，等.大數(shù)據(jù)時(shí)代高校網(wǎng)絡(luò)空間安全層次化保障體系分析[J].網(wǎng)絡(luò)安全技術(shù)應(yīng)用，2017（01）：104-105.

[2]冉興程.提高計(jì)算機(jī)網(wǎng)絡(luò)可靠性的方法研究[J].海峽科技與產(chǎn)業(yè)，2017（04）：80-81.