葛 紅

（國家計算機網(wǎng)絡與信息安全管理中心甘肅分中心，甘肅 蘭州 730030）

0 引言

改革開放以來，科學信息技術在世界范圍內(nèi)快速地發(fā)展，很多企業(yè)都感受到了科技進步給帶來的便利，但是與此同時也帶來了很多的安全隱患。以往企業(yè)網(wǎng)絡信息安全系統(tǒng)的設計，主要是為了防止和控制企業(yè)外部網(wǎng)絡的入侵和攻擊，重點在于企業(yè)內(nèi)部網(wǎng)絡入口的保護，以為通過這種方式可以有效保障網(wǎng)絡系統(tǒng)安全運行，但是實際上卻無法解決企業(yè)內(nèi)部網(wǎng)絡信息系統(tǒng)的安全問題。例如，2020年11月圓通快遞40萬客戶運單信息被泄露事件，值得引起各企業(yè)的高度重視，在網(wǎng)絡高速發(fā)展的當下，必須加強網(wǎng)絡安全系統(tǒng)的設計，不斷完善安全系統(tǒng)技術，并敢于創(chuàng)新和進步，才能保證企業(yè)內(nèi)部網(wǎng)絡信息安全系統(tǒng)的實現(xiàn)。

1 互聯(lián)網(wǎng)面臨的安全威脅因素

由于網(wǎng)絡技術的不斷發(fā)展，計算機已經(jīng)成為一個完全開放的、不受控制的網(wǎng)絡系統(tǒng)，目前，網(wǎng)絡所面臨的安全威脅因素主要有病毒攻擊、黑客攻擊和拒絕服務攻擊。在互聯(lián)網(wǎng)中，經(jīng)常會有黑客嘗試各種方式侵入計算機系統(tǒng)，然后盜取計算機中的機密文件和數(shù)據(jù)，或者直接破壞重要信息，使計算機無法正常運行，直至癱瘓。拒絕服務攻擊是一種直接毀滅性的破壞方式，例如電子郵件炸彈，通過發(fā)送大量的電子郵件給計算機使用者的方式，導致嚴重影響計算機系統(tǒng)的運行，使系統(tǒng)喪失功能，甚至導致網(wǎng)絡系統(tǒng)的癱瘓。結(jié)合企業(yè)計算機網(wǎng)絡系統(tǒng)的實際運行情況，深入分析了企業(yè)所面臨的網(wǎng)絡安全威脅，主要包括以下幾個方面：

（1）互聯(lián)網(wǎng)病毒攻擊。網(wǎng)絡蠕蟲類病毒的流行給網(wǎng)民造成了巨大損失。隨著我國互聯(lián)網(wǎng)技術的高速發(fā)展，在互聯(lián)網(wǎng)環(huán)境下，病毒可以很容易進行傳播，并且傳播速度非?？欤《究梢酝ㄟ^文件或者郵件附件的形式進行傳播，給網(wǎng)民帶來極大的影響。病毒的高效傳播，不僅導致計算機無法正常使用，還將使計算機丟失重要的數(shù)據(jù)和文件，甚至導致計算機系統(tǒng)癱瘓。

（2）外來入侵情況。企業(yè)內(nèi)部的網(wǎng)絡與互聯(lián)網(wǎng)進行連接，雖然網(wǎng)絡中部署了防火墻設置，但是由于沒有其他的安全防范措施，還是比較容易受到網(wǎng)絡上黑客的攻擊。使用補丁，操作系統(tǒng)程序中包含的驅(qū)動程序和系統(tǒng)服務可以升級，并實現(xiàn)動態(tài)連接，對黑客來說這是一種簡便的方法，也是制造計算機病毒的溫床。除此之外，黑客還經(jīng)常使用操作系統(tǒng)提供的遠程服務和無密碼入口作為入侵通道。

（3）來自內(nèi)部人員的威脅。任何網(wǎng)絡系統(tǒng)都離不開人的控制和管理，網(wǎng)絡內(nèi)部人員的威脅一方面是來自于對企業(yè)心生怨憤的內(nèi)部員工的惡意破壞，企業(yè)內(nèi)部員工特別是有一定權(quán)限的管理人員，可以直接接觸到核心服務器等關鍵設備，從而破壞企業(yè)內(nèi)部網(wǎng)絡，會造成嚴重后果。另一方面則是內(nèi)部員工的操作不規(guī)范，或是為了貪圖方便繞過網(wǎng)絡中的安全系統(tǒng)等違規(guī)操作，從而給網(wǎng)絡帶來各種威脅和潛在隱患。

2 企業(yè)信息化網(wǎng)絡安全體系設計

為了有效保護網(wǎng)絡信息系統(tǒng)的軟硬件及相關數(shù)據(jù)，保證網(wǎng)絡服務不中斷和系統(tǒng)正常運行，應從企業(yè)實際需求入手，對系統(tǒng)的物理環(huán)境、網(wǎng)絡、應用和數(shù)據(jù)庫等系統(tǒng)的信息安全網(wǎng)絡，進行系統(tǒng)化的管理。企業(yè)的信息安全系統(tǒng)主要由安全管理、安全技術兩個部分構(gòu)成，每個部分由多個子模塊組成，每個子模塊在其領域發(fā)揮著不同的作用。

2.1 安全管理部分

圖1 信息網(wǎng)絡安全體系

安全管理部分，如圖1所示，包含了四個獨立功能的子模塊，分別是組織機構(gòu)、員工管理、安全策略、操作管理：

（1）組織機構(gòu)：本模塊主要是為了滿足企業(yè)內(nèi)部對信息網(wǎng)絡安全系統(tǒng)的需求，建立能保證組織正常、有效運行的組織機構(gòu)，使組織功能得以實現(xiàn)。

（2）員工管理：本模塊旨在系統(tǒng)的管理員工，培養(yǎng)員工的安全意識和提高員工的業(yè)務能力，以保證各項工作可以順利的進行。

（3）安全策略：本模塊主要是從宏觀層面和政策層面入手分析，建立和完善安全管理體系和安全管理制度。

（4）操作管理：本模塊主要從微觀層面入手，工作中每一個環(huán)節(jié)都嚴格按照各項制度進行操作，結(jié)合安全策略模塊，以保證系統(tǒng)操作的安全性。

2.2 安全技術部分

從企業(yè)業(yè)務方面進行考慮，把信息網(wǎng)絡安全技術部分分為四個模塊，分別是漏洞管理、安全控制、應答管理、風險管理和資產(chǎn)管理。每個子模塊由以下功能模塊組成：

（1）漏洞管理子模塊：該模塊主要由入侵檢查、漏洞監(jiān)測、網(wǎng)絡監(jiān)查和安全審計 4個方面組成。

（2）安全控制子模塊：該模塊主要由防病毒、防火墻、反垃圾、防拒絕訪問 4個方面組成。

（3）應答管理子模塊：該模塊主要由管理平臺、產(chǎn)品應答，人員應答 3個方面組成。

（4）風險管理子模塊：該模塊主要由風險辨別、風險管控、風險規(guī)避、風險轉(zhuǎn)移、風險評價 5個方面組成。

（5）資產(chǎn)管理子模塊：該模塊主要由物理環(huán)境、網(wǎng)絡設施、服務器、計算機系統(tǒng)、用戶終端，應用系統(tǒng) 6個方面組成。

3 信息網(wǎng)絡安全系統(tǒng)的實現(xiàn)

當企業(yè)內(nèi)部網(wǎng)絡和互聯(lián)網(wǎng)相連接時，網(wǎng)絡安全將是企業(yè)重點關注的問題。為了保證企業(yè)內(nèi)部網(wǎng)絡的安全，企業(yè)既要防范來自外部的各種攻擊，又要防范企業(yè)內(nèi)部用戶提供的非法網(wǎng)絡服務，必須采取相應的安全策略，防止企業(yè)網(wǎng)絡資源被非法利用。為此，企業(yè)必須對網(wǎng)絡信息安全機制進行全面調(diào)整，重新部署安全設施，建立信息網(wǎng)絡安全體系，并制定相應的控制策略。部署企業(yè)信息網(wǎng)絡安全系統(tǒng)應著重解決以下問題：

（1）因特網(wǎng)安全訪問。通過防火墻對計算機中的機密數(shù)據(jù)進行物理隔離，例如，當用戶需要登錄到Internet時，在將過濾數(shù)據(jù)從外部防火墻映射到 Internet之前，該用戶必須通過 Internet才能對數(shù)據(jù)進行過濾，然后才能將過濾數(shù)據(jù)傳送到外部防火墻。

（2）訪問防火墻控制。要實現(xiàn) VPN到端口和端口到VPN安全連接數(shù)據(jù)傳輸，必須結(jié)合內(nèi)外防火墻，以實現(xiàn)數(shù)據(jù)的安全傳輸，同時需要保證防火墻設置建立在隔離區(qū)之中，實行設置的單向控制，但必須嚴格過濾來自網(wǎng)內(nèi)隔離區(qū)的數(shù)據(jù)。

（3）入侵檢測。通過 IDS技術在發(fā)現(xiàn)可疑行為時，可自動阻斷入侵行為，并及時通知網(wǎng)絡管理員 IDS檢測，可以最大程度地保護系統(tǒng)安全，為系統(tǒng)提供保護支撐。

（4）驗證用戶。在主域服務器中安裝用戶認證系統(tǒng)并設置用戶的訪問和密碼權(quán)限，通過檢測連接用戶的用戶名、密碼對其進行身份識別，以保證撥號和網(wǎng)絡 VPN連接的安全。同時，對于連接的用戶建立訪問日志數(shù)據(jù)庫，用以記錄 VPN連接用戶的 IP、登錄時間、身份信息等，為系統(tǒng)管理提供依據(jù)。

（5）網(wǎng)絡防毒。為確保系統(tǒng)數(shù)據(jù)不受病毒攻擊，確保日常工作正常進行，企業(yè)需要在客戶端、文件服務器、郵件服務器和 OA服務器等設備上都安裝防病毒軟件，防止病毒的侵入和傳播，同時對殺毒軟件的病毒識別庫進行實時更新，以防止最新病毒的傳播造成整個網(wǎng)絡的破壞。

（6）VPN加密。為使企業(yè)員工能在因特網(wǎng)上訪問企業(yè)內(nèi)部網(wǎng)的 OA系統(tǒng)，可將 VPN技術與防火墻技術相結(jié)合，配置 VPN硬件設備，構(gòu)建虛擬專用網(wǎng)絡VPN。實現(xiàn)了以下功能：一是通過認證通信訪問控制；二是記錄已處理的通信或服務，生成日志和審計記錄；三是通過直接連接將認證數(shù)據(jù)發(fā)送到主機應用程序；四是通過VPN穿越防火墻；五是利用第三方認證產(chǎn)品改進認證安全性和訪問控制。

4 結(jié)束語

網(wǎng)絡安全在一定程度上決定著企業(yè)信息的風險程度，提高企業(yè)網(wǎng)絡信息安全，需要不斷地完善網(wǎng)絡信息安全系統(tǒng)工程，掌握網(wǎng)絡信息安全的系統(tǒng)知識，熟悉網(wǎng)絡系統(tǒng)安全防護的原理，然后按照系統(tǒng)的設計原則，結(jié)合系統(tǒng)部署方案，最終建立完善的安全管理平臺、安全保護服務器、安全保護代理等系統(tǒng)，從而提高系統(tǒng)的安全響應能力。