◆李雨帆

設計公司網絡與信息安全管理

◆李雨帆

（中國電力工程顧問集團西南電力設計院有限公司 四川 610056）

隨著互聯(lián)網及計算機技術的不斷發(fā)展，計算機輔助繪圖技術和各類設計軟件已經被廣泛應用于設計公司的日常工作之中，成了工程師們不可缺少的助力和生產力工具。但對于計算機和網絡系統(tǒng)的依賴，使得信息傳遞和數(shù)據存儲的安全需求也被擺到了前所未有的重要位置上。因此，設計公司的網絡與信息安全管理和防護管理有著很高的要求，具備極高的價值和極強的重要性。本文分析并探究了計算機網絡與信息安全技術在設計公司環(huán)境下的管理和應用，為提高數(shù)據的保密性、可使用性和完整性提供參考意見。

網絡安全；維護策略；信息管理

受益于互聯(lián)網的高速發(fā)展以及辦公信息化水平的提升，設計公司利用各類計算、制圖、渲染、仿真等計算機應用軟件，在數(shù)字化辦公系統(tǒng)的輔助之下進行工程設計的效率比起傳統(tǒng)的手工繪圖的方式不可同日而語：辦公資源的實時共享、網絡資源的方便獲取以及數(shù)字化檔案的遞交免除了大量圖紙印制和線下傳遞的不便，也極大地降低了辦公成本。但伴隨著網絡帶來的便利，安全方面的風險和隱患也隨之而來：無時無刻和無處不在的針對服務器的網絡攻擊嚴重威脅著存儲數(shù)據的安全，而在瀏覽和傳遞信息的過程中產生的大量數(shù)據更是極有可能暴露在威脅之下。而除了來自黑客及病毒的攻擊之外，斷電、火災、設備故障、系統(tǒng)異常、軟件錯誤等非人為因素也同樣會導致信息安全風險的產生。

如何確保這些數(shù)據的安全性和系統(tǒng)的可靠性、避免因數(shù)據丟失和盜用產生的財產損失是如今設計公司所必須面對的挑戰(zhàn)。通過設立完善的防護措施和應急預案，及時有效地開展網絡與信息安全突發(fā)事件的處置工作，方可最大程度地預防和減少網絡與信息安全突發(fā)事件造成的損害和負面影響，保障公司正常生產經營秩序。

1 網絡安全管理的定義和問題分類

計算機網絡安全是指利用網絡管理控制和技術措施，保證數(shù)據的保密性、可使用性和完整性在網絡環(huán)境下受到保護[1]，其主要包含了在信息運行的完整性和保密性不受到影響基礎上保證信息的可用性的邏輯安全，以及信息系統(tǒng)設備在物理狀態(tài)下受到保護以避免機械損傷或設備丟失等問題的物理安全兩方面的內容[2]。而根據公司網絡與信息安全運行情況，任何對上述安全產生威脅的突發(fā)事件都可分為運行環(huán)境異常類、網絡信息系統(tǒng)軟硬件故障類、人為因素三大類：

運行環(huán)境異常包括供電、溫濕度、自然災害等引起的公司網絡信息系統(tǒng)運行環(huán)境異常。該類突發(fā)事件會威脅到網絡運行和數(shù)據儲存設備的物理安全，也是最容易產生數(shù)據丟失、毀壞等不可挽回后果的種類。因為其不可預知性，只能通過備用電源、滅火系統(tǒng)、以及冗余備份等手段提高對于數(shù)據損毀的承受能力。

網絡信息系統(tǒng)軟硬件故障主要包括各網絡設備故障、廣域網鏈路故障、各信息系統(tǒng)軟硬件故障、軟件或系統(tǒng)缺陷、病毒攻擊等。網絡信息系統(tǒng)是一個龐大而復雜的體系，需要對安全管理軟件和硬件固件進行定期的升級和維護，排查出現(xiàn)故障的硬件進行替換，以及及時針對漏洞打上補丁，才能維持整個網絡系統(tǒng)的運行穩(wěn)定。

人為因素主要包括人為對信息機房及設備破壞、人為對傳輸光纜破壞、網絡信息系統(tǒng)維護時的誤操作、黑客入侵等，大多發(fā)生在用戶身份被竊取盜用、機房安保被滲透等較為特殊的情況下。盡管乍看之下很難和網絡安全聯(lián)系到一起，但這卻是在安全防護中最容易被忽略的節(jié)點——由于無法通過軟件的形式進行有效防御，只能依托于制度上的管理來保護硬件設施不受到物理層面的破壞，以及更加嚴格的身份驗證（如登錄IP過濾）來避免身份盜用的情況。

2 設計公司網絡安全管理的特點和需求

設計公司區(qū)別于其他行業(yè)，由于業(yè)務涉及的工程可能遍布世界各地，存在人員分布廣、使用端口多、與外界聯(lián)系繁雜等狀況，導致安全管理點多面廣，無法以傳統(tǒng)的方式對公司內外的訪問請求進行一刀切式的過濾；同時也意味著必須要能夠將工程信息等開放外網訪問，才能滿足在工程現(xiàn)場的員工使用公司系統(tǒng)進行多專業(yè)協(xié)同、共用或分用軟件平臺，以及相互間進行資料交接、信息傳輸?shù)葦?shù)字化辦公的需求。這對于數(shù)據共享的安全性以及保密性都提出了很高的要求，為網絡安全管理來說帶來了全新的挑戰(zhàn)。在實踐中，通過企業(yè)VPN進行域認證是一個可行方案，員工必須要通過統(tǒng)一認證的賬戶才能夠訪問網絡資源；或是添加身份驗證的步驟，同時對登錄時間和IP以及訪問的內容等進行記錄，從而確定訪問對象的安全與否，并在出現(xiàn)異常操作時及時進行阻斷。此外還應該對不同用戶組進行權限區(qū)分，對保密內容的訪問設置限制，并實時調整不同人員的系統(tǒng)角色，從而提高系統(tǒng)數(shù)據的安全性。

作為工程軟件主要依賴網絡應用的設計公司，服務器上和數(shù)據庫里有大量設計圖紙等高價值保密信息資產都是潛在的攻擊目標。但目前大多數(shù)公司對于網絡安全和信息財產保護的制度尚未完全跟上，在生產工作中也還沒有被員工引起足夠的重視。因此除了在網絡與信息安全方面配備最基礎的網絡與信息系統(tǒng)安全防護設施，如防火墻、殺毒軟件、入侵檢測、上網行為管理等系統(tǒng)之外，在網絡管理軟件覆蓋不到的主機安全、應用安全等方面仍然需要加強防護，以及作為在任何系統(tǒng)中都無法被替代的“人”的部分，提高員工的個人網絡安全防護措施和意識也是在信息安全中不可或缺的一環(huán)。一個合格的網絡與信息安全解決方案對設計公司而言，應該要能夠達到如下三點要求：

（1）有效性：安全措施需要切實有效，能實在地提高數(shù)據安全性和可靠性，解決網絡 安全方面所面臨的痛點問題；

（2）適用性：能應用于不同種類和不同架構的網絡系統(tǒng)，以及能夠適應并滿足設計公 司的特殊需求；

（3）可行性：軟硬件層面應方便操作和管理維護，制度層面應易于順利推行和便于長期執(zhí)行。

3 設計公司網絡安全管理改進建議

在了解了設計公司所面臨的狀況以及所具備的特點和問題之后，我們可以嘗試從以下幾個大的方面著手提升公司的網絡安全防護水平：

3.1 升級防護

預防永遠是網絡安全里的重中之重。在當今復雜的網絡架構和瞬息萬變的威脅環(huán)境中，攻擊手段也同樣地復雜多變，而大數(shù)據時代突飛猛進的人工智能技術被應用于黑客手段所構成的威脅也遠不可同日而語。唯有不間斷地升級防護才能從網絡攻擊中保護貴重的信息資產，防火墻和殺毒軟件等防護措施如果不能及時獲取最新的防護補丁，在面對新的威脅時便會在很大程度上失去效力，極有可能讓網絡系統(tǒng)暴露在危險之下。同時通過防火墻、沙盒、多重身份驗證等構造復合層次的防護手段也能提高在遭受網絡攻擊時的防御系統(tǒng)。此外更需要注重針對執(zhí)行函數(shù)做過濾，避免數(shù)據庫等關鍵內容遭到SQL注入攻擊，或是在沒有指定絕對路徑的情況下就執(zhí)行用戶通過瀏覽器提交的命令等風險。

3.2 多重備份

為了確保重要數(shù)據的可靠性，最小化硬盤故障等運行環(huán)境異常造成的負面影響，有必要對數(shù)據庫和服務器進行分布式多重冗余備份。對于設計公司而言，備份需要滿足3-2-1原則：即三份數(shù)據（一份生產數(shù)據，兩份備份數(shù)據），存放在兩種不同的媒介上，且其中一份在異地。異地儲存的這份數(shù)據可以選擇云儲存，然而近年爆出的幾起數(shù)據丟失事件也證明了云儲存并非萬無一失；除了盡量選擇可靠的云服務提供商之外，還應該以月或更短的區(qū)間為周期定期進行數(shù)據冷備份，作為在其他儲存方式全都失效時恢復數(shù)據的最終手段。信息管理員還需要確保機房內的服務器處在穩(wěn)定的運行環(huán)境中，定期檢查滅火裝置和備用供電設備是否可靠有效，以及執(zhí)行嚴密的安保措施防止受到外來人員的物理破壞。

3.3 物理隔絕

不得不承認的是，無論防護如何嚴密，任何數(shù)據只要與互聯(lián)網連接就仍然有向外界暴露的風險，因此最為徹底的安全防護手段即為物理層面的隔絕。針對涉密和具有重大價值的信息資產，設立與互聯(lián)網完全隔絕的單機工作站是很有必要的——既能滿足進行數(shù)字化設計的需求，又能根除通過網絡泄露風險。但光是從網絡上進行隔絕還不夠，從制度上和技術措施上防止物理滲透也是很有必要的——比如需要提前進行使用工作站的申請和報告、不允許單人進入工作站獨自操作、不允許攜帶任何儲存設備或錄像設備、必須進行上下機的登記、以及軟件和硬件層面的行為監(jiān)控都是確保信息安全的必要舉措。

3.4 加強網絡安全建設

從運行環(huán)境、軟硬件和管理制度等全方面來打造并強化一個完善的網絡安全體系是所有設計公司應該實現(xiàn)的目標。針對公司的實際情況和數(shù)字化資產的管理，通過建立起一整套漏洞檢測、威脅篩查、缺陷梳理、問題分析、快速響應和在網絡安全突發(fā)事件發(fā)生之后進行處理的應急預案，設立專門的應急響應機構以保證在各種情況下都能夠高效地處理相關情況，將事故造成的消極影響降到最低。此外也必須重視對員工網絡安全意識的培養(yǎng)，強化對數(shù)據侵害的敏感度，普及信息安全的重要性；并引入公司層面的網絡系統(tǒng)管理防護機制，將可能的網絡信息安全事故扼殺在萌芽中。

4 結束語

2017年爆發(fā)的永恒之藍大規(guī)模勒索病毒事件給數(shù)以萬計的公司企業(yè)造成了難以估計的重大損失，敲響了網絡與信息安全管理和防護領域的一記警鐘，讓很多公司及企業(yè)的管理者意識到了數(shù)據的脆弱和信息安全的重要，加大了對于無形資產保護的投入?！鞍踩珶o小事”，這在網絡信息方面也同樣適用，而設計公司的特殊性和所處環(huán)境的復雜性，決定了其對于網絡信息安全有著更高的要求。做好網絡與信息安全管理對于保障設計公司數(shù)字化辦公系統(tǒng)的正常、穩(wěn)定地運行意義重大，也是維護公司正常生產經營秩序的關鍵所在。

[1]倪亞會. 談計算機網絡安全管理的一些技術與方法[J]．計算機光盤軟件與應用，2012（4）：72-73.

[2]曲卓.計算機網絡安全技術在網絡安全維護中的應用[J].數(shù)碼設計（上），2020，39（2）：18-19.

[3]彭禮平，傅嘉輝.計算機網絡安全問題及其防范對策探析[J].計算機產品與流通，2020（09）：59.

[4]顏蔚.計算機網絡安全技術在網絡安全維護中的應用分析算機網評《計算機網絡信息安全與應用》[J].中國科技論文，2020，15（6）：后插10.