吳清海

（四川泛華航空儀表電器有限公司，四川 成都 610500）

0 引言

為了能夠?qū)⑵髽I(yè)信息網(wǎng)絡(luò)的優(yōu)勢(shì)充分體現(xiàn)出來(lái)，確保企業(yè)數(shù)字化總體建設(shè)目標(biāo)的完成，企業(yè)在大力推行各種應(yīng)用系統(tǒng)的過(guò)程中，還需要進(jìn)一步強(qiáng)化企業(yè)信息，網(wǎng)絡(luò)安全保障體系的建設(shè)工作，為企業(yè)各項(xiàng)工作的順利開(kāi)展保駕護(hù)航，加快促進(jìn)企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展[1]。

1 企業(yè)信息安全需求

1.1 主要安全威脅

在企業(yè)的信息建設(shè)與應(yīng)用工作中，其所包含的基礎(chǔ)設(shè)施比較多，企業(yè)信息網(wǎng)絡(luò)屬于其中內(nèi)容之一。關(guān)于企業(yè)信息網(wǎng)絡(luò)所面臨的安全威脅方面，主要可以劃分為以下幾點(diǎn)：

第一，物理環(huán)境的威脅。關(guān)于物理環(huán)境對(duì)安全所產(chǎn)生的威脅，環(huán)境安全、設(shè)備安全與線路安全屬于三個(gè)主要方面。一般情況下，物理環(huán)境的威脅極有可能引發(fā)系統(tǒng)性的災(zāi)難，產(chǎn)生無(wú)法估量的后果。

第二，系統(tǒng)隱患的威脅。在整個(gè)信息系統(tǒng)中，因?yàn)橄到y(tǒng)主體與客體的因素，極有可能引發(fā)程度不同的脆弱性，為所有動(dòng)機(jī)的攻擊行為提供一些途徑或者方法，繼而對(duì)信息系統(tǒng)造成入侵、騷擾或者破壞，這樣病毒就會(huì)容易攻擊系統(tǒng)，為攻擊者的惡意入侵行為創(chuàng)造條件。

第三，信息攻擊的威脅。對(duì)于企業(yè)信息網(wǎng)絡(luò)而言，惡意攻擊者的入侵與病毒攻擊屬于最為主要的信息攻擊行為?，F(xiàn)階段，黑客攻擊的工具比較多樣，在企業(yè)信息網(wǎng)絡(luò)中，網(wǎng)內(nèi)或網(wǎng)外不明身份的惡意攻擊者或網(wǎng)絡(luò)攻防“愛(ài)好者”的攻擊行為屢見(jiàn)不鮮。同時(shí)，計(jì)算機(jī)病毒也會(huì)嚴(yán)重威脅網(wǎng)絡(luò)信息系統(tǒng)，倘若將黑客技術(shù)與病毒技術(shù)聯(lián)合起來(lái)，其對(duì)企業(yè)信息網(wǎng)所產(chǎn)生的危害會(huì)更加突出。

第四，內(nèi)部人員的威脅。企業(yè)內(nèi)部工作人員會(huì)對(duì)企業(yè)信息網(wǎng)絡(luò)系統(tǒng)開(kāi)展應(yīng)用行為，基本都具備自身的訪問(wèn)權(quán)限。在對(duì)企業(yè)信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行運(yùn)用的過(guò)程中，受到一些因素的影響，極有可能出現(xiàn)濫用職權(quán)行為，亦或是所進(jìn)行的操作行為超出自身的職權(quán)范圍，在不經(jīng)過(guò)系統(tǒng)信息防護(hù)措施的情況下，直接進(jìn)入至企業(yè)信息網(wǎng)絡(luò)系統(tǒng)中，對(duì)企業(yè)重要的保密信息作出竊取，情況嚴(yán)重的，還會(huì)對(duì)企業(yè)的整個(gè)信息網(wǎng)絡(luò)系統(tǒng)造成嚴(yán)重破壞[2]。

第五，管理不善的威脅。在企業(yè)的信息系統(tǒng)中，許多方面的因素都會(huì)對(duì)信息的安全性造成影響，不單單包括技術(shù)與人的因素，倘若企業(yè)的管理活動(dòng)缺乏科學(xué)性、合理性與有效性，也會(huì)威脅企業(yè)的信息系統(tǒng)，進(jìn)而影響有關(guān)工作的開(kāi)展。

1.2 安全保密需求

在企業(yè)的信息系統(tǒng)中，通過(guò)科學(xué)分析主要的安全威脅情況，可以將企業(yè)信息網(wǎng)絡(luò)的安全保密需求劃分為以下幾點(diǎn)：

第一，骨干網(wǎng)互聯(lián)安全。在開(kāi)展敏感信息的傳輸活動(dòng)的過(guò)程中，需要促使傳輸活動(dòng)的安全性得到保證，除此之外，針對(duì)企業(yè)內(nèi)網(wǎng)的非法攻擊、掃描與病毒傳播行為，還需要開(kāi)展高效的控制活動(dòng)。

第二，接入安全。為了能夠?qū)阂夤ザ九c病毒侵入，起到良好的防范作用，還需要對(duì)除企業(yè)網(wǎng)之外的外部介入與訪問(wèn)活動(dòng)進(jìn)行嚴(yán)格控制。

第三，身份鑒別與訪問(wèn)控制。對(duì)于企業(yè)信息網(wǎng)絡(luò)而言，其包含多樣化的安全需求，最為基本的安全需求之一就是身份認(rèn)證與鑒別。企業(yè)在開(kāi)展授權(quán)與訪問(wèn)控制工作的過(guò)程中，身份認(rèn)證與鑒別發(fā)揮著重要的基礎(chǔ)作用。授權(quán)與訪問(wèn)控制等機(jī)制的運(yùn)用，主要是針對(duì)部分重要或敏感信息，特別是未來(lái)辦公自動(dòng)化系統(tǒng)中的信息資源。

第四，主機(jī)安全與桌面防護(hù)。在網(wǎng)絡(luò)的基本單元中，主機(jī)屬于其中內(nèi)容之一。近幾年，伴隨著社會(huì)的發(fā)展和進(jìn)步，越來(lái)越多的人開(kāi)始高度重視主機(jī)安全，企業(yè)更是如此。為了全面保障服務(wù)器與終端的可用性與安全性，關(guān)于一些重要的服務(wù)器與終端方面，可以利用一系列的安全防護(hù)措施，例如：預(yù)防病毒、控制訪問(wèn)等[3]。

第五，入侵檢測(cè)與網(wǎng)絡(luò)監(jiān)控。在系統(tǒng)健全的安全體系中，需要將入侵檢測(cè)和網(wǎng)絡(luò)監(jiān)控包含進(jìn)來(lái)。通過(guò)入侵檢測(cè)與網(wǎng)絡(luò)監(jiān)控活動(dòng)的開(kāi)展，可以在第一時(shí)間發(fā)現(xiàn)其中所存在的問(wèn)題，并依據(jù)具體的問(wèn)題對(duì)有關(guān)安全策略作出改進(jìn)與優(yōu)化。

第六，安全管理需求。在系統(tǒng)管理人員開(kāi)展有關(guān)工作的過(guò)程中，為了全面保障安全管理活動(dòng)的落實(shí)，可以充分運(yùn)用可視化的安全管理工具。

2 企業(yè)信息化一體化網(wǎng)絡(luò)安全保密平臺(tái)設(shè)計(jì)

2.1 設(shè)計(jì)原則

第一，安全保密一體化。通過(guò)大量的實(shí)踐充分表明，要想促使信息安全問(wèn)題得到處理，需要將信息安全與保密融合成為一體，通過(guò)企業(yè)信息一體化網(wǎng)絡(luò)安全保密平臺(tái)設(shè)計(jì)工作的開(kāi)展，可以增強(qiáng)信息的安全性，為管理工作的開(kāi)展創(chuàng)造便捷。

第二，高可用性。在建設(shè)企業(yè)信息化一體化網(wǎng)絡(luò)安全保密平臺(tái)設(shè)計(jì)工作的過(guò)程中，其所具備的可靠性應(yīng)當(dāng)比較高。與此同時(shí)，還可以具備一定的透明性，這樣可以有效避免當(dāng)前的網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行受到該平臺(tái)的影響。

第三，易管理。可以對(duì)便捷的管理工具進(jìn)行提供，針對(duì)企業(yè)信息化一體化網(wǎng)絡(luò)安全保密平臺(tái)的安全保密設(shè)備，可以開(kāi)展高效的管理工作。

2.2 體系設(shè)計(jì)

在企業(yè)信息網(wǎng)絡(luò)安全保密體系中，居于核心地位的就是網(wǎng)絡(luò)安全保密管理，以有關(guān)安全機(jī)制為依托，對(duì)一體化網(wǎng)絡(luò)安全保密服務(wù)平臺(tái)進(jìn)行提供。其中，數(shù)據(jù)加密機(jī)制、訪問(wèn)控制機(jī)制、安全審計(jì)機(jī)制、入侵檢測(cè)機(jī)制、網(wǎng)絡(luò)監(jiān)控機(jī)制、病毒防護(hù)機(jī)制等屬于安全機(jī)制的內(nèi)容。

2.3 安全架構(gòu)

（1）整體安全解決方案。以具體的安全需求為依據(jù)，可以開(kāi)展企業(yè)信息化一體化平臺(tái)建設(shè)，例如網(wǎng)絡(luò)安全保密平臺(tái)解決方案制定活動(dòng)。在該方案中，其主體就是企業(yè)管理層與技術(shù)人員，將主要服務(wù)對(duì)象確定為企業(yè)生產(chǎn)與管理活動(dòng)，以當(dāng)前的企業(yè)網(wǎng)絡(luò)為前提，通過(guò)各種信息安全技術(shù)，運(yùn)用企業(yè)信息化一體化網(wǎng)絡(luò)安全保密平臺(tái)建設(shè)工作，促使企業(yè)內(nèi)安全數(shù)字化工作的完成。以所明確的建設(shè)目標(biāo)與原則為依據(jù)，立足于企業(yè)安全互聯(lián)網(wǎng)，大力建設(shè)PKI信息安全基礎(chǔ)設(shè)施，進(jìn)一步強(qiáng)化重要主機(jī)的安全保護(hù)工作，通過(guò)一系列的技術(shù)，推動(dòng)一體化網(wǎng)絡(luò)安全保密體系建設(shè)活動(dòng)的完成。在該方案中，相關(guān)活動(dòng)的開(kāi)展以PKI基礎(chǔ)設(shè)施為依據(jù)，將相關(guān)目標(biāo)確定為安全服務(wù)建設(shè)，利用科學(xué)的安全服務(wù)接口，發(fā)布并管理企業(yè)信息，將多樣化的服務(wù)提供給所有信息業(yè)務(wù)系統(tǒng)?；ヂ?lián)安全、安全保密管理中心、重要子網(wǎng)保護(hù)、入侵檢測(cè)與網(wǎng)絡(luò)監(jiān)控等屬于該方案的內(nèi)容。

（2）安全管理中心。在安全管理中心中，認(rèn)證與授權(quán)管理服務(wù)器、入侵檢測(cè)與監(jiān)控管理平臺(tái)以及安全管理平臺(tái)屬于其基本配置。其中，通過(guò)認(rèn)證與授權(quán)管理服務(wù)器，主要負(fù)責(zé)認(rèn)證身份信息，并授權(quán)重要資源。利用入侵檢測(cè)與監(jiān)控管理平臺(tái)，可以監(jiān)管入侵檢測(cè)管理和網(wǎng)絡(luò)內(nèi)容。運(yùn)用安全管理平臺(tái)，可以科學(xué)配置網(wǎng)絡(luò)的安全設(shè)備策略，評(píng)估設(shè)備、網(wǎng)絡(luò)審計(jì)管理與分析工作。

（3）互聯(lián)網(wǎng)安全。在企業(yè)的網(wǎng)絡(luò)中，利用VPN安全網(wǎng)關(guān)互聯(lián)。為了避免對(duì)性能造成影響，在企業(yè)互聯(lián)線路中，可以運(yùn)用千兆高性能的安全網(wǎng)關(guān)，其具備比較高的防火墻吞吐率，在瀏覽與傳輸普通信息的過(guò)程中，只需要開(kāi)展防火墻的訪問(wèn)控制工作。關(guān)于敏感數(shù)據(jù)流方面，相關(guān)傳輸工作可以運(yùn)用安全隧道來(lái)完成。

（4）內(nèi)網(wǎng)安全。在企業(yè)信息網(wǎng)絡(luò)安全工作中，居于基礎(chǔ)地位的就是內(nèi)網(wǎng)安全，其措施主要包含以下幾點(diǎn)：

第一，身份認(rèn)證。相關(guān)工作的完成，以身份認(rèn)證系統(tǒng)為依托，身份認(rèn)證系統(tǒng)的基礎(chǔ)就是數(shù)字證書(shū)。通過(guò)身份認(rèn)證系統(tǒng)，可以對(duì)所有使用者的身份作出明確，促進(jìn)單點(diǎn)登錄活動(dòng)的完成。

第二，授權(quán)與訪問(wèn)控制。授權(quán)與訪問(wèn)控制工作的開(kāi)展，針對(duì)主要資源，特別是辦公自動(dòng)化系統(tǒng)。該工作的完成，以PKI授權(quán)管理系統(tǒng)與訪問(wèn)控制網(wǎng)關(guān)為基礎(chǔ)，數(shù)字證書(shū)用戶(hù)依據(jù)自身的權(quán)限，可以安全訪問(wèn)網(wǎng)絡(luò)。在訪問(wèn)控制網(wǎng)關(guān)中，通過(guò)門(mén)戶(hù)系統(tǒng)，可以對(duì)訪問(wèn)業(yè)務(wù)系統(tǒng)的用戶(hù)身份信息作出獲取，并以角色為基礎(chǔ)開(kāi)展訪問(wèn)控制工作，一旦出現(xiàn)非授權(quán)或越權(quán)訪問(wèn)，就會(huì)將網(wǎng)絡(luò)連接斷開(kāi)，并對(duì)訪問(wèn)行為做出整理[4]。

第三，安全審計(jì)、入侵檢測(cè)與網(wǎng)絡(luò)監(jiān)控。通過(guò)安全審計(jì)，可以有效推動(dòng)事后分析與追蹤工作的完成。利用入侵檢測(cè)與網(wǎng)絡(luò)監(jiān)控，可以針對(duì)企業(yè)內(nèi)網(wǎng)的非法入侵與攻擊行為，開(kāi)展實(shí)施的分析與檢測(cè)活動(dòng)，并進(jìn)行報(bào)警行為。

第四，網(wǎng)絡(luò)防病毒。現(xiàn)階段，網(wǎng)絡(luò)病毒具備非常高的危害性，在互聯(lián)網(wǎng)中，為了有效避免病毒的傳播與擴(kuò)散行為，可以對(duì)防病毒網(wǎng)關(guān)進(jìn)行安裝。

（5）子頁(yè)安全。關(guān)于企業(yè)信息網(wǎng)絡(luò)中的財(cái)務(wù)部門(mén)、安全保密、科研重要子頁(yè)方面，可以強(qiáng)化開(kāi)展安全保護(hù)工作。為了有效控制訪問(wèn)活動(dòng)，企業(yè)還可以選擇安裝防火墻，這樣還有助于邏輯隔離工作的開(kāi)展。

（6）主機(jī)安全防護(hù)。當(dāng)前，在企業(yè)信息化一體化網(wǎng)絡(luò)安全保密平臺(tái)設(shè)計(jì)工作中，主機(jī)安全保護(hù)的重要性越來(lái)越高。將包含服務(wù)器與部分重要終端設(shè)備在內(nèi)的主機(jī)，需要重點(diǎn)開(kāi)展保護(hù)工作。在進(jìn)行服務(wù)器保護(hù)工作的過(guò)程中，相關(guān)保護(hù)工作的開(kāi)展，可以利用專(zhuān)用網(wǎng)關(guān)的安裝，或安全中間件來(lái)完成。在保護(hù)重要終端的過(guò)程中，為了能夠更好地保護(hù)信息存儲(chǔ)工作的安全性，強(qiáng)化防護(hù)主機(jī)網(wǎng)絡(luò)的安全，確保電子郵件與信息傳輸?shù)陌踩阅埽梢詫?duì)必要的系統(tǒng)做出安裝，比如，安全公文包和安全電子郵件系統(tǒng)、桌面安全防護(hù)系統(tǒng)等[5]。

3 結(jié)論

伴隨著網(wǎng)絡(luò)建設(shè)工作的進(jìn)一步開(kāi)展，企業(yè)中所運(yùn)用的信息系統(tǒng)與辦公自動(dòng)化系統(tǒng)的數(shù)量越來(lái)越多，企業(yè)網(wǎng)絡(luò)安全需求更加突出。在開(kāi)展企業(yè)信息化一體化網(wǎng)絡(luò)安全保密平臺(tái)設(shè)計(jì)工作的過(guò)程中，各項(xiàng)工作的開(kāi)展可以嚴(yán)格依據(jù)有關(guān)設(shè)計(jì)原則來(lái)進(jìn)行，在此基礎(chǔ)上，制定健全的企業(yè)一體化網(wǎng)絡(luò)安全保密體系，增強(qiáng)企業(yè)信息的安全性，為企業(yè)創(chuàng)造更多的經(jīng)濟(jì)效益與社會(huì)效益，加快推動(dòng)企業(yè)的可持續(xù)、穩(wěn)定、和諧發(fā)展。