中國(guó)核工業(yè)二四建設(shè)有限公司 馬利鑫

1 行業(yè)網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析

1.1 網(wǎng)絡(luò)安全重視程度

在計(jì)算機(jī)應(yīng)用于工作的各個(gè)方面時(shí)，如果缺乏對(duì)計(jì)算機(jī)數(shù)據(jù)信息的認(rèn)識(shí)和了解，就會(huì)出現(xiàn)各種安全方面的問(wèn)題。網(wǎng)絡(luò)安全被視為隱形投資，其投入效果無(wú)法直接量化和顯現(xiàn)。許多企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度不高，存在著僥幸心理或者由于缺乏網(wǎng)絡(luò)安全技術(shù)能力等問(wèn)題而無(wú)法有效應(yīng)對(duì)安全事件?？紤]到防御的短板效應(yīng)，無(wú)法做到全面防范，而投入的成本與發(fā)生的安全事件造成的損失往往難以準(zhǔn)確衡量。

1.2 網(wǎng)絡(luò)安全硬件與技術(shù)協(xié)調(diào)工作

一些企業(yè)如果受到網(wǎng)絡(luò)安全廠商的推銷(xiāo)誤導(dǎo)，面對(duì)諸多概念和新名詞層出不窮的情況。為了快速建立安全防護(hù)體系，這些企業(yè)購(gòu)買(mǎi)和上架了大量網(wǎng)絡(luò)安全產(chǎn)品。然而，組織和使用這些產(chǎn)品以發(fā)揮成效，卻成為企業(yè)面臨的新難題。由于缺乏相關(guān)技術(shù)人員，網(wǎng)絡(luò)安全崗位的人員數(shù)量極少，僅憑公司內(nèi)部能力難以進(jìn)行運(yùn)維工作，導(dǎo)致設(shè)備閑置，并且可能成為外部攻擊的目標(biāo)。

1.3 網(wǎng)絡(luò)安全體系的科學(xué)有效性

隨著企業(yè)網(wǎng)絡(luò)向“無(wú)邊界”轉(zhuǎn)變，網(wǎng)絡(luò)安全面臨了更大的挑戰(zhàn)。傳統(tǒng)的內(nèi)網(wǎng)流量默認(rèn)可信的邊界信任模型已無(wú)法適應(yīng)無(wú)邊界企業(yè)的IT 架構(gòu)，并且暴露出明顯的安全缺陷。舉例來(lái)說(shuō)，連接內(nèi)網(wǎng)和外網(wǎng)的VPN 網(wǎng)關(guān)一旦被攻擊者攻破，如果沒(méi)有更強(qiáng)大的安全措施，攻擊者將直接接觸到企業(yè)的數(shù)字資產(chǎn)，從而面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

另一方面，企業(yè)管理復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和大量的遠(yuǎn)程訪問(wèn)也給企業(yè)的業(yè)務(wù)網(wǎng)站、應(yīng)用系統(tǒng)和運(yùn)維工作等帶來(lái)了巨大的壓力。這同時(shí)也影響到企業(yè)的辦公效率和運(yùn)營(yíng)效率。

2 針對(duì)企業(yè)網(wǎng)絡(luò)安全體系構(gòu)建的對(duì)策

2.1 確?；A(chǔ)網(wǎng)絡(luò)暢通可用

在全國(guó)范圍內(nèi)存在建設(shè)項(xiàng)目的建筑公司，在建設(shè)內(nèi)部網(wǎng)絡(luò)時(shí)同樣與一般公司一樣使用VPN 設(shè)備連接總部與各分公司或項(xiàng)目，但不同點(diǎn)如下。一是建設(shè)項(xiàng)目處于在建狀態(tài)，管理人員所在辦公區(qū)域一般為臨建設(shè)施；二是項(xiàng)目管理人員中沒(méi)有網(wǎng)絡(luò)專(zhuān)業(yè)人員；三是建設(shè)項(xiàng)目網(wǎng)絡(luò)安裝一般聯(lián)系本地電信或聯(lián)通公司委托辦理，VPN 需要企業(yè)自己安裝；四是建設(shè)項(xiàng)目完成后設(shè)備要回收重新使用；五是建設(shè)項(xiàng)目存在第三方分包為不可信第三方，不能接入企業(yè)內(nèi)網(wǎng)[1]。

應(yīng)對(duì)種種問(wèn)題，相關(guān)網(wǎng)絡(luò)人員在建設(shè)項(xiàng)目開(kāi)始之初，就應(yīng)準(zhǔn)備好網(wǎng)絡(luò)規(guī)劃。首先確認(rèn)采購(gòu)VPN 設(shè)備或調(diào)撥舊設(shè)備；其次需要與建設(shè)項(xiàng)目相關(guān)管理人員溝通，確認(rèn)分包單位辦公區(qū)域，并預(yù)留預(yù)備空間；在建設(shè)項(xiàng)目辦理網(wǎng)絡(luò)時(shí)，與電信或聯(lián)通公司溝通，設(shè)置網(wǎng)絡(luò)結(jié)構(gòu)，并要求張貼詳細(xì)線路標(biāo)簽，具體簡(jiǎn)易結(jié)構(gòu)如圖1所示，確保分包單位與企業(yè)管理員工的工作網(wǎng)絡(luò)存在隔離；因目前VPN 產(chǎn)品往往有多種功能，可設(shè)置簡(jiǎn)單的防火墻策略進(jìn)行安全冗余設(shè)置。最后確認(rèn)設(shè)備負(fù)責(zé)人，保證設(shè)備不被損壞，項(xiàng)目結(jié)束時(shí)負(fù)責(zé)回收設(shè)備。

圖1 VPN 部署位置及人員訪問(wèn)路徑

因項(xiàng)目部處于在建狀態(tài)，按照控制成本效益最大化原則，采購(gòu)網(wǎng)絡(luò)設(shè)備需充分考慮性價(jià)比，因此，項(xiàng)目可只采購(gòu)一臺(tái)VPN 設(shè)備，具體設(shè)置鏈接如圖2所示，分為三類(lèi)節(jié)點(diǎn)，總節(jié)點(diǎn)即總部，提供企業(yè)內(nèi)部應(yīng)用服務(wù)；次節(jié)點(diǎn)副中心節(jié)點(diǎn)，提供上網(wǎng)服務(wù)；末節(jié)點(diǎn)為項(xiàng)目部節(jié)點(diǎn)，為需求服務(wù)的節(jié)點(diǎn)。其中總部節(jié)點(diǎn)、副中心節(jié)點(diǎn)有完善的網(wǎng)絡(luò)防護(hù)設(shè)備，項(xiàng)目部節(jié)點(diǎn)通過(guò)VPN 對(duì)數(shù)據(jù)分流，對(duì)企業(yè)內(nèi)部應(yīng)用服務(wù)需求被發(fā)送至總部節(jié)點(diǎn)，對(duì)外網(wǎng)需求被發(fā)送至副中心節(jié)點(diǎn)，完成網(wǎng)絡(luò)出口統(tǒng)一，使項(xiàng)目部在邏輯上處于“內(nèi)網(wǎng)”內(nèi)部，而非邊界。副中心的具體選址應(yīng)根據(jù)實(shí)際情況確定，需充分考慮成本與網(wǎng)絡(luò)服務(wù)質(zhì)量。在壓縮成本的同時(shí)，應(yīng)保證項(xiàng)目部網(wǎng)絡(luò)流程，不干擾工作。

圖2 總部與各分支機(jī)構(gòu)網(wǎng)絡(luò)部署

2.2 應(yīng)用系統(tǒng)上線前進(jìn)行基線檢查

建筑企業(yè)內(nèi)部應(yīng)用的安全防護(hù)與一般企業(yè)相同，需要采取以下措施。

2.2.1 服務(wù)器安全

一是在服務(wù)器上安裝殺毒軟件，并定期更新病毒庫(kù)，以確保服務(wù)器免受惡意軟件的感染。二是定期修補(bǔ)服務(wù)器操作系統(tǒng)和應(yīng)用程序的漏洞，保持系統(tǒng)的安全性。三是使用防火墻對(duì)服務(wù)器進(jìn)行區(qū)域劃分，實(shí)現(xiàn)邏輯隔離，限制訪問(wèn)權(quán)限，以防止橫向傳播攻擊。

2.2.2 上線準(zhǔn)備和安全測(cè)試

一是在服務(wù)器上線之前，進(jìn)行網(wǎng)絡(luò)安全測(cè)試，以發(fā)現(xiàn)和解決潛在的安全漏洞。二是上線后，根據(jù)信息安全等級(jí)保護(hù)2.0的指南，調(diào)整服務(wù)器的基線安全參數(shù)，包括安全配置、訪問(wèn)控制和日志記錄等，以加強(qiáng)服務(wù)器的安全性。

2.2.3 加強(qiáng)出差個(gè)人使用的VPN 服務(wù)的安全保護(hù)

一是加強(qiáng)對(duì)出差個(gè)人使用的VPN服務(wù)的安全防護(hù)措施，例如啟用不可保存密碼、硬件特征碼認(rèn)證和多因素認(rèn)證等。二是應(yīng)用服務(wù)可通過(guò)統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)各個(gè)系統(tǒng)賬號(hào)進(jìn)行統(tǒng)一管理。三是對(duì)各個(gè)系統(tǒng)的初始密碼應(yīng)采取安全措施，例如設(shè)置初始賬戶在一定時(shí)間內(nèi)不登錄自動(dòng)鎖定等。

通過(guò)專(zhuān)業(yè)的安全防護(hù)措施和控制措施，建筑企業(yè)能夠保護(hù)內(nèi)部應(yīng)用免受安全威脅，并確保企業(yè)數(shù)據(jù)和系統(tǒng)的安全性。

2.3 計(jì)算機(jī)主機(jī)安全防護(hù)不容忽視

計(jì)算機(jī)作為網(wǎng)絡(luò)的基本終端，確保數(shù)據(jù)安全性和防止泄密需要采取的措施如下。

一是安裝正版殺毒軟件。二是防止數(shù)據(jù)丟失和泄密。養(yǎng)成下班關(guān)機(jī)的好習(xí)慣，確保在離開(kāi)時(shí)關(guān)閉計(jì)算機(jī)，防止未授權(quán)訪問(wèn)和數(shù)據(jù)泄露。不安裝遠(yuǎn)程工具或使用臨時(shí)安裝的軟件，在確保安全的前提下，限制軟件的安裝并及時(shí)卸載無(wú)用的軟件。避免從非官方渠道下載軟件，以減少惡意軟件的風(fēng)險(xiǎn)。三是備份重要文件，對(duì)重要文件進(jìn)行定期備份，確保在數(shù)據(jù)丟失或損壞時(shí)還原文件。四是云桌面設(shè)備的推薦使用，推薦使用云桌面設(shè)備，當(dāng)硬件和網(wǎng)絡(luò)滿足要求時(shí)，云桌面提供的成本和服務(wù)都優(yōu)于傳統(tǒng)的桌面設(shè)備。云桌面具有更好的網(wǎng)絡(luò)防御能力，并自帶備份數(shù)據(jù)的安全性增強(qiáng)功能?？梢酝ㄟ^(guò)預(yù)先安裝辦公軟件的云桌面模板，限制其他應(yīng)用的安裝，并進(jìn)行統(tǒng)一的補(bǔ)丁打包操作，提高系統(tǒng)的安全性，并減少員工對(duì)網(wǎng)絡(luò)安全的操作。

通過(guò)以上專(zhuān)業(yè)的安全措施，能夠保護(hù)計(jì)算機(jī)的安全性，防止數(shù)據(jù)丟失和泄密的風(fēng)險(xiǎn)。

2.4 增強(qiáng)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)

企業(yè)員工在日常工作中往往以完成自身任務(wù)為第一優(yōu)先，與工作相關(guān)性較弱的內(nèi)容越簡(jiǎn)單越好。同時(shí)，建筑類(lèi)公司員工施工現(xiàn)場(chǎng)工作強(qiáng)度大，日常受到的多為現(xiàn)場(chǎng)施工安全培訓(xùn)，網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，企業(yè)網(wǎng)絡(luò)人員數(shù)量不足，整體員工對(duì)網(wǎng)絡(luò)安全重視程度還未有效提升等現(xiàn)實(shí)問(wèn)題。因此，可以采用更多的強(qiáng)制型技術(shù)，使用上網(wǎng)行為管理系統(tǒng)，一方面對(duì)員工上網(wǎng)服務(wù)進(jìn)行合理限制，另一方面啟用上網(wǎng)實(shí)名制功能，促使用戶實(shí)名上網(wǎng)，在發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患時(shí)可以快速定位隱患電腦位置；另外項(xiàng)目建設(shè)過(guò)程中有分包人員與勞務(wù)人員參與建設(shè)，相對(duì)人員較為復(fù)雜，用戶實(shí)名上網(wǎng)可有效防護(hù)和區(qū)分用戶的身份，便于后續(xù)系統(tǒng)審計(jì)使用[2-3]。

組織有關(guān)網(wǎng)絡(luò)安全的培訓(xùn)和宣傳活動(dòng)，牢牢抓住網(wǎng)絡(luò)安全宣傳周等活動(dòng)，促進(jìn)全員學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，讓員工了解網(wǎng)絡(luò)安全的基本知識(shí)和技能，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)。制定安全政策和規(guī)定，明確員工的行為準(zhǔn)則和責(zé)任，加強(qiáng)網(wǎng)絡(luò)安全管理。對(duì)員工進(jìn)行技術(shù)培訓(xùn)和演練，提高員工的網(wǎng)絡(luò)安全技能和應(yīng)對(duì)能力，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)和能力。每年進(jìn)行一次網(wǎng)絡(luò)安全演練活動(dòng)，進(jìn)行風(fēng)險(xiǎn)評(píng)估和管理，識(shí)別和評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，采取相應(yīng)的措施來(lái)降低風(fēng)險(xiǎn)。對(duì)員工的安全意識(shí)進(jìn)行評(píng)估和考核，了解員工的網(wǎng)絡(luò)安全意識(shí)和水平，針對(duì)性地進(jìn)行提高和改進(jìn)。持續(xù)學(xué)習(xí)和更新網(wǎng)絡(luò)安全技術(shù)和知識(shí)，跟蹤國(guó)內(nèi)外網(wǎng)絡(luò)安全發(fā)展動(dòng)態(tài)，保持企業(yè)的網(wǎng)絡(luò)安全意識(shí)和能力處于領(lǐng)先水平。增強(qiáng)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)需要多方面的措施和努力，只有全員參與，共同努力，才能構(gòu)建一個(gè)更加安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。

2.5 定期對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評(píng)估

網(wǎng)絡(luò)安全評(píng)估是對(duì)組織網(wǎng)絡(luò)安全狀態(tài)進(jìn)行全面、系統(tǒng)、定量的評(píng)估和分析，以發(fā)現(xiàn)和評(píng)估安全風(fēng)險(xiǎn)、威脅、漏洞和弱點(diǎn)，為持續(xù)改進(jìn)和加強(qiáng)網(wǎng)絡(luò)安全提供依據(jù)。定期對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評(píng)估可以及時(shí)發(fā)現(xiàn)和解決安全問(wèn)題，降低安全事件發(fā)生的風(fēng)險(xiǎn)，同時(shí)也能夠?yàn)轭I(lǐng)導(dǎo)決策提供依據(jù)，助力企業(yè)保護(hù)數(shù)據(jù)和資產(chǎn)，提升整體競(jìng)爭(zhēng)力。

評(píng)估組織面臨的各種網(wǎng)絡(luò)安全威脅，包括網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、入侵檢測(cè)等。評(píng)估組織目前的安全措施是否充分、有效，包括防火墻、入侵檢測(cè)、安全認(rèn)證、漏洞管理等。評(píng)估組織的漏洞管理機(jī)制是否健全，包括漏洞發(fā)現(xiàn)、漏洞修補(bǔ)、漏洞監(jiān)控等。組織評(píng)估員工的安全意識(shí)和技能水平，包括安全培訓(xùn)、安全意識(shí)測(cè)試等。評(píng)估組織目前的安全狀態(tài)和風(fēng)險(xiǎn)，并制定相應(yīng)的改進(jìn)措施，以持續(xù)提升安全能力和水平。最好每年對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行一次評(píng)估，并且在評(píng)估結(jié)果的基礎(chǔ)上進(jìn)行改進(jìn)和優(yōu)化，以保障組織的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。

2.6 建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制

建立一個(gè)由網(wǎng)絡(luò)安全專(zhuān)家和相關(guān)人員組成的應(yīng)急響應(yīng)小組，負(fù)責(zé)處理網(wǎng)絡(luò)安全事件。制定響應(yīng)流程，包括識(shí)別安全事件、確認(rèn)威脅、評(píng)估影響、采取措施、監(jiān)測(cè)效果等環(huán)節(jié)[4]。確保在安全事件發(fā)生時(shí)，能夠迅速采取措施并進(jìn)行有效的響應(yīng)。定期進(jìn)行演練，包括實(shí)際響應(yīng)操練和虛擬環(huán)境下的演練。演練可以幫助小組成員熟悉響應(yīng)流程，提高應(yīng)對(duì)能力。實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全威脅和漏洞，及時(shí)通報(bào)安全事件，并采取相應(yīng)的措施來(lái)防止安全事件的擴(kuò)大。通過(guò)培訓(xùn)和宣傳，提高員工對(duì)網(wǎng)絡(luò)安全的意識(shí)和重視程度，幫助網(wǎng)絡(luò)安全人員更好地保護(hù)組織的資產(chǎn)和業(yè)務(wù)。其他相關(guān)部門(mén)合作（如當(dāng)?shù)鼐W(wǎng)安部門(mén)、第三方網(wǎng)絡(luò)安全機(jī)構(gòu)等），共同應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，提高整個(gè)社會(huì)的網(wǎng)絡(luò)安全水平。及時(shí)了解和掌握國(guó)家和國(guó)際的網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)，確保組織的網(wǎng)絡(luò)安全符合最新的要求和標(biāo)準(zhǔn)。

3 結(jié)語(yǔ)

本文以如何布置網(wǎng)絡(luò)安全產(chǎn)品、增強(qiáng)人員意識(shí)、建立制度體系為主，重點(diǎn)強(qiáng)調(diào)如何系統(tǒng)化地從技術(shù)和管理等方面構(gòu)建網(wǎng)絡(luò)安全體系架構(gòu)，圍繞網(wǎng)絡(luò)安全基礎(chǔ)工作，以服務(wù)主營(yíng)業(yè)務(wù)為主，建立了一套完整的管理體系，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的配置和管理。