王宏亮

[摘 要]企業(yè)縱深網(wǎng)絡安全管理體系是一種系統(tǒng)性、多層次、綜合性的安全管理模式。在企業(yè)縱深網(wǎng)絡安全管理模式下，企業(yè)將從多個維度保障網(wǎng)絡安全，建立全面、系統(tǒng)、高效的網(wǎng)絡安全保護體系，以保障企業(yè)各種網(wǎng)絡資產(chǎn)的安全，包括硬件、軟件、數(shù)據(jù)、業(yè)務等，從而達到保護企業(yè)的信息安全、提升企業(yè)的安全防范能力、推動企業(yè)長期穩(wěn)定發(fā)展的目的。

[關鍵詞]縱深網(wǎng)絡安全；安全培訓；多級認證；安全管理；端到端安全；數(shù)字資產(chǎn)

中圖分類號：F275 文獻標識碼：A 文章編號：1674-1722（2023）23-0004-03

網(wǎng)絡的飛速發(fā)展改變了人們的生活方式和企業(yè)的運營方式，企業(yè)越來越多的資產(chǎn)實現(xiàn)了數(shù)字化（如項目信息、產(chǎn)品信息、資金信息、人力資源信息及客戶信息等），在促進企業(yè)工作更加便利及高效的同時，這些數(shù)字資產(chǎn)也面臨著被篡改、被竊取，甚至被破壞的風險。例如，2022年12月，國內(nèi)某新能源汽車新勢力企業(yè)遭受勒索病毒攻擊，部分數(shù)據(jù)被勒索軟件加密，被要求支付225萬美元的贖金；如果不支付贖金，被加密的數(shù)據(jù)將很難恢復，將會對企業(yè)的正常運營造成極大威脅。

在這種日益復雜的網(wǎng)絡安全形勢下，加強對企業(yè)核心數(shù)據(jù)資產(chǎn)保護的重要性可見一斑。因此，如何建立有效的安全防護機制，保護好企業(yè)的核心數(shù)字資產(chǎn)，成為企業(yè)面臨的巨大挑戰(zhàn)。

一、企業(yè)網(wǎng)絡安全現(xiàn)狀

企業(yè)一般較為重視信息化系統(tǒng)建設，但網(wǎng)絡安全意識有待提升。只有等出現(xiàn)網(wǎng)絡安全事件時，企業(yè)才意識到網(wǎng)絡安全的重要性。大多數(shù)企業(yè)對網(wǎng)絡安全設備缺乏維護，普遍存在“重建設、輕運維”“重設備、輕管理”的現(xiàn)象，認為設備部署好以后就不再需要調(diào)整了，而且網(wǎng)絡設備的部署沒有形成體系化和協(xié)同效應，縱深防護能力不足。

網(wǎng)絡攻擊形勢日益復雜，新技術、新產(chǎn)品層出不窮，現(xiàn)有的網(wǎng)絡安全設施及管理手段難以及時發(fā)現(xiàn)并阻止攻擊。在這種形勢下，需要建立行之有效的主動防御機制，構建縱深網(wǎng)絡安全管理體系，即網(wǎng)絡的安全不能依賴于某“一扇門”或某一種方案，而是要疊加多重防護策略，相互支撐，確保其中某個環(huán)節(jié)被攻破的情況下，還能保障數(shù)字資產(chǎn)的安全。

二、縱深網(wǎng)絡安全管理體系的內(nèi)涵

企業(yè)縱深網(wǎng)絡安全管理體系一般包含以下幾個要素。

一是多層級安全架構，包括網(wǎng)絡邊界、內(nèi)網(wǎng)、DMZ、專網(wǎng)等多個層級，實現(xiàn)從內(nèi)網(wǎng)到外網(wǎng)的全面安全保護。

二是多種安全技術手段的應用，如可信計算、防火墻、VPN、入侵檢測、漏洞掃描、數(shù)據(jù)加密、身份認證等，全面保障企業(yè)的網(wǎng)絡安全。

三是安全策略和流程的制定和實施。通過制定安全策略和流程，規(guī)范企業(yè)員工的操作行為，確保企業(yè)擁有安全防護能力。

四是安全培訓和意識教育，增強員工的安全意識，提升員工的安全素養(yǎng)，使員工成為企業(yè)網(wǎng)絡安全保護的重要力量。

五是網(wǎng)絡安全監(jiān)控和管理。通過安全監(jiān)控和管理機制，監(jiān)控網(wǎng)絡運行狀況，發(fā)現(xiàn)和處理網(wǎng)絡安全事件。

三、構建企業(yè)縱深網(wǎng)絡安全管理體系的步驟

（一）端到端安全管理

企業(yè)構建縱深網(wǎng)絡安全管理體系的第一步是實現(xiàn)端到端的安全管理。這需要在企業(yè)內(nèi)部的每一個節(jié)點、每個連接點甚至每一臺終端設備上實現(xiàn)安全管理，以保證網(wǎng)絡系統(tǒng)的安全性。

第一，確保網(wǎng)絡邊界安全。通過合理的網(wǎng)絡邊界設置，防范無意或有意的入侵，建立網(wǎng)絡物理邊界和邏輯邊界的安全隔離，使網(wǎng)絡邊緣設備如防火墻、NAT設備等更好地發(fā)揮保護網(wǎng)絡邊界的作用。

第二，強化網(wǎng)絡拓撲結構安全。對網(wǎng)絡拓撲結構進行合理設計，在保證網(wǎng)絡性能的基礎上，實現(xiàn)網(wǎng)絡在結構上的安全保障，比如采用虛擬局域網(wǎng)技術和網(wǎng)絡隔離技術，使攻擊者無法輕易跳轉攻擊目標。

第三，增強網(wǎng)絡設備及其應用的安全性。對設備的普通口、遠程接入口、管理口及應用服務口等端口進行精細化管理和安全防護，比如加強遠程訪問、防御DDoS攻擊等。

第四，建立安全管理中心。建立安全管理中心，全方位監(jiān)控企業(yè)的信息系統(tǒng)安全風險，及時發(fā)現(xiàn)和響應網(wǎng)絡安全事件，提升企業(yè)的安全防護能力。

第五，完善安全評估和安全測試。通過安全評估和安全測試，發(fā)現(xiàn)網(wǎng)絡及其應用中存在的安全漏洞，及時修補漏洞或升級安全軟件，減少攻擊風險，提升企業(yè)的安全防護能力。

（二）合理制定應對策略

企業(yè)應通過系統(tǒng)規(guī)劃和流程設計，針對不同的安全風險及其他異常情況制定應對策略，建立有效的安全保護措施。

第一，制定安全策略。企業(yè)需要制定完善的安全策略，包括安全目標的制定、安全標準的制定、安全意識培訓、網(wǎng)絡安全評估、安全事件響應流程等，從制度層面對網(wǎng)絡安全進行管理和規(guī)范，確保全員參與、全面覆蓋。

第二，合理控制訪問權限。企業(yè)需要合理控制所有用戶的訪問權限，只授權特定用戶訪問特定系統(tǒng)和文件，確保信息不被錯誤地訪問和修改，減少數(shù)據(jù)泄露和錯誤操作的風險。

第三，加強網(wǎng)絡監(jiān)控和日志管理。通過網(wǎng)絡監(jiān)控和日志管理技術，企業(yè)能夠發(fā)現(xiàn)安全威脅，記錄和追蹤攻擊者的行為，對于網(wǎng)絡安全事件及時作出反應，在第一時間采取應對措施，及時修復漏洞，防止事態(tài)惡化。

第四，建立災備方案和備份機制。建立災備方案和備份機制，能在網(wǎng)絡安全事件發(fā)生后及時恢復數(shù)據(jù)和業(yè)務，減少損失，能夠在安全事件發(fā)生時檢驗網(wǎng)絡安全策略的實際效果，優(yōu)化企業(yè)的安全防范機制。

第五，不斷升級安全技術手段。企業(yè)需要不斷升級安全技術手段，引入新的安全設備和技術，比如防病毒軟件、入侵檢測系統(tǒng)、桌面防火墻、加密技術等，加強對網(wǎng)絡安全的保護。

（三）多級認證與授權管理

多級認證與授權管理是加強企業(yè)安全保護的基石。企業(yè)在應用縱深網(wǎng)絡安全管理系統(tǒng)時，需要使用多種身份認證技術和權限管理技術，通過多級認證和授權機制，確保用戶只能訪問自己被授權的資源，從而保證系統(tǒng)的安全性。

第一，用戶名和密碼認證。利用用戶名和密碼認證，可以有效防止未經(jīng)授權的訪問，確保網(wǎng)絡資源使用者的身份真實可靠。

第二，二次認證。使用二次認證方式，可以為用戶提供更高級別的訪問管理服務，通過第二道安全驗證可以確保訪問者的安全性，同時降低系統(tǒng)安全風險。

第三，訪問控制列表（ACL）。使用ACL可以控制用戶的訪問行為，限制用戶能夠訪問的資源和數(shù)據(jù)，保護網(wǎng)絡資源的安全性和機密性。

第四，角色管理?？梢詫Σ煌毮芑驒嘞薜挠脩粼诰W(wǎng)絡資源安全訪問中進行不同級別的控制與管理。

第五，策略管理?？梢詾樵L問網(wǎng)絡資源的用戶制定不同的安全策略，以滿足不同用戶在網(wǎng)絡資源安全訪問中特殊的安全要求。

（四）全面?zhèn)浞菖c突發(fā)事件應對系統(tǒng)

為應對突發(fā)事件，企業(yè)應建立全面?zhèn)浞菖c恢復機制，利用數(shù)據(jù)備份和數(shù)據(jù)恢復等技術手段，實現(xiàn)設備備份和軟件備份，減輕突發(fā)事件造成的損失。

第一，制訂災備計劃與業(yè)務連續(xù)性計劃。企業(yè)需要制訂完整的災備計劃與業(yè)務連續(xù)性計劃，備份和恢復關鍵信息系統(tǒng)的硬件、軟件、數(shù)據(jù)，確保關鍵業(yè)務的持續(xù)運行。

第二，備份和歸檔。企業(yè)需要定期備份關鍵業(yè)務數(shù)據(jù)，確保業(yè)務數(shù)據(jù)的可靠性和完整性，將備份數(shù)據(jù)歸檔到安全的存儲設備中，以備不時之需。

第三，演練和測試。企業(yè)需要定期進行演練和測試，模擬網(wǎng)絡安全事件和數(shù)據(jù)災難場景，驗證災備計劃與業(yè)務連續(xù)性計劃的可行性和有效性，及時調(diào)整計劃。

第四，引入安全技術和設備。企業(yè)需要引入各種安全技術和設備，如入侵檢測系統(tǒng)、防病毒軟件、流量分析軟件、備份和恢復設備等，幫助企業(yè)快速識別攻擊行為并化解攻擊，提升企業(yè)的安全防護能力。

（五）安全管理與監(jiān)控

建立完善的安全管理與監(jiān)控體系是保障企業(yè)信息安全的重要手段。企業(yè)應建立內(nèi)部安全監(jiān)控與管理機制，全面監(jiān)控企業(yè)的內(nèi)部網(wǎng)絡流量、安全事件，以及時發(fā)現(xiàn)、處理異常情況。

第一，制定網(wǎng)絡安全策略和標準。企業(yè)需要制定網(wǎng)絡安全策略和標準，包括安全目標、安全標準和規(guī)范的制定等，以有效預防和應對網(wǎng)絡安全威脅。

第二，加強網(wǎng)絡監(jiān)控和日志管理。企業(yè)需要根據(jù)網(wǎng)絡安全策略和標準，使用流量分析、入侵檢測等技術手段對網(wǎng)絡進行實時監(jiān)控，對異常情況進行實時報警，完善日志管理系統(tǒng)，收集、存儲有價值的安全日志數(shù)據(jù)，進行分析處理和使用。

第三，強化信息安全審計。企業(yè)需要審計網(wǎng)絡安全事件，按照企業(yè)安全策略和標準的要求，實施定期和臨時的安全評估，發(fā)現(xiàn)安全漏洞、風險和威脅時，及時作出反應，采取措施加以改進和升級。

第四，加強訪問控制管理。企業(yè)需要加強訪問控制管理，限制用戶訪問資源的權限和內(nèi)容，防止未經(jīng)授權的訪問和不恰當?shù)牟僮鳌?/p>

（六）安全培訓

企業(yè)員工是企業(yè)信息安全的第一道防線，安全培訓是增強員工的安全意識及信息安全技術素質的有效途徑。因此，企業(yè)應加強員工信息安全意識教育，采用多種方式培訓員工的安全責任、安全策略及安全技術。

第一，制定培訓計劃和目標。企業(yè)需要制定網(wǎng)絡安全培訓的計劃、目標和內(nèi)容，確定培訓的對象和時間，使員工了解安全知識，增強安全意識。

第二，強化安全意識和知識普及。企業(yè)應采用實際案例、故事、演示等方式對員工進行安全意識和知識的普及，增強員工的安全意識，讓員工了解網(wǎng)絡安全標準和規(guī)范、數(shù)據(jù)保護和應急處理等知識，增強員工的網(wǎng)絡安全防范意識。

第三，定期組織模擬演練。定期組織模擬演練，為員工創(chuàng)造真實的網(wǎng)絡安全事件場景，讓員工在模擬演練中學會如何應對網(wǎng)絡安全事件，增強員工的實踐能力，確保安全事件的快速、有效處理。

第四，引入安全技術和工具。除安全培訓之外，企業(yè)也可以引入安全技術和工具，比如電子郵件內(nèi)容過濾、數(shù)據(jù)加密、反病毒升級、應急組織等，加強網(wǎng)絡安全防護，讓員工在工作中更加熟練和自如地應用安全技術和工具。

四、企業(yè)縱深網(wǎng)絡安全管理體系發(fā)展趨勢

隨著技術的飛速發(fā)展和互聯(lián)網(wǎng)的普及應用，未來的縱深網(wǎng)絡安全管理體系趨勢主要體現(xiàn)在以下幾個方面。

一是網(wǎng)絡安全的自動化和智能化。未來的縱深網(wǎng)絡安全管理體系將更加自動化和智能化，企業(yè)將借助AI等技術，通過實時監(jiān)控和數(shù)據(jù)化分析，加快對異常事件的識別及響應速度。

二是網(wǎng)絡安全的綜合應對。未來的縱深網(wǎng)絡安全管理體系將更注重綜合應對和全方位保護，針對數(shù)據(jù)傳輸、端點安全、云安全等多個方面細致分析，采取合理的安全預防措施。

三是安全防護的全方位覆蓋。未來的縱深網(wǎng)絡安全管理體系將更注重全方位覆蓋，除了傳統(tǒng)的網(wǎng)絡安全保護，還將重點深耕IoT設備和移動設備等其他入口，以保護企業(yè)的核心數(shù)據(jù)。

四是安全意識教育和企業(yè)文化。未來的縱深網(wǎng)絡安全管理體系將更加注重安全意識教育和企業(yè)文化，企業(yè)可通過安全文化建設，將安全意識融入團隊文化，讓普通員工認識其安全責任，形成企業(yè)安全文化氛圍，降低人為失誤的概率。

五、結語

網(wǎng)絡安全的建設不是一蹴而就的，也不存在一項萬能的技術能抵擋所有攻擊，只有建立縱深網(wǎng)絡安全管理體系，疊加采取多種防御措施，比如可視化技術，體現(xiàn)互聯(lián)網(wǎng)、業(yè)務系統(tǒng)和用戶之間的訪問關系，識別How、Where等各種訪問關系，以不同的顏色區(qū)分不同危險等級的業(yè)務系統(tǒng)和用戶[1]，建立態(tài)勢感知系統(tǒng)等預測網(wǎng)絡未來可能出現(xiàn)的態(tài)勢[2]，同時加強相應的組織建設、專業(yè)人才培養(yǎng)與合理的制度保障，增強全員的安全意識，有效抵御網(wǎng)絡攻擊及降低網(wǎng)絡安全事件的影響。

參考文獻：

[1]鄒雙，羅思睿.企業(yè)網(wǎng)絡安全防護體系建設研究[J].通信與信息技術，2022（S2）：63-67.

[2]楊青，網(wǎng)絡安全態(tài)勢感知系統(tǒng)設計與實現(xiàn)[D].西安電子科技大學，2022.