淺談企業(yè)信息網(wǎng)絡的安全防護體系

◆湯 華

（合肥第二發(fā)電廠 安徽 230041）

淺談企業(yè)信息網(wǎng)絡的安全防護體系

◆湯 華

（合肥第二發(fā)電廠 安徽 230041）

互聯(lián)網(wǎng)技術的發(fā)展帶來了辦公形式的改變，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務上網(wǎng)、移動辦公等新型辦公形式逐漸流行，企業(yè)內(nèi)部網(wǎng)絡建設逐漸發(fā)展。眾所周知，信息網(wǎng)絡中存在一定的風險，企業(yè)網(wǎng)絡容易受到攻擊進而造成信息泄露，給企業(yè)帶來不必要的損失。企業(yè)應加大網(wǎng)絡建設投入，不斷更新網(wǎng)絡安全技術，維護網(wǎng)絡安全。本文主要探討了企業(yè)網(wǎng)絡中存在的安全隱患，并指出了建設企業(yè)網(wǎng)絡安全防護體系的措施。

網(wǎng)絡安全；信息泄露；安全防護體系；企業(yè)網(wǎng)絡

0 引言

互聯(lián)網(wǎng)的發(fā)展改變了人們的生活與工作方式，實現(xiàn)了信息交流的便捷性。然而，互聯(lián)網(wǎng)中也存在一定的安全隱患，病毒、木馬、蠕蟲的出現(xiàn)極大地損害了人們利益，影響了正常的網(wǎng)絡環(huán)境。對于企業(yè)來講，實現(xiàn)辦公信息化必須要建設網(wǎng)絡安全防護體系，企業(yè)管理人員應分析內(nèi)部網(wǎng)絡特點，加大網(wǎng)絡設備投入，利用新型計算機技術來確保企業(yè)網(wǎng)絡的穩(wěn)定性，從而提升企業(yè)競爭力。

1 企業(yè)網(wǎng)絡中存在的安全隱患

1.1 網(wǎng)絡建設規(guī)劃不合理

很多企業(yè)都缺乏合適的網(wǎng)絡建設方案，這一現(xiàn)象較為普遍。因為企業(yè)在剛剛成立時，往往會忽視網(wǎng)絡建設，隨著企業(yè)業(yè)務的擴展以及規(guī)模的加大，對網(wǎng)絡的依賴性逐漸提高，工作人員需要使用計算機進行相關文件的處理，然而由于建設規(guī)劃的缺失導致網(wǎng)絡安全事故頻發(fā)，影響正常工作的進行。企業(yè)內(nèi)部網(wǎng)絡寬帶缺乏足夠的承載力，這一現(xiàn)象在很多企業(yè)中都存在，降低了工作效率，影響了企業(yè)競爭力的提高。

1.2 缺乏完善的防御體系

在互聯(lián)網(wǎng)進步的同時，網(wǎng)絡攻擊形式也在逐漸變化，破壞性增強，傳染性加快，并且病毒種類多樣化，難以提前防范，對企業(yè)網(wǎng)絡的威脅較大。然而，很多企業(yè)忽視防御體系的構(gòu)建，缺乏入侵審計，監(jiān)控工作效率低下，缺乏統(tǒng)一的安全防護標準，對安全策略制定的重視不足，因此難以抵擋網(wǎng)絡攻擊。

1.3 缺乏明確的物理層邊界

隨著企業(yè)規(guī)模的逐漸加大，分支機構(gòu)逐漸增多。為了確保企業(yè)整體發(fā)展，分支機構(gòu)與總公司間存在一定的網(wǎng)絡聯(lián)系。然而，總部網(wǎng)絡與分支機構(gòu)內(nèi)部網(wǎng)絡之間缺乏明確的物理層邊界。移動辦公的應用雖然極大地實現(xiàn)了企業(yè)內(nèi)部信息共享，但同時也帶來新的網(wǎng)絡安全風險。

1.4 缺乏先進的網(wǎng)絡設備

隨著計算機技術的進步以及網(wǎng)絡的發(fā)展，網(wǎng)絡產(chǎn)品的更新?lián)Q代逐漸加快。一些企業(yè)原本重金購進的先進設備經(jīng)過長時間的使用后便會成為相對落后的設備，因此企業(yè)網(wǎng)絡設備的更新難以適應社會的發(fā)展。部分企業(yè)缺乏充足的資金來及時更新設備，只能利用原有的設備處理企業(yè)事務，大大降低了工作效率。并且一些企業(yè)忽視網(wǎng)絡設備的檢查維護，導致現(xiàn)有的網(wǎng)絡設備中存在一定的故障和漏洞，影響正常辦公，嚴重時甚至會影響到網(wǎng)絡安全。

1.5 管理工作困難

企業(yè)員工都需要使用企業(yè)網(wǎng)絡進行辦公，因此網(wǎng)絡出口較多，增大了網(wǎng)絡管理工作的難度。員工的流動性大，網(wǎng)絡業(yè)務的逐漸擴展，辦公人員沒有良好的上網(wǎng)習慣，缺乏安全意識，在下載文件時隨意性較大，以上事實都會造成企業(yè)內(nèi)部信息泄露或感染病毒，影響網(wǎng)絡安全。

2 企業(yè)網(wǎng)絡安全防護體系的構(gòu)建

2.1 建設目標

企業(yè)網(wǎng)絡安全管理人員要在掌握企業(yè)網(wǎng)絡性質(zhì)、使用人員、安全防護目標的前提下劃分邏輯子網(wǎng)，邏輯子網(wǎng)不同，安全防護體系也應有所差別。并且要做好網(wǎng)絡邊界以及安全訪問的監(jiān)管力度，實現(xiàn)區(qū)域間的信息交流，建設安全防護體系，確保企業(yè)網(wǎng)絡安全穩(wěn)定：（1）分析整體的網(wǎng)絡安全事件，并將復雜的工作進行合理劃分，使其轉(zhuǎn)化成局部的、簡單的網(wǎng)絡安全防護問題，從而加強對網(wǎng)絡安全風險的控制，提升網(wǎng)絡的正常運行能力；（2）劃分安全域，改善網(wǎng)絡架構(gòu)，對企業(yè)內(nèi)部網(wǎng)絡進行合理的規(guī)劃與設計；（3）了解不同區(qū)域網(wǎng)絡維護的重難點，確?，F(xiàn)有安全設備的正常運行，確保這些設備的使用率；（4）加大網(wǎng)絡維護力度，安排專業(yè)人員負責每日監(jiān)察，合理投放審計設備，定期進行網(wǎng)絡審核以及網(wǎng)絡檢查，及時發(fā)現(xiàn)存在的安全隱患，促進網(wǎng)絡安全防護體系的建立。

2.2 安全域的劃分

現(xiàn)代企業(yè)在劃分安全域時主要依據(jù)以下三種方式：業(yè)務系統(tǒng)、安全防護等級以及系統(tǒng)行為。另外，應該依據(jù)不同層次、不同區(qū)域中企業(yè)網(wǎng)絡的主要內(nèi)容來劃分安全域，主要應該參考其網(wǎng)絡管理形式和業(yè)務內(nèi)容，從而保證企業(yè)生產(chǎn)的正常進行，實現(xiàn)安全域的合理劃分。為了達到以上要求，在劃分安全域時應利用多種劃分形式，綜合考慮每種劃分方式的優(yōu)缺點，實現(xiàn)優(yōu)勢互補。并參考企業(yè)網(wǎng)絡業(yè)務規(guī)模以及管理目標，提高安全域劃分的合理性。

（1）在結(jié)合業(yè)務要求的基礎上劃分企業(yè)網(wǎng)絡，將其劃分成內(nèi)網(wǎng)和外網(wǎng)兩部分。外網(wǎng)主要是互聯(lián)網(wǎng)出口，并將外網(wǎng)與內(nèi)網(wǎng)服務進行隔離，從而減少安全威脅，避免因員工操作不規(guī)范而引起安全事故，提升內(nèi)網(wǎng)的安全性。

（2）結(jié)合不同業(yè)務要求對內(nèi)網(wǎng)和外網(wǎng)的安全區(qū)域進行劃分。內(nèi)網(wǎng)應該劃分為生產(chǎn)管理網(wǎng)和辦公信息網(wǎng)兩部分，并且可以根據(jù)信息保密要求進一步劃分為辦公網(wǎng)、管理網(wǎng)、財務網(wǎng)等；外網(wǎng)應該劃分為對外網(wǎng)站、業(yè)務接入網(wǎng)等。安全域的合理劃分，有利于闡明網(wǎng)絡邊界，使監(jiān)管人員了解保護對象以及防護范圍。

（3）結(jié)合系統(tǒng)行為以及防護能力對不同子網(wǎng)進行安全域的劃分，主要劃分成邊界接入域、服務提供域、基礎保障域三部分。

其中，邊界接入域位于信息系統(tǒng)與其他系統(tǒng)的邊界處；服務提供域能夠保護信息系統(tǒng)的安全，其主要功能是防止信息系統(tǒng)中數(shù)據(jù)信息的泄露與篡改，并能夠在等級保護方案的引導下實現(xiàn)分級保護；基礎保障域的功能是維護安全設備的正常運行，保護網(wǎng)絡系統(tǒng)監(jiān)管中心的安全，確保系統(tǒng)軟件不受入侵。

2.3 動態(tài)防護系統(tǒng)

計算機技術的進步以及網(wǎng)絡的發(fā)展使企業(yè)網(wǎng)絡需要處理的網(wǎng)絡威脅不斷增加。當前，網(wǎng)絡攻擊形式多樣，病毒種類不斷增加，因此建設網(wǎng)絡安全防護系統(tǒng)需要考慮到技術的發(fā)展，并結(jié)合防御技術、防御措施、企業(yè)員工等多種因素構(gòu)建以入侵檢測為基礎的動態(tài)防護系統(tǒng)。以入侵檢測為基礎的動態(tài)防護系統(tǒng)主要包括以下內(nèi)容：安全防護、入侵檢測、應急處理機制、風險控制以及備份恢復，當檢測到企業(yè)網(wǎng)絡可能受到入侵時，防護系統(tǒng)會立刻啟動應急處理機制，若網(wǎng)絡已經(jīng)受到攻擊，文件受到破壞，利用備份恢復還原系統(tǒng)文件以及原有的網(wǎng)絡設置，使企業(yè)網(wǎng)絡能夠持續(xù)運行。在動態(tài)防護系統(tǒng)中可以將防護信息通過反饋機制傳遞給企業(yè)管理人員，進而增強風險控制水準，提升防御水平。

2.4 安全防護方法

通常情況下，確保企業(yè)網(wǎng)絡正常運行的主要防護方法是設置防火墻，但是防火墻僅具備有限的防護功能，無法對企業(yè)網(wǎng)絡中的全部層次進行安全防護。為了提高安全防護效果，應實行分層縱深的防護方法，擴大安全防護的范圍，確保安全防護體系的完整性、綜合性以及高效性。分層縱深意味著不同層次采取不同的防護方法，例如物理層、網(wǎng)絡層、系統(tǒng)層、數(shù)據(jù)層、應用層應分別運用物理安全防護、網(wǎng)絡防護、操作系統(tǒng)防護、數(shù)據(jù)庫防護以及應用系統(tǒng)防護的方法，這樣可以根據(jù)不同層次的網(wǎng)絡特點進行精準防護。比如，為了對企業(yè)網(wǎng)絡進行訪問控制，可以對網(wǎng)絡層中訪問控制以及資源控制模塊進行設置，并在數(shù)據(jù)層與應用層中增添身份信息以及認證系統(tǒng)，防止用戶進行越權(quán)操作和不規(guī)范操作；為了在復雜的網(wǎng)絡系統(tǒng)中減少操作失誤和權(quán)利濫用現(xiàn)象，應在系統(tǒng)層、數(shù)據(jù)層以及應用層增添網(wǎng)絡行為管理模塊，監(jiān)管內(nèi)部用戶的上網(wǎng)行為，保護數(shù)據(jù)的非法外泄、保證網(wǎng)絡服務器不受破壞，提升系統(tǒng)安全性。

3 結(jié)束語

為了更好地實現(xiàn)網(wǎng)上辦公，企業(yè)管理人員應明確網(wǎng)絡安全的重要性，加快建設企業(yè)網(wǎng)絡安全防護體系。該體系的建立，需要參考企業(yè)網(wǎng)絡自身的特點以及實際運行情況，從多方面分析建設防護體系的措施，明確企業(yè)網(wǎng)絡面臨的安全風險，運用動態(tài)防護系統(tǒng)來確保企業(yè)網(wǎng)絡的正常運行。

[1]周文.淺談企業(yè)內(nèi)部信息網(wǎng)絡安全防護體系建設[J].網(wǎng)絡安全技術與應用, 2014.

[2]賈君君,王文庭, 楊揚等.淺談大型企業(yè)網(wǎng)絡安全防護體系建設[J].中國管理信息化, 2012.

[3]劉冬梅.淺談大型石油企業(yè)網(wǎng)絡安全防護體系建設[J].中國新通信, 2015.