淺談企業(yè)網(wǎng)絡(luò)信息安全體系的構(gòu)建

胡尊智

一、前言

信息系統(tǒng)本身具有脆弱性和復(fù)雜性等特征，因此伴隨著這些計算機應(yīng)用的拓展不斷涌現(xiàn)處大量的信息安全問題，像病毒傳播、黑客入侵和網(wǎng)絡(luò)犯罪這些安全事件的頻率隨之逐步上升，危害性也愈來愈高，如何構(gòu)建企業(yè)網(wǎng)絡(luò)信息安全體系，保護企業(yè)的利益和信息資產(chǎn)不受到侵害，為企業(yè)發(fā)展及業(yè)務(wù)經(jīng)營提供強有力的支撐，為用戶提供令人信服的服務(wù)，成為了企業(yè)當(dāng)前需要迫切解決的問題。現(xiàn)就如何構(gòu)建企業(yè)網(wǎng)絡(luò)信息安全體系進行粗淺的探討。

企業(yè)網(wǎng)絡(luò)信息安全體系的構(gòu)建是一項長期的系統(tǒng)化的工作，需要全網(wǎng)進行統(tǒng)籌規(guī)劃各相關(guān)單位、部門、處室協(xié)同合作、扎實推行的工作。因此，企業(yè)首先要全面加強對于網(wǎng)絡(luò)信息安全的重視度，通過加強人員培訓(xùn)、完善相關(guān)信息安全管理制度、應(yīng)用先進的信息安全技術(shù)等措施，從上而下、從內(nèi)到外的提高企業(yè)信息安全水平，實現(xiàn)主動防御的網(wǎng)絡(luò)信息管理，以促進企業(yè)良性的監(jiān)控發(fā)展。

二、當(dāng)前企業(yè)信息安全中存在的主要問題

物理安全風(fēng)險：主要包括計算機系統(tǒng)的設(shè)備、設(shè)施、媒體和信息面臨因自然災(zāi)害（如火災(zāi)、洪災(zāi)、地震）、環(huán)境事故（如斷電、鼠患）、人為物理操作失誤以及不法分子通過物理手段進行違反犯罪等風(fēng)險。

網(wǎng)絡(luò)信息存在的安全隱患：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，垃圾郵件泛濫、計算機病毒傳播、蠕蟲攻擊、敏感信息泄露等已成為影響最為廣泛的安全威脅對于企業(yè)級用戶，每當(dāng)遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。同時由于互聯(lián)網(wǎng)所具有的開放性的特征，受不規(guī)范的資源共享行為、網(wǎng)絡(luò)自身的漏洞等多種因素的影響，使其客觀存在了一定的信息安全風(fēng)險，網(wǎng)絡(luò)信息遭受非正常授權(quán)使用、資源共享無法精準(zhǔn)控制共享范圍、無法對U盤進行有效管理、移動硬盤等存儲設(shè)備和網(wǎng)絡(luò)安全技術(shù)防范措施缺失等常見問題。

網(wǎng)絡(luò)信息使用人員安全意識不足：雖然近幾年計算機技術(shù)得到了較為廣泛的應(yīng)用，但部分操作人員仍不具備相應(yīng)的網(wǎng)絡(luò)安全問題，具體包括：忽略安全口令作用，對于必要的安全防護漠不關(guān)心；計算機未安裝軟件防火墻和相關(guān)殺毒軟件；系統(tǒng)補丁更新不及時；信息安全防護意識不足。最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。

內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題各地機構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作。

三、企業(yè)網(wǎng)絡(luò)信息安全體系的構(gòu)建

以烏石化網(wǎng)絡(luò)信息安全體系的構(gòu)建為例，以6個模塊為基礎(chǔ)，構(gòu)建一套網(wǎng)絡(luò)信息安全體系。如圖1所示，下面對每一個模塊的意義進行解釋：

（一）入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）即是按照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)控，對網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性、可用性進行監(jiān)視，盡可能的發(fā)現(xiàn)其中的各種攻擊企圖和行為及結(jié)果，從而進行防護。

按照入侵檢測的手段，IDS的入侵檢測模型分為基于網(wǎng)絡(luò)和基于主機的兩種模型，基于主機的模型，也被叫做基于系統(tǒng)的模型，它的工作方式是通過分析系統(tǒng)內(nèi)的審計數(shù)據(jù)來判斷可以的活動，例如內(nèi)存和文件是否發(fā)生了變化，它的主要數(shù)據(jù)來源就是系統(tǒng)的審計日志，因此它一般就能檢測到在主機上發(fā)生的入侵行為；基于主機的模型有性價比高、監(jiān)測更加細致、視野比較集中、易于用戶剪裁、不需增加專門的硬件平臺、對網(wǎng)絡(luò)流量不敏感等優(yōu)點?；诰W(wǎng)絡(luò)的模型它是通過連接在網(wǎng)絡(luò)上的站點從而捕獲網(wǎng)上的包，對其進行分析判斷是否具有已知的攻擊模式，然后判別其是否為入侵者；它發(fā)現(xiàn)一些可疑的現(xiàn)象時同樣也會產(chǎn)生告警，同時項中心管理站點發(fā)出告警的信號。它的優(yōu)點在于偵測速度快、隱蔽性較好、視野更加寬闊、占用較少的檢測器、占資源比較少等優(yōu)點。

入侵檢測系統(tǒng)的部署方式。如圖2所示：

（二）防火墻

防火墻作為最基本、經(jīng)濟、有效的實現(xiàn)網(wǎng)絡(luò)安全的措施之一，在網(wǎng)絡(luò)安全體系的構(gòu)建中是必不可少的一個部分。它最基本的功能就是確保網(wǎng)絡(luò)流量的合法性，并且以此為前提將網(wǎng)絡(luò)的流量快速的從一個鏈路轉(zhuǎn)發(fā)的其它的鏈路上去。它通過制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制，并且能實現(xiàn)單向或者雙向的控制。防火墻設(shè)置有以下幾個優(yōu)點，首先它能夠強化安全策略，并且能有效的記錄網(wǎng)上活動的軌跡；防火墻是一個安全策略的檢查站，所有進出的數(shù)據(jù)都要通過防火墻，形象的來說它就是一個安全問題的檢查站，可以將一些可疑的訪問拒之門外，從而進行保護。

在網(wǎng)絡(luò)安全中，防火墻具有強化網(wǎng)絡(luò)安全策略的功能它以防火墻為中心進行安全方案配置，將所有安全軟件配置到防火墻上，使其集中安全管理更加經(jīng)濟；防火墻還可以監(jiān)控網(wǎng)絡(luò)存取和訪問，因為所有的訪問都需經(jīng)過防火墻，它就記錄下這些信息，并作出日志記錄，同時記錄網(wǎng)絡(luò)使用情況的數(shù)據(jù)；當(dāng)有可疑訪問發(fā)生，它就能夠進行報警，并提供詳細信息；其次防火墻能夠防止內(nèi)部信息的外泄，通過對內(nèi)部網(wǎng)絡(luò)進行劃分，實現(xiàn)內(nèi)部網(wǎng)段之間的隔離，使局部安全問題不會對全局網(wǎng)絡(luò)造成影響。

防火墻布置圖。如圖3所示：

（三）交換機

交換機在計算機網(wǎng)絡(luò)中占據(jù)者核心地位，它發(fā)揮的作用不可替代?；诮粨Q機的網(wǎng)絡(luò)安全體系的構(gòu)建，首先是劃分VLAN以提高網(wǎng)絡(luò)安全，它的工作模式實質(zhì)就是劃分虛擬局域網(wǎng)；其次是通過設(shè)置訪問控制列表，控制訪問過程能夠最大化的避免用戶利用非法手段訪問，管理人員先設(shè)定好符合網(wǎng)絡(luò)控制的列表，常見的控制有屬性控制和網(wǎng)絡(luò)權(quán)限控制兩種，利用交換機能夠提高對于防火墻功能的輔助，加強對安全數(shù)據(jù)的過濾功能，提高防范網(wǎng)絡(luò)病毒的效率。加強交換機的端口安全，網(wǎng)絡(luò)端口中實施的安全措施，保證網(wǎng)絡(luò)運行的安全是其最重要的母的，它主要結(jié)構(gòu)是由MAC地址和網(wǎng)絡(luò)交換機端口組成，以此來實現(xiàn)對網(wǎng)絡(luò)虛擬端口和流量的嚴(yán)格控制和管理，來有效提高網(wǎng)絡(luò)交換機端口的安全性能。所以，在實際訪問的過程中，如果主機的MAC實際地址與交換機的信息不符合的終端口就會自動關(guān)閉，從而保護網(wǎng)絡(luò)的安全。

（四）北信源網(wǎng)絡(luò)接入控制系統(tǒng)

北信源網(wǎng)絡(luò)接入控制系統(tǒng)是在北信源公司“面向網(wǎng)絡(luò)空間的終端安全管理體系”架構(gòu)下隆重推出的基于終端可信接入的一站式解決方案，是北信源公司“面向網(wǎng)絡(luò)空間的終端安全管理體系”的重要組成部分。北信源網(wǎng)絡(luò)接入控制系統(tǒng)主要用于解決不可信終端的隨意接入可能帶來的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問等諸多安全問題。

北信源網(wǎng)絡(luò)接入控制系統(tǒng)，采用注冊->身份認(rèn)證->安全檢查->安全隔離/入網(wǎng)的統(tǒng)一入網(wǎng)規(guī)范流程，無論采用何種準(zhǔn)入控制機制，都不改變系統(tǒng)的入網(wǎng)流程。當(dāng)客戶網(wǎng)絡(luò)出現(xiàn)擴容、改造的時候，采用不同的部署模式不會影響用戶終端的入網(wǎng)習(xí)慣。尤其是，采用標(biāo)準(zhǔn)的入網(wǎng)規(guī)范，可以從根本上解決終端身份的可信認(rèn)證、終端使用用戶的可信認(rèn)證以及終端安全層面可信認(rèn)證的問題，通過統(tǒng)一入網(wǎng)規(guī)范，杜絕來自內(nèi)部的信息泄密。

北信源網(wǎng)絡(luò)接入控制系統(tǒng)邏輯模型圖。如圖4所示：

（五）終端安全系統(tǒng)-360天擎

終端安全管理系統(tǒng)-360天擎是面向政府、軍隊、金融、制造業(yè)、醫(yī)療、教育等大型企事業(yè)單位推出的以安全防御為核心、以運維管控為重點、以可視化管理為支撐、以可靠服務(wù)為保障的全方位終端安全解決方案。為用戶構(gòu)建能夠有效抵御已知病毒、0day漏洞、未知惡意代碼和APT攻擊的新一代終端安全防御體系。它具有終端軟件準(zhǔn)入控制功能，保證只有合規(guī)軟件安裝運行。對未安裝360天擎或者不滿足安全性檢查的終端不予以接入內(nèi)網(wǎng)，確保企業(yè)網(wǎng)絡(luò)安全可靠。無線熱點、手機、光驅(qū)、打印機，USB等相關(guān)設(shè)備準(zhǔn)入控制，外設(shè)接入安全無隱患。終端上傳下載流量統(tǒng)計，內(nèi)網(wǎng)外網(wǎng)流量統(tǒng)計，上傳下載流量限速，全網(wǎng)流量暢通無阻。

（六）IP安全策略

IP安全策略是一個給予通訊分析的策略，它將通訊內(nèi)容與設(shè)定好的規(guī)則進行比較以判斷通訊是否與預(yù)期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補了傳統(tǒng)TCP/IP設(shè)計上的"隨意信任"重大安全漏洞，可以實現(xiàn)更仔細更精確的TCP/IP安全，也就是說，當(dāng)我們配置好IP安全策略后，就相當(dāng)于擁有了一個免費，但功能完善的個人防火墻。IP安全策略配置界面。如圖5所示：

四、結(jié)束語

通過對企業(yè)網(wǎng)絡(luò)安全威脅的分析，可以看出網(wǎng)絡(luò)安全的問題主要集中在預(yù)防黑客和病毒和服務(wù)器的安全保護上，因此結(jié)合企業(yè)本身的戰(zhàn)略和實際情況我們主要從防火墻使內(nèi)外網(wǎng)隔離保證內(nèi)部網(wǎng)絡(luò)的安全；加強合法用戶的訪問認(rèn)證，將用戶的訪問權(quán)限降低；加強各種訪問的審計工作；加強對網(wǎng)絡(luò)安全的重視程度，加強人員網(wǎng)絡(luò)安全意識，完善相關(guān)信息安全管理制度，引用一些信息安全技術(shù)產(chǎn)品，以此為基礎(chǔ)，逐步深化，循序漸進地實施落地，實現(xiàn)主動防御式的網(wǎng)絡(luò)信息安全管理，最終構(gòu)筑起企業(yè)積極、綜合的信息安全防護體系。

企業(yè)網(wǎng)絡(luò)信息安全體系的構(gòu)建任重而道遠，不是一蹴而就的，網(wǎng)絡(luò)變化瞬息萬變，同樣的我們需要不斷改進和完善網(wǎng)絡(luò)信息安全措施，為企業(yè)信息化建設(shè)保駕護航。

作者單位：烏魯木齊石化公司信息管理部