企業(yè)網(wǎng)絡(luò)安全及管理體系的改進措施

高祺

（成都師范學(xué)院，四川 成都 610000）

一、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

（一）管理層安全存在的問題

對于企業(yè)而言，網(wǎng)絡(luò)安全問題主要體現(xiàn)于企業(yè)管理層面，若僅僅依托于技術(shù)手段是不能夠確保網(wǎng)絡(luò)安全問題的徹底解決。因此在對企業(yè)網(wǎng)絡(luò)的安全做分析的時候，就需要對企業(yè)管理措施一起做評估分析。根據(jù)前人的研究總結(jié)，主要是由于企業(yè)管理者在以下三個方面存在一定的管理漏洞：1、企業(yè)網(wǎng)絡(luò)安全管理措施方法欠缺，很多已經(jīng)制定的網(wǎng)絡(luò)安全管理制度在實施過程中沒有真正的實施，也未對員工進行強有力的網(wǎng)絡(luò)安全意識培訓(xùn)，以至于員工的網(wǎng)絡(luò)安全意識有所欠缺。2、企業(yè)網(wǎng)絡(luò)安全管理人員未進行詳細(xì)的職責(zé)劃分，或?qū)β氊?zé)劃分處于模糊狀態(tài)，甚至有些企業(yè)安全管理員兼職于網(wǎng)絡(luò)安全管理；3、在企業(yè)網(wǎng)絡(luò)安全風(fēng)險評估階段，大多數(shù)企業(yè)的做法只是根據(jù)工作經(jīng)驗對企業(yè)資產(chǎn)進行評估，而未仔細(xì)對企業(yè)其他資產(chǎn)做詳細(xì)登記，那么就不能區(qū)分企業(yè)資產(chǎn)的安全等級。

（二）網(wǎng)絡(luò)設(shè)備及環(huán)境安全存在問題

對于企業(yè)網(wǎng)絡(luò)安全的物理安全風(fēng)險主要存在以下幾個方面：1、非人為操作的自然災(zāi)害，例如洪水、地震等；2、在網(wǎng)絡(luò)系統(tǒng)傳輸過程中未使用電磁屏蔽裝置進行信息的安全保護；3、企業(yè)網(wǎng)絡(luò)機房的各個主機未配置獨立的電源系統(tǒng)，以至于不能應(yīng)對由于突然斷電而造成的重要企業(yè)數(shù)據(jù)的丟失；4、企業(yè)網(wǎng)絡(luò)中心機房未配備安全警報系統(tǒng)，不能有些防止人為侵入的安全事件的發(fā)生；5、企業(yè)網(wǎng)絡(luò)中心機房未配置溫度、濕度預(yù)警設(shè)施，由于溫度過高、濕度過大，也易引發(fā)機房設(shè)備的故障損害。

（三）網(wǎng)絡(luò)系統(tǒng)安全存在的問題

網(wǎng)絡(luò)系統(tǒng)的安全包含了網(wǎng)絡(luò)病毒的防范、入侵檢測系統(tǒng)和入侵防御系統(tǒng)、網(wǎng)絡(luò)邊界的隔離、DMZ 區(qū)的保護、安全審計等技術(shù)。企業(yè)僅僅使用了防火墻這種常見的技術(shù)對企業(yè)局域網(wǎng)和互聯(lián)網(wǎng)進行了簡單的隔離。在服務(wù)網(wǎng)段部署了殺毒服務(wù)器，只是用于網(wǎng)絡(luò)中計算機殺毒軟件的下載和升級，未使用防病毒網(wǎng)關(guān)技術(shù)。雖在主交換機上進行了 VLAN 的劃分，但網(wǎng)段的劃分非常混亂，整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)不是很清晰。對網(wǎng)絡(luò)層次的風(fēng)險評估結(jié)果進行總結(jié)后，主要存在以下的風(fēng)險：1、企業(yè)中存在大量的關(guān)鍵服務(wù)器和需要高安全性保證的數(shù)據(jù)以及核心子網(wǎng)，但均未對其進行特別的保護或者只是簡單地運用防火墻進行隔離，無法防御繞過防火墻的攻擊和來自局域網(wǎng)內(nèi)部的攻擊；2、防火墻的訪問控制規(guī)則設(shè)置不夠仔細(xì)，使得計劃實施的安全策略不能實現(xiàn)，給攻擊者帶來了實施攻擊的契機；3、服務(wù)器群與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接未考慮其處于安全等級的不同，使用不同的訪問控制策略，應(yīng)劃分不同的安全等級，使用構(gòu)建 DMZ 區(qū)域的方式保護敏感信息的安全。

二、企業(yè)網(wǎng)絡(luò)安全及管理體系改進措施

（一）安排專門的網(wǎng)絡(luò)管理員

為了讓企業(yè)網(wǎng)絡(luò)安全程度更高，應(yīng)當(dāng)安排專門的網(wǎng)絡(luò)管理員。根據(jù)工作的實際需求，把網(wǎng)絡(luò)系統(tǒng)設(shè)置成為不一樣的級別，并且對各個級別設(shè)置不一樣的操作權(quán)限，利用不同的管理方法來管理各個級別的數(shù)據(jù)。除此之外，建立網(wǎng)絡(luò)管理規(guī)章制度，監(jiān)督和管理網(wǎng)絡(luò)管理員按照規(guī)章制度辦事，并且構(gòu)建網(wǎng)絡(luò)安全管理系統(tǒng)，篩查訪問企業(yè)網(wǎng)絡(luò)信息源。

網(wǎng)絡(luò)管理員應(yīng)當(dāng)定時、定期的對網(wǎng)絡(luò)服務(wù)器中的日志進行查看，監(jiān)控企業(yè)網(wǎng)絡(luò)，及時地發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中存在的隱患和問題，并且及時地做出處理，讓企業(yè)網(wǎng)絡(luò)在安全的環(huán)境中運行。

（二）加強對工作人員的網(wǎng)絡(luò)安全培訓(xùn)

企業(yè)內(nèi)部的工作人員也有可能會威脅到企業(yè)的網(wǎng)絡(luò)安全。所以，應(yīng)當(dāng)加強管理企業(yè)內(nèi)部工作人員，規(guī)定員工要不斷增加計算機知識，提升自身的計算機水平，加強網(wǎng)絡(luò)安全防范意識，培養(yǎng)員工的保密意識以及責(zé)任感，維護企業(yè)的信息安全與合法利益。除此之外，企業(yè)可以在空余時間組織企業(yè)內(nèi)部人員進行網(wǎng)絡(luò)全技術(shù)方面的培訓(xùn)，請專家為企業(yè)內(nèi)部管理人員講解網(wǎng)絡(luò)安全管理知識，提升企業(yè)內(nèi)部管理人員的技術(shù)水平。也可以鼓勵員工多參加網(wǎng)絡(luò)安全管理方面的講座，增加自身的網(wǎng)絡(luò)安全知識。

（三）構(gòu)建安全的網(wǎng)絡(luò)架構(gòu)

以前企業(yè)由于資金不足和網(wǎng)絡(luò)安全意識不足，組建的網(wǎng)絡(luò)僅投入了少量的資金，安全程度非常差，也就是上文中提到的利用路由器接入光纖以后與交換機、客戶端、服務(wù)器等連接互聯(lián)網(wǎng)。現(xiàn)在企業(yè)規(guī)模發(fā)展壯大，資金充足，根據(jù)企業(yè)實際的業(yè)務(wù)需求，確定了企業(yè)網(wǎng)絡(luò)需要實現(xiàn)的功能，對網(wǎng)絡(luò)架構(gòu)進行了重新規(guī)劃。

（四）利用相關(guān)技術(shù)保障企業(yè)網(wǎng)絡(luò)安全

1、身份識別。用戶若想訪問企業(yè)網(wǎng)絡(luò)，須對用戶名與密碼進行輸入，被企業(yè)網(wǎng)絡(luò)判定為合法，才可以對企業(yè)網(wǎng)絡(luò)進行訪問，這樣可以控制用戶的操作權(quán)限，在服務(wù)器中運用身份驗證技術(shù)，可以有效地預(yù)防非法用戶惡意的篡改和刪除服務(wù)器中的數(shù)據(jù)，例如修改用戶訪問權(quán)限、卸載和安裝軟件，有效地保障了服務(wù)器的正常運轉(zhuǎn)，安全地為用戶提供網(wǎng)絡(luò)服務(wù)。

2、防火墻。防火墻可隔開外網(wǎng)、內(nèi)網(wǎng)，把有害的信息排除，使企業(yè)網(wǎng)絡(luò)的安全程度更高。企業(yè)安裝了防火墻，構(gòu)建起了網(wǎng)絡(luò)安全屏障，對防火墻進行了合理的配置，對企業(yè)網(wǎng)絡(luò)進行統(tǒng)一管理，實時監(jiān)控主機與網(wǎng)絡(luò)的情況，隨時保障企業(yè)網(wǎng)絡(luò)的安全。之前所用的防火墻是利用訪問控制列表對用戶訪問進行限制、利用端口來識別業(yè)務(wù)類型，然而，這種防火墻已經(jīng)遠遠無法滿足新的業(yè)務(wù)需求以及新的應(yīng)用，所以，企業(yè)使用了新型防火墻，把軟件和硬件結(jié)合在一起，利用云場景和傳統(tǒng)IT場景構(gòu)建起了完善的L 2-7層防御體系，從病毒入侵防護、IPS入侵防護、病Web應(yīng)用安全防護、應(yīng)用與服務(wù)器防護等各個方面，讓防火墻發(fā)揮出了更加強大的功能，使企業(yè)網(wǎng)絡(luò)更加安全。使得各級部門對網(wǎng)絡(luò)安全防護的需求都能夠得到滿足。