企業(yè)網(wǎng)網(wǎng)絡(luò)安全體系化建設(shè)淺談

王多彥　陳銳　張皓

企業(yè)網(wǎng)是企業(yè)信息化建設(shè)和發(fā)展的基礎(chǔ)，但近年來，企業(yè)網(wǎng)面臨的安全問題越來越復雜，安全威脅正在飛速增長，尤其混合威脅的風險，極大地困擾著用戶，給企業(yè)的信息網(wǎng)絡(luò)造成嚴重的破壞威脅。如何為企業(yè)用戶提供一個安全、穩(wěn)定的網(wǎng)絡(luò)應(yīng)用平臺已成為一個日益突出的問題。

一、企業(yè)網(wǎng)現(xiàn)況分析

企業(yè)為充分合理地利用內(nèi)外部資源，提高管理水平和效益，把企業(yè)內(nèi)不同區(qū)域、不同部門的各種信息資源通過網(wǎng)絡(luò)技術(shù)有機地結(jié)合在一起，構(gòu)成企業(yè)網(wǎng)，便利的同時企業(yè)網(wǎng)的安全問題也伴隨而來。

（一）威脅分析

一是來自內(nèi)外部的威脅不斷的襲擾網(wǎng)絡(luò)的安全，來自外部的威脅，黑客掃描和攻擊和病毒或蠕蟲侵襲，通過滲透或繞過防火墻，進入網(wǎng)絡(luò)，獲取、篡改甚至破壞敏感的數(shù)據(jù)，乃至破壞企業(yè)的正常業(yè)務(wù)和生產(chǎn)運行。

二是出現(xiàn)在內(nèi)部的威脅，無意識的外部風險引入和內(nèi)部故意破壞行為的發(fā)生，由于安全技能和安全意識存在差異，將危險的、惡意的木馬程序和惡意代碼下載到內(nèi)部網(wǎng)絡(luò)執(zhí)行，甚至傳播進入內(nèi)部網(wǎng)絡(luò)，這將對企業(yè)網(wǎng)絡(luò)的安全帶來嚴重威脅。

（二）風險分析

針對企業(yè)服務(wù)器群的網(wǎng)絡(luò)安全現(xiàn)狀，根據(jù)對網(wǎng)絡(luò)系統(tǒng)的風險分析，我們發(fā)現(xiàn)企業(yè)的服務(wù)器區(qū)信息安全需求主要在以下方面：

1、防御來自外部的威脅，阻止網(wǎng)絡(luò)病毒、間諜軟件和黑客攻擊對企業(yè)網(wǎng)造成的安全損失，提高企業(yè)網(wǎng)絡(luò)的整體抗攻擊能力;

2、防御來自內(nèi)部的威脅，管控人員行為意識，阻斷網(wǎng)絡(luò)病毒爆發(fā)對企業(yè)網(wǎng)絡(luò)的破壞，保障網(wǎng)絡(luò)的正常運行;

3、監(jiān)控整體網(wǎng)絡(luò)的安全運行，全面把握安全狀態(tài)，以便于及時的發(fā)現(xiàn)安全攻擊，防止安全事件的發(fā)生。

二、企業(yè)網(wǎng)絡(luò)安全體系建設(shè)

（一）設(shè)計網(wǎng)絡(luò)安全體系的原則

1、安全性：設(shè)計網(wǎng)絡(luò)安全體系的最終目的是為了保護信息與網(wǎng)絡(luò)系統(tǒng)安全，所有安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性盒可用性。

2、可行性：設(shè)計網(wǎng)絡(luò)安全體系的目的是指導實施，如果實施的難度太大以至于無法實施，那么網(wǎng)絡(luò)安全系統(tǒng)本身也就沒有了實際價值。

3、高效性：構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運行，如果安全影響了系統(tǒng)的運行，那么就需要進行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點，要求安全防護系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運行。

4、可承擔性：網(wǎng)絡(luò)安全體系從設(shè)計到實施以及安全系統(tǒng)的后期維護、安全培訓等各個方案的工作都要由企業(yè)支持，所以，在設(shè)計網(wǎng)絡(luò)安全體系時，必須考慮企業(yè)的運維特點和實際承受能力。

（二）網(wǎng)絡(luò)安全體系構(gòu)建基礎(chǔ)

1、安全風險評估

網(wǎng)絡(luò)安全評估是根據(jù)評估目標和評估內(nèi)容的要求構(gòu)建的一組反映網(wǎng)絡(luò)安全水平的相關(guān)指標，據(jù)以搜集評估對象的有關(guān)信息資料，反映評估對象的網(wǎng)絡(luò)安全的基本面貌、素質(zhì)和水平。

2、安全區(qū)域的劃分

安全網(wǎng)絡(luò)域是由連接具有相同安全等級的計算域和（或）用戶域組成的網(wǎng)絡(luò)域。網(wǎng)絡(luò)域的安全等級的確定與網(wǎng)絡(luò)所連接的安全用戶域和（或）安全計算域的安全等級有關(guān)。

3、規(guī)定安全邊界

安全邊界是獨立的安全區(qū)域與外部環(huán)境的連接處，是防御外來攻擊的關(guān)口，根據(jù)企業(yè)具體的業(yè)務(wù)范圍，必須規(guī)定安全邊界上的連接情況，并進行過濾和控制，防止非法用戶的入侵以及系統(tǒng)敏感信息的外泄。

4、技術(shù)實現(xiàn)

（1）防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

（2）病毒防護技術(shù)

病毒歷來是信息系統(tǒng)安全的主要問題之一，需要從防毒、查毒、解毒三方面來進行計算機病毒的防治。主要包括實時監(jiān)測預警，及時發(fā)出警報，快速查找病毒來源，排查影響范圍，以及及時恢復被病毒感染前的原始信息的能力。

（3）入侵檢測技術(shù)

入侵檢測系統(tǒng)是提供實時的入侵檢測及采取相應(yīng)的防護手段，具備內(nèi)外雙向檢測機制，能夠記錄證據(jù)用于跟蹤和恢復、應(yīng)急處置等。

（4）安全掃描技術(shù)

安全掃描技術(shù)一般分為針對服務(wù)器或網(wǎng)絡(luò)的掃描。服務(wù)器掃描與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)，主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。網(wǎng)絡(luò)掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的終端及設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。

（5）認證和數(shù)字簽名技術(shù)

認證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)，實現(xiàn)雙方的可信通訊。

5、安全體系評估與測試

安全體系質(zhì)量的評估也是檢驗體系是否達到安全性、高效性、可行性、可承擔性的要求。某個網(wǎng)絡(luò)系統(tǒng)的安全體系時針對系統(tǒng)而言的，它不能用于另外的某個系統(tǒng)，所以我們設(shè)計企業(yè)局網(wǎng)安全體系，必須在一定的理論指導性，以風險與評估、安全需求分析為基礎(chǔ)，結(jié)合具體的實際情況進行研究分析。

（三）網(wǎng)絡(luò)安全體系的可靠性

網(wǎng)絡(luò)的脆弱性分為三類：行為管理、配置管理、技術(shù)能力。

1、行為管理：讓員工知道什么可以做，什么不可以做，建立有效安全意識，有效防控無意行為的發(fā)生。

2、配置管理：及時的更新，根據(jù)網(wǎng)絡(luò)中異常行為的檢查，及時更新設(shè)備及系統(tǒng)的安全策略，降低不合規(guī)策略及老舊策略的隱患。

3、技術(shù)能力：安全技術(shù)理論在不斷更新，關(guān)鍵技術(shù)設(shè)備和技術(shù)手段的不斷完善，持續(xù)化的更新才能保障技術(shù)的有效性。

三、結(jié)束語

一個完整的網(wǎng)絡(luò)安全體系必須具備以下特點：結(jié)構(gòu)合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu);能夠通過不斷的培訓和學習提高管理人員素質(zhì)和技能;做好系統(tǒng)補丁與設(shè)備代碼的及時升級;形成制度化的日常數(shù)據(jù)和系統(tǒng)狀態(tài)資料的備份;保持低值的滲透成功率;以及規(guī)范的網(wǎng)絡(luò)行為管理并具有嚴厲懲罰及打擊所有的網(wǎng)絡(luò)惡意行為的手段。這些特點是企業(yè)網(wǎng)絡(luò)成熟的標識，也是每個網(wǎng)管人員努力的方向，但萬能的網(wǎng)絡(luò)安全解決方案是不存在的，企業(yè)網(wǎng)絡(luò)安全體系設(shè)計首先要考慮企業(yè)的網(wǎng)絡(luò)應(yīng)用特點，量力而行，不要片面追求技術(shù)的先進性。

參考文獻：

[1]楊義先《網(wǎng)絡(luò)信息安全與保密》

[2]任冀湘《對企業(yè)級局域網(wǎng)的網(wǎng)絡(luò)安全問題探討》