企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)研究

劉艷花

（邯鄲市人民政府辦公室 河北省邯鄲市 056000）

隨著互聯(lián)網(wǎng)的發(fā)展，企業(yè)辦公逐漸進(jìn)入了信息化時(shí)代，除了傳統(tǒng)的企業(yè)網(wǎng)站宣傳、員工瀏覽網(wǎng)頁(yè)收發(fā)郵件外，移動(dòng)辦公、企業(yè)ERP、CRM 等各種業(yè)務(wù)系統(tǒng)逐漸部署到網(wǎng)絡(luò)上。互聯(lián)網(wǎng)給企業(yè)帶來(lái)了便利，但同時(shí)也帶來(lái)了網(wǎng)絡(luò)安全隱患。企業(yè)出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，已不僅僅是對(duì)企業(yè)本身帶來(lái)?yè)p失，可能會(huì)波及經(jīng)濟(jì)、社會(huì)等各個(gè)領(lǐng)域，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)對(duì)企業(yè)履行網(wǎng)絡(luò)安全責(zé)任、保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)已非常必要。

1 網(wǎng)絡(luò)安全典型問(wèn)題

1.1 計(jì)算機(jī)終端感染病毒

企業(yè)網(wǎng)絡(luò)中某臺(tái)計(jì)算機(jī)感染勒索病毒，計(jì)算機(jī)界面被鎖定，文件被加密后無(wú)法使用；計(jì)算機(jī)感染蠕蟲(chóng)病毒，藍(lán)屏、頻繁重啟，文件被破壞或刪除，其他計(jì)算機(jī)也被傳播感染；計(jì)算機(jī)感染挖礦病毒，機(jī)器卡頓、CPU 和內(nèi)存資源被占滿；計(jì)算機(jī)終端被植入木馬，某些端口被打開(kāi)，黑客通過(guò)端口進(jìn)入計(jì)算機(jī)系統(tǒng)，重要文件和資料被破壞或竊??；計(jì)算機(jī)被植入僵尸程序，成為僵尸主機(jī)，發(fā)起對(duì)其他計(jì)算機(jī)的攻擊。

1.2 業(yè)務(wù)系統(tǒng)遭受攻擊

企業(yè)業(yè)務(wù)系統(tǒng)服務(wù)器感染病毒，導(dǎo)致正常服務(wù)不能使用；黑客利用業(yè)務(wù)系統(tǒng)漏洞入侵服務(wù)器，客戶信息泄露、業(yè)務(wù)系統(tǒng)文件被竊??；企業(yè)網(wǎng)站被篡改，對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)或社會(huì)形象造成影響。

1.3 網(wǎng)絡(luò)遭受攻擊

互聯(lián)網(wǎng)出口遭受攻擊，病毒在網(wǎng)絡(luò)內(nèi)流竄，用戶不能正常上網(wǎng)；黑客通過(guò)掃描開(kāi)啟的網(wǎng)絡(luò)端口入侵網(wǎng)絡(luò)，竊取內(nèi)部信息。

2 網(wǎng)絡(luò)安全薄弱點(diǎn)

企業(yè)大多數(shù)員工認(rèn)為信息中心已加裝防火墻等網(wǎng)絡(luò)安全設(shè)備，作為使用者只需用網(wǎng)即可，網(wǎng)絡(luò)安全與使用者沒(méi)有關(guān)系。其實(shí)，網(wǎng)絡(luò)安全責(zé)任不僅僅是企業(yè)信息中心的責(zé)任，每名用網(wǎng)人員都是直接責(zé)任人員，其不當(dāng)操作習(xí)慣可能會(huì)給整個(gè)網(wǎng)絡(luò)帶來(lái)更大的隱患。除此之外，弱口令、業(yè)務(wù)系統(tǒng)漏洞、端口暴露也是引起網(wǎng)絡(luò)安全問(wèn)題的常見(jiàn)原因。

2.1 計(jì)算機(jī)使用行為不規(guī)范

計(jì)算機(jī)使用人員網(wǎng)絡(luò)安全意識(shí)薄弱，不能規(guī)范上網(wǎng)行為，對(duì)計(jì)算機(jī)長(zhǎng)期不殺毒、不打補(bǔ)丁，移動(dòng)存儲(chǔ)介質(zhì)無(wú)專人管理，未經(jīng)查殺病毒、木馬隨意接入計(jì)算機(jī)，通過(guò)微信、QQ 群接收無(wú)關(guān)的文件，隨意下載、安裝軟件，訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站，點(diǎn)擊來(lái)源不明的鏈接、郵件或可疑文件，使用辦公網(wǎng)絡(luò)私接路由器、發(fā)射Wi-Fi 信號(hào)，通過(guò)辦公計(jì)算機(jī)連接手機(jī)等其他終端。下班時(shí)間不斷電，給黑客帶來(lái)可乘之機(jī)。員工或臨時(shí)的外來(lái)人員所使用的筆記本電腦以及U 盤(pán)等移動(dòng)設(shè)備由于經(jīng)常接入各種網(wǎng)絡(luò)環(huán)境使用，如果管理不善，很有可能攜帶病毒或木馬，一旦未經(jīng)審查就接入企業(yè)網(wǎng)絡(luò)，可能對(duì)網(wǎng)絡(luò)安全構(gòu)成巨大的威脅。

2.2 弱口令屢禁不止

口令好比打開(kāi)業(yè)務(wù)系統(tǒng)大門的鑰匙，非常重要但往往被忽視。管理員對(duì)業(yè)務(wù)系統(tǒng)后臺(tái)密碼設(shè)置簡(jiǎn)單、數(shù)據(jù)庫(kù)默認(rèn)口令不修改，系統(tǒng)不具備強(qiáng)制用戶設(shè)置高強(qiáng)度密碼的功能。普通用戶為了方便記憶，設(shè)置“記住密碼”，沒(méi)有定期修改密碼的習(xí)慣。郵箱、社交平臺(tái)等多個(gè)賬號(hào)使用同一密碼，面臨被“撞庫(kù)”的風(fēng)險(xiǎn)。黑客輕易破解密碼，進(jìn)入后臺(tái)獲取系統(tǒng)權(quán)限，導(dǎo)致數(shù)據(jù)泄露或信息篡改。

2.3 業(yè)務(wù)系統(tǒng)漏洞

軟件設(shè)計(jì)不按信息安全等級(jí)保護(hù)要求進(jìn)行模塊化設(shè)計(jì)、軟件工程實(shí)現(xiàn)中造成的軟件系統(tǒng)內(nèi)部邏輯混亂、功能冗余等，都會(huì)在軟件設(shè)計(jì)上形成漏洞。常見(jiàn)漏洞包括SQL 注入、文件上傳、目錄遍歷、文件包含、命令執(zhí)行、代碼執(zhí)行、跨站腳本攻擊等。系統(tǒng)運(yùn)行維護(hù)人員沒(méi)有根據(jù)業(yè)務(wù)系統(tǒng)漏洞發(fā)布情況及時(shí)修補(bǔ)漏洞，沒(méi)有漏洞掃描工具識(shí)別漏洞，甚至廢棄不用的業(yè)務(wù)系統(tǒng)服務(wù)器長(zhǎng)時(shí)間不關(guān)閉，這些將給企業(yè)數(shù)據(jù)資產(chǎn)帶來(lái)很大風(fēng)險(xiǎn)。

2.4 隨意開(kāi)啟端口

運(yùn)行維護(hù)人員為了方便遠(yuǎn)程維護(hù)，隨意開(kāi)啟網(wǎng)絡(luò)設(shè)備或服務(wù)器端口；長(zhǎng)期不用的地址映射或端口不及時(shí)清除；計(jì)算機(jī)開(kāi)啟135、137、138、139、445 等高危端口，開(kāi)啟遠(yuǎn)程操作后長(zhǎng)期不關(guān)閉。攻擊者一旦與這些端口建立連接，很可能會(huì)獲得局域網(wǎng)內(nèi)各種共享信息。

2.5 網(wǎng)絡(luò)安全防護(hù)薄弱

作為連接企業(yè)與互聯(lián)網(wǎng)的樞紐，互聯(lián)網(wǎng)出口區(qū)域的重要性不言而喻，可是有的企業(yè)不重視設(shè)備投入，互聯(lián)網(wǎng)出口只加裝防火墻，未加裝入侵防御等設(shè)備深入應(yīng)用層攔截惡意代碼攻擊；對(duì)網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)未開(kāi)展等級(jí)保護(hù)測(cè)評(píng)，沒(méi)有進(jìn)行分區(qū)分域差別化防護(hù)；防火墻策略設(shè)置顆粒度較大，未能有效攔截非法地址或異常流量；對(duì)分支機(jī)構(gòu)接入網(wǎng)未設(shè)置邊界防護(hù)，忽視來(lái)自內(nèi)部的攻擊；核心區(qū)缺乏審計(jì)設(shè)備，對(duì)攻擊束手無(wú)策，出現(xiàn)問(wèn)題無(wú)法追蹤溯源。

3 管理制度

建立全方位的網(wǎng)絡(luò)安全防護(hù)體系，管理制度必不可少。用管理制度來(lái)加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)、保障網(wǎng)絡(luò)安全責(zé)任落實(shí)執(zhí)行和網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)。

3.1 成立網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組

為加強(qiáng)網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃和組織協(xié)調(diào)，明確以企業(yè)負(fù)責(zé)人為組長(zhǎng)、企業(yè)副職和各分支機(jī)構(gòu)負(fù)責(zé)人為副組長(zhǎng)、各部門經(jīng)理為成員的組織機(jī)構(gòu)，建立和完善安全防范聯(lián)動(dòng)機(jī)制，有效解決網(wǎng)絡(luò)安全方面存在的問(wèn)題。網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室設(shè)在信息中心。網(wǎng)絡(luò)安全工作納入各部門績(jī)效考核。

3.2 制定網(wǎng)絡(luò)安全責(zé)任制實(shí)施細(xì)則

網(wǎng)絡(luò)安全已不僅僅是信息中心的責(zé)任，每名員工都是網(wǎng)絡(luò)安全工作直接責(zé)任人。責(zé)任制細(xì)則將網(wǎng)絡(luò)安全責(zé)任劃分到信息中心、業(yè)務(wù)部門和全體員工，出現(xiàn)網(wǎng)絡(luò)安全事件時(shí)，根據(jù)發(fā)生原因和溯源核查結(jié)果，實(shí)施責(zé)任追究。

3.3 制定應(yīng)急預(yù)案

將網(wǎng)絡(luò)安全事件劃分等級(jí)，根據(jù)一般事件、較大事件、重大事件采取不同等級(jí)的應(yīng)急措施和報(bào)告流程。確保一旦發(fā)生問(wèn)題，根據(jù)嚴(yán)重程度和影響范圍，能夠及時(shí)報(bào)告分支機(jī)構(gòu)信息技術(shù)部、部門負(fù)責(zé)人、信息中心進(jìn)行有效處置，較大事件和重大事件要向企業(yè)負(fù)責(zé)人報(bào)告。

4 技術(shù)防護(hù)

4.1 網(wǎng)絡(luò)架構(gòu)

良好的架構(gòu)設(shè)計(jì)是實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備可管可控的前提。尤其是大中型企業(yè)，其規(guī)模大、員工多、辦公地點(diǎn)分散、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、信息系統(tǒng)數(shù)量多，企業(yè)總部網(wǎng)絡(luò)需要規(guī)劃為層次清晰的三層結(jié)構(gòu)，如圖1所示。核心層實(shí)現(xiàn)骨干網(wǎng)之間的優(yōu)化傳輸、匯聚層處理來(lái)自接入層設(shè)備的通信量、接入層使本地網(wǎng)段終端用戶接入網(wǎng)絡(luò)。為減少網(wǎng)絡(luò)風(fēng)暴，接入層全部使用支持VLAN 劃分的三層交換機(jī)。

圖1：網(wǎng)絡(luò)架構(gòu)

企業(yè)辦公網(wǎng)與互聯(lián)網(wǎng)強(qiáng)邏輯隔離，員工使用一臺(tái)計(jì)算機(jī)既能訪問(wèn)內(nèi)部業(yè)務(wù)區(qū)各類服務(wù)，又能訪問(wèn)互聯(lián)網(wǎng)，當(dāng)訪問(wèn)內(nèi)部業(yè)務(wù)區(qū)時(shí)，互聯(lián)網(wǎng)自動(dòng)切斷，當(dāng)訪問(wèn)互聯(lián)網(wǎng)時(shí)，內(nèi)部業(yè)務(wù)區(qū)網(wǎng)絡(luò)自動(dòng)切斷。分支機(jī)構(gòu)通過(guò)運(yùn)營(yíng)商數(shù)據(jù)專線或MPLS VPN 線路與企業(yè)總部實(shí)現(xiàn)連接。

4.2 分區(qū)分域保護(hù)

信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)原則，為加強(qiáng)安全，對(duì)企業(yè)總部網(wǎng)絡(luò)、企業(yè)移動(dòng)辦公系統(tǒng)、ERP 業(yè)務(wù)系統(tǒng)等實(shí)施三級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)，對(duì)分支機(jī)構(gòu)網(wǎng)絡(luò)實(shí)施二級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)。按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)，劃分網(wǎng)絡(luò)邊界和安全區(qū)域，設(shè)置互聯(lián)網(wǎng)出口區(qū)、DMZ區(qū)、核心區(qū)、運(yùn)維管理區(qū)、內(nèi)部業(yè)務(wù)區(qū)、接入?yún)^(qū)等區(qū)域，各安全域?qū)崿F(xiàn)差異化防護(hù)，有效保障網(wǎng)絡(luò)安全。如圖2所示。

圖2：分區(qū)分域保護(hù)

（1）互聯(lián)網(wǎng)出口區(qū)。在互聯(lián)網(wǎng)出口串接防火墻，將企業(yè)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離，對(duì)非法訪問(wèn)進(jìn)行過(guò)濾與控制，構(gòu)建內(nèi)部網(wǎng)絡(luò)保護(hù)屏障。同時(shí)，面對(duì)越來(lái)越廣泛的基于應(yīng)用層內(nèi)容的攻擊行為，防火墻并不擅長(zhǎng)處理應(yīng)用層數(shù)據(jù)，各種混合攻擊多借助病毒的傳播方式進(jìn)行，為此，串接入侵防御設(shè)備（IPS）來(lái)彌補(bǔ)防火墻的不足。IPS 提供了攻擊特征庫(kù)，對(duì)網(wǎng)絡(luò)流量進(jìn)行特征檢測(cè)，符合特征的入侵流量將被攔截。串接上網(wǎng)行為管理設(shè)備對(duì)網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問(wèn)等行為進(jìn)行精細(xì)化識(shí)別和管控，對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與審計(jì)。

（2）DMZ 區(qū)。該區(qū)域部署面向互聯(lián)網(wǎng)開(kāi)放部分服務(wù)的Web 服務(wù)器，比如企業(yè)網(wǎng)站前臺(tái)頁(yè)面、辦公系統(tǒng)移動(dòng)服務(wù)端等。該區(qū)域需要部署WAF 設(shè)備，防止外部對(duì)企業(yè)網(wǎng)站、辦公系統(tǒng)的DDoS 攻擊、SQL 注入、跨站腳本攻擊、網(wǎng)頁(yè)篡改、數(shù)據(jù)竊取等攻擊，阻斷對(duì)Web服務(wù)器的惡意訪問(wèn)和違規(guī)操作。

（3）核心區(qū)。核心區(qū)由兩臺(tái)高性能核心交換機(jī)組成雙機(jī)熱備結(jié)構(gòu)，保障設(shè)備和線路的冗余部署。

（4）運(yùn)維管理區(qū)。運(yùn)維管理區(qū)部署入侵檢測(cè)（IDS）、日志審計(jì)、態(tài)勢(shì)感知系統(tǒng)、漏洞掃描、堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)、EDR 等設(shè)備，旁掛在核心交換機(jī)上，形成較為全面的安全監(jiān)控和審計(jì)體系，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的防護(hù)、監(jiān)視和定位溯源。IDS 監(jiān)聽(tīng)、收集和分析網(wǎng)絡(luò)流量，審計(jì)獲得的信息，檢查網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊跡象，由于其旁路部署，對(duì)于來(lái)自內(nèi)部和外部的攻擊行為都能夠起到有效的發(fā)現(xiàn)作用。IDS 可與防火墻等安全產(chǎn)品進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)動(dòng)態(tài)的安全維護(hù)。日志審計(jì)設(shè)備收集全網(wǎng)設(shè)備的日志信息，對(duì)日志范式化處理并進(jìn)行監(jiān)測(cè)。態(tài)勢(shì)感知系統(tǒng)在對(duì)網(wǎng)絡(luò)安全事件統(tǒng)一采集與整合的基礎(chǔ)上，實(shí)現(xiàn)對(duì)事件的關(guān)聯(lián)分析和預(yù)警通報(bào)，對(duì)攻擊追蹤溯源，可視化揭示和還原安全事件，并基于網(wǎng)絡(luò)威脅進(jìn)行態(tài)勢(shì)預(yù)測(cè)。漏洞掃描設(shè)備能夠利用漏洞庫(kù)全面、快速、準(zhǔn)確地發(fā)現(xiàn)被掃描網(wǎng)絡(luò)中的主機(jī)資產(chǎn)，準(zhǔn)確識(shí)別主機(jī)名稱、端口情況、操作系統(tǒng)以及開(kāi)放的服務(wù)等，對(duì)這些資產(chǎn)進(jìn)行脆弱性檢查并提供修補(bǔ)方案。隨著網(wǎng)絡(luò)設(shè)備的增多，安裝堡壘機(jī)加強(qiáng)對(duì)技術(shù)人員操作行為的監(jiān)管與審計(jì)已非常必要，對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的運(yùn)維操作都通過(guò)堡壘機(jī)來(lái)開(kāi)展，實(shí)現(xiàn)對(duì)設(shè)備操作的審計(jì)和記錄。數(shù)據(jù)庫(kù)審計(jì)設(shè)備通過(guò)用戶操作行為的記錄和分析，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)操作審計(jì)和追溯，對(duì)數(shù)據(jù)庫(kù)遭受的風(fēng)險(xiǎn)行為進(jìn)行實(shí)時(shí)告警。安裝終端管控系統(tǒng)（EDR），實(shí)現(xiàn)對(duì)接入?yún)^(qū)計(jì)算機(jī)終端的管控。

（5）內(nèi)部業(yè)務(wù)區(qū)。內(nèi)部業(yè)務(wù)區(qū)部署的內(nèi)部郵件系統(tǒng)、企業(yè)ERP、辦公系統(tǒng)數(shù)據(jù)庫(kù)不對(duì)外開(kāi)放，只由內(nèi)部員工訪問(wèn)。串接防火墻、入侵防御和WAF 設(shè)備，對(duì)Web 應(yīng)用軟件、業(yè)務(wù)系統(tǒng)存在的漏洞以及SQL 注入、跨站腳本等攻擊進(jìn)行有針對(duì)性的防護(hù)，保障內(nèi)部業(yè)務(wù)數(shù)據(jù)安全。

（6）接入?yún)^(qū)。接入網(wǎng)各計(jì)算機(jī)安裝EDR 客戶端，可以禁止使用非授權(quán)的U 盤(pán)和移動(dòng)硬盤(pán)等存儲(chǔ)設(shè)備、禁止非授權(quán)的網(wǎng)絡(luò)訪問(wèn)，實(shí)現(xiàn)終端病毒查殺、補(bǔ)丁分發(fā)、漏洞修復(fù)，保障接入終端可管可控。

（7）分支機(jī)構(gòu)網(wǎng)絡(luò)。分支機(jī)構(gòu)與企業(yè)總部網(wǎng)絡(luò)要有防護(hù)邊界，使用防火墻等網(wǎng)絡(luò)安全設(shè)備實(shí)現(xiàn)獨(dú)立組網(wǎng)。為保障網(wǎng)絡(luò)安全，分支機(jī)構(gòu)可統(tǒng)一使用企業(yè)總部互聯(lián)網(wǎng)出口，也可單獨(dú)建立互聯(lián)網(wǎng)出口但要加強(qiáng)出口防護(hù)。

為實(shí)現(xiàn)企業(yè)辦公網(wǎng)與互聯(lián)網(wǎng)的強(qiáng)邏輯隔離，需要采取跨網(wǎng)隔離措施：DMZ 區(qū)與內(nèi)部業(yè)務(wù)區(qū)的服務(wù)器之間通過(guò)網(wǎng)閘等跨網(wǎng)隔離設(shè)施進(jìn)行數(shù)據(jù)交換；接入終端安裝Inode 客戶端軟件，實(shí)現(xiàn)對(duì)用戶終端的網(wǎng)絡(luò)訪問(wèn)控制，訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)自動(dòng)斷開(kāi)互聯(lián)網(wǎng)，訪問(wèn)互聯(lián)網(wǎng)時(shí)斷開(kāi)業(yè)務(wù)系統(tǒng)，保證跨兩網(wǎng)訪問(wèn)有效隔離。

4.3 業(yè)務(wù)系統(tǒng)設(shè)計(jì)

業(yè)務(wù)系統(tǒng)要進(jìn)行壓力測(cè)試并單獨(dú)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)。業(yè)務(wù)系統(tǒng)軟件一定要注意分層架構(gòu)，應(yīng)用程序、數(shù)據(jù)庫(kù)、文件采取分布式部署結(jié)構(gòu)，面向移動(dòng)端的業(yè)務(wù)層部署在互聯(lián)網(wǎng)區(qū)，存儲(chǔ)重要文件或數(shù)據(jù)的服務(wù)器不能部署在DMZ 區(qū)，必須部署在內(nèi)部業(yè)務(wù)區(qū)。數(shù)據(jù)存儲(chǔ)、傳輸過(guò)程中采用加密技術(shù)進(jìn)行加密處理，保證信息的安全性和完整性。移動(dòng)辦公等業(yè)務(wù)系統(tǒng)地址不能直接映射到互聯(lián)網(wǎng)，手機(jī)等移動(dòng)終端必須安裝VPN 客戶端，通過(guò)VPN 網(wǎng)關(guān)設(shè)備建立的虛擬專用通道保障訪問(wèn)內(nèi)部資源的安全性。

5 日常管理

“三分技術(shù)、七分管理”同樣適用于網(wǎng)絡(luò)管理。網(wǎng)絡(luò)安全日常管理主要包括信息中心對(duì)網(wǎng)絡(luò)的精細(xì)化管理和全體人員對(duì)網(wǎng)絡(luò)安全制度的落實(shí)執(zhí)行。

5.1 定期檢查設(shè)備配置

企業(yè)信息中心常態(tài)化檢查設(shè)備配置，發(fā)揮設(shè)備使用效能，必要時(shí)定期聘請(qǐng)廠商專業(yè)技術(shù)人員，對(duì)設(shè)備端口和策略進(jìn)行檢查，細(xì)化所有設(shè)備的網(wǎng)絡(luò)安全策略，隔離、屏蔽無(wú)關(guān)IP，關(guān)閉不用的端口、服務(wù)和映射。企業(yè)信息中心、分支機(jī)構(gòu)技術(shù)中心要頻繁開(kāi)展病毒查殺、入侵檢測(cè)、漏洞掃描、安全審計(jì)等基礎(chǔ)網(wǎng)絡(luò)安全工作。規(guī)范操作，需要遠(yuǎn)程維護(hù)的，必須通過(guò)VPN 專用通道連接設(shè)備端口，其余時(shí)間一律在企業(yè)內(nèi)部通過(guò)登錄堡壘機(jī)維護(hù)設(shè)備。

5.2 加強(qiáng)業(yè)務(wù)系統(tǒng)管理

實(shí)踐證明大量攻擊案例都是黑客利用了系統(tǒng)漏洞或弱口令，攻入企業(yè)內(nèi)部獲得一定權(quán)限。信息中心技術(shù)人員一定要對(duì)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)定期備份轉(zhuǎn)儲(chǔ)，跟進(jìn)系統(tǒng)版本更新信息，掃描并及時(shí)修補(bǔ)系統(tǒng)漏洞；系統(tǒng)管理員賬號(hào)、普通用戶客戶端賬號(hào)都要設(shè)置強(qiáng)度密碼，避免弱口令帶來(lái)危害。

5.3 嚴(yán)格管控計(jì)算機(jī)終端

信息中心統(tǒng)一規(guī)劃IP 地址，所有接入網(wǎng)絡(luò)的計(jì)算機(jī)終端都要進(jìn)行IP 地址綁定。員工安裝EDR 系統(tǒng)客戶端，對(duì)計(jì)算機(jī)終端定期開(kāi)展殺毒和補(bǔ)丁修復(fù)工作，關(guān)閉所有不使用的端口和服務(wù)。辦公用移動(dòng)存儲(chǔ)介質(zhì)專人管理，在接入辦公計(jì)算機(jī)前要查殺病毒、木馬等惡意代碼。禁止通過(guò)微信、QQ等即時(shí)通訊工具接收可能引起病毒的文件。嚴(yán)禁下載、安裝與工作無(wú)關(guān)的軟件。不訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站，不點(diǎn)擊來(lái)源不明的鏈接、郵件或可疑文件。禁止使用辦公網(wǎng)絡(luò)私接路由器、發(fā)射Wi-Fi 信號(hào)，禁止通過(guò)辦公計(jì)算機(jī)連接手機(jī)等其他終端。非工作時(shí)間辦公計(jì)算機(jī)及時(shí)斷電。

5.4 檢查、考核、培訓(xùn)

在網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，每名員工都要簽訂網(wǎng)絡(luò)安全責(zé)任書(shū)，企業(yè)信息中心聯(lián)合各分支機(jī)構(gòu)技術(shù)中心和人力資源部門，定期開(kāi)展網(wǎng)絡(luò)安全檢查，細(xì)化檢查表各項(xiàng)評(píng)分，人力資源部門將網(wǎng)絡(luò)安全執(zhí)行情況納入部門、人員績(jī)效考核，計(jì)入年度考核得分。企業(yè)信息中心搜集網(wǎng)絡(luò)安全事件案例，就網(wǎng)絡(luò)安全事件和新上業(yè)務(wù)系統(tǒng)開(kāi)展專項(xiàng)培訓(xùn)，采用圖片、動(dòng)畫(huà)等方式，以通俗易懂的語(yǔ)言對(duì)全體員工開(kāi)展培訓(xùn)，使員工對(duì)網(wǎng)絡(luò)安全責(zé)任有清晰的認(rèn)識(shí)。

6 應(yīng)急演練

由企業(yè)信息中心牽頭組織，按照事前準(zhǔn)備、事中預(yù)防、事后鞏固的原則，根據(jù)應(yīng)急響應(yīng)工作流程每年定期組織應(yīng)急預(yù)案演練。通過(guò)應(yīng)急演練，完善應(yīng)急預(yù)案的不足之處，檢驗(yàn)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)成果，提升應(yīng)急事件的響應(yīng)和緊急處置能力。

6.1 啟動(dòng)階段

由企業(yè)領(lǐng)導(dǎo)、信息中心負(fù)責(zé)人、相關(guān)人員組成指揮決策組，組建攻防演練團(tuán)隊(duì)，動(dòng)員全體員工參與。邀請(qǐng)公安網(wǎng)安支隊(duì)人員、知名網(wǎng)絡(luò)安全設(shè)備生產(chǎn)廠商技術(shù)人員、等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)人員組成攻擊組，針對(duì)可能存在的薄弱環(huán)節(jié)，制定應(yīng)急演練工作方案，工作方案應(yīng)包括應(yīng)急演練時(shí)間、范圍、人員組成、工作流程、安全措施等。防御組要摸清家底，理清信息化資產(chǎn)清單和設(shè)備配置。

6.2 備戰(zhàn)階段

信息中心技術(shù)人員對(duì)移動(dòng)辦公業(yè)務(wù)系統(tǒng)、業(yè)務(wù)數(shù)據(jù)庫(kù)、企業(yè)網(wǎng)站等重點(diǎn)資源加強(qiáng)防護(hù)，開(kāi)展設(shè)備配置核查、弱口令檢查、漏洞掃描等自查工作，對(duì)防火墻、身份認(rèn)證、VPN等關(guān)鍵部位進(jìn)行風(fēng)險(xiǎn)評(píng)估。企業(yè)各部門提高思想認(rèn)識(shí)，加強(qiáng)部門計(jì)算機(jī)終端安全。

6.3 演練和保障階段

攻擊組通過(guò)搜集信息、挖掘漏洞、爆破密碼、利用漏洞，以滲透業(yè)務(wù)系統(tǒng)、模擬重點(diǎn)部門計(jì)算機(jī)感染勒索病毒、向員工發(fā)送釣魚(yú)郵件等方式，模擬黑客攻擊行為。防御組利用態(tài)勢(shì)感知等可視化安全管控平臺(tái)，對(duì)設(shè)備日志、流量進(jìn)行監(jiān)測(cè)、分析，對(duì)入侵痕進(jìn)行排查，發(fā)現(xiàn)異常立即處置報(bào)告。

6.4 總結(jié)階段

防護(hù)組全面復(fù)盤(pán)總結(jié)，從攻擊事件、風(fēng)險(xiǎn)等級(jí)、攻擊路徑和漏洞利用四個(gè)維度展開(kāi)分析?？偨Y(jié)經(jīng)驗(yàn)做法和不足之處，嚴(yán)格按時(shí)間整改到位，并書(shū)面報(bào)告。

應(yīng)急演練驗(yàn)證了日常管理、技術(shù)防護(hù)的有效性，發(fā)現(xiàn)了薄弱環(huán)節(jié)，鍛煉了技術(shù)隊(duì)伍，使企業(yè)員工對(duì)網(wǎng)絡(luò)安全問(wèn)題有了身臨其境的認(rèn)識(shí)，直觀地體驗(yàn)到網(wǎng)絡(luò)使用也能帶來(lái)安全隱患。

7 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)為企業(yè)提供了較為完善有效的整體網(wǎng)絡(luò)防護(hù)方案，為企業(yè)信息化發(fā)展奠定了基礎(chǔ)框架。網(wǎng)絡(luò)安全已不單靠技術(shù)防護(hù)解決問(wèn)題，網(wǎng)絡(luò)安全制度和日常管理對(duì)網(wǎng)絡(luò)安全亦為重要。網(wǎng)絡(luò)安全不是信息中心一個(gè)部門的責(zé)任，企業(yè)領(lǐng)導(dǎo)者、普通用網(wǎng)員工都需要重視和參與。實(shí)踐證明防護(hù)體系建設(shè)有效保障了網(wǎng)絡(luò)安全，極大降低了網(wǎng)絡(luò)安全事件的發(fā)生。隨著信息技術(shù)的發(fā)展，企業(yè)將會(huì)選用更加新穎的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，但都離不開(kāi)網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)體系的支撐。本論文對(duì)各類企業(yè)甚至政府部門應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題具有普遍參考意義。