0 引言

當(dāng)今社會已經(jīng)步入信息知識經(jīng)濟(jì)時(shí)代，信息安全是目前發(fā)展的大趨勢，趨勢重點(diǎn)是BYOD條件下，移動4G、WIFI互聯(lián)等多邊界企業(yè)網(wǎng)絡(luò)環(huán)境下，安全邊界的界定和管理?？砂ㄐ畔踩軜?gòu)體系的搭建，其中包括網(wǎng)絡(luò)邊界安全、信息流安全、系統(tǒng)等級定義、CA認(rèn)證、統(tǒng)一身份認(rèn)證等方面。本文主要就這些方面深度論述信息安全在企業(yè)發(fā)展中的重要性，剖析對系統(tǒng)操作的意義，并提出某些改進(jìn)措施及觀點(diǎn)，以此來完善企業(yè)網(wǎng)絡(luò)安全、系統(tǒng)安全等信息安全工作。

1 企業(yè)信息化安全現(xiàn)狀

當(dāng)前，企業(yè)信息安全尚在起步階段，發(fā)展不夠成熟健全，還有更多需要解決的問題。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，經(jīng)濟(jì)信息量的大幅度上漲，處理信息必須依靠計(jì)算機(jī)才能完成，但計(jì)算機(jī)存在一定的弱點(diǎn)，例如計(jì)算機(jī)病毒、人員素質(zhì)低下、黑客入侵等因素，以及移動4G、WIFI互聯(lián)等多邊界企業(yè)網(wǎng)絡(luò)環(huán)境下，由于內(nèi)外部網(wǎng)絡(luò)是直接連接，其互通性和網(wǎng)絡(luò)訪問無限制性易形成黑客或惡意份子入侵的切入口，若是沒有設(shè)置任何的網(wǎng)絡(luò)邊界安全機(jī)制，將造成企業(yè)信息受到潛在的安全威脅。企業(yè)要想持續(xù)發(fā)展，信息安全是基本保障。企業(yè)信息化程度越高，企業(yè)數(shù)據(jù)也就越安全。企業(yè)發(fā)展的基礎(chǔ)即信息安全，企業(yè)管理者要正確認(rèn)識信息安全工作的長期性和緊迫性。從保護(hù)企業(yè)利益，促進(jìn)經(jīng)濟(jì)發(fā)展，保證企業(yè)穩(wěn)定與安全的角度來看，只有做好基礎(chǔ)性工作和設(shè)施建設(shè)，建立信息安全保障，以及建設(shè)安全健康的網(wǎng)絡(luò)環(huán)境，才能有助于信息化安全建設(shè)。其實(shí)不管科技如何發(fā)達(dá)，技術(shù)如何高超，都是人類智慧的結(jié)晶體，所以信息安全已無法離開人類。不少企業(yè)信息被泄露，多是人為因素導(dǎo)致，員工濫用企業(yè)信息將會給企業(yè)帶來極大的損失。

2 企業(yè)信息化安全建設(shè)

當(dāng)今社會已經(jīng)步入信息知識經(jīng)濟(jì)時(shí)代，信息對企業(yè)良性長久的發(fā)展尤為關(guān)鍵，但目前企業(yè)信息系統(tǒng)安全問題無疑是企業(yè)發(fā)展階段所面臨的重點(diǎn)難點(diǎn)。所謂的企業(yè)信息安全就是對企業(yè)信息資產(chǎn)采取保護(hù)措施，使其不受惡意或偶然侵犯而被破壞、篡改及泄露，確保信息系統(tǒng)可靠正常并連續(xù)的運(yùn)行，最小化安全事件對業(yè)務(wù)的影響，實(shí)現(xiàn)業(yè)務(wù)運(yùn)行的連續(xù)性。因此筆者認(rèn)為以下幾方面是關(guān)鍵。

2.1 做好網(wǎng)絡(luò)保護(hù)

其實(shí)要保證外網(wǎng)安全需要企業(yè)加大硬件設(shè)備的投入，信息安全產(chǎn)品在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展下正面臨著新的挑戰(zhàn)，傳統(tǒng)防火墻、信息加密、防病毒等已無法有效的抵御外部入侵；同時(shí)由于內(nèi)部操作不當(dāng)，導(dǎo)致內(nèi)網(wǎng)感染病毒造成信息泄露的現(xiàn)狀也是信息安全的焦點(diǎn)問題。針對以上情況，建立事前有效防御，事后追究機(jī)制是企業(yè)信息化安全建設(shè)的當(dāng)務(wù)之急。根據(jù)現(xiàn)代企業(yè)的特點(diǎn)，筆者認(rèn)為從下面這幾點(diǎn)入手，有助于保護(hù)網(wǎng)絡(luò)的安全：

（1）身份認(rèn)證技術(shù)。企業(yè)內(nèi)網(wǎng)操作時(shí)，可采用身份認(rèn)證技術(shù)，借助 PKI、PKM 等工具，控制網(wǎng)絡(luò)應(yīng)用程序的訪問，以及進(jìn)行身份認(rèn)證，實(shí)現(xiàn)有效資源合法應(yīng)用和訪問的目的。

（2）審計(jì)跟蹤技術(shù)。通過審計(jì)跟蹤技術(shù)監(jiān)控和審計(jì)網(wǎng)絡(luò)，控制外設(shè)備如MSN、QQ、端口、打印、光驅(qū)、軟驅(qū)等，從而實(shí)現(xiàn)禁止使用指定程序，并促進(jìn)員工操作行為及日志審計(jì)規(guī)范的目的。

（3）企業(yè)還應(yīng)組建自身網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用嚴(yán)格密鑰機(jī)制和加密算法，有機(jī)的結(jié)合加密、認(rèn)證、授權(quán)、審計(jì)等功能，保護(hù)最底層不同密集評定和授權(quán)方式的核心數(shù)據(jù)，而非限制應(yīng)用網(wǎng)絡(luò)和控制網(wǎng)絡(luò)，進(jìn)而真正實(shí)現(xiàn)合理保護(hù)，確保企業(yè)信息數(shù)據(jù)資源的安全。

2.2 安全邊界的界定和管理

安全邊界的界定通過分析現(xiàn)有網(wǎng)絡(luò)邊界安全的需求，筆者認(rèn)為有幾方面：首先，內(nèi)部網(wǎng)段。即企業(yè)網(wǎng)內(nèi)網(wǎng)，是防火墻的重點(diǎn)保護(hù)對象，安全級別和授信級別更高，主要承載對象是企業(yè)所有人員的計(jì)算機(jī)。其次，外部網(wǎng)段。即邊界路由器以外的網(wǎng)絡(luò)，比如移動4G、WIFI互聯(lián)等多邊界網(wǎng)絡(luò)，安全級別和授信級別最低，是企業(yè)信息數(shù)據(jù)泄露最大的安全隱患，需要嚴(yán)格禁止或控制。最后，DMZ網(wǎng)段。即對外服務(wù)器，安全級別和授信級別介于內(nèi)外網(wǎng)絡(luò)之間，其資源運(yùn)行外部網(wǎng)絡(luò)訪問。

（1）由于外部用戶訪問 DMZ區(qū)域中服務(wù)器的方式較為特殊，在系統(tǒng)默認(rèn)情況下是不被允許的?？蓪?shí)際應(yīng)用中是需要外部用戶對其進(jìn)行訪問，所以防火墻上必須增加相應(yīng)允許外部用戶訪問DMZ區(qū)域的訪問控制列表，通過對列表的控制允許用戶行為，并對進(jìn)行很好的監(jiān)控管理，保證企業(yè)信息的安全性。

（2）內(nèi)部用戶對外部網(wǎng)絡(luò)以及DMZ區(qū)域中服務(wù)器的訪問。按照ASA自適應(yīng)安全算法，在系統(tǒng)默認(rèn)情況下是允許高安全等級接口流向低安全等級接口流量的，外部網(wǎng)絡(luò)安全級別遠(yuǎn)沒企業(yè)內(nèi)部網(wǎng)絡(luò)安全級別高，所以在默認(rèn)情況下這種訪問方式是被允許的，不過實(shí)際應(yīng)用過程中，需要限制對外訪問流量。

（3）外部用戶對內(nèi)部網(wǎng)絡(luò)的訪問。在系統(tǒng)默認(rèn)情況下這種情況是不被允許的，是對外部用戶非法訪問的有效抵御，能有效的保證企業(yè)信息的安全，促進(jìn)企業(yè)信息化的安全建設(shè)。

2.3 強(qiáng)化系統(tǒng)管理

由于任何安全軟件都有被攻擊或破解的可能性，單純依靠軟件技術(shù)來保障企業(yè)信息安全是不現(xiàn)實(shí)的，只有強(qiáng)化企業(yè)內(nèi)部信息系統(tǒng)的管理才行之有效。所以，企業(yè)內(nèi)部信息管理體制要完善，盡可能促進(jìn)管理系統(tǒng)規(guī)范性和可靠性的提高，才能為企業(yè)內(nèi)部信息的安全提供更高保障。同時(shí)，要進(jìn)行安全風(fēng)險(xiǎn)評估工作。因?yàn)楦鱾€(gè)信息系統(tǒng)使用的都是不同的技術(shù)手段和組成方式，其自身優(yōu)勢及安全漏洞也具有較大的差異，由此在選擇企業(yè)所需的信息系統(tǒng)時(shí)，一定要先做各個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)評估工作，信息安全系統(tǒng)的選擇要針對企業(yè)自身特點(diǎn)，降低信息安全問題出現(xiàn)的概率。最后，就是加強(qiáng)系統(tǒng)管理。在實(shí)際生活中信息竊取和系統(tǒng)攻擊大多是在網(wǎng)絡(luò)上完成的，企業(yè)必須要強(qiáng)化網(wǎng)絡(luò)管理工作，以便促進(jìn)企業(yè)的運(yùn)行更安全政策。

2.4 加強(qiáng)企業(yè)信息安全管理團(tuán)隊(duì)建設(shè)

當(dāng)前，企業(yè)信息安全體系的建設(shè)中已完全滲透“七分管理，三分技術(shù)”的意識，強(qiáng)化企業(yè)員工信息安全知識培訓(xùn)，制定完善合理的信息安全管理制度，是企業(yè)信息安全建設(shè)順利實(shí)施的關(guān)鍵保障。企業(yè)信息安全建設(shè)時(shí)要另立專門管理信息安全的部門，負(fù)責(zé)企業(yè)內(nèi)部的信息安全防護(hù)工作，加強(qiáng)對企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的維護(hù)及常規(guī)檢查。企業(yè)信息安全管理團(tuán)隊(duì)的職責(zé)主要包括：工作人員安全操作規(guī)范、工作人員守則以及管理制度的制定，再交由上級主管部門審批后監(jiān)督制度規(guī)范的執(zhí)行；定期組織安全運(yùn)行和信息網(wǎng)絡(luò)建設(shè)的檢查監(jiān)測，掌握公司全面的第一手安全資料，根據(jù)資料研究相關(guān)的安全對策和措施；負(fù)責(zé)常規(guī)的信息網(wǎng)絡(luò)安全管理維護(hù)工作；定期制訂安全工作總結(jié)，且要接受國家相關(guān)信息安全職能部門對信息安全的工作指導(dǎo)。

2.5 入侵檢測系統(tǒng)（IDS）與入侵防護(hù)系統(tǒng)（IPS）

IDS即入侵檢測系統(tǒng)能夠彌補(bǔ)防火墻的缺陷，能實(shí)時(shí)的提供給網(wǎng)絡(luò)安全入侵檢測，并采取一定的防護(hù)手段保護(hù)網(wǎng)絡(luò)。良好的入侵檢測系統(tǒng)不但可有助于系統(tǒng)管理員隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)的變更，還能提高可靠的網(wǎng)絡(luò)安全策略制訂依據(jù)。因此，入侵檢測系統(tǒng)的管理應(yīng)配置簡單，隨時(shí)根據(jù)系統(tǒng)構(gòu)造、網(wǎng)絡(luò)規(guī)模、安全需求改變。IDS必須布置在能夠監(jiān)控局域網(wǎng)和Internet之間所有流量的地方，才能第一時(shí)間檢測到入侵時(shí)，做出及時(shí)的響應(yīng)，比如記錄時(shí)間、切斷網(wǎng)絡(luò)連接等。

3 總結(jié)

目前，我國社會經(jīng)濟(jì)發(fā)展速度很快，推動著企業(yè)的飛速發(fā)展，而企業(yè)的健康發(fā)展離不開信息化建設(shè)。但在信息化建設(shè)發(fā)展進(jìn)步的背景下，信息安全問題是企業(yè)需要高度重視的重要問題。信息安全問題包括企業(yè)內(nèi)部機(jī)密信息，是企業(yè)生存發(fā)展的關(guān)鍵，因此企業(yè)要快速健康的發(fā)展，必須加大對網(wǎng)絡(luò)的管理力度，強(qiáng)化對信息系統(tǒng)的管理，加強(qiáng)信息安全系統(tǒng)的建設(shè)，界定并管理安全邊界，通過全面的管理實(shí)現(xiàn)企業(yè)信息化的安全建設(shè)。當(dāng)然企業(yè)信息化安全建設(shè)并非單一技術(shù)問題，而是整個(gè)信息系統(tǒng)的建立，以及整個(gè)系統(tǒng)在投入運(yùn)行之后的日常維護(hù)和升級，針對企業(yè)而言信息化安全建設(shè)將是一項(xiàng)長久而艱巨的重要任務(wù)。