摘要：隨著網(wǎng)絡(luò)應(yīng)用的普及，遠(yuǎn)程辦公、業(yè)務(wù)上網(wǎng)、生產(chǎn)上網(wǎng)、辦公自動(dòng)化等業(yè)務(wù)模式不斷涌現(xiàn)，推動(dòng)了企業(yè)網(wǎng)絡(luò)建設(shè)。由于網(wǎng)絡(luò)環(huán)境的多變性和復(fù)雜性，企業(yè)網(wǎng)絡(luò)面臨著多種威脅，應(yīng)積極采用現(xiàn)代化的科學(xué)技術(shù)，構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系。文章分析了企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，闡述了構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的要點(diǎn)。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)建設(shè)；安全防護(hù)體系；網(wǎng)絡(luò)環(huán)境；安全風(fēng)險(xiǎn)；網(wǎng)絡(luò)信息安全 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：TP393 文章編號(hào)：1009-2374（2015）18-0012-02 DOI：10.13535/j.cnki.11-4406/n.2015.18.007

網(wǎng)絡(luò)的信息共享和交流給人們的日常生活、工作和學(xué)習(xí)帶來了極大的便利，但與此同時(shí)，蠕蟲、木馬、病毒等在網(wǎng)絡(luò)中層出不窮，嚴(yán)重威脅著網(wǎng)絡(luò)信息安全。如何構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是當(dāng)前企業(yè)進(jìn)行信息化建設(shè)必須要考慮的問題，應(yīng)結(jié)合企業(yè)網(wǎng)絡(luò)的特點(diǎn)，優(yōu)化企業(yè)網(wǎng)絡(luò)設(shè)置，引進(jìn)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，構(gòu)建靈活安全的企業(yè)網(wǎng)絡(luò)防護(hù)體系，推動(dòng)現(xiàn)代化企業(yè)的可持續(xù)發(fā)展。

1 企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)

1.1 網(wǎng)絡(luò)出口多，管理難度大

企業(yè)網(wǎng)絡(luò)出口多，用戶數(shù)量龐大，給企業(yè)網(wǎng)絡(luò)的運(yùn)營(yíng)管理帶來很大難度。隨著企業(yè)網(wǎng)絡(luò)業(yè)務(wù)的快速發(fā)展，業(yè)務(wù)人員的流動(dòng)性大，再加上很多工作人員網(wǎng)絡(luò)行為不規(guī)范，隨意上傳或者下載網(wǎng)絡(luò)信息，而導(dǎo)致企業(yè)網(wǎng)絡(luò)服務(wù)器和計(jì)算機(jī)感染病毒，嚴(yán)重影響企業(yè)網(wǎng)絡(luò)安全。

1.2 物理層邊界限制模糊

近年來，很多現(xiàn)代化企業(yè)加大信息建設(shè)，一些下屬公司的網(wǎng)絡(luò)接入企業(yè)總網(wǎng)絡(luò)，企業(yè)網(wǎng)路物理層邊界限制模糊，而電子商務(wù)的業(yè)務(wù)發(fā)展需求要求企業(yè)網(wǎng)絡(luò)具有共享性，能夠在一定權(quán)限下實(shí)現(xiàn)網(wǎng)絡(luò)交易，這也使得企業(yè)內(nèi)部網(wǎng)絡(luò)邊界成為一個(gè)邏輯邊界，防火墻在網(wǎng)絡(luò)邊界上的設(shè)置受到很多限制，影響了防火墻的安全防護(hù)作用。

1.3 入侵審計(jì)和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒不斷變化，其破壞力強(qiáng)、速度快、形式多樣、難以防范，嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。當(dāng)前，很多企業(yè)缺乏完善的入侵審計(jì)和防御體系，企業(yè)網(wǎng)絡(luò)的主動(dòng)防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護(hù)規(guī)范，安全策略落實(shí)不到位。

2 構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系

2.1 企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建目標(biāo)

結(jié)合企業(yè)網(wǎng)絡(luò)的安全目標(biāo)、使用主體、性質(zhì)等因素，合理劃分企業(yè)邏輯子網(wǎng)，對(duì)不同的邏輯子網(wǎng)設(shè)置不同的安全防護(hù)體系，加強(qiáng)網(wǎng)絡(luò)邊界控制和安全訪問控制，保持區(qū)域之間的信任關(guān)系，構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)：第一，將大型的、復(fù)雜的企業(yè)網(wǎng)絡(luò)安全問題轉(zhuǎn)化為小區(qū)域的、簡(jiǎn)單的安全防護(hù)問題，有效控制企業(yè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全；第二，合理劃分企業(yè)網(wǎng)絡(luò)安全域，優(yōu)化網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃和入網(wǎng)；第三，明確企業(yè)網(wǎng)絡(luò)各個(gè)區(qū)域的安全防護(hù)難點(diǎn)和重點(diǎn)，加大安全設(shè)備投入量，提高企業(yè)網(wǎng)絡(luò)安全設(shè)備的利用率；第四，加強(qiáng)企業(yè)網(wǎng)絡(luò)運(yùn)行維護(hù)，合理部署企業(yè)網(wǎng)絡(luò)的審計(jì)設(shè)備，提供全面的網(wǎng)絡(luò)審核和檢

查依據(jù)，為企業(yè)構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系提供重要參考。

2.2 合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護(hù)等級(jí)和業(yè)務(wù)系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡(luò)安全域時(shí)，應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理，不僅要確保企業(yè)正常的生產(chǎn)運(yùn)營(yíng)，還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對(duì)這個(gè)問題，企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式，應(yīng)綜合應(yīng)用多種方式，充分發(fā)揮不同方式的優(yōu)勢(shì)，結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求，有針對(duì)性地進(jìn)行企業(yè)網(wǎng)絡(luò)安全域劃分。

首先，根據(jù)業(yè)務(wù)需求，可以將企業(yè)網(wǎng)絡(luò)分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離，使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次，按照企業(yè)業(yè)務(wù)系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項(xiàng)目網(wǎng)絡(luò)、對(duì)外服務(wù)網(wǎng)絡(luò)等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細(xì)分出材料采購(gòu)網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡(luò)邊界，明確安全防護(hù)范圍和對(duì)象目標(biāo)。最后，按照網(wǎng)絡(luò)安全防護(hù)等級(jí)和系統(tǒng)行為，細(xì)分各個(gè)子網(wǎng)的安全域，劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域?；A(chǔ)保障域主要用來防護(hù)網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備，服務(wù)集中域主要用于防護(hù)企業(yè)網(wǎng)絡(luò)的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護(hù)，并且按照不同的等級(jí)保護(hù)要求，可以采用分級(jí)防護(hù)措施，邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

2.3 基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，企業(yè)網(wǎng)絡(luò)面臨的安全威脅也不斷發(fā)生變化，網(wǎng)絡(luò)攻擊手段日益多樣化，新病毒不斷涌現(xiàn)，因此企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建應(yīng)適應(yīng)網(wǎng)絡(luò)發(fā)展和變化，綜合考慮工作人員、防護(hù)策略、防護(hù)技術(shù)等多方面的因素，實(shí)現(xiàn)基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)。基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)主要包括備份恢復(fù)、風(fēng)險(xiǎn)分析、應(yīng)急機(jī)制、入侵檢測(cè)和安全防護(hù)，以入侵檢測(cè)為基礎(chǔ)，一旦檢測(cè)到企業(yè)網(wǎng)絡(luò)的入侵威脅，網(wǎng)絡(luò)系統(tǒng)立即啟動(dòng)應(yīng)急機(jī)制，如果檢測(cè)到企業(yè)網(wǎng)絡(luò)系統(tǒng)已經(jīng)受到損壞，可利用備份恢復(fù)機(jī)制，及時(shí)恢復(fù)企業(yè)網(wǎng)絡(luò)設(shè)置，確保企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。通過動(dòng)態(tài)安全防護(hù)策略，利用動(dòng)態(tài)反饋機(jī)制，提高企業(yè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估分析能力和主動(dòng)防御能力。

2.4 分層縱深安全防護(hù)策略

企業(yè)網(wǎng)絡(luò)安全防護(hù)最常見的是設(shè)置防火墻，但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能存在于企業(yè)網(wǎng)絡(luò)的各個(gè)層次，防火墻的安全防護(hù)作用比較有限。企業(yè)網(wǎng)絡(luò)可采用分層縱深安全防護(hù)策略，保障網(wǎng)絡(luò)安全防護(hù)的深度和廣度，構(gòu)建高效、綜合、全面的安全防護(hù)體系，對(duì)于企業(yè)網(wǎng)絡(luò)中的應(yīng)用層、數(shù)據(jù)層、系統(tǒng)層、網(wǎng)絡(luò)層和物理層分別采用信息保護(hù)、應(yīng)用系統(tǒng)安全防護(hù)、數(shù)據(jù)庫(kù)安全防護(hù)、操作系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)保護(hù)、物理安全保護(hù)等防護(hù)手段，根據(jù)不同網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，有針對(duì)性地進(jìn)行安全防護(hù)，例如，在網(wǎng)絡(luò)層可利用資源控制模塊和訪問控制模塊，加強(qiáng)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的訪問控制，在企業(yè)網(wǎng)絡(luò)的應(yīng)用層和數(shù)據(jù)層設(shè)置身份授權(quán)和認(rèn)證系統(tǒng)，避免用戶的違規(guī)操作和越權(quán)操作。又例如，由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜，可在企業(yè)網(wǎng)絡(luò)的應(yīng)用層、數(shù)據(jù)層和系統(tǒng)層，設(shè)置網(wǎng)絡(luò)監(jiān)控和檢測(cè)模塊，保護(hù)企業(yè)網(wǎng)絡(luò)的服務(wù)器，防止權(quán)限濫用和誤操作。

3 結(jié)語

如何構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系成為當(dāng)前企業(yè)主管部門的重要課題，企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建應(yīng)結(jié)合企業(yè)網(wǎng)絡(luò)的特點(diǎn)和自身存在的問題，多維度、多層次、多角度分析企業(yè)網(wǎng)路安全防護(hù)體系，探究企業(yè)網(wǎng)絡(luò)的潛在風(fēng)險(xiǎn)，采用動(dòng)態(tài)防護(hù)策略，提高企業(yè)網(wǎng)絡(luò)的安全性和穩(wěn)定性。

參考文獻(xiàn)

[1] 張蓓，馮梅，靖小偉，劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)安全，2010，（4）.

[2] 劉宇.三峽梯調(diào)中心網(wǎng)絡(luò)安全防護(hù)體系的設(shè)計(jì)與實(shí)現(xiàn)[D].重慶大學(xué)，2006.

[3] 周祥.企業(yè)分布式防護(hù)安全體系的研究[D].合肥工業(yè)大學(xué)，2006.

作者簡(jiǎn)介：唐克（1986-），男，上海人，供職于上海江南長(zhǎng)興造船有限責(zé)任公司，研究方向：網(wǎng)絡(luò)安全。

（責(zé)任編輯：周 瓊）