張曉鵬

中圖分類號(hào)：X931 文獻(xiàn)標(biāo)識(shí)：A 文章編號(hào)：1674-1145（2017）11-000-02

摘 要 打造數(shù)字化企業(yè)已成為當(dāng)前各大中型企業(yè)發(fā)展的主要目標(biāo)。企業(yè)內(nèi)部網(wǎng)絡(luò)作為信息化建設(shè)的主要載體，其網(wǎng)絡(luò)安全保密已經(jīng)成為當(dāng)前各企業(yè)不可忽視的首要問(wèn)題。本文對(duì)企業(yè)網(wǎng)絡(luò)安全保密存在的問(wèn)題進(jìn)行了深入探討，并提出了對(duì)應(yīng)的改進(jìn)和防范措施。

關(guān)鍵詞 計(jì)算機(jī) 網(wǎng)絡(luò) 安全 對(duì)策

隨著我國(guó)經(jīng)濟(jì)與科技的不斷發(fā)展，數(shù)字化管理作為為網(wǎng)絡(luò)時(shí)代的產(chǎn)物，已經(jīng)成為企業(yè)管理發(fā)展的方向。信息化不斷的發(fā)展，使企業(yè)在流程管理和整體效率上得到了全面的提升，并且日益成為影響企業(yè)競(jìng)爭(zhēng)的關(guān)鍵性因素。同時(shí)，伴隨信息化不斷深入企業(yè)的業(yè)務(wù)流程，大量的企業(yè)核心信息以電子化的形式存在和應(yīng)用。也正是在這種電子化趨勢(shì)下，電子信息的易傳輸和易復(fù)制屬性為企業(yè)機(jī)密信息的安全管理帶來(lái)了新的挑戰(zhàn)。對(duì)于目前企業(yè)信息安全工作形勢(shì)的嚴(yán)峻性和工作的緊迫性，我們必須要有一個(gè)清醒的認(rèn)識(shí)，決不可掉以輕心。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密問(wèn)題已經(jīng)成為當(dāng)前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。

一、企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的定義

企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密是指企業(yè)利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在企業(yè)的內(nèi)部網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密包括兩個(gè)方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

通俗地說(shuō)，企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密主要是指保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)，使其沒(méi)有危險(xiǎn)、不受威脅、不出事故。從技術(shù)角度來(lái)說(shuō)，企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的技術(shù)特征主要表現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴性等方面。

二、企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的結(jié)構(gòu)層次及防護(hù)措施

企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密的結(jié)構(gòu)層次主要包括：物理層面、技術(shù)層面和管理層面三個(gè)層面。這三個(gè)層面的具體內(nèi)容及防護(hù)措施如下：

圖1 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型

（一）物理層面的安全防護(hù)

物理安全策略保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全，是整個(gè)網(wǎng)絡(luò)安全保密的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個(gè)方面：

1.環(huán)境安全。對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的工作環(huán)境。它直接影響到系統(tǒng)的安全性和可靠性。選擇計(jì)算機(jī)房場(chǎng)地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場(chǎng)地抗電磁干擾性，避開(kāi)強(qiáng)振動(dòng)源和強(qiáng)噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。

2.設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護(hù)等。機(jī)房的安全防護(hù)是針對(duì)環(huán)境的物理災(zāi)害和防止未授權(quán)的個(gè)人或團(tuán)體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對(duì)策。為做到區(qū)域安全，首先，應(yīng)考慮物理訪問(wèn)控制來(lái)識(shí)別訪問(wèn)用戶的身份，并對(duì)其合法性進(jìn)行驗(yàn)證；其次，對(duì)來(lái)訪者必須限定其活動(dòng)范圍；第三，要在計(jì)算機(jī)系統(tǒng)中心設(shè)備外設(shè)安全防護(hù)圈，以防止非法暴力入侵；第四計(jì)算機(jī)系統(tǒng)中心設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。

（二）技術(shù)層面的安全防護(hù)

技術(shù)層面主要需要保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問(wèn)，并確保數(shù)據(jù)安全。只有解決網(wǎng)絡(luò)的安全問(wèn)題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對(duì)于內(nèi)部網(wǎng)絡(luò)的安全管理主要依靠訪問(wèn)控制、數(shù)據(jù)安全兩個(gè)方面來(lái)進(jìn)行防御。

1.訪問(wèn)控制。訪問(wèn)控制是網(wǎng)絡(luò)安全保密防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全保密最重要的核心策略之一，訪問(wèn)控制涉及的技術(shù)比較廣，主要包括網(wǎng)絡(luò)準(zhǔn)入控制、AD域控制用戶行為。

（1）網(wǎng)絡(luò)準(zhǔn)入控制。入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全保密防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。技術(shù)上需要對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的內(nèi)部授權(quán)設(shè)備進(jìn)行MAC地址綁定、IP地址綁定等配置，使其具備唯一、固定的接入點(diǎn)；對(duì)未使用的交換機(jī)端口采取邏輯控制，將其配置關(guān)閉（Shutdown）。通過(guò)技術(shù)和物理兩方面防護(hù)手段結(jié)合控制，可以確保交換機(jī)的已使用端口與用戶綁定，用戶的網(wǎng)絡(luò)接入點(diǎn)固定，IP固定，用戶無(wú)法私自挪動(dòng)網(wǎng)絡(luò)接入位置，如若違規(guī)，交換機(jī)將立即關(guān)閉違規(guī)端口；交換機(jī)未使用端口始終處于不可用狀態(tài)。這樣，無(wú)論通過(guò)已使用端口還是未使用端口，未授權(quán)設(shè)備均無(wú)法接入涉密網(wǎng)絡(luò)。

（2）AD域控制用戶行為。AD域控制用戶行為可以控制用戶入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)的目錄、文件和其他資源，可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改。設(shè)定服務(wù)器登錄時(shí)間限制、檢測(cè)非法訪問(wèn)。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對(duì)密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)。

2.數(shù)據(jù)安全部分。隨著計(jì)算機(jī)的普及和信息技術(shù)的進(jìn)步，特別是計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，信息安全的重要性日趨明顯。但是，作為信息安全的一個(gè)重要內(nèi)容——數(shù)據(jù)的重要性卻往往被人們所忽視。只要發(fā)生數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)交換，就有可能產(chǎn)生數(shù)據(jù)故障。這時(shí)，如果沒(méi)有采取相應(yīng)手段與措施，就會(huì)導(dǎo)致數(shù)據(jù)的丟失。有時(shí)造成的損失是無(wú)法彌補(bǔ)和無(wú)法估量的。如何保護(hù)好計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，保證系統(tǒng)穩(wěn)定可靠地運(yùn)行，并為業(yè)務(wù)系統(tǒng)提供快捷可靠的訪問(wèn)，通過(guò)以下四個(gè)方面來(lái)防護(hù)：

（1）數(shù)據(jù)庫(kù)的備份與恢復(fù)。備份系統(tǒng)對(duì)于涉密信息系統(tǒng)的重要性不言而喻。服務(wù)器、數(shù)據(jù)庫(kù)中的數(shù)據(jù)采用備份軟件，對(duì)服務(wù)器操作系統(tǒng)，數(shù)據(jù)庫(kù)，各應(yīng)用軟件進(jìn)行全備份或增量備份。但實(shí)際上，許多用戶計(jì)算機(jī)上存有涉密數(shù)據(jù)。對(duì)于用戶計(jì)算機(jī)的數(shù)據(jù)備份采取多種措施，如與其他用戶相互備份非涉密數(shù)據(jù)，在服務(wù)器上建立網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)，為涉密人員提供充足的備份空間，以備份涉密數(shù)據(jù)。

（2）切斷傳播途徑，接口控制。計(jì)算機(jī)開(kāi)放了許多外設(shè)輸入輸出接口，如串口、并口、USB、1394、紅外傳輸、讀卡器等接口。這些接口是信息外泄和黑客攻擊的重要途徑，應(yīng)嚴(yán)格控制。選用接口控制軟件，禁用無(wú)線傳輸接口，管理物理接口，物理上拆除讀卡器、無(wú)線MODEN、無(wú)線網(wǎng)卡等。部署三合一管理系統(tǒng)，管理涉密信息系統(tǒng)內(nèi)部專用的涉密移動(dòng)存儲(chǔ)介質(zhì)，此類移動(dòng)存儲(chǔ)介質(zhì)通過(guò)注冊(cè)和授權(quán)，在涉密信息系統(tǒng)之外無(wú)法使用，防止介質(zhì)在涉密信息系統(tǒng)內(nèi)外交叉使用，截?cái)嗌婷苄畔⒕W(wǎng)絡(luò)與外部網(wǎng)絡(luò)和計(jì)算機(jī)的數(shù)據(jù)交叉通道。

（3）提高網(wǎng)絡(luò)反病毒技術(shù)能力。涉密信息系統(tǒng)的每一臺(tái)計(jì)算機(jī)都應(yīng)安裝防病毒軟件，服務(wù)器安裝服務(wù)器版，內(nèi)網(wǎng)用戶安裝網(wǎng)絡(luò)版，單機(jī)用戶安裝單機(jī)版。定期更新防病毒軟件病毒特征庫(kù)，查看分析病毒日志和報(bào)告。對(duì)系統(tǒng)中存在的異常進(jìn)程，文件作詳細(xì)分析，防止病毒和惡意代碼滋生。加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問(wèn)權(quán)限的設(shè)置。在網(wǎng)絡(luò)中，限制只能由服務(wù)器才允許執(zhí)行的文件。

（4）內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)。內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)主要針對(duì)的是內(nèi)部網(wǎng)絡(luò)的一些越權(quán)獲取數(shù)據(jù)、信息泄密、一機(jī)兩用、非法接入、私自使用外來(lái)移動(dòng)存儲(chǔ)設(shè)備、未經(jīng)允許接入設(shè)備等行為進(jìn)行監(jiān)查管理，可有效管理和阻止網(wǎng)絡(luò)內(nèi)部主要針對(duì)主機(jī)的有害行為，并且將過(guò)程記錄下來(lái)提供給事后審計(jì)和查證，檢查單位可以通過(guò)查看可靠的審計(jì)日志輸出，對(duì)所有違規(guī)行為做到有據(jù)可查，對(duì)內(nèi)部網(wǎng)絡(luò)行為的管理監(jiān)控結(jié)果有效，審計(jì)結(jié)果取證完整、記錄可信。通過(guò)對(duì)行為而不是內(nèi)容進(jìn)行監(jiān)管，還可防止管理人員接觸無(wú)關(guān)的秘密，減少泄密的可能，使單位內(nèi)部的秘密得到可靠保護(hù)。

（三）管理層面安全防護(hù)

企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題，不僅是設(shè)備，技術(shù)的問(wèn)題，更是管理的問(wèn)題。對(duì)于企業(yè)網(wǎng)絡(luò)的管理人員來(lái)講，一定要提高網(wǎng)絡(luò)安全保密意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全保密技術(shù)的掌握，注重對(duì)領(lǐng)導(dǎo)和員工的網(wǎng)絡(luò)安全保密知識(shí)培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來(lái)規(guī)范上網(wǎng)人員的行為。要確保信息安全工作的順利進(jìn)行，必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次上，而進(jìn)行這種具體操作的是人，人正是網(wǎng)絡(luò)安全保密中最薄弱的環(huán)節(jié)，然而這個(gè)環(huán)節(jié)的加固又是見(jiàn)效最快的。所以必須加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實(shí)現(xiàn)方法。從而加強(qiáng)工作人員的安全培訓(xùn)。增強(qiáng)內(nèi)部人員的安全防范意識(shí)，提高內(nèi)部管理人員整體素質(zhì)，具體體現(xiàn)在以下兩個(gè)方面：

1.健全安全管理機(jī)構(gòu)。在公司內(nèi)部，都應(yīng)當(dāng)設(shè)立相應(yīng)級(jí)別的、負(fù)責(zé)信息安全的專門(mén)管理機(jī)構(gòu)。安全管理機(jī)構(gòu)的人員應(yīng)包括領(lǐng)導(dǎo)和專業(yè)人員。按照不同任務(wù)進(jìn)行分工以確立各自的職責(zé)。一類人員是負(fù)責(zé)確定安全措施，包括方針、政策、策略的制定，并協(xié)調(diào)、監(jiān)督、檢查安全措施的實(shí)施：另一類人員是負(fù)責(zé)分工具體管理系統(tǒng)的安全工作，包括安全管理員、安全審計(jì)員和系統(tǒng)管理員。在分工的基礎(chǔ)上，應(yīng)有具體的負(fù)責(zé)人，以負(fù)責(zé)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

2.確立安全管理的原則和規(guī)章制度。一個(gè)完整的信息安全管理體系還應(yīng)當(dāng)有安全管理的原則和嚴(yán)格的規(guī)章制度。企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題，不僅是設(shè)備，技術(shù)的問(wèn)題，更是管理的問(wèn)題。需要制定一套完整的規(guī)章制度來(lái)規(guī)范上網(wǎng)人員的行為。除此之外，還應(yīng)教育計(jì)算機(jī)用戶和全體工作人員，應(yīng)自覺(jué)遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運(yùn)行維護(hù)和管理制度、計(jì)算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度。

三、結(jié)語(yǔ)

總之，安全是個(gè)過(guò)程，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及物理、技術(shù)和管理三個(gè)層面。企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，而且要看它所采取的管理措施和執(zhí)行計(jì)算機(jī)安全保護(hù)法律、法規(guī)的力度。只有三個(gè)層面緊密結(jié)合，才能使企業(yè)內(nèi)部網(wǎng)絡(luò)安全保密確實(shí)有效，確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 王根宏.讓信息系統(tǒng)登錄更安全[J].網(wǎng)絡(luò)安全和信息化，2017（8）：124-127.

[2] 楊大偉，鄭澎.終端安全管理系統(tǒng)提升運(yùn)維效率[J].網(wǎng)絡(luò)安全和信息化，2017（3）：122-126.