◆李雨帆

設(shè)計公司網(wǎng)絡(luò)與信息安全管理

◆李雨帆

（中國電力工程顧問集團(tuán)西南電力設(shè)計院有限公司 四川 610056）

隨著互聯(lián)網(wǎng)及計算機技術(shù)的不斷發(fā)展，計算機輔助繪圖技術(shù)和各類設(shè)計軟件已經(jīng)被廣泛應(yīng)用于設(shè)計公司的日常工作之中，成了工程師們不可缺少的助力和生產(chǎn)力工具。但對于計算機和網(wǎng)絡(luò)系統(tǒng)的依賴，使得信息傳遞和數(shù)據(jù)存儲的安全需求也被擺到了前所未有的重要位置上。因此，設(shè)計公司的網(wǎng)絡(luò)與信息安全管理和防護(hù)管理有著很高的要求，具備極高的價值和極強的重要性。本文分析并探究了計算機網(wǎng)絡(luò)與信息安全技術(shù)在設(shè)計公司環(huán)境下的管理和應(yīng)用，為提高數(shù)據(jù)的保密性、可使用性和完整性提供參考意見。

網(wǎng)絡(luò)安全；維護(hù)策略；信息管理

受益于互聯(lián)網(wǎng)的高速發(fā)展以及辦公信息化水平的提升，設(shè)計公司利用各類計算、制圖、渲染、仿真等計算機應(yīng)用軟件，在數(shù)字化辦公系統(tǒng)的輔助之下進(jìn)行工程設(shè)計的效率比起傳統(tǒng)的手工繪圖的方式不可同日而語：辦公資源的實時共享、網(wǎng)絡(luò)資源的方便獲取以及數(shù)字化檔案的遞交免除了大量圖紙印制和線下傳遞的不便，也極大地降低了辦公成本。但伴隨著網(wǎng)絡(luò)帶來的便利，安全方面的風(fēng)險和隱患也隨之而來：無時無刻和無處不在的針對服務(wù)器的網(wǎng)絡(luò)攻擊嚴(yán)重威脅著存儲數(shù)據(jù)的安全，而在瀏覽和傳遞信息的過程中產(chǎn)生的大量數(shù)據(jù)更是極有可能暴露在威脅之下。而除了來自黑客及病毒的攻擊之外，斷電、火災(zāi)、設(shè)備故障、系統(tǒng)異常、軟件錯誤等非人為因素也同樣會導(dǎo)致信息安全風(fēng)險的產(chǎn)生。

如何確保這些數(shù)據(jù)的安全性和系統(tǒng)的可靠性、避免因數(shù)據(jù)丟失和盜用產(chǎn)生的財產(chǎn)損失是如今設(shè)計公司所必須面對的挑戰(zhàn)。通過設(shè)立完善的防護(hù)措施和應(yīng)急預(yù)案，及時有效地開展網(wǎng)絡(luò)與信息安全突發(fā)事件的處置工作，方可最大程度地預(yù)防和減少網(wǎng)絡(luò)與信息安全突發(fā)事件造成的損害和負(fù)面影響，保障公司正常生產(chǎn)經(jīng)營秩序。

1 網(wǎng)絡(luò)安全管理的定義和問題分類

計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證數(shù)據(jù)的保密性、可使用性和完整性在網(wǎng)絡(luò)環(huán)境下受到保護(hù)[1]，其主要包含了在信息運行的完整性和保密性不受到影響基礎(chǔ)上保證信息的可用性的邏輯安全，以及信息系統(tǒng)設(shè)備在物理狀態(tài)下受到保護(hù)以避免機械損傷或設(shè)備丟失等問題的物理安全兩方面的內(nèi)容[2]。而根據(jù)公司網(wǎng)絡(luò)與信息安全運行情況，任何對上述安全產(chǎn)生威脅的突發(fā)事件都可分為運行環(huán)境異常類、網(wǎng)絡(luò)信息系統(tǒng)軟硬件故障類、人為因素三大類：

運行環(huán)境異常包括供電、溫濕度、自然災(zāi)害等引起的公司網(wǎng)絡(luò)信息系統(tǒng)運行環(huán)境異常。該類突發(fā)事件會威脅到網(wǎng)絡(luò)運行和數(shù)據(jù)儲存設(shè)備的物理安全，也是最容易產(chǎn)生數(shù)據(jù)丟失、毀壞等不可挽回后果的種類。因為其不可預(yù)知性，只能通過備用電源、滅火系統(tǒng)、以及冗余備份等手段提高對于數(shù)據(jù)損毀的承受能力。

網(wǎng)絡(luò)信息系統(tǒng)軟硬件故障主要包括各網(wǎng)絡(luò)設(shè)備故障、廣域網(wǎng)鏈路故障、各信息系統(tǒng)軟硬件故障、軟件或系統(tǒng)缺陷、病毒攻擊等。網(wǎng)絡(luò)信息系統(tǒng)是一個龐大而復(fù)雜的體系，需要對安全管理軟件和硬件固件進(jìn)行定期的升級和維護(hù)，排查出現(xiàn)故障的硬件進(jìn)行替換，以及及時針對漏洞打上補丁，才能維持整個網(wǎng)絡(luò)系統(tǒng)的運行穩(wěn)定。

人為因素主要包括人為對信息機房及設(shè)備破壞、人為對傳輸光纜破壞、網(wǎng)絡(luò)信息系統(tǒng)維護(hù)時的誤操作、黑客入侵等，大多發(fā)生在用戶身份被竊取盜用、機房安保被滲透等較為特殊的情況下。盡管乍看之下很難和網(wǎng)絡(luò)安全聯(lián)系到一起，但這卻是在安全防護(hù)中最容易被忽略的節(jié)點——由于無法通過軟件的形式進(jìn)行有效防御，只能依托于制度上的管理來保護(hù)硬件設(shè)施不受到物理層面的破壞，以及更加嚴(yán)格的身份驗證（如登錄IP過濾）來避免身份盜用的情況。

2 設(shè)計公司網(wǎng)絡(luò)安全管理的特點和需求

設(shè)計公司區(qū)別于其他行業(yè)，由于業(yè)務(wù)涉及的工程可能遍布世界各地，存在人員分布廣、使用端口多、與外界聯(lián)系繁雜等狀況，導(dǎo)致安全管理點多面廣，無法以傳統(tǒng)的方式對公司內(nèi)外的訪問請求進(jìn)行一刀切式的過濾；同時也意味著必須要能夠?qū)⒐こ绦畔⒌乳_放外網(wǎng)訪問，才能滿足在工程現(xiàn)場的員工使用公司系統(tǒng)進(jìn)行多專業(yè)協(xié)同、共用或分用軟件平臺，以及相互間進(jìn)行資料交接、信息傳輸?shù)葦?shù)字化辦公的需求。這對于數(shù)據(jù)共享的安全性以及保密性都提出了很高的要求，為網(wǎng)絡(luò)安全管理來說帶來了全新的挑戰(zhàn)。在實踐中，通過企業(yè)VPN進(jìn)行域認(rèn)證是一個可行方案，員工必須要通過統(tǒng)一認(rèn)證的賬戶才能夠訪問網(wǎng)絡(luò)資源；或是添加身份驗證的步驟，同時對登錄時間和IP以及訪問的內(nèi)容等進(jìn)行記錄，從而確定訪問對象的安全與否，并在出現(xiàn)異常操作時及時進(jìn)行阻斷。此外還應(yīng)該對不同用戶組進(jìn)行權(quán)限區(qū)分，對保密內(nèi)容的訪問設(shè)置限制，并實時調(diào)整不同人員的系統(tǒng)角色，從而提高系統(tǒng)數(shù)據(jù)的安全性。

作為工程軟件主要依賴網(wǎng)絡(luò)應(yīng)用的設(shè)計公司，服務(wù)器上和數(shù)據(jù)庫里有大量設(shè)計圖紙等高價值保密信息資產(chǎn)都是潛在的攻擊目標(biāo)。但目前大多數(shù)公司對于網(wǎng)絡(luò)安全和信息財產(chǎn)保護(hù)的制度尚未完全跟上，在生產(chǎn)工作中也還沒有被員工引起足夠的重視。因此除了在網(wǎng)絡(luò)與信息安全方面配備最基礎(chǔ)的網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)設(shè)施，如防火墻、殺毒軟件、入侵檢測、上網(wǎng)行為管理等系統(tǒng)之外，在網(wǎng)絡(luò)管理軟件覆蓋不到的主機安全、應(yīng)用安全等方面仍然需要加強防護(hù)，以及作為在任何系統(tǒng)中都無法被替代的“人”的部分，提高員工的個人網(wǎng)絡(luò)安全防護(hù)措施和意識也是在信息安全中不可或缺的一環(huán)。一個合格的網(wǎng)絡(luò)與信息安全解決方案對設(shè)計公司而言，應(yīng)該要能夠達(dá)到如下三點要求：

（1）有效性：安全措施需要切實有效，能實在地提高數(shù)據(jù)安全性和可靠性，解決網(wǎng)絡(luò) 安全方面所面臨的痛點問題；

（2）適用性：能應(yīng)用于不同種類和不同架構(gòu)的網(wǎng)絡(luò)系統(tǒng)，以及能夠適應(yīng)并滿足設(shè)計公 司的特殊需求；

（3）可行性：軟硬件層面應(yīng)方便操作和管理維護(hù)，制度層面應(yīng)易于順利推行和便于長期執(zhí)行。

3 設(shè)計公司網(wǎng)絡(luò)安全管理改進(jìn)建議

在了解了設(shè)計公司所面臨的狀況以及所具備的特點和問題之后，我們可以嘗試從以下幾個大的方面著手提升公司的網(wǎng)絡(luò)安全防護(hù)水平：

3.1 升級防護(hù)

預(yù)防永遠(yuǎn)是網(wǎng)絡(luò)安全里的重中之重。在當(dāng)今復(fù)雜的網(wǎng)絡(luò)架構(gòu)和瞬息萬變的威脅環(huán)境中，攻擊手段也同樣地復(fù)雜多變，而大數(shù)據(jù)時代突飛猛進(jìn)的人工智能技術(shù)被應(yīng)用于黑客手段所構(gòu)成的威脅也遠(yuǎn)不可同日而語。唯有不間斷地升級防護(hù)才能從網(wǎng)絡(luò)攻擊中保護(hù)貴重的信息資產(chǎn)，防火墻和殺毒軟件等防護(hù)措施如果不能及時獲取最新的防護(hù)補丁，在面對新的威脅時便會在很大程度上失去效力，極有可能讓網(wǎng)絡(luò)系統(tǒng)暴露在危險之下。同時通過防火墻、沙盒、多重身份驗證等構(gòu)造復(fù)合層次的防護(hù)手段也能提高在遭受網(wǎng)絡(luò)攻擊時的防御系統(tǒng)。此外更需要注重針對執(zhí)行函數(shù)做過濾，避免數(shù)據(jù)庫等關(guān)鍵內(nèi)容遭到SQL注入攻擊，或是在沒有指定絕對路徑的情況下就執(zhí)行用戶通過瀏覽器提交的命令等風(fēng)險。

3.2 多重備份

為了確保重要數(shù)據(jù)的可靠性，最小化硬盤故障等運行環(huán)境異常造成的負(fù)面影響，有必要對數(shù)據(jù)庫和服務(wù)器進(jìn)行分布式多重冗余備份。對于設(shè)計公司而言，備份需要滿足3-2-1原則：即三份數(shù)據(jù)（一份生產(chǎn)數(shù)據(jù)，兩份備份數(shù)據(jù)），存放在兩種不同的媒介上，且其中一份在異地。異地儲存的這份數(shù)據(jù)可以選擇云儲存，然而近年爆出的幾起數(shù)據(jù)丟失事件也證明了云儲存并非萬無一失；除了盡量選擇可靠的云服務(wù)提供商之外，還應(yīng)該以月或更短的區(qū)間為周期定期進(jìn)行數(shù)據(jù)冷備份，作為在其他儲存方式全都失效時恢復(fù)數(shù)據(jù)的最終手段。信息管理員還需要確保機房內(nèi)的服務(wù)器處在穩(wěn)定的運行環(huán)境中，定期檢查滅火裝置和備用供電設(shè)備是否可靠有效，以及執(zhí)行嚴(yán)密的安保措施防止受到外來人員的物理破壞。

3.3 物理隔絕

不得不承認(rèn)的是，無論防護(hù)如何嚴(yán)密，任何數(shù)據(jù)只要與互聯(lián)網(wǎng)連接就仍然有向外界暴露的風(fēng)險，因此最為徹底的安全防護(hù)手段即為物理層面的隔絕。針對涉密和具有重大價值的信息資產(chǎn)，設(shè)立與互聯(lián)網(wǎng)完全隔絕的單機工作站是很有必要的——既能滿足進(jìn)行數(shù)字化設(shè)計的需求，又能根除通過網(wǎng)絡(luò)泄露風(fēng)險。但光是從網(wǎng)絡(luò)上進(jìn)行隔絕還不夠，從制度上和技術(shù)措施上防止物理滲透也是很有必要的——比如需要提前進(jìn)行使用工作站的申請和報告、不允許單人進(jìn)入工作站獨自操作、不允許攜帶任何儲存設(shè)備或錄像設(shè)備、必須進(jìn)行上下機的登記、以及軟件和硬件層面的行為監(jiān)控都是確保信息安全的必要舉措。

3.4 加強網(wǎng)絡(luò)安全建設(shè)

從運行環(huán)境、軟硬件和管理制度等全方面來打造并強化一個完善的網(wǎng)絡(luò)安全體系是所有設(shè)計公司應(yīng)該實現(xiàn)的目標(biāo)。針對公司的實際情況和數(shù)字化資產(chǎn)的管理，通過建立起一整套漏洞檢測、威脅篩查、缺陷梳理、問題分析、快速響應(yīng)和在網(wǎng)絡(luò)安全突發(fā)事件發(fā)生之后進(jìn)行處理的應(yīng)急預(yù)案，設(shè)立專門的應(yīng)急響應(yīng)機構(gòu)以保證在各種情況下都能夠高效地處理相關(guān)情況，將事故造成的消極影響降到最低。此外也必須重視對員工網(wǎng)絡(luò)安全意識的培養(yǎng)，強化對數(shù)據(jù)侵害的敏感度，普及信息安全的重要性；并引入公司層面的網(wǎng)絡(luò)系統(tǒng)管理防護(hù)機制，將可能的網(wǎng)絡(luò)信息安全事故扼殺在萌芽中。

4 結(jié)束語

2017年爆發(fā)的永恒之藍(lán)大規(guī)模勒索病毒事件給數(shù)以萬計的公司企業(yè)造成了難以估計的重大損失，敲響了網(wǎng)絡(luò)與信息安全管理和防護(hù)領(lǐng)域的一記警鐘，讓很多公司及企業(yè)的管理者意識到了數(shù)據(jù)的脆弱和信息安全的重要，加大了對于無形資產(chǎn)保護(hù)的投入?！鞍踩珶o小事”，這在網(wǎng)絡(luò)信息方面也同樣適用，而設(shè)計公司的特殊性和所處環(huán)境的復(fù)雜性，決定了其對于網(wǎng)絡(luò)信息安全有著更高的要求。做好網(wǎng)絡(luò)與信息安全管理對于保障設(shè)計公司數(shù)字化辦公系統(tǒng)的正常、穩(wěn)定地運行意義重大，也是維護(hù)公司正常生產(chǎn)經(jīng)營秩序的關(guān)鍵所在。

[1]倪亞會. 談計算機網(wǎng)絡(luò)安全管理的一些技術(shù)與方法[J]．計算機光盤軟件與應(yīng)用，2012（4）：72-73.

[2]曲卓.計算機網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].數(shù)碼設(shè)計（上），2020，39（2）：18-19.

[3]彭禮平，傅嘉輝.計算機網(wǎng)絡(luò)安全問題及其防范對策探析[J].計算機產(chǎn)品與流通，2020（09）：59.

[4]顏蔚.計算機網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用分析算機網(wǎng)評《計算機網(wǎng)絡(luò)信息安全與應(yīng)用》[J].中國科技論文，2020，15（6）：后插10.