王多彥　陳銳　張皓

企業(yè)網(wǎng)是企業(yè)信息化建設(shè)和發(fā)展的基礎(chǔ)，但近年來(lái)，企業(yè)網(wǎng)面臨的安全問(wèn)題越來(lái)越復(fù)雜，安全威脅正在飛速增長(zhǎng)，尤其混合威脅的風(fēng)險(xiǎn)，極大地困擾著用戶，給企業(yè)的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞威脅。如何為企業(yè)用戶提供一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)應(yīng)用平臺(tái)已成為一個(gè)日益突出的問(wèn)題。

一、企業(yè)網(wǎng)現(xiàn)況分析

企業(yè)為充分合理地利用內(nèi)外部資源，提高管理水平和效益，把企業(yè)內(nèi)不同區(qū)域、不同部門的各種信息資源通過(guò)網(wǎng)絡(luò)技術(shù)有機(jī)地結(jié)合在一起，構(gòu)成企業(yè)網(wǎng)，便利的同時(shí)企業(yè)網(wǎng)的安全問(wèn)題也伴隨而來(lái)。

（一）威脅分析

一是來(lái)自內(nèi)外部的威脅不斷的襲擾網(wǎng)絡(luò)的安全，來(lái)自外部的威脅，黑客掃描和攻擊和病毒或蠕蟲侵襲，通過(guò)滲透或繞過(guò)防火墻，進(jìn)入網(wǎng)絡(luò)，獲取、篡改甚至破壞敏感的數(shù)據(jù)，乃至破壞企業(yè)的正常業(yè)務(wù)和生產(chǎn)運(yùn)行。

二是出現(xiàn)在內(nèi)部的威脅，無(wú)意識(shí)的外部風(fēng)險(xiǎn)引入和內(nèi)部故意破壞行為的發(fā)生，由于安全技能和安全意識(shí)存在差異，將危險(xiǎn)的、惡意的木馬程序和惡意代碼下載到內(nèi)部網(wǎng)絡(luò)執(zhí)行，甚至傳播進(jìn)入內(nèi)部網(wǎng)絡(luò)，這將對(duì)企業(yè)網(wǎng)絡(luò)的安全帶來(lái)嚴(yán)重威脅。

（二）風(fēng)險(xiǎn)分析

針對(duì)企業(yè)服務(wù)器群的網(wǎng)絡(luò)安全現(xiàn)狀，根據(jù)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析，我們發(fā)現(xiàn)企業(yè)的服務(wù)器區(qū)信息安全需求主要在以下方面：

1、防御來(lái)自外部的威脅，阻止網(wǎng)絡(luò)病毒、間諜軟件和黑客攻擊對(duì)企業(yè)網(wǎng)造成的安全損失，提高企業(yè)網(wǎng)絡(luò)的整體抗攻擊能力;

2、防御來(lái)自內(nèi)部的威脅，管控人員行為意識(shí)，阻斷網(wǎng)絡(luò)病毒爆發(fā)對(duì)企業(yè)網(wǎng)絡(luò)的破壞，保障網(wǎng)絡(luò)的正常運(yùn)行;

3、監(jiān)控整體網(wǎng)絡(luò)的安全運(yùn)行，全面把握安全狀態(tài)，以便于及時(shí)的發(fā)現(xiàn)安全攻擊，防止安全事件的發(fā)生。

二、企業(yè)網(wǎng)絡(luò)安全體系建設(shè)

（一）設(shè)計(jì)網(wǎng)絡(luò)安全體系的原則

1、安全性：設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為了保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)安全，所有安全性成為首要目標(biāo)。要保證體系的安全性，必須保證體系的完備性盒可用性。

2、可行性：設(shè)計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施，如果實(shí)施的難度太大以至于無(wú)法實(shí)施，那么網(wǎng)絡(luò)安全系統(tǒng)本身也就沒(méi)有了實(shí)際價(jià)值。

3、高效性：構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行，如果安全影響了系統(tǒng)的運(yùn)行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點(diǎn)，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

4、可承擔(dān)性：網(wǎng)絡(luò)安全體系從設(shè)計(jì)到實(shí)施以及安全系統(tǒng)的后期維護(hù)、安全培訓(xùn)等各個(gè)方案的工作都要由企業(yè)支持，所以，在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)，必須考慮企業(yè)的運(yùn)維特點(diǎn)和實(shí)際承受能力。

（二）網(wǎng)絡(luò)安全體系構(gòu)建基礎(chǔ)

1、安全風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)安全評(píng)估是根據(jù)評(píng)估目標(biāo)和評(píng)估內(nèi)容的要求構(gòu)建的一組反映網(wǎng)絡(luò)安全水平的相關(guān)指標(biāo)，據(jù)以搜集評(píng)估對(duì)象的有關(guān)信息資料，反映評(píng)估對(duì)象的網(wǎng)絡(luò)安全的基本面貌、素質(zhì)和水平。

2、安全區(qū)域的劃分

安全網(wǎng)絡(luò)域是由連接具有相同安全等級(jí)的計(jì)算域和（或）用戶域組成的網(wǎng)絡(luò)域。網(wǎng)絡(luò)域的安全等級(jí)的確定與網(wǎng)絡(luò)所連接的安全用戶域和（或）安全計(jì)算域的安全等級(jí)有關(guān)。

3、規(guī)定安全邊界

安全邊界是獨(dú)立的安全區(qū)域與外部環(huán)境的連接處，是防御外來(lái)攻擊的關(guān)口，根據(jù)企業(yè)具體的業(yè)務(wù)范圍，必須規(guī)定安全邊界上的連接情況，并進(jìn)行過(guò)濾和控制，防止非法用戶的入侵以及系統(tǒng)敏感信息的外泄。

4、技術(shù)實(shí)現(xiàn)

（1）防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

（2）病毒防護(hù)技術(shù)

病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一，需要從防毒、查毒、解毒三方面來(lái)進(jìn)行計(jì)算機(jī)病毒的防治。主要包括實(shí)時(shí)監(jiān)測(cè)預(yù)警，及時(shí)發(fā)出警報(bào)，快速查找病毒來(lái)源，排查影響范圍，以及及時(shí)恢復(fù)被病毒感染前的原始信息的能力。

（3）入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，具備內(nèi)外雙向檢測(cè)機(jī)制，能夠記錄證據(jù)用于跟蹤和恢復(fù)、應(yīng)急處置等。

（4）安全掃描技術(shù)

安全掃描技術(shù)一般分為針對(duì)服務(wù)器或網(wǎng)絡(luò)的掃描。服務(wù)器掃描與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)，主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。網(wǎng)絡(luò)掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的終端及設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測(cè)試系統(tǒng)的防御能力。

（5）認(rèn)證和數(shù)字簽名技術(shù)

認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴要求的實(shí)現(xiàn)，實(shí)現(xiàn)雙方的可信通訊。

5、安全體系評(píng)估與測(cè)試

安全體系質(zhì)量的評(píng)估也是檢驗(yàn)體系是否達(dá)到安全性、高效性、可行性、可承擔(dān)性的要求。某個(gè)網(wǎng)絡(luò)系統(tǒng)的安全體系時(shí)針對(duì)系統(tǒng)而言的，它不能用于另外的某個(gè)系統(tǒng)，所以我們?cè)O(shè)計(jì)企業(yè)局網(wǎng)安全體系，必須在一定的理論指導(dǎo)性，以風(fēng)險(xiǎn)與評(píng)估、安全需求分析為基礎(chǔ)，結(jié)合具體的實(shí)際情況進(jìn)行研究分析。

（三）網(wǎng)絡(luò)安全體系的可靠性

網(wǎng)絡(luò)的脆弱性分為三類：行為管理、配置管理、技術(shù)能力。

1、行為管理：讓員工知道什么可以做，什么不可以做，建立有效安全意識(shí)，有效防控?zé)o意行為的發(fā)生。

2、配置管理：及時(shí)的更新，根據(jù)網(wǎng)絡(luò)中異常行為的檢查，及時(shí)更新設(shè)備及系統(tǒng)的安全策略，降低不合規(guī)策略及老舊策略的隱患。

3、技術(shù)能力：安全技術(shù)理論在不斷更新，關(guān)鍵技術(shù)設(shè)備和技術(shù)手段的不斷完善，持續(xù)化的更新才能保障技術(shù)的有效性。

三、結(jié)束語(yǔ)

一個(gè)完整的網(wǎng)絡(luò)安全體系必須具備以下特點(diǎn)：結(jié)構(gòu)合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu);能夠通過(guò)不斷的培訓(xùn)和學(xué)習(xí)提高管理人員素質(zhì)和技能;做好系統(tǒng)補(bǔ)丁與設(shè)備代碼的及時(shí)升級(jí);形成制度化的日常數(shù)據(jù)和系統(tǒng)狀態(tài)資料的備份;保持低值的滲透成功率;以及規(guī)范的網(wǎng)絡(luò)行為管理并具有嚴(yán)厲懲罰及打擊所有的網(wǎng)絡(luò)惡意行為的手段。這些特點(diǎn)是企業(yè)網(wǎng)絡(luò)成熟的標(biāo)識(shí)，也是每個(gè)網(wǎng)管人員努力的方向，但萬(wàn)能的網(wǎng)絡(luò)安全解決方案是不存在的，企業(yè)網(wǎng)絡(luò)安全體系設(shè)計(jì)首先要考慮企業(yè)的網(wǎng)絡(luò)應(yīng)用特點(diǎn)，量力而行，不要片面追求技術(shù)的先進(jìn)性。

參考文獻(xiàn)：

[1]楊義先《網(wǎng)絡(luò)信息安全與保密》

[2]任冀湘《對(duì)企業(yè)級(jí)局域網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題探討》