肖華楓

摘要：信息技術(shù)革命推動各行各業(yè)快速發(fā)展，企業(yè)順應(yīng)新時代發(fā)展需求，在實現(xiàn)自身的發(fā)展過程中使用信息技術(shù)不斷融合，以此提高自己的市場競爭能力。但是企業(yè)在享受信息技術(shù)能力的同時，往往只注重于信息技術(shù)帶來的優(yōu)勢，而忽略了網(wǎng)絡(luò)安全漏洞可能給企業(yè)所帶來的威脅，這種威脅產(chǎn)生的后果往往是巨大的，比如數(shù)據(jù)泄露、公司機(jī)密被竊取等?；诖吮尘跋?，該文將針對企業(yè)網(wǎng)絡(luò)空間安全的現(xiàn)狀與存在問題進(jìn)行探討，并為企業(yè)構(gòu)建網(wǎng)絡(luò)空間安全體系提供相關(guān)的策略保障建議。

關(guān)鍵詞：網(wǎng)絡(luò)安全;企業(yè)安全;建設(shè)策略

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）15-0038-02

隨著經(jīng)濟(jì)社會發(fā)展進(jìn)程加速，信息網(wǎng)絡(luò)技術(shù)促進(jìn)了企業(yè)數(shù)字化、信息化、網(wǎng)絡(luò)化管理和運(yùn)營。計算機(jī)網(wǎng)絡(luò)的快速發(fā)展給所有企業(yè)都提供了一個發(fā)展自己的優(yōu)勢平臺，網(wǎng)絡(luò)發(fā)展快速帶來的優(yōu)勢不言而喻，但是很多企業(yè)利用信息技術(shù)發(fā)展自身的同時，企業(yè)關(guān)注點(diǎn)主要聚焦在營銷策略、業(yè)務(wù)規(guī)劃等方面，反而威脅企業(yè)自身發(fā)展的網(wǎng)絡(luò)安全問題很少有人提及和關(guān)注。然而又有很多企業(yè)，因為缺乏對網(wǎng)絡(luò)空間安全的清晰認(rèn)識，從而喪失了企業(yè)發(fā)展和成功的機(jī)會。在信息化和網(wǎng)絡(luò)化的大背景之下，企業(yè)做好網(wǎng)絡(luò)安全工作至關(guān)重要。針對企業(yè)網(wǎng)絡(luò)中可能出現(xiàn)的威脅網(wǎng)絡(luò)安全的因素，一定要采取強(qiáng)有力的措施做好預(yù)防工作，防患于未然。本文將討論企業(yè)網(wǎng)絡(luò)安全當(dāng)中常見的幾點(diǎn)安全問題，幫助企業(yè)正確認(rèn)識網(wǎng)絡(luò)安全的重要性，最后提出幾點(diǎn)建設(shè)性策略旨在構(gòu)建健全的網(wǎng)絡(luò)空間安全體系，提高網(wǎng)絡(luò)安全防護(hù)體系，保護(hù)企業(yè)網(wǎng)絡(luò)的正常運(yùn)行，不斷優(yōu)化當(dāng)前企業(yè)網(wǎng)絡(luò)安全建設(shè)的新局面。

1 企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題

1.1 網(wǎng)絡(luò)安全意識薄弱

互聯(lián)網(wǎng)技術(shù)發(fā)展日新月異，企業(yè)借助網(wǎng)絡(luò)強(qiáng)大的數(shù)據(jù)傳輸能力和信息共享能力，實現(xiàn)了自身的發(fā)展。但是很多企業(yè)只顧眼前利益，卻不見網(wǎng)絡(luò)信息安全威脅所導(dǎo)致的長遠(yuǎn)利益的不穩(wěn)定性。特別是企業(yè)管理層網(wǎng)絡(luò)安全意識薄弱[1]，他們往往只關(guān)注企業(yè)是否能正常運(yùn)轉(zhuǎn)，企業(yè)內(nèi)部系統(tǒng)是否能夠正常運(yùn)行，甚至對于企業(yè)出現(xiàn)的網(wǎng)絡(luò)崩潰或者網(wǎng)絡(luò)癱瘓也沒有給予過多的重視，缺乏對網(wǎng)絡(luò)安全的正確認(rèn)識，缺乏對網(wǎng)絡(luò)安全問題可能帶來的損失的緊迫感和危機(jī)感。一旦出現(xiàn)棘手的網(wǎng)絡(luò)問題才會急急忙忙找解決問題的辦法，但是暫時的解決辦法可能無法從根源上解決問題，往往會給網(wǎng)絡(luò)安全問題帶來更大的損失埋下伏筆。近年來，國家大力倡導(dǎo)加強(qiáng)網(wǎng)絡(luò)空間治理，維護(hù)網(wǎng)絡(luò)安全，各大企業(yè)逐步認(rèn)識到了網(wǎng)絡(luò)安全對于企業(yè)發(fā)展的重要性，開始著手建立網(wǎng)絡(luò)安全防御體系。即便如此，許多企業(yè)在實際工作中仍然存在數(shù)據(jù)泄露、網(wǎng)絡(luò)崩潰等諸多問題。這是由于大部分企業(yè)仍然存在網(wǎng)絡(luò)安全意識淡薄等觀念，他們執(zhí)著于低成本高收益的誘惑，卻對于網(wǎng)絡(luò)安全的整體資源投入不足。

1.2 安全防護(hù)水平較低

目前信息技術(shù)的迅速發(fā)展，進(jìn)一步導(dǎo)致了網(wǎng)絡(luò)安全所面對的威脅更加多樣化、智能化、嚴(yán)重化。信息技術(shù)不但促進(jìn)了企業(yè)生產(chǎn)力的快速發(fā)展，而且也讓黑客網(wǎng)絡(luò)攻擊技術(shù)快速發(fā)展，由黑客生產(chǎn)制造的木馬和病毒移動計算、云計算等技術(shù)的加持下，導(dǎo)致網(wǎng)絡(luò)安全威脅更加嚴(yán)重。而很多企業(yè)的網(wǎng)絡(luò)安全性能和防御措施停滯不前，他們的網(wǎng)絡(luò)安全技術(shù)防護(hù)能力遠(yuǎn)遠(yuǎn)低于攻擊手段。黑客一旦入侵企業(yè)服務(wù)系統(tǒng)，由于企業(yè)信息化防護(hù)系統(tǒng)技術(shù)水平較低，往往會造成企業(yè)安全數(shù)據(jù)資料丟失的局面。

1.3 缺乏安全管理機(jī)制

企業(yè)信息安全維護(hù)工作和企業(yè)網(wǎng)絡(luò)信息建設(shè)息息相關(guān)，一方面，網(wǎng)絡(luò)安全以技術(shù)管理為基礎(chǔ)，另一方面，管理體系是構(gòu)建企業(yè)良好的網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵所在。企業(yè)管理機(jī)制的缺失往往使得安全管理措施的執(zhí)行無法施展，所以制定必要的網(wǎng)絡(luò)安全管理機(jī)制能夠保證企業(yè)在網(wǎng)絡(luò)安全維護(hù)工作上逐漸常態(tài)化和規(guī)范化。根據(jù)數(shù)據(jù)風(fēng)險來源顯示，網(wǎng)絡(luò)安全所面臨的數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等威脅。一方面來源于黑客攻擊，另一方面則來源于企業(yè)內(nèi)部工作員工的泄露。在這樣一個數(shù)據(jù)時代，人為竊取數(shù)據(jù)仍然呈現(xiàn)高速增長趨勢。企業(yè)在完善網(wǎng)絡(luò)安全防護(hù)體系時，也要構(gòu)建安全管理機(jī)制，制定企業(yè)信息安全的各項管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，改善企業(yè)所處的網(wǎng)絡(luò)安全環(huán)境，減少由于人為因素所造成的網(wǎng)絡(luò)安全問題。

2 構(gòu)建企業(yè)網(wǎng)絡(luò)安全體系的實踐策略

2.1 重視網(wǎng)絡(luò)安全宣傳工作，提高企業(yè)網(wǎng)絡(luò)安全意識

現(xiàn)如今大部分企業(yè)將網(wǎng)絡(luò)防護(hù)安全墻、網(wǎng)絡(luò)防護(hù)反應(yīng)機(jī)制、入侵檢測機(jī)制等作為網(wǎng)絡(luò)安全防護(hù)的基石，然而在實際生活和工作中，除了企業(yè)管理者要有充分的網(wǎng)絡(luò)安全意識之外，企業(yè)員工的網(wǎng)絡(luò)安全意識也網(wǎng)絡(luò)安全工作中重要的一環(huán)。因為在企業(yè)網(wǎng)絡(luò)安全面前，企業(yè)員工存在著無法預(yù)知的變數(shù)，他們?nèi)羧鄙侔踩芾淼呢?zé)任心或者僅僅由于他們一次小小的信息泄露行為，都可能會導(dǎo)致企業(yè)的工作承受巨大經(jīng)濟(jì)損失。因此企業(yè)員工安全意識的提升將有效改變企業(yè)所面臨的網(wǎng)絡(luò)安全威脅。

企業(yè)員工作為網(wǎng)絡(luò)安全防護(hù)的基石，企業(yè)要采取多種手段長期、持續(xù)地提升他們的網(wǎng)絡(luò)安全意識。例如，企業(yè)對員工定期進(jìn)行網(wǎng)絡(luò)安全意識培訓(xùn)會，不斷加強(qiáng)他們網(wǎng)絡(luò)安全意識的專業(yè)性和有效性。在培訓(xùn)過程中，企業(yè)可以邀請國信網(wǎng)絡(luò)安全工程師擔(dān)任培訓(xùn)員，以此來確保培訓(xùn)會的學(xué)習(xí)效果價值，培訓(xùn)課程中結(jié)合真實案例給員工講述掌握網(wǎng)絡(luò)安全知識的重要性和必要性。培訓(xùn)結(jié)束后，企業(yè)為員工發(fā)放網(wǎng)絡(luò)安全意識提升手冊，這種手冊可以用動畫、海報、漫畫等形式進(jìn)行編寫，將網(wǎng)絡(luò)安全知識轉(zhuǎn)換成每位員工都能通俗易懂的內(nèi)容，讓企業(yè)的安全意識培訓(xùn)會進(jìn)行得更加順暢。其次，為了檢驗培訓(xùn)效果，企業(yè)可以通過有獎問答、知識競猜等豐富多彩的形式讓員工更好地掌握網(wǎng)絡(luò)安全知識。另外，企業(yè)還可以采取在員工休息區(qū)、工作區(qū)張貼網(wǎng)絡(luò)安全標(biāo)語、漫畫等形式，調(diào)動員工積極學(xué)習(xí)網(wǎng)絡(luò)安全知識，培養(yǎng)網(wǎng)絡(luò)安全意識。只有通過提升員工自身的網(wǎng)絡(luò)安全專業(yè)知識，才能幫助員工和企業(yè)更好地應(yīng)對網(wǎng)絡(luò)安全威脅，消除網(wǎng)絡(luò)安全漏洞中的人為因素。BF49E160-7A68-46CF-AAAF-2FABB8E47933

2.2 加大網(wǎng)絡(luò)安全防護(hù)技術(shù)，增強(qiáng)信息安全保障能力

網(wǎng)絡(luò)安全問題源于信息技術(shù)的發(fā)展，在快速建設(shè)信息化企業(yè)的前提下，網(wǎng)絡(luò)信息安全問題仍然要依靠信息防護(hù)技術(shù)來解決。網(wǎng)絡(luò)空間安全的攻防對抗其實就是一場黑客和企業(yè)之間信息技術(shù)的較量戰(zhàn)。只有將網(wǎng)絡(luò)安全“防護(hù)網(wǎng)”越織越牢固，才能有效提高企業(yè)信息安全的保障能力。因此構(gòu)建各個企業(yè)的網(wǎng)絡(luò)安全防御體系是有效保障網(wǎng)絡(luò)安全的重要技術(shù)手段。

首先，在眾多網(wǎng)絡(luò)安全防線中，第一道防線是處在網(wǎng)絡(luò)防護(hù)最前沿的防火墻[2]。防火墻技術(shù)在目前的網(wǎng)絡(luò)安全維護(hù)中應(yīng)用得最為廣泛，這道最基礎(chǔ)的安全防護(hù)設(shè)施能夠有效攔截黑客攻擊信息，在最大程度上減少黑客的攻擊面。所以，企業(yè)網(wǎng)絡(luò)安全技術(shù)要增強(qiáng)防火墻，例如補(bǔ)充 IPS、WAF等串行阻斷工具以及近年來運(yùn)用更加廣泛的旁路阻斷技術(shù)[3]。將防火墻和新一代的阻斷技術(shù)合力，能夠從多個層面建立網(wǎng)絡(luò)安全，立體式防護(hù)前沿。其次，一旦攻擊者破壞了第一道防線，這個時候就需要第二道防線進(jìn)行監(jiān)測響應(yīng)，及時發(fā)現(xiàn)和處置黑客攻擊。第二道防線需要企業(yè)內(nèi)部建立完善的數(shù)據(jù)中心匯聚平臺，只有這樣一道防線才能依靠網(wǎng)絡(luò)流量、文件數(shù)據(jù)等分析檢測黑客攻擊，迅速處置攻擊事件。最后，如果攻擊者破壞了第二道防線，網(wǎng)絡(luò)安全的第三道防線就要起作用了，網(wǎng)絡(luò)安全的第三道防線有多種表現(xiàn)形式，其中包括訪問控制、端點(diǎn)防御防線。企業(yè)加強(qiáng)這兩道防線的建設(shè)可有效防范阻遏攻擊者，這其中也包括對內(nèi)部企業(yè)人員的監(jiān)管。企業(yè)只有建立了如上所述的這種遞進(jìn)式、多重式、專業(yè)性、綜合性的縱橫向安全監(jiān)測體制，利用網(wǎng)絡(luò)技術(shù)不斷提高網(wǎng)絡(luò)安全防御能力，才能真正鑄造“立體式、全方位”的網(wǎng)絡(luò)安全縱深防御體系。

2.3 構(gòu)建網(wǎng)絡(luò)安全管理體制，有效降低網(wǎng)絡(luò)安全風(fēng)險

所有網(wǎng)絡(luò)安全體系的最終使用者歸根到底都是人，所以網(wǎng)絡(luò)安全最大的隱患和最堅固的防線，兩者的出發(fā)點(diǎn)和落腳點(diǎn)都是隱藏在技術(shù)背后的人的較量。在這一背景之下，構(gòu)建網(wǎng)絡(luò)安全管理體制，既能夠增強(qiáng)網(wǎng)絡(luò)安全防御體系，讓其成為技術(shù)層面的第五道防線：組織體系，又能夠通過人對網(wǎng)絡(luò)的使用和管理，有效降低網(wǎng)絡(luò)安全的風(fēng)險。大部分企業(yè)將網(wǎng)絡(luò)安全的管理體制歸結(jié)為管理者的責(zé)任，這就導(dǎo)致企業(yè)的網(wǎng)絡(luò)安全管理存在層次不分明、功能不完善、權(quán)責(zé)不清晰的問題，因此網(wǎng)絡(luò)安全體制在企業(yè)網(wǎng)絡(luò)安全中并沒有得到有效運(yùn)行。

企業(yè)要建立完整的網(wǎng)絡(luò)安全管理體制[4]，需要從以下幾個方面入手。第一：從層次上講，完整的網(wǎng)絡(luò)安全管理體制通常需要指揮層、運(yùn)行層、保障層三者共同發(fā)揮作用，確保企業(yè)內(nèi)部具有網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，負(fù)責(zé)網(wǎng)絡(luò)安全方面的決策制定和執(zhí)行，又有負(fù)責(zé)企業(yè)日常安全工作的運(yùn)行事件處置的協(xié)調(diào)小組，同時又具備完善的網(wǎng)絡(luò)安全技術(shù)提供商、軟件硬件開發(fā)商等后勤保障小組，以此來建立權(quán)責(zé)統(tǒng)一的網(wǎng)絡(luò)安全管理體制。第二：從安全意識層面講，管理體制要落到實處，需要企業(yè)員工具有高度的網(wǎng)絡(luò)安全意識。員工要從意識層面建立起強(qiáng)大的網(wǎng)絡(luò)安全防御意識，針對典型的網(wǎng)絡(luò)攻擊能做出正確反應(yīng)，通過參加網(wǎng)絡(luò)安全意識教育培訓(xùn)會、網(wǎng)絡(luò)攻擊模擬會等學(xué)習(xí)會議，掌握并了解目前網(wǎng)絡(luò)攻擊的多種模式和形態(tài)，一旦企業(yè)網(wǎng)絡(luò)安全遭受攻擊，員工能夠迅速地從防守方轉(zhuǎn)變?yōu)楣舴?，保障整個企業(yè)的網(wǎng)絡(luò)縱深防御體系有效運(yùn)營。通過員工自己學(xué)習(xí)和提升網(wǎng)絡(luò)安全技術(shù)，降低企業(yè)的網(wǎng)絡(luò)安全運(yùn)營成本，從被動防守轉(zhuǎn)為主動防御。第三：畢竟企業(yè)管理者和員工不是專業(yè)的網(wǎng)絡(luò)安全工程師，所能學(xué)習(xí)和掌握的網(wǎng)絡(luò)安全知識與技能比較有限，如果在企業(yè)自身無法保證網(wǎng)絡(luò)攻擊的情況下，可以尋求可靠的第三方網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)的協(xié)助。企業(yè)管理者和企業(yè)員工需要掌握必要的網(wǎng)絡(luò)安全知識以及技能，但是網(wǎng)絡(luò)安全知識體系龐大且復(fù)雜，而且日新月異，在企業(yè)無法保證新型網(wǎng)絡(luò)攻擊的情況之下，可以尋求專業(yè)的網(wǎng)絡(luò)安全檢測機(jī)構(gòu)的幫助。為了防止黑客入侵，需要定期對企業(yè)網(wǎng)絡(luò)進(jìn)行漏洞掃描，對當(dāng)前的計算機(jī)系統(tǒng)做全面的深入的檢測。入侵檢測技術(shù)可以利用自身內(nèi)部的配置及時發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的危險因素。漏洞掃描技術(shù)常用的掃描工具有：AWVS、appscan、xunfeng、nessus、sqlmap等，不同工具可以運(yùn)用在不同場景中，當(dāng)檢測出異常情況時，會根據(jù)危險等級來提醒用戶，用戶還需手動去核實漏洞的真實性，一旦確定確實存在風(fēng)險要及時修補(bǔ)漏洞，另外還可以通過滲透技術(shù)模擬黑客攻擊方任何可能來威脅到網(wǎng)絡(luò)安全的途徑來測試網(wǎng)絡(luò)的安全性，一旦發(fā)現(xiàn)有漏洞或者安全隱患及時采取措施彌補(bǔ)漏洞防止更大的損失產(chǎn)生。滲透技術(shù)是一個持續(xù)的、長久的、兼顧深度和廣度的同時也存在一定難度的漏洞挖掘過程。

2.4 監(jiān)督軟硬件的安裝程序，逐步提升企業(yè)硬件設(shè)施[5]

企業(yè)所面臨的網(wǎng)絡(luò)安全威脅是來自各方面的壓力，解決了外部攻擊，提升了管理機(jī)制，增強(qiáng)了網(wǎng)絡(luò)安全防御技術(shù)，仍然不能有效地保證整個企業(yè)的信息網(wǎng)絡(luò)安全工作。這是由于企業(yè)安全的源頭中，還存在著一個至關(guān)重要的環(huán)節(jié)，那就是在計算機(jī)設(shè)備上進(jìn)行軟硬件程序的安裝過程中存在風(fēng)險，最終導(dǎo)致企業(yè)機(jī)密被竊取。例如，在進(jìn)行計算機(jī)的配置安裝之前，為提高企業(yè)信息資料的保密性，工作人員要做好對安裝環(huán)境的監(jiān)測以及對安裝程序人員的管理，保證整個硬件設(shè)備和軟件程序在安裝工作中一直處于企業(yè)工作人員的監(jiān)管范圍內(nèi)。在計算機(jī)的配置安裝過程之中，為防止企業(yè)資料泄露，盡可能保證安裝人員不被外來人員打擾，在進(jìn)行軟件系統(tǒng)配置時，員工為程序安裝人員打開所需要的軟件系統(tǒng)，從根本上杜絕資料泄露的可能性。以上這些方面就要求企業(yè)工作人員在安裝過程中，要從根源上做好檢查工作、監(jiān)督工作。

3 結(jié)束語

社會主義市場經(jīng)濟(jì)欣欣向榮，企業(yè)在市場經(jīng)濟(jì)下作為最富有活力的參與者，在當(dāng)前的經(jīng)濟(jì)發(fā)展當(dāng)中發(fā)揮著至關(guān)重要的作用。社會的發(fā)展靠企業(yè)，企業(yè)的發(fā)展靠網(wǎng)絡(luò)，但是伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，隨之帶來的信息安全、網(wǎng)絡(luò)安全等問題層出不窮，網(wǎng)絡(luò)技術(shù)之下的矛盾沖突日益加深。企業(yè)在利用網(wǎng)絡(luò)來創(chuàng)造效益的同時，不可以只單純地著眼于眼前的利益，而是要根據(jù)自身的需求和每個企業(yè)面臨的網(wǎng)絡(luò)問題，持續(xù)不斷地進(jìn)行學(xué)習(xí)、調(diào)整、進(jìn)化，不斷抵御在虛擬網(wǎng)絡(luò)空間中的各種已知的和未知的網(wǎng)絡(luò)安全的威脅，以此來提高整個企業(yè)的工作效率和質(zhì)量，推動企業(yè)更優(yōu)發(fā)展。一個企業(yè)能否持續(xù)性長遠(yuǎn)發(fā)展決定于在企業(yè)網(wǎng)絡(luò)信息建設(shè)中的網(wǎng)絡(luò)安全問題，所以構(gòu)建健全的企業(yè)網(wǎng)絡(luò)空間安全體系至關(guān)重要。

參考文獻(xiàn)：

[1] 杜李斌.企事業(yè)單位辦公內(nèi)網(wǎng)安全建設(shè)需求探究及實施措施探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（1）：95-96.

[2] 王梁.計算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析[J].中國管理信息化，2021，24（24）：196-197.

[3] 康昊，沈?qū)W東，王軍.從永恒之藍(lán)勒索病毒事件淺談企業(yè)網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：141-142.

[4] 湯榮秀.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)信息安全[J].信息與電腦（理論版），2020，32（23）：230-232.

[5] 張成挺，丁男哲.企業(yè)網(wǎng)絡(luò)信息建設(shè)中網(wǎng)絡(luò)安全的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（1）：94-95.

【通聯(lián)編輯：代影】BF49E160-7A68-46CF-AAAF-2FABB8E47933