王宏亮

[摘 要]企業(yè)縱深網(wǎng)絡(luò)安全管理體系是一種系統(tǒng)性、多層次、綜合性的安全管理模式。在企業(yè)縱深網(wǎng)絡(luò)安全管理模式下，企業(yè)將從多個(gè)維度保障網(wǎng)絡(luò)安全，建立全面、系統(tǒng)、高效的網(wǎng)絡(luò)安全保護(hù)體系，以保障企業(yè)各種網(wǎng)絡(luò)資產(chǎn)的安全，包括硬件、軟件、數(shù)據(jù)、業(yè)務(wù)等，從而達(dá)到保護(hù)企業(yè)的信息安全、提升企業(yè)的安全防范能力、推動(dòng)企業(yè)長(zhǎng)期穩(wěn)定發(fā)展的目的。

[關(guān)鍵詞]縱深網(wǎng)絡(luò)安全；安全培訓(xùn)；多級(jí)認(rèn)證；安全管理；端到端安全；數(shù)字資產(chǎn)

中圖分類號(hào)：F275 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-1722（2023）23-0004-03

網(wǎng)絡(luò)的飛速發(fā)展改變了人們的生活方式和企業(yè)的運(yùn)營(yíng)方式，企業(yè)越來越多的資產(chǎn)實(shí)現(xiàn)了數(shù)字化（如項(xiàng)目信息、產(chǎn)品信息、資金信息、人力資源信息及客戶信息等），在促進(jìn)企業(yè)工作更加便利及高效的同時(shí)，這些數(shù)字資產(chǎn)也面臨著被篡改、被竊取，甚至被破壞的風(fēng)險(xiǎn)。例如，2022年12月，國(guó)內(nèi)某新能源汽車新勢(shì)力企業(yè)遭受勒索病毒攻擊，部分?jǐn)?shù)據(jù)被勒索軟件加密，被要求支付225萬美元的贖金；如果不支付贖金，被加密的數(shù)據(jù)將很難恢復(fù)，將會(huì)對(duì)企業(yè)的正常運(yùn)營(yíng)造成極大威脅。

在這種日益復(fù)雜的網(wǎng)絡(luò)安全形勢(shì)下，加強(qiáng)對(duì)企業(yè)核心數(shù)據(jù)資產(chǎn)保護(hù)的重要性可見一斑。因此，如何建立有效的安全防護(hù)機(jī)制，保護(hù)好企業(yè)的核心數(shù)字資產(chǎn)，成為企業(yè)面臨的巨大挑戰(zhàn)。

一、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

企業(yè)一般較為重視信息化系統(tǒng)建設(shè)，但網(wǎng)絡(luò)安全意識(shí)有待提升。只有等出現(xiàn)網(wǎng)絡(luò)安全事件時(shí)，企業(yè)才意識(shí)到網(wǎng)絡(luò)安全的重要性。大多數(shù)企業(yè)對(duì)網(wǎng)絡(luò)安全設(shè)備缺乏維護(hù)，普遍存在“重建設(shè)、輕運(yùn)維”“重設(shè)備、輕管理”的現(xiàn)象，認(rèn)為設(shè)備部署好以后就不再需要調(diào)整了，而且網(wǎng)絡(luò)設(shè)備的部署沒有形成體系化和協(xié)同效應(yīng)，縱深防護(hù)能力不足。

網(wǎng)絡(luò)攻擊形勢(shì)日益復(fù)雜，新技術(shù)、新產(chǎn)品層出不窮，現(xiàn)有的網(wǎng)絡(luò)安全設(shè)施及管理手段難以及時(shí)發(fā)現(xiàn)并阻止攻擊。在這種形勢(shì)下，需要建立行之有效的主動(dòng)防御機(jī)制，構(gòu)建縱深網(wǎng)絡(luò)安全管理體系，即網(wǎng)絡(luò)的安全不能依賴于某“一扇門”或某一種方案，而是要疊加多重防護(hù)策略，相互支撐，確保其中某個(gè)環(huán)節(jié)被攻破的情況下，還能保障數(shù)字資產(chǎn)的安全。

二、縱深網(wǎng)絡(luò)安全管理體系的內(nèi)涵

企業(yè)縱深網(wǎng)絡(luò)安全管理體系一般包含以下幾個(gè)要素。

一是多層級(jí)安全架構(gòu)，包括網(wǎng)絡(luò)邊界、內(nèi)網(wǎng)、DMZ、專網(wǎng)等多個(gè)層級(jí)，實(shí)現(xiàn)從內(nèi)網(wǎng)到外網(wǎng)的全面安全保護(hù)。

二是多種安全技術(shù)手段的應(yīng)用，如可信計(jì)算、防火墻、VPN、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密、身份認(rèn)證等，全面保障企業(yè)的網(wǎng)絡(luò)安全。

三是安全策略和流程的制定和實(shí)施。通過制定安全策略和流程，規(guī)范企業(yè)員工的操作行為，確保企業(yè)擁有安全防護(hù)能力。

四是安全培訓(xùn)和意識(shí)教育，增強(qiáng)員工的安全意識(shí)，提升員工的安全素養(yǎng)，使員工成為企業(yè)網(wǎng)絡(luò)安全保護(hù)的重要力量。

五是網(wǎng)絡(luò)安全監(jiān)控和管理。通過安全監(jiān)控和管理機(jī)制，監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況，發(fā)現(xiàn)和處理網(wǎng)絡(luò)安全事件。

三、構(gòu)建企業(yè)縱深網(wǎng)絡(luò)安全管理體系的步驟

（一）端到端安全管理

企業(yè)構(gòu)建縱深網(wǎng)絡(luò)安全管理體系的第一步是實(shí)現(xiàn)端到端的安全管理。這需要在企業(yè)內(nèi)部的每一個(gè)節(jié)點(diǎn)、每個(gè)連接點(diǎn)甚至每一臺(tái)終端設(shè)備上實(shí)現(xiàn)安全管理，以保證網(wǎng)絡(luò)系統(tǒng)的安全性。

第一，確保網(wǎng)絡(luò)邊界安全。通過合理的網(wǎng)絡(luò)邊界設(shè)置，防范無意或有意的入侵，建立網(wǎng)絡(luò)物理邊界和邏輯邊界的安全隔離，使網(wǎng)絡(luò)邊緣設(shè)備如防火墻、NAT設(shè)備等更好地發(fā)揮保護(hù)網(wǎng)絡(luò)邊界的作用。

第二，強(qiáng)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全。對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行合理設(shè)計(jì)，在保證網(wǎng)絡(luò)性能的基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)在結(jié)構(gòu)上的安全保障，比如采用虛擬局域網(wǎng)技術(shù)和網(wǎng)絡(luò)隔離技術(shù)，使攻擊者無法輕易跳轉(zhuǎn)攻擊目標(biāo)。

第三，增強(qiáng)網(wǎng)絡(luò)設(shè)備及其應(yīng)用的安全性。對(duì)設(shè)備的普通口、遠(yuǎn)程接入口、管理口及應(yīng)用服務(wù)口等端口進(jìn)行精細(xì)化管理和安全防護(hù)，比如加強(qiáng)遠(yuǎn)程訪問、防御DDoS攻擊等。

第四，建立安全管理中心。建立安全管理中心，全方位監(jiān)控企業(yè)的信息系統(tǒng)安全風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)和響應(yīng)網(wǎng)絡(luò)安全事件，提升企業(yè)的安全防護(hù)能力。

第五，完善安全評(píng)估和安全測(cè)試。通過安全評(píng)估和安全測(cè)試，發(fā)現(xiàn)網(wǎng)絡(luò)及其應(yīng)用中存在的安全漏洞，及時(shí)修補(bǔ)漏洞或升級(jí)安全軟件，減少攻擊風(fēng)險(xiǎn)，提升企業(yè)的安全防護(hù)能力。

（二）合理制定應(yīng)對(duì)策略

企業(yè)應(yīng)通過系統(tǒng)規(guī)劃和流程設(shè)計(jì)，針對(duì)不同的安全風(fēng)險(xiǎn)及其他異常情況制定應(yīng)對(duì)策略，建立有效的安全保護(hù)措施。

第一，制定安全策略。企業(yè)需要制定完善的安全策略，包括安全目標(biāo)的制定、安全標(biāo)準(zhǔn)的制定、安全意識(shí)培訓(xùn)、網(wǎng)絡(luò)安全評(píng)估、安全事件響應(yīng)流程等，從制度層面對(duì)網(wǎng)絡(luò)安全進(jìn)行管理和規(guī)范，確保全員參與、全面覆蓋。

第二，合理控制訪問權(quán)限。企業(yè)需要合理控制所有用戶的訪問權(quán)限，只授權(quán)特定用戶訪問特定系統(tǒng)和文件，確保信息不被錯(cuò)誤地訪問和修改，減少數(shù)據(jù)泄露和錯(cuò)誤操作的風(fēng)險(xiǎn)。

第三，加強(qiáng)網(wǎng)絡(luò)監(jiān)控和日志管理。通過網(wǎng)絡(luò)監(jiān)控和日志管理技術(shù)，企業(yè)能夠發(fā)現(xiàn)安全威脅，記錄和追蹤攻擊者的行為，對(duì)于網(wǎng)絡(luò)安全事件及時(shí)作出反應(yīng)，在第一時(shí)間采取應(yīng)對(duì)措施，及時(shí)修復(fù)漏洞，防止事態(tài)惡化。

第四，建立災(zāi)備方案和備份機(jī)制。建立災(zāi)備方案和備份機(jī)制，能在網(wǎng)絡(luò)安全事件發(fā)生后及時(shí)恢復(fù)數(shù)據(jù)和業(yè)務(wù)，減少損失，能夠在安全事件發(fā)生時(shí)檢驗(yàn)網(wǎng)絡(luò)安全策略的實(shí)際效果，優(yōu)化企業(yè)的安全防范機(jī)制。

第五，不斷升級(jí)安全技術(shù)手段。企業(yè)需要不斷升級(jí)安全技術(shù)手段，引入新的安全設(shè)備和技術(shù)，比如防病毒軟件、入侵檢測(cè)系統(tǒng)、桌面防火墻、加密技術(shù)等，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的保護(hù)。

（三）多級(jí)認(rèn)證與授權(quán)管理

多級(jí)認(rèn)證與授權(quán)管理是加強(qiáng)企業(yè)安全保護(hù)的基石。企業(yè)在應(yīng)用縱深網(wǎng)絡(luò)安全管理系統(tǒng)時(shí)，需要使用多種身份認(rèn)證技術(shù)和權(quán)限管理技術(shù)，通過多級(jí)認(rèn)證和授權(quán)機(jī)制，確保用戶只能訪問自己被授權(quán)的資源，從而保證系統(tǒng)的安全性。

第一，用戶名和密碼認(rèn)證。利用用戶名和密碼認(rèn)證，可以有效防止未經(jīng)授權(quán)的訪問，確保網(wǎng)絡(luò)資源使用者的身份真實(shí)可靠。

第二，二次認(rèn)證。使用二次認(rèn)證方式，可以為用戶提供更高級(jí)別的訪問管理服務(wù)，通過第二道安全驗(yàn)證可以確保訪問者的安全性，同時(shí)降低系統(tǒng)安全風(fēng)險(xiǎn)。

第三，訪問控制列表（ACL）。使用ACL可以控制用戶的訪問行為，限制用戶能夠訪問的資源和數(shù)據(jù)，保護(hù)網(wǎng)絡(luò)資源的安全性和機(jī)密性。

第四，角色管理?？梢詫?duì)不同職能或權(quán)限的用戶在網(wǎng)絡(luò)資源安全訪問中進(jìn)行不同級(jí)別的控制與管理。

第五，策略管理?？梢詾樵L問網(wǎng)絡(luò)資源的用戶制定不同的安全策略，以滿足不同用戶在網(wǎng)絡(luò)資源安全訪問中特殊的安全要求。

（四）全面?zhèn)浞菖c突發(fā)事件應(yīng)對(duì)系統(tǒng)

為應(yīng)對(duì)突發(fā)事件，企業(yè)應(yīng)建立全面?zhèn)浞菖c恢復(fù)機(jī)制，利用數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)等技術(shù)手段，實(shí)現(xiàn)設(shè)備備份和軟件備份，減輕突發(fā)事件造成的損失。

第一，制訂災(zāi)備計(jì)劃與業(yè)務(wù)連續(xù)性計(jì)劃。企業(yè)需要制訂完整的災(zāi)備計(jì)劃與業(yè)務(wù)連續(xù)性計(jì)劃，備份和恢復(fù)關(guān)鍵信息系統(tǒng)的硬件、軟件、數(shù)據(jù)，確保關(guān)鍵業(yè)務(wù)的持續(xù)運(yùn)行。

第二，備份和歸檔。企業(yè)需要定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)，確保業(yè)務(wù)數(shù)據(jù)的可靠性和完整性，將備份數(shù)據(jù)歸檔到安全的存儲(chǔ)設(shè)備中，以備不時(shí)之需。

第三，演練和測(cè)試。企業(yè)需要定期進(jìn)行演練和測(cè)試，模擬網(wǎng)絡(luò)安全事件和數(shù)據(jù)災(zāi)難場(chǎng)景，驗(yàn)證災(zāi)備計(jì)劃與業(yè)務(wù)連續(xù)性計(jì)劃的可行性和有效性，及時(shí)調(diào)整計(jì)劃。

第四，引入安全技術(shù)和設(shè)備。企業(yè)需要引入各種安全技術(shù)和設(shè)備，如入侵檢測(cè)系統(tǒng)、防病毒軟件、流量分析軟件、備份和恢復(fù)設(shè)備等，幫助企業(yè)快速識(shí)別攻擊行為并化解攻擊，提升企業(yè)的安全防護(hù)能力。

（五）安全管理與監(jiān)控

建立完善的安全管理與監(jiān)控體系是保障企業(yè)信息安全的重要手段。企業(yè)應(yīng)建立內(nèi)部安全監(jiān)控與管理機(jī)制，全面監(jiān)控企業(yè)的內(nèi)部網(wǎng)絡(luò)流量、安全事件，以及時(shí)發(fā)現(xiàn)、處理異常情況。

第一，制定網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)。企業(yè)需要制定網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)，包括安全目標(biāo)、安全標(biāo)準(zhǔn)和規(guī)范的制定等，以有效預(yù)防和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。

第二，加強(qiáng)網(wǎng)絡(luò)監(jiān)控和日志管理。企業(yè)需要根據(jù)網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)，使用流量分析、入侵檢測(cè)等技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)異常情況進(jìn)行實(shí)時(shí)報(bào)警，完善日志管理系統(tǒng)，收集、存儲(chǔ)有價(jià)值的安全日志數(shù)據(jù)，進(jìn)行分析處理和使用。

第三，強(qiáng)化信息安全審計(jì)。企業(yè)需要審計(jì)網(wǎng)絡(luò)安全事件，按照企業(yè)安全策略和標(biāo)準(zhǔn)的要求，實(shí)施定期和臨時(shí)的安全評(píng)估，發(fā)現(xiàn)安全漏洞、風(fēng)險(xiǎn)和威脅時(shí)，及時(shí)作出反應(yīng)，采取措施加以改進(jìn)和升級(jí)。

第四，加強(qiáng)訪問控制管理。企業(yè)需要加強(qiáng)訪問控制管理，限制用戶訪問資源的權(quán)限和內(nèi)容，防止未經(jīng)授權(quán)的訪問和不恰當(dāng)?shù)牟僮鳌?/p>

（六）安全培訓(xùn)

企業(yè)員工是企業(yè)信息安全的第一道防線，安全培訓(xùn)是增強(qiáng)員工的安全意識(shí)及信息安全技術(shù)素質(zhì)的有效途徑。因此，企業(yè)應(yīng)加強(qiáng)員工信息安全意識(shí)教育，采用多種方式培訓(xùn)員工的安全責(zé)任、安全策略及安全技術(shù)。

第一，制定培訓(xùn)計(jì)劃和目標(biāo)。企業(yè)需要制定網(wǎng)絡(luò)安全培訓(xùn)的計(jì)劃、目標(biāo)和內(nèi)容，確定培訓(xùn)的對(duì)象和時(shí)間，使員工了解安全知識(shí)，增強(qiáng)安全意識(shí)。

第二，強(qiáng)化安全意識(shí)和知識(shí)普及。企業(yè)應(yīng)采用實(shí)際案例、故事、演示等方式對(duì)員工進(jìn)行安全意識(shí)和知識(shí)的普及，增強(qiáng)員工的安全意識(shí)，讓員工了解網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和規(guī)范、數(shù)據(jù)保護(hù)和應(yīng)急處理等知識(shí)，增強(qiáng)員工的網(wǎng)絡(luò)安全防范意識(shí)。

第三，定期組織模擬演練。定期組織模擬演練，為員工創(chuàng)造真實(shí)的網(wǎng)絡(luò)安全事件場(chǎng)景，讓員工在模擬演練中學(xué)會(huì)如何應(yīng)對(duì)網(wǎng)絡(luò)安全事件，增強(qiáng)員工的實(shí)踐能力，確保安全事件的快速、有效處理。

第四，引入安全技術(shù)和工具。除安全培訓(xùn)之外，企業(yè)也可以引入安全技術(shù)和工具，比如電子郵件內(nèi)容過濾、數(shù)據(jù)加密、反病毒升級(jí)、應(yīng)急組織等，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，讓員工在工作中更加熟練和自如地應(yīng)用安全技術(shù)和工具。

四、企業(yè)縱深網(wǎng)絡(luò)安全管理體系發(fā)展趨勢(shì)

隨著技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)的普及應(yīng)用，未來的縱深網(wǎng)絡(luò)安全管理體系趨勢(shì)主要體現(xiàn)在以下幾個(gè)方面。

一是網(wǎng)絡(luò)安全的自動(dòng)化和智能化。未來的縱深網(wǎng)絡(luò)安全管理體系將更加自動(dòng)化和智能化，企業(yè)將借助AI等技術(shù)，通過實(shí)時(shí)監(jiān)控和數(shù)據(jù)化分析，加快對(duì)異常事件的識(shí)別及響應(yīng)速度。

二是網(wǎng)絡(luò)安全的綜合應(yīng)對(duì)。未來的縱深網(wǎng)絡(luò)安全管理體系將更注重綜合應(yīng)對(duì)和全方位保護(hù)，針對(duì)數(shù)據(jù)傳輸、端點(diǎn)安全、云安全等多個(gè)方面細(xì)致分析，采取合理的安全預(yù)防措施。

三是安全防護(hù)的全方位覆蓋。未來的縱深網(wǎng)絡(luò)安全管理體系將更注重全方位覆蓋，除了傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)，還將重點(diǎn)深耕IoT設(shè)備和移動(dòng)設(shè)備等其他入口，以保護(hù)企業(yè)的核心數(shù)據(jù)。

四是安全意識(shí)教育和企業(yè)文化。未來的縱深網(wǎng)絡(luò)安全管理體系將更加注重安全意識(shí)教育和企業(yè)文化，企業(yè)可通過安全文化建設(shè)，將安全意識(shí)融入團(tuán)隊(duì)文化，讓普通員工認(rèn)識(shí)其安全責(zé)任，形成企業(yè)安全文化氛圍，降低人為失誤的概率。

五、結(jié)語

網(wǎng)絡(luò)安全的建設(shè)不是一蹴而就的，也不存在一項(xiàng)萬能的技術(shù)能抵擋所有攻擊，只有建立縱深網(wǎng)絡(luò)安全管理體系，疊加采取多種防御措施，比如可視化技術(shù)，體現(xiàn)互聯(lián)網(wǎng)、業(yè)務(wù)系統(tǒng)和用戶之間的訪問關(guān)系，識(shí)別How、Where等各種訪問關(guān)系，以不同的顏色區(qū)分不同危險(xiǎn)等級(jí)的業(yè)務(wù)系統(tǒng)和用戶[1]，建立態(tài)勢(shì)感知系統(tǒng)等預(yù)測(cè)網(wǎng)絡(luò)未來可能出現(xiàn)的態(tài)勢(shì)[2]，同時(shí)加強(qiáng)相應(yīng)的組織建設(shè)、專業(yè)人才培養(yǎng)與合理的制度保障，增強(qiáng)全員的安全意識(shí)，有效抵御網(wǎng)絡(luò)攻擊及降低網(wǎng)絡(luò)安全事件的影響。

參考文獻(xiàn)：

[1]鄒雙，羅思睿.企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)研究[J].通信與信息技術(shù)，2022（S2）：63-67.

[2]楊青，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].西安電子科技大學(xué)，2022.