基于信息安全構建策略的企業信息化安全建設研究

0 引言

當今社會已經步入信息知識經濟時代，信息安全是目前發展的大趨勢，趨勢重點是BYOD條件下，移動4G、WIFI互聯等多邊界企業網絡環境下，安全邊界的界定和管理。可包括信息安全架構體系的搭建，其中包括網絡邊界安全、信息流安全、系統等級定義、CA認證、統一身份認證等方面。本文主要就這些方面深度論述信息安全在企業發展中的重要性，剖析對系統操作的意義，并提出某些改進措施及觀點，以此來完善企業網絡安全、系統安全等信息安全工作。

1 企業信息化安全現狀

當前，企業信息安全尚在起步階段，發展不夠成熟健全，還有更多需要解決的問題。隨著網絡技術的發展，經濟信息量的大幅度上漲，處理信息必須依靠計算機才能完成，但計算機存在一定的弱點，例如計算機病毒、人員素質低下、黑客入侵等因素，以及移動4G、WIFI互聯等多邊界企業網絡環境下，由于內外部網絡是直接連接，其互通性和網絡訪問無限制性易形成黑客或惡意份子入侵的切入口，若是沒有設置任何的網絡邊界安全機制，將造成企業信息受到潛在的安全威脅。企業要想持續發展，信息安全是基本保障。企業信息化程度越高，企業數據也就越安全。企業發展的基礎即信息安全，企業管理者要正確認識信息安全工作的長期性和緊迫性。從保護企業利益，促進經濟發展，保證企業穩定與安全的角度來看，只有做好基礎性工作和設施建設，建立信息安全保障，以及建設安全健康的網絡環境，才能有助于信息化安全建設。其實不管科技如何發達，技術如何高超，都是人類智慧的結晶體，所以信息安全已無法離開人類。不少企業信息被泄露，多是人為因素導致，員工濫用企業信息將會給企業帶來極大的損失。

2 企業信息化安全建設

當今社會已經步入信息知識經濟時代，信息對企業良性長久的發展尤為關鍵，但目前企業信息系統安全問題無疑是企業發展階段所面臨的重點難點。所謂的企業信息安全就是對企業信息資產采取保護措施，使其不受惡意或偶然侵犯而被破壞、篡改及泄露，確保信息系統可靠正常并連續的運行，最小化安全事件對業務的影響，實現業務運行的連續性。因此筆者認為以下幾方面是關鍵。

2.1 做好網絡保護

其實要保證外網安全需要企業加大硬件設備的投入，信息安全產品在網絡經濟發展下正面臨著新的挑戰，傳統防火墻、信息加密、防病毒等已無法有效的抵御外部入侵；同時由于內部操作不當，導致內網感染病毒造成信息泄露的現狀也是信息安全的焦點問題。針對以上情況，建立事前有效防御，事后追究機制是企業信息化安全建設的當務之急。根據現代企業的特點，筆者認為從下面這幾點入手，有助于保護網絡的安全：

（1）身份認證技術。企業內網操作時，可采用身份認證技術，借助 PKI、PKM 等工具，控制網絡應用程序的訪問，以及進行身份認證，實現有效資源合法應用和訪問的目的。

（2）審計跟蹤技術。通過審計跟蹤技術監控和審計網絡，控制外設備如MSN、QQ、端口、打印、光驅、軟驅等，從而實現禁止使用指定程序，并促進員工操作行為及日志審計規范的目的。

（3）企業還應組建自身網絡拓撲結構，利用嚴格密鑰機制和加密算法，有機的結合加密、認證、授權、審計等功能，保護最底層不同密集評定和授權方式的核心數據，而非限制應用網絡和控制網絡，進而真正實現合理保護，確保企業信息數據資源的安全。

2.2 安全邊界的界定和管理

安全邊界的界定通過分析現有網絡邊界安全的需求，筆者認為有幾方面：首先，內部網段。即企業網內網，是防火墻的重點保護對象，安全級別和授信級別更高，主要承載對象是企業所有人員的計算機。其次，外部網段。即邊界路由器以外的網絡，比如移動4G、WIFI互聯等多邊界網絡，安全級別和授信級別最低，是企業信息數據泄露最大的安全隱患，需要嚴格禁止或控制。最后，DMZ網段。即對外服務器，安全級別和授信級別介于內外網絡之間，其資源運行外部網絡訪問。

（1）由于外部用戶訪問 DMZ區域中服務器的方式較為特殊，在系統默認情況下是不被允許的。可實際應用中是需要外部用戶對其進行訪問，所以防火墻上必須增加相應允許外部用戶訪問DMZ區域的訪問控制列表，通過對列表的控制允許用戶行為，并對進行很好的監控管理，保證企業信息的安全性。

（2）內部用戶對外部網絡以及DMZ區域中服務器的訪問。按照ASA自適應安全算法，在系統默認情況下是允許高安全等級接口流向低安全等級接口流量的，外部網絡安全級別遠沒企業內部網絡安全級別高，所以在默認情況下這種訪問方式是被允許的，不過實際應用過程中，需要限制對外訪問流量。

（3）外部用戶對內部網絡的訪問。在系統默認情況下這種情況是不被允許的，是對外部用戶非法訪問的有效抵御，能有效的保證企業信息的安全，促進企業信息化的安全建設。

2.3 強化系統管理

由于任何安全軟件都有被攻擊或破解的可能性，單純依靠軟件技術來保障企業信息安全是不現實的，只有強化企業內部信息系統的管理才行之有效。所以，企業內部信息管理體制要完善，盡可能促進管理系統規范性和可靠性的提高，才能為企業內部信息的安全提供更高保障。同時，要進行安全風險評估工作。因為各個信息系統使用的都是不同的技術手段和組成方式，其自身優勢及安全漏洞也具有較大的差異，由此在選擇企業所需的信息系統時，一定要先做各個系統的安全風險評估工作，信息安全系統的選擇要針對企業自身特點，降低信息安全問題出現的概率。最后，就是加強系統管理。在實際生活中信息竊取和系統攻擊大多是在網絡上完成的，企業必須要強化網絡管理工作，以便促進企業的運行更安全政策。

2.4 加強企業信息安全管理團隊建設

當前，企業信息安全體系的建設中已完全滲透“七分管理，三分技術”的意識，強化企業員工信息安全知識培訓，制定完善合理的信息安全管理制度，是企業信息安全建設順利實施的關鍵保障。企業信息安全建設時要另立專門管理信息安全的部門，負責企業內部的信息安全防護工作，加強對企業內部計算機網絡系統的維護及常規檢查。企業信息安全管理團隊的職責主要包括：工作人員安全操作規范、工作人員守則以及管理制度的制定，再交由上級主管部門審批后監督制度規范的執行；定期組織安全運行和信息網絡建設的檢查監測，掌握公司全面的第一手安全資料，根據資料研究相關的安全對策和措施；負責常規的信息網絡安全管理維護工作；定期制訂安全工作總結，且要接受國家相關信息安全職能部門對信息安全的工作指導。

2.5 入侵檢測系統（IDS）與入侵防護系統（IPS）

IDS即入侵檢測系統能夠彌補防火墻的缺陷，能實時的提供給網絡安全入侵檢測，并采取一定的防護手段保護網絡。良好的入侵檢測系統不但可有助于系統管理員隨時了解網絡系統的變更，還能提高可靠的網絡安全策略制訂依據。因此，入侵檢測系統的管理應配置簡單，隨時根據系統構造、網絡規模、安全需求改變。IDS必須布置在能夠監控局域網和Internet之間所有流量的地方，才能第一時間檢測到入侵時，做出及時的響應，比如記錄時間、切斷網絡連接等。

3 總結

目前，我國社會經濟發展速度很快，推動著企業的飛速發展，而企業的健康發展離不開信息化建設。但在信息化建設發展進步的背景下，信息安全問題是企業需要高度重視的重要問題。信息安全問題包括企業內部機密信息，是企業生存發展的關鍵，因此企業要快速健康的發展，必須加大對網絡的管理力度，強化對信息系統的管理，加強信息安全系統的建設，界定并管理安全邊界，通過全面的管理實現企業信息化的安全建設。當然企業信息化安全建設并非單一技術問題，而是整個信息系統的建立，以及整個系統在投入運行之后的日常維護和升級，針對企業而言信息化安全建設將是一項長久而艱巨的重要任務。