大型國企網絡安全風險及防范對策

王芳倩

摘要：我國大型國企一向都極為重視網絡安全問題，但仍存在著病毒入侵、信息泄露等安全風險，威脅著網絡安全。為了進一步減少國企的網絡安全風險，一方面，應完善網絡安全管理制度，建立網絡安全立體防御體系；另一方面，采用“整體防御+重點保護”的方法，充分利用并發展現代安防技術，通過劃分隔離安全域、優化防火墻系統等措施，降低安全風險，保障網絡系統安全運行。

關鍵詞：國有大型國企；網絡安全；風險防范

中圖分類號：F279 文獻標識碼：A 文章編號：1007-9416（2017）01-0204-02

互聯網的飛速發展，海量的信息資源極大的方便了用戶的信息需求，但同時也給網絡用戶帶來了信息安全問題。網絡的開放性使得其在安全性上存在病毒入侵、信息泄露等安全風險，據不完全統計全球平均每20秒就會發生一次網絡安全事件；我國超過90%的網絡管理系統都遭到過黑客攻擊或病毒入侵。盡管完全遏制網絡攻擊幾乎是不可能的，任一組織的網絡系統都不可能是真正的“金剛”之身，可以說網絡安全是網絡時代的永恒任務。

1 大型國企的主要網絡安全風險

我國大型國有企業已普遍建立了統一的計算機信息系統平臺，由于生產、管理數據集中于一個平臺上，一損俱損，因而對網絡安全提出了很高的要求。以目前我國大型國企的網絡安全現狀來看，其安全威脅主要來自以下方面：（1）內網威脅。有調查顯示約有七成的網絡安全威脅來自于企業內部，對于國有企業而言，內部人員的非法操作或誤操作對企業的危害是極大的。這些威脅主要表現為：內部人員無意或有意的泄露、盜取企業涉密信息，濫用或誤用內部敏感、關鍵數據等。盡管目前我國大型國企雖然內部員工的網絡隱患防范意識正在逐步提高，但這些安全威脅仍然普遍存在的現實情況。（2）外網威脅。在當前這個信息互聯的時代，幾乎任何國有企業的局域網都實現是與外網互聯。在復雜的網絡系統中，可能每一天都有入侵者試圖闖入網絡節點。一旦有員工主機受到網絡攻擊或感染病毒，就有可能影響整個企業的網絡系統，甚至還可能影響到與企業網絡系統有鏈接的其它單位網絡。（3）系統風險。系統風險包括，操作系統風險與應用系統風險兩大類。目前沒有安全漏洞的操作系統是不存在的，當企業網絡連上外網之后，必然存在非法入侵的可能。如果大型國有企業操作系統沒有采用較高安全級別的系統配置與系統應用，就很容易被人侵入，給企業帶來網絡安全風險。應用系統的安全風險則更為復雜，因為應用系統是動態的。對于大型國企而言，應用系統的風險主要包括：1）服務器風險。大型國有企業的網絡應用多為共享資源，員工有意或無意將硬盤中的涉密信息共享，并長期暴露在網絡鄰居上的現象是很常見的，這些信息很容易被泄露出去，影響企業的信息安全。2）數據庫風險。包括猜測或盜取口令訪問、非授權用戶的訪問、攻擊數據庫漏洞等風險。當然，因意外導致數據庫信息丟失，造成的安全問題也不應該被忽視。3）病毒侵害。通常病毒程序會通過網上下載、人為投放、電子郵件等途徑潛入企業內部網絡系統。由于大型國企的網絡平臺是統一的，因此一旦有一臺主機感染病毒，就可能迅速影響整個企業內部網絡，造成信息泄露、死機、文件數據丟失等安全隱患。4）數據傳送風險。對于大型國有企業而言，數據安全尤為重要，數據在公網傳輸過程中也可能被人非法竊取、刪改，一些與競爭對手可能通過技術手段給傳送線路上的信息做手腳，造成數據受損或泄露。（4）管理風險。網絡管理是大型國有企業網絡安全防范中的重要內容，是必要的部分，對降低企業網絡安全風險作用重大。其主要包括：1）責任不清，權限管理混亂，致使信息泄露，且出現問題后，追責也較為困難；2）內部不滿員工也可能導致信息泄露；3）為了省事或便于記憶，有些大型國有企業設置的登錄口令過于簡單，導致極易破解，造成網絡安全風險等。

2 確保大型國企網絡安全的主要技術

所謂網絡安全技術，即解決介入控制及確保數據傳輸安全的技術手段。目前主要的網絡安全技術有：（1）網絡防火墻技術。作為一種加強網絡間訪問控制，阻止外網非法入侵的技術手段，網絡防火墻技術對保護大型國企內部網絡操作環境，維護網絡安全有著重要的作用。它能夠按照一定得安全策略檢測網絡間得通信許可，并監視系統的網絡運行情況。防火墻負責網絡的安全認證，是整個網絡安全體系中的最底一層。現代防火墻技術發展迅速，目前已開始向網絡層之外的其他安全層級延伸，不再只是單純的安全過濾，還可以向網絡應用提供一定的安全服務，有一些防火墻產品甚至可以提供數據安全、病毒防御、用戶認證等多種安全服務。（2）安全隔離。從安全風險來看，基于網絡層與基于應用層的攻擊較多，難以防范。幾年來興起了一種全新安全防護技術——安全隔離技術。它的目標是，在確保把有害攻擊隔離在可信網絡之外，并保證可信網絡內部信息不外泄的前提下，完成信息的安全交換。（3）網絡防毒及防蠕蟲技術。蠕蟲病毒與普通病毒不同，這類病毒通常可以單獨安裝到系統中，可以獨立運行——這也是蠕蟲病毒與普通計算機病毒的主要區別。目前，蠕蟲病毒越來越多，隱蔽性也越來越強，很難被用戶發現，因此危害極大。控制普通病毒的方法是搭建全網終端的集中式防病毒系統；而控制蠕蟲病毒需要“阻斷”其傳播途徑，構建郵件防御、漏洞防御、共享防御等立體式的防病毒系統。（4）加密技術。加密技術可分對稱加密與非對稱加密。對稱加密即對信息的加密和解密都使用相同的鑰，該方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換鑰的加密算法。非對稱加密即將密鑰被分解公鑰和私有密鑰。這對密鑰中任何一把都可以作為公鑰（加密密鑰）通過非加密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。

3 大型國企網絡安全風險的防范措施

對于大型國有企業而言，計算機網絡信息資源直接關系到其內部各項業務的運行，如果出現安全問題，輕則影響其網絡的正常使用，重則導致整個網絡平臺癱瘓，數據丟失，信息外泄，給企業帶來巨大的損失。因此應根據大型國企的實際情況制定安全防范措施，確保網絡安全。

一方面，要加強網絡安全管理。對于大型國有企業而言，網絡安全管理特別重要，在實踐中，我們發現許多網絡安全問題出現在組織資源管理上。大型國有企業，可在遵循網絡安全多人負責、職責分離、任期有限制的原則下，根據企業需要，制定與企業安防重點、工作環境、業務流程相應的安全管理制度，降低網絡安全風險。第一，加強口令安全管理。所有企業內部員工必須對自己的工號或上機口令保密，并定期更改，以防被盜用，尤其是要加強對超級用戶的口令保密。為了確保超級用戶口令安全，超級用戶或系統管理員應只在中心機房登陸，減少密碼口令被盜風險。第二，建立嚴格的設備維護制度。設備安全是其他安全性措施的前提。除了要做好計算機的防火、防雷、防水、防盜等物理設備安全外，還應在不同地點，采用多介質備份操作系統及數據庫系統，以防因設備問題導致數據、信息丟失。此外，對于大型國有企業而言，還應編制網絡系統的運行記錄，以便及時掌握全網運行狀態。第三，構建病毒立體防御管理機制。包括定期對網絡系統進行查毒、殺毒、升級殺毒程序；對員工進行防病毒教育；嚴謹在生產機器上安全與業務無關的軟件等。通過安全管理，可使大型國企員工充分意識到網絡安全工作的重要性。

另一方面，病毒與黑客技術也發展很快，且種類很多，因此，對于大型國有企業來說，充分利用、發展現代安防技術，構建立體防御體系也是極為必要的。第一，劃分并隔離不同安全域。以大型國有企業的安全需求劃分、隔離不同的安全域，防止誤操作域無權訪問。第二，建立防火墻系統。對網絡接口、網絡撥號接口、數據庫、PC終端、DMZ等建立防火墻系統，并有針對性的進行防火墻隔離。第三，防范病毒和外部入侵。大型國企網管可以在CISCO路由設備中設置用戶口令及EN—ABLE口令，解決網絡層的安全問題；可以利用UNIX系統的安全機制，保證用戶身份、用戶授權和基于授權的系統的安全；對各服務器操作系統和數據庫設立訪問權限，以防非法用戶使用TELNET、FTP等遠程登錄工具非法入侵。第四，加密、認證技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護等方面；采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為，從而發現系統遭受的攻擊傷害。第五，PKI體系。公鑰基礎設施（PKI）是通過使用公鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI可以提供的服務包括：認證服務，保密性服務（加密），完整性服務，安全通信，安全時間戳，不可否認服務（抗抵賴服務），特權管理，密鑰管理等。總之，大型國企的網絡安全管理，其重要在于關鍵點管理，企業應在可以接受的成本范圍內對癥下藥，通過“整體防御+重點保護”相結合，維護網絡安全。

參考文獻

[1]吳健.企業網絡的安全風險與防范措施[J].山東通信技術，2005，25（2）：19-22.

[2]賈斌.淺析企業內網安全風險與防范措施[J].信息技術與應用，2016，244（16）：21.