淺析企業內部網絡安全保密防護

張曉鵬

中圖分類號：X931 文獻標識：A 文章編號：1674-1145（2017）11-000-02

摘 要 打造數字化企業已成為當前各大中型企業發展的主要目標。企業內部網絡作為信息化建設的主要載體，其網絡安全保密已經成為當前各企業不可忽視的首要問題。本文對企業網絡安全保密存在的問題進行了深入探討，并提出了對應的改進和防范措施。

關鍵詞 計算機 網絡 安全 對策

隨著我國經濟與科技的不斷發展，數字化管理作為為網絡時代的產物，已經成為企業管理發展的方向。信息化不斷的發展，使企業在流程管理和整體效率上得到了全面的提升，并且日益成為影響企業競爭的關鍵性因素。同時，伴隨信息化不斷深入企業的業務流程，大量的企業核心信息以電子化的形式存在和應用。也正是在這種電子化趨勢下，電子信息的易傳輸和易復制屬性為企業機密信息的安全管理帶來了新的挑戰。對于目前企業信息安全工作形勢的嚴峻性和工作的緊迫性，我們必須要有一個清醒的認識，決不可掉以輕心。隨著各企業內部網絡規模的急劇膨脹，網絡用戶的快速增長，企業內部網絡安全保密問題已經成為當前各企業網絡建設中不可忽視的首要問題。

一、企業內部網絡安全保密的定義

企業內部網絡安全保密是指企業利用網絡管理控制和技術措施，保證在企業的內部網絡環境里，數據的保密性、完整性及可使用性受到保護。企業內部網絡安全保密包括兩個方面，即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

通俗地說，企業內部網絡安全保密主要是指保護企業內部網絡信息系統，使其沒有危險、不受威脅、不出事故。從技術角度來說，企業內部網絡安全保密的技術特征主要表現在網絡系統的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。

二、企業內部網絡安全保密的結構層次及防護措施

企業內部網絡安全保密的結構層次主要包括：物理層面、技術層面和管理層面三個層面。這三個層面的具體內容及防護措施如下：

圖1 網絡系統網絡的安全體系層次模型

（一）物理層面的安全防護

物理安全策略保證計算機網絡系統各種設備的物理安全，是整個網絡安全保密的前提。物理安全是保護計算機網絡設備、設施免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統、應用服務器、網絡設備等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面：

1.環境安全。對系統所在環境的安全保護，確保計算機系統有一個良好的工作環境。它直接影響到系統的安全性和可靠性。選擇計算機房場地，要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。

2.設備安全。包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。為做到區域安全，首先，應考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統中心設備外設安全防護圈，以防止非法暴力入侵；第四計算機系統中心設備所在的建筑物應具有抵御各種自然災害的設施。

（二）技術層面的安全防護

技術層面主要需要保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問，并確保數據安全。只有解決網絡的安全問題，才可以排除網絡中最大的安全隱患，對于內部網絡的安全管理主要依靠訪問控制、數據安全兩個方面來進行防御。

1.訪問控制。訪問控制是網絡安全保密防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全保密最重要的核心策略之一，訪問控制涉及的技術比較廣，主要包括網絡準入控制、AD域控制用戶行為。

（1）網絡準入控制。入網訪問控制是保證網絡資源不被非法使用，是網絡安全保密防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。技術上需要對企業內部網絡的內部授權設備進行MAC地址綁定、IP地址綁定等配置，使其具備唯一、固定的接入點；對未使用的交換機端口采取邏輯控制，將其配置關閉（Shutdown）。通過技術和物理兩方面防護手段結合控制，可以確保交換機的已使用端口與用戶綁定，用戶的網絡接入點固定，IP固定，用戶無法私自挪動網絡接入位置，如若違規，交換機將立即關閉違規端口；交換機未使用端口始終處于不可用狀態。這樣，無論通過已使用端口還是未使用端口，未授權設備均無法接入涉密網絡。

（2）AD域控制用戶行為。AD域控制用戶行為可以控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限，網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據，提高系統安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網。

2.數據安全部分。隨著計算機的普及和信息技術的進步，特別是計算機網絡的飛速發展，信息安全的重要性日趨明顯。但是，作為信息安全的一個重要內容——數據的重要性卻往往被人們所忽視。只要發生數據傳輸、數據存儲和數據交換，就有可能產生數據故障。這時，如果沒有采取相應手段與措施，就會導致數據的丟失。有時造成的損失是無法彌補和無法估量的。如何保護好計算機網絡系統中存儲的數據，保證系統穩定可靠地運行，并為業務系統提供快捷可靠的訪問，通過以下四個方面來防護：

（1）數據庫的備份與恢復。備份系統對于涉密信息系統的重要性不言而喻。服務器、數據庫中的數據采用備份軟件，對服務器操作系統，數據庫，各應用軟件進行全備份或增量備份。但實際上，許多用戶計算機上存有涉密數據。對于用戶計算機的數據備份采取多種措施，如與其他用戶相互備份非涉密數據，在服務器上建立網絡存儲備份系統，為涉密人員提供充足的備份空間，以備份涉密數據。

（2）切斷傳播途徑，接口控制。計算機開放了許多外設輸入輸出接口，如串口、并口、USB、1394、紅外傳輸、讀卡器等接口。這些接口是信息外泄和黑客攻擊的重要途徑，應嚴格控制。選用接口控制軟件，禁用無線傳輸接口，管理物理接口，物理上拆除讀卡器、無線MODEN、無線網卡等。部署三合一管理系統，管理涉密信息系統內部專用的涉密移動存儲介質，此類移動存儲介質通過注冊和授權，在涉密信息系統之外無法使用，防止介質在涉密信息系統內外交叉使用，截斷涉密信息網絡與外部網絡和計算機的數據交叉通道。

（3）提高網絡反病毒技術能力。涉密信息系統的每一臺計算機都應安裝防病毒軟件，服務器安裝服務器版，內網用戶安裝網絡版，單機用戶安裝單機版。定期更新防病毒軟件病毒特征庫，查看分析病毒日志和報告。對系統中存在的異常進程，文件作詳細分析，防止病毒和惡意代碼滋生。加強網絡目錄和文件訪問權限的設置。在網絡中，限制只能由服務器才允許執行的文件。

（4）內網安全風險管理與審計。內網安全風險管理與審計系統主要針對的是內部網絡的一些越權獲取數據、信息泄密、一機兩用、非法接入、私自使用外來移動存儲設備、未經允許接入設備等行為進行監查管理，可有效管理和阻止網絡內部主要針對主機的有害行為，并且將過程記錄下來提供給事后審計和查證，檢查單位可以通過查看可靠的審計日志輸出，對所有違規行為做到有據可查，對內部網絡行為的管理監控結果有效，審計結果取證完整、記錄可信。通過對行為而不是內容進行監管，還可防止管理人員接觸無關的秘密，減少泄密的可能，使單位內部的秘密得到可靠保護。

（三）管理層面安全防護

企業內部網絡的安全問題，不僅是設備，技術的問題，更是管理的問題。對于企業網絡的管理人員來講，一定要提高網絡安全保密意識，加強網絡安全保密技術的掌握，注重對領導和員工的網絡安全保密知識培訓，而且更需要制定一套完整的規章制度來規范上網人員的行為。要確保信息安全工作的順利進行，必須注重把每個環節落實到每個層次上，而進行這種具體操作的是人，人正是網絡安全保密中最薄弱的環節，然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理，注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質，具體體現在以下兩個方面：

1.健全安全管理機構。在公司內部，都應當設立相應級別的、負責信息安全的專門管理機構。安全管理機構的人員應包括領導和專業人員。按照不同任務進行分工以確立各自的職責。一類人員是負責確定安全措施，包括方針、政策、策略的制定，并協調、監督、檢查安全措施的實施：另一類人員是負責分工具體管理系統的安全工作，包括安全管理員、安全審計員和系統管理員。在分工的基礎上，應有具體的負責人，以負責整個網絡系統的安全。

2.確立安全管理的原則和規章制度。一個完整的信息安全管理體系還應當有安全管理的原則和嚴格的規章制度。企業內部網絡的安全問題，不僅是設備，技術的問題，更是管理的問題。需要制定一套完整的規章制度來規范上網人員的行為。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統安全而建立的一切規章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。

三、結語

總之，安全是個過程，它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看，主要涉及物理、技術和管理三個層面。企業內部網絡的安全管理，不僅要看所采用的安全技術和防范措施，而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度。只有三個層面緊密結合，才能使企業內部網絡安全保密確實有效，確保企業內部網絡的安全。

參考文獻：

[1] 王根宏.讓信息系統登錄更安全[J].網絡安全和信息化，2017（8）：124-127.

[2] 楊大偉，鄭澎.終端安全管理系統提升運維效率[J].網絡安全和信息化，2017（3）：122-126.