淺談企業網絡信息安全體系的構建

胡尊智

一、前言

信息系統本身具有脆弱性和復雜性等特征，因此伴隨著這些計算機應用的拓展不斷涌現處大量的信息安全問題，像病毒傳播、黑客入侵和網絡犯罪這些安全事件的頻率隨之逐步上升，危害性也愈來愈高，如何構建企業網絡信息安全體系，保護企業的利益和信息資產不受到侵害，為企業發展及業務經營提供強有力的支撐，為用戶提供令人信服的服務，成為了企業當前需要迫切解決的問題。現就如何構建企業網絡信息安全體系進行粗淺的探討。

企業網絡信息安全體系的構建是一項長期的系統化的工作，需要全網進行統籌規劃各相關單位、部門、處室協同合作、扎實推行的工作。因此，企業首先要全面加強對于網絡信息安全的重視度，通過加強人員培訓、完善相關信息安全管理制度、應用先進的信息安全技術等措施，從上而下、從內到外的提高企業信息安全水平，實現主動防御的網絡信息管理，以促進企業良性的監控發展。

二、當前企業信息安全中存在的主要問題

物理安全風險：主要包括計算機系統的設備、設施、媒體和信息面臨因自然災害（如火災、洪災、地震）、環境事故（如斷電、鼠患）、人為物理操作失誤以及不法分子通過物理手段進行違反犯罪等風險。

網絡信息存在的安全隱患：隨著互聯網的發展，網絡安全事件層出不窮。近年來，垃圾郵件泛濫、計算機病毒傳播、蠕蟲攻擊、敏感信息泄露等已成為影響最為廣泛的安全威脅對于企業級用戶，每當遭遇這些威脅時，往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊，工作效率下降，直接或間接的經濟損失也很大。同時由于互聯網所具有的開放性的特征，受不規范的資源共享行為、網絡自身的漏洞等多種因素的影響，使其客觀存在了一定的信息安全風險，網絡信息遭受非正常授權使用、資源共享無法精準控制共享范圍、無法對U盤進行有效管理、移動硬盤等存儲設備和網絡安全技術防范措施缺失等常見問題。

網絡信息使用人員安全意識不足：雖然近幾年計算機技術得到了較為廣泛的應用，但部分操作人員仍不具備相應的網絡安全問題，具體包括：忽略安全口令作用，對于必要的安全防護漠不關心；計算機未安裝軟件防火墻和相關殺毒軟件；系統補丁更新不及時；信息安全防護意識不足。最新調查顯示，在受調查的企業中60%以上的員工利用網絡處理私人事務。對網絡的不正當使用，降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜，或者使得不法員工可以通過網絡泄漏企業機密，從而導致企業數千萬美金的損失所以企業內部的網絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。

內部網絡之間、內外網絡之間的連接安全：隨著企業的發展壯大及移動辦公的普及，逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題各地機構與總部之間的網絡連接安全直接影響企業的高效運作。

三、企業網絡信息安全體系的構建

以烏石化網絡信息安全體系的構建為例，以6個模塊為基礎，構建一套網絡信息安全體系。如圖1所示，下面對每一個模塊的意義進行解釋：

（一）入侵檢測系統

入侵檢測系統（Intrusion Detection Systems，IDS）即是按照一定的安全策略，對網絡、系統的運行狀況進行監控，對網絡系統資源的機密性、完整性、可用性進行監視，盡可能的發現其中的各種攻擊企圖和行為及結果，從而進行防護。

按照入侵檢測的手段，IDS的入侵檢測模型分為基于網絡和基于主機的兩種模型，基于主機的模型，也被叫做基于系統的模型，它的工作方式是通過分析系統內的審計數據來判斷可以的活動，例如內存和文件是否發生了變化，它的主要數據來源就是系統的審計日志，因此它一般就能檢測到在主機上發生的入侵行為；基于主機的模型有性價比高、監測更加細致、視野比較集中、易于用戶剪裁、不需增加專門的硬件平臺、對網絡流量不敏感等優點。基于網絡的模型它是通過連接在網絡上的站點從而捕獲網上的包，對其進行分析判斷是否具有已知的攻擊模式，然后判別其是否為入侵者；它發現一些可疑的現象時同樣也會產生告警，同時項中心管理站點發出告警的信號。它的優點在于偵測速度快、隱蔽性較好、視野更加寬闊、占用較少的檢測器、占資源比較少等優點。

入侵檢測系統的部署方式。如圖2所示：

（二）防火墻

防火墻作為最基本、經濟、有效的實現網絡安全的措施之一，在網絡安全體系的構建中是必不可少的一個部分。它最基本的功能就是確保網絡流量的合法性，并且以此為前提將網絡的流量快速的從一個鏈路轉發的其它的鏈路上去。它通過制定嚴格的安全策略實現內外網絡不同信任域之間的隔離與訪問控制，并且能實現單向或者雙向的控制。防火墻設置有以下幾個優點，首先它能夠強化安全策略，并且能有效的記錄網上活動的軌跡；防火墻是一個安全策略的檢查站，所有進出的數據都要通過防火墻，形象的來說它就是一個安全問題的檢查站，可以將一些可疑的訪問拒之門外，從而進行保護。

在網絡安全中，防火墻具有強化網絡安全策略的功能它以防火墻為中心進行安全方案配置，將所有安全軟件配置到防火墻上，使其集中安全管理更加經濟；防火墻還可以監控網絡存取和訪問，因為所有的訪問都需經過防火墻，它就記錄下這些信息，并作出日志記錄，同時記錄網絡使用情況的數據；當有可疑訪問發生，它就能夠進行報警，并提供詳細信息；其次防火墻能夠防止內部信息的外泄，通過對內部網絡進行劃分，實現內部網段之間的隔離，使局部安全問題不會對全局網絡造成影響。

防火墻布置圖。如圖3所示：

（三）交換機

交換機在計算機網絡中占據者核心地位，它發揮的作用不可替代。基于交換機的網絡安全體系的構建，首先是劃分VLAN以提高網絡安全，它的工作模式實質就是劃分虛擬局域網；其次是通過設置訪問控制列表，控制訪問過程能夠最大化的避免用戶利用非法手段訪問，管理人員先設定好符合網絡控制的列表，常見的控制有屬性控制和網絡權限控制兩種，利用交換機能夠提高對于防火墻功能的輔助，加強對安全數據的過濾功能，提高防范網絡病毒的效率。加強交換機的端口安全，網絡端口中實施的安全措施，保證網絡運行的安全是其最重要的母的，它主要結構是由MAC地址和網絡交換機端口組成，以此來實現對網絡虛擬端口和流量的嚴格控制和管理，來有效提高網絡交換機端口的安全性能。所以，在實際訪問的過程中，如果主機的MAC實際地址與交換機的信息不符合的終端口就會自動關閉，從而保護網絡的安全。

（四）北信源網絡接入控制系統

北信源網絡接入控制系統是在北信源公司“面向網絡空間的終端安全管理體系”架構下隆重推出的基于終端可信接入的一站式解決方案，是北信源公司“面向網絡空間的終端安全管理體系”的重要組成部分。北信源網絡接入控制系統主要用于解決不可信終端的隨意接入可能帶來的企業網絡及信息資源違規占用、病毒木馬泛濫、企業資料泄密以及越權訪問等諸多安全問題。

北信源網絡接入控制系統，采用注冊->身份認證->安全檢查->安全隔離/入網的統一入網規范流程，無論采用何種準入控制機制，都不改變系統的入網流程。當客戶網絡出現擴容、改造的時候，采用不同的部署模式不會影響用戶終端的入網習慣。尤其是，采用標準的入網規范，可以從根本上解決終端身份的可信認證、終端使用用戶的可信認證以及終端安全層面可信認證的問題，通過統一入網規范，杜絕來自內部的信息泄密。

北信源網絡接入控制系統邏輯模型圖。如圖4所示：

（五）終端安全系統-360天擎

終端安全管理系統-360天擎是面向政府、軍隊、金融、制造業、醫療、教育等大型企事業單位推出的以安全防御為核心、以運維管控為重點、以可視化管理為支撐、以可靠服務為保障的全方位終端安全解決方案。為用戶構建能夠有效抵御已知病毒、0day漏洞、未知惡意代碼和APT攻擊的新一代終端安全防御體系。它具有終端軟件準入控制功能，保證只有合規軟件安裝運行。對未安裝360天擎或者不滿足安全性檢查的終端不予以接入內網，確保企業網絡安全可靠。無線熱點、手機、光驅、打印機，USB等相關設備準入控制，外設接入安全無隱患。終端上傳下載流量統計，內網外網流量統計，上傳下載流量限速，全網流量暢通無阻。

（六）IP安全策略

IP安全策略是一個給予通訊分析的策略，它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補了傳統TCP/IP設計上的"隨意信任"重大安全漏洞，可以實現更仔細更精確的TCP/IP安全，也就是說，當我們配置好IP安全策略后，就相當于擁有了一個免費，但功能完善的個人防火墻。IP安全策略配置界面。如圖5所示：

四、結束語

通過對企業網絡安全威脅的分析，可以看出網絡安全的問題主要集中在預防黑客和病毒和服務器的安全保護上，因此結合企業本身的戰略和實際情況我們主要從防火墻使內外網隔離保證內部網絡的安全；加強合法用戶的訪問認證，將用戶的訪問權限降低；加強各種訪問的審計工作；加強對網絡安全的重視程度，加強人員網絡安全意識，完善相關信息安全管理制度，引用一些信息安全技術產品，以此為基礎，逐步深化，循序漸進地實施落地，實現主動防御式的網絡信息安全管理，最終構筑起企業積極、綜合的信息安全防護體系。

企業網絡信息安全體系的構建任重而道遠，不是一蹴而就的，網絡變化瞬息萬變，同樣的我們需要不斷改進和完善網絡信息安全措施，為企業信息化建設保駕護航。

作者單位：烏魯木齊石化公司信息管理部