對企業信息化建設中的網絡安全管理問題探討

劉忠海 國網遼寧省電力有限公司信息通信分公司 劉永勝 國網遼寧省電力有限公司

于海 國網遼寧省電力有限公司信息通信分公司 劉倩 國網遼寧省電力有限公司營銷服務中心

一、企業網絡安全現狀

隨著信息技術的飛速發展和廣泛應用，國民經濟、軍事和社會發展對信息系統的依賴程度越來越高。但是，信息系統會產生各種安全風險。一旦信息系統受到來自外部或內部網絡的風險的攻擊，它將產生嚴重的后果，并給國家、企業或個人帶來不可估量的損失。為了避免因為網絡安全問題給企業造成損失，進行有效的風險評估和主動的安全防御是解決企業網絡安全問題的關鍵。網絡安全問題主要由自然環境、人為因素和系統因素造成，主要表現的方面是：自然災害、黑客攻擊、外部漏洞、內部泄漏等。它還包括信息戰和網絡協議本身的缺陷，例如TCP / IP協議安全性問題。如果想要保護企業的信息安全，那么首先要了解的是入侵者會去攻擊數據信息的哪個特征。信息入侵者無論采用哪種方式進行攻擊，都會通過攻擊系統的完整性、可用性、可控性、和機密性來達到入侵的目的。

現在的網絡技術已經滲透到了社會經濟和人們生活的各個領域，并且隨著網絡技術的不斷發展與變革，網絡攻擊技術也變得越來越復雜，通過將各種攻擊技術相融合，使得企業有效開展網絡安全防御工作更加艱難。從目前形勢來看，企業切實做好網絡安全防護工作已經到了刻不容緩的地步，稍有不慎將可能嚴重影響企業的正常運營，甚至威脅到國家的安全。我國企業雖然信息化建設水平很高，但是網絡安全管理工作做的還是不到位。隨著經濟的發展，一些中小型企業不斷涌現，但是中小型企業不像大型企業那樣，有能力組建自己的安全隊伍，保護企業的安全。當前如何加強這些中小型企業的安全管理，避免遭受網絡攻擊顯得更加困難。因此，現階段急需一個適用于所有企業的網絡安全管理思路和方案，讓企業在信息化建設過程中參考。

二、企業信息安全問題分析

(1）高安全性需求的原因

隨著通信媒體和電子存儲媒體的廣泛發展，人們感到對個人和企業的安全性需求越來越高。現階段企業出現較高的安全需求，原因可以歸納為以下幾點：1）在貿易和日常生活中人們越來越多地使用電子媒體；2）網絡中的信息共享；3）來自不同地方的信息可訪問性；4）信息丟失的風險增加；5）缺乏專業的人才。

(2）安全問題

企業準確的了解什么是安全問題，可以幫助分析企業網絡安全需求設置是否合理?；谄髽I的網絡拓撲信息，我們大致需要解決以下安全問題：1）內部安全問題，包括網段的劃分；2）如何實現網絡邊界安全；3）如何保證應用系統的安全性；4）如何防止黑客入侵網絡和服務器；5）如何實現數據庫和個人終端安全；6）如何保證企業信息傳輸安全和計算機網絡安全；7）如何阻止在通訊內容中的否認、偽造、篡改和冒充行為；8）如何評估整個網絡安全系統。

（3）風險分析

風險分析的重要過程是確定所有需要保護的資源，尤其是與安全性問題相關的資源。這些資源包括：工作站、服務器、網絡和其他硬件設備等；程序和應用程序、操作系統和其他軟件的在線存儲、傳輸和數據備份。企業網絡系統幾乎包括所有的開源資源，如果企業尚未構建安全和保護系統，則將存在以下重大安全威脅：1）與Internet的直接鏈接；2）脆弱的欺詐行為；3）數據漏洞；4）缺乏對整個網絡安全管理的控制；5）缺乏防止泄漏的安全措施。通過對計算機網絡系統的初始風險分析以及掌握解決安全問題的需求，我們才可以進一步制定出保護企業信息安全的方案。

三、企業網絡安全管理問題解決方案

(1）設計原則

鑒于當前社會企業信息化建設的實際完成情況，可以發現當務之急是解決企業的網絡安全問題?？紤]到技術上的合理性和設計成本等因素，我們應遵循以下思想：1）實質性地提高系統安全性；2）盡可能保持原有的網絡特征；3）易于操作、維護和自動化管理，而無需增加額外的操作員；4）在不影響原有網絡拓撲的前提下，系統易于擴展；5）安全系統性能好且成本低，一次性投資可長期使用；6）安全和加密產品須經國家有關當局和認證的批準；7）逐步實施。

(2）企業網絡安全管理

在設計技術措施時，必須考慮安全管理。正是由于組織管理者和員工中出現了許多不安全因素，因此計算機網絡安全必須考慮這些問題，領導者應注意安全管理。隨著安全項目的規劃和實施，以及信息網絡系統的逐步建立健全，還必須建立具有自上而下管理規則的安全組織。與企業中安全結構的級別相對應，安全系統應該是分層的結構，建議由專門機構和人員負責對整個網絡進行日常安全管理。主要職責是：監視整個網絡的運行和安全信息；在各級網絡上進行審計和對日志信息進行常規分析；對安全設備進行常規維護；安全戰略規劃、制定和實施；處理網絡安全事件等等。企業信息系統的安全法規可以分為兩部分：第一部分是國家保密局和公安部制定的法律法規中的信息安全管理，另一部分是企業自己制定的系統規章制度，它應該與網絡安全機制相互補充。

(3）企業信息安全模型

鑒于網絡安全問題日趨嚴重以及企業對安全的需求日益突出，我們提倡使用動態安全模型，該模型已被專業人士和企業家廣泛認可。動態安全模型主要包括策略、保護、檢測和響應。安全策略是一組有助于定義可接受的安全級別的規則，因此組織和企業應考慮這些策略。對于不同的組織來說，他們會有不同的安全需求，因此應該為他們指定不同的安全策略。企業的安全策略包括一組操作和說明，這些操作和說明提供了安全級別。組織和企業適當的解釋安全策略，將有助于為實施管理控制提供適當的指導。在建立企業信息系統之前，應先執行系統的安全策略，因為如果沒有安全策略，就無法將安全計算機與不安全計算機區分開。另外，保護、檢測和響應是不完整周期的動態組成部分。

四、結束語

隨著企業信息化建設的步伐越來越快，企業的信息安全保護也面臨著前所未有的困難和挑戰。眾所周知，信息安全不是單個技術問題，安全審計和安全管理是網絡信息安全系統的必要組成部分，使用安全相關產品應采取相應措施并完善制度。企業信息安全也是一個動態問題，因此，應定期對管理部門進行事件和安全需求處理，并及時反映安全需求的變化，以調整安全策略。本文首先對企業的網絡安全現狀和問題進行了分析，然后針對這些網絡安全問題，提出了相應的解決方案，并且這些方案適用于多數企業。當今社會，無論企業規模如何，要想在激烈的市場競爭中生存下來，就必須在企業信息化建設的過程中注重網絡安全管理的工作，這對于企業的長久發展具有重要的意義。