企業信息化一體化網絡安全保密平臺設計

吳清海

（四川泛華航空儀表電器有限公司，四川 成都 610500）

0 引言

為了能夠將企業信息網絡的優勢充分體現出來，確保企業數字化總體建設目標的完成，企業在大力推行各種應用系統的過程中，還需要進一步強化企業信息，網絡安全保障體系的建設工作，為企業各項工作的順利開展保駕護航，加快促進企業的長遠發展[1]。

1 企業信息安全需求

1.1 主要安全威脅

在企業的信息建設與應用工作中，其所包含的基礎設施比較多，企業信息網絡屬于其中內容之一。關于企業信息網絡所面臨的安全威脅方面，主要可以劃分為以下幾點：

第一，物理環境的威脅。關于物理環境對安全所產生的威脅，環境安全、設備安全與線路安全屬于三個主要方面。一般情況下，物理環境的威脅極有可能引發系統性的災難，產生無法估量的后果。

第二，系統隱患的威脅。在整個信息系統中，因為系統主體與客體的因素，極有可能引發程度不同的脆弱性，為所有動機的攻擊行為提供一些途徑或者方法，繼而對信息系統造成入侵、騷擾或者破壞，這樣病毒就會容易攻擊系統，為攻擊者的惡意入侵行為創造條件。

第三，信息攻擊的威脅。對于企業信息網絡而言，惡意攻擊者的入侵與病毒攻擊屬于最為主要的信息攻擊行為。現階段，黑客攻擊的工具比較多樣，在企業信息網絡中，網內或網外不明身份的惡意攻擊者或網絡攻防“愛好者”的攻擊行為屢見不鮮。同時，計算機病毒也會嚴重威脅網絡信息系統，倘若將黑客技術與病毒技術聯合起來，其對企業信息網所產生的危害會更加突出。

第四，內部人員的威脅。企業內部工作人員會對企業信息網絡系統開展應用行為，基本都具備自身的訪問權限。在對企業信息網絡系統進行運用的過程中，受到一些因素的影響，極有可能出現濫用職權行為，亦或是所進行的操作行為超出自身的職權范圍，在不經過系統信息防護措施的情況下，直接進入至企業信息網絡系統中，對企業重要的保密信息作出竊取，情況嚴重的，還會對企業的整個信息網絡系統造成嚴重破壞[2]。

第五，管理不善的威脅。在企業的信息系統中，許多方面的因素都會對信息的安全性造成影響，不單單包括技術與人的因素，倘若企業的管理活動缺乏科學性、合理性與有效性，也會威脅企業的信息系統，進而影響有關工作的開展。

1.2 安全保密需求

在企業的信息系統中，通過科學分析主要的安全威脅情況，可以將企業信息網絡的安全保密需求劃分為以下幾點：

第一，骨干網互聯安全。在開展敏感信息的傳輸活動的過程中，需要促使傳輸活動的安全性得到保證，除此之外，針對企業內網的非法攻擊、掃描與病毒傳播行為，還需要開展高效的控制活動。

第二，接入安全。為了能夠對惡意攻毒與病毒侵入，起到良好的防范作用，還需要對除企業網之外的外部介入與訪問活動進行嚴格控制。

第三，身份鑒別與訪問控制。對于企業信息網絡而言，其包含多樣化的安全需求，最為基本的安全需求之一就是身份認證與鑒別。企業在開展授權與訪問控制工作的過程中，身份認證與鑒別發揮著重要的基礎作用。授權與訪問控制等機制的運用，主要是針對部分重要或敏感信息，特別是未來辦公自動化系統中的信息資源。

第四，主機安全與桌面防護。在網絡的基本單元中，主機屬于其中內容之一。近幾年，伴隨著社會的發展和進步，越來越多的人開始高度重視主機安全，企業更是如此。為了全面保障服務器與終端的可用性與安全性，關于一些重要的服務器與終端方面，可以利用一系列的安全防護措施，例如：預防病毒、控制訪問等[3]。

第五，入侵檢測與網絡監控。在系統健全的安全體系中，需要將入侵檢測和網絡監控包含進來。通過入侵檢測與網絡監控活動的開展，可以在第一時間發現其中所存在的問題，并依據具體的問題對有關安全策略作出改進與優化。

第六，安全管理需求。在系統管理人員開展有關工作的過程中，為了全面保障安全管理活動的落實，可以充分運用可視化的安全管理工具。

2 企業信息化一體化網絡安全保密平臺設計

2.1 設計原則

第一，安全保密一體化。通過大量的實踐充分表明，要想促使信息安全問題得到處理，需要將信息安全與保密融合成為一體，通過企業信息一體化網絡安全保密平臺設計工作的開展，可以增強信息的安全性，為管理工作的開展創造便捷。

第二，高可用性。在建設企業信息化一體化網絡安全保密平臺設計工作的過程中，其所具備的可靠性應當比較高。與此同時，還可以具備一定的透明性，這樣可以有效避免當前的網絡與信息系統運行受到該平臺的影響。

第三，易管理。可以對便捷的管理工具進行提供，針對企業信息化一體化網絡安全保密平臺的安全保密設備，可以開展高效的管理工作。

2.2 體系設計

在企業信息網絡安全保密體系中，居于核心地位的就是網絡安全保密管理，以有關安全機制為依托，對一體化網絡安全保密服務平臺進行提供。其中，數據加密機制、訪問控制機制、安全審計機制、入侵檢測機制、網絡監控機制、病毒防護機制等屬于安全機制的內容。

2.3 安全架構

（1）整體安全解決方案。以具體的安全需求為依據，可以開展企業信息化一體化平臺建設，例如網絡安全保密平臺解決方案制定活動。在該方案中，其主體就是企業管理層與技術人員，將主要服務對象確定為企業生產與管理活動，以當前的企業網絡為前提，通過各種信息安全技術，運用企業信息化一體化網絡安全保密平臺建設工作，促使企業內安全數字化工作的完成。以所明確的建設目標與原則為依據，立足于企業安全互聯網，大力建設PKI信息安全基礎設施，進一步強化重要主機的安全保護工作，通過一系列的技術，推動一體化網絡安全保密體系建設活動的完成。在該方案中，相關活動的開展以PKI基礎設施為依據，將相關目標確定為安全服務建設，利用科學的安全服務接口，發布并管理企業信息，將多樣化的服務提供給所有信息業務系統。互聯安全、安全保密管理中心、重要子網保護、入侵檢測與網絡監控等屬于該方案的內容。

（2）安全管理中心。在安全管理中心中，認證與授權管理服務器、入侵檢測與監控管理平臺以及安全管理平臺屬于其基本配置。其中，通過認證與授權管理服務器，主要負責認證身份信息，并授權重要資源。利用入侵檢測與監控管理平臺，可以監管入侵檢測管理和網絡內容。運用安全管理平臺，可以科學配置網絡的安全設備策略，評估設備、網絡審計管理與分析工作。

（3）互聯網安全。在企業的網絡中，利用VPN安全網關互聯。為了避免對性能造成影響，在企業互聯線路中，可以運用千兆高性能的安全網關，其具備比較高的防火墻吞吐率，在瀏覽與傳輸普通信息的過程中，只需要開展防火墻的訪問控制工作。關于敏感數據流方面，相關傳輸工作可以運用安全隧道來完成。

（4）內網安全。在企業信息網絡安全工作中，居于基礎地位的就是內網安全，其措施主要包含以下幾點：

第一，身份認證。相關工作的完成，以身份認證系統為依托，身份認證系統的基礎就是數字證書。通過身份認證系統，可以對所有使用者的身份作出明確，促進單點登錄活動的完成。

第二，授權與訪問控制。授權與訪問控制工作的開展，針對主要資源，特別是辦公自動化系統。該工作的完成，以PKI授權管理系統與訪問控制網關為基礎，數字證書用戶依據自身的權限，可以安全訪問網絡。在訪問控制網關中，通過門戶系統，可以對訪問業務系統的用戶身份信息作出獲取，并以角色為基礎開展訪問控制工作，一旦出現非授權或越權訪問，就會將網絡連接斷開，并對訪問行為做出整理[4]。

第三，安全審計、入侵檢測與網絡監控。通過安全審計，可以有效推動事后分析與追蹤工作的完成。利用入侵檢測與網絡監控，可以針對企業內網的非法入侵與攻擊行為，開展實施的分析與檢測活動，并進行報警行為。

第四，網絡防病毒。現階段，網絡病毒具備非常高的危害性，在互聯網中，為了有效避免病毒的傳播與擴散行為，可以對防病毒網關進行安裝。

（5）子頁安全。關于企業信息網絡中的財務部門、安全保密、科研重要子頁方面，可以強化開展安全保護工作。為了有效控制訪問活動，企業還可以選擇安裝防火墻，這樣還有助于邏輯隔離工作的開展。

（6）主機安全防護。當前，在企業信息化一體化網絡安全保密平臺設計工作中，主機安全保護的重要性越來越高。將包含服務器與部分重要終端設備在內的主機，需要重點開展保護工作。在進行服務器保護工作的過程中，相關保護工作的開展，可以利用專用網關的安裝，或安全中間件來完成。在保護重要終端的過程中，為了能夠更好地保護信息存儲工作的安全性，強化防護主機網絡的安全，確保電子郵件與信息傳輸的安全性能，可以對必要的系統做出安裝，比如，安全公文包和安全電子郵件系統、桌面安全防護系統等[5]。

3 結論

伴隨著網絡建設工作的進一步開展，企業中所運用的信息系統與辦公自動化系統的數量越來越多，企業網絡安全需求更加突出。在開展企業信息化一體化網絡安全保密平臺設計工作的過程中，各項工作的開展可以嚴格依據有關設計原則來進行，在此基礎上，制定健全的企業一體化網絡安全保密體系，增強企業信息的安全性，為企業創造更多的經濟效益與社會效益，加快推動企業的可持續、穩定、和諧發展。