探究現代企業網絡安全建設新模式

樊華（1978.09.18-），男，漢族，江西南昌，本科，工程師，研究方向：網絡與信息安全。

摘要：本文以網絡攻擊和威脅為基礎，逐步展開對企業網絡安全問題的討論。首先，從網絡系統設計和應用系統建設方面論述企業網絡安全建設的關鍵點，強調安全性的重要性。接著，闡明了網絡安全防護的技術與措施，提供了針對不同安全級別要求的安全網絡建設過程和指導思路。本文重點強調實際需求，并提出了滿足用戶工作需求和網絡安全需求的安全解決方案，逐步完善企業網絡的安全建設。在具體的技術實施細節上并沒有過多關注，而是著重于整體的方案設計和思路引導。

關鍵詞：網絡安全；企業；建設

一、企業網絡安全的重要性和必要性

隨著全球新一輪科技浪潮的來臨，隨著網絡信息技術不斷演進、推陳出新，深刻的影響著全球安全格局。互聯網已成為影響世界舉足輕重的力量，也為中國的發展帶來了機遇。必須深刻認識到，沒有信息化就沒有現代化，沒有網絡安全就沒有國家安全，也就沒有安定團結的大好局面，網絡安全事業代表著新的生產力和新的發展方向。

從本質上來說，網絡安全就是網絡上的信息安全，指的是網絡系統為數據處理系統建立和采用的技術、管理上的安全保護，目的是保護計算機以及應用系統硬件、軟件、數據不會因為偶然和惡意的突發事件而遭到破壞、更改和泄露，以保障系統連續和可靠地運行，確保網絡服務不中斷。現代企業通過使用網絡技術來提高競爭力。然而，網絡化辦公在給企業帶來幫助的同時，也會帶來一些安全隱患，網絡的開放性給企業造成了嚴重的網絡安全問題。例如，通過網絡傳輸和存儲的信息可能會被肆意傳播、脫離控制；企業內部員工利用網絡處理私人事務可能會降低生產效率；企業遭受網絡攻擊導致網絡中斷、辦公癱瘓等問題。

二、企業網絡安全建設的總體要求

局域網要有明確邊界的獨立區域，可以很容易地實現與互聯網完全隔離，網絡上只保留一個數據輸出或復制終端，例如只保留一個打印機設備、掃描設備等。對于數據信息在存儲、傳輸過程中都要經過特殊加密處理。網絡上各工作區域劃分清晰，網絡邊界明確。系統日志能記錄局域網上的所有行為。對網絡系統要有嚴格地安全管理措施，要保證局域網信息的整體安全。

連接互聯網的局域網用戶在能方便地訪問互聯網信息，局域網的防護體系此時能有效地保護訪問互聯網的行為，同時能防御外部的攻擊。

網絡安全管理體系要滿足五個基本安全要素，即機密性、完整性、可用性、可控性與可審查性。在現有網絡基礎設施的基礎上，以保障網絡系統信息安全、數據完整、運行穩定為主線，充分利用先進的安全技術和安全設備，建成并不斷完善“網絡安全管理體系”。

網絡進行安全建設時需要遵循安全建設原則。第一，要充分考慮已有資源（軟硬件及網絡設備）的合理利用，避免出現不必要的浪費。第二，采用先進的網絡工程學確保網絡安全系統實用有效，要促使網絡安全系統在技術上達到同行業國內領先水平和國際先進水平。第三，開展實際研究（包括任務、性能、結構、可靠性、可維護性等），對網絡的安全需求、網絡面臨的安全威脅、可能承擔的安全風險與將要付出的代價進行定性與定量相結合的分析，制定規范和措施，確保安全策略穩步實施。第四，從系統安全運行的視角去綜合分析，采取行之有效、可操作的措施。即要求達到全網安全性原則，制定安全策略，規劃出合理的網絡安全體系結構。第五，采用用戶和技術人員應能夠方便地安裝、運行、使用安全技術。產品應具備友好的全中文用戶界面，產品應易于理解、易學、易操作。第六，要根據網絡的實際動態變化不斷調整應對的安全策略，要結合網絡提供的服務對象與安全服務對象來適應新的網絡環境及網絡安全的實際需求。

三、現代企業網絡安全建設的標準

企業在網絡建設的同時要實施網絡安全等級保護措施。信息安全的等級保護是對信息內容和相應的載體按照重要性級別來保護。信息系統安全等級保護是對信息系統安全進行等級化分，區別化進行管理。由信息系統應用業務的重要程度以及實際的安全需要，進行分級、分類、分階段保護，達到保障信息安全和系統穩定運行，維護國家安全、公共利益和社會穩定。等級保護的核心工作是對信息系統尤其是對業務應用系統進行等級劃分、按對應標準進行建設、管理和監督，保障信息系統的安全穩定運營。

網絡與信息安全等級保護國家標準：GB 17859-1999《信息安全技術計算機信息系統安全保護等級劃分準則》闡明了計算機系統安全保護的5個等級：第1級，客戶自主保護級；第2級，信息系統審計保護級；第3級，系統安全標識保護級；第4級，系統結構化保護級；第5級，系統訪問驗證保護級。GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》闡明了網絡安全等級保護的第1級到第4級等級保護對象的安全通用要求和安全擴展要求。用于說明分等級的非涉密系統的安全建設要求和監督管理要求。第5級等級保護對象的安全要求不在本標準中論述。GB/T 28448-2019《信息安全技術網絡安全等級保護測評要求》闡明了不同級別的等級保護對象的安全測評通用標準和安全測評擴展標準。第五級等級保護對象的安全測評要求不在本標準中論述。GB/T 28449-2018《信息安全技術網絡安全等級保護測評過程指南》闡明網絡安全等級保護測評的工作過程，規定了測評標準，適用于測評機構、定級對象的上級主管單位以及運營使用單位開展網絡安全等級保護測評工作。GB/T 20984-2007《信息安全技術 信息安全風險評估規范》標準規范了風險評估的基本概念、要素關系、分析原理、實施流程和評估方法，以及風險評估在信息系統生命周期不同階段的實施要點和工作形式，適用于規范組織開展的風險評估工作。GB/T 25070-2019《信息安全技術 網絡安全等級保護安全設計技術要求》標準規定了網絡等級保護第1級到第4級等級保護對象的安全設計技術要求。

適用于規范網絡運營使用單位、網絡與信息安全企業、網絡與信息安全服務機構制定和實施網絡信息安全等級保護安全技術方案，為網絡信息安全職能部門進行監督、檢查和指導提供標準。涉密信息系統分級保護的對象是所有涉及國家秘密的信息系統。涉密信息系統安全分級保護是指對涉密信息系統安全實行分級化保護和分級化管理。涉密信息系統安全分級保護分為三級，即秘密級、機密級和絕密級，每一級都有相應的標準，具體參見相應的國家標準。

四、現代企業網絡安全建設

在進行網絡級安全規劃設計時，要合理劃分網絡安全區域，盡量采用異構網絡架構、異構操作系統（有利于防御黑客攻擊），合理規劃網絡IP地址、VLAN，做好設備自身安全配置、網絡邊界訪問控制策略、網絡冗余配置、系統的安全審計與監控。

網絡安全系統設計應遵循：保密性、標準性、規范性、可控性、整體性、最小影響、體系化、先進性、堅持獨立自主的原則。在物理設備的部署上，業務服務器上配備防泄露設備，防止電磁泄露。對系統硬件網絡進行改造，把綜合布線系統產品更換為電磁屏蔽類產品，以避免系統電信號輻射泄漏、受電磁干擾。在物理設備的選用上，應對物理設備提供容錯功能。配備冗余電源、冗余風扇、設計冗余信息通道，設備支持熱插拔，可熱插拔驅動器等。各種物理設備應首選國產的產品，對設備進行實時監控和管理。系統的管理員應指定專人負責，密碼應該定期更換。建立特定功能的專用用戶，設置好系統中用戶的權限，選擇與系統的安全性要求相匹配操作系統。在新建用戶及用戶組時、新建角色為多層嵌套結構時，可進行分權分域管理。系統中刪除超級用戶，角色的權限應遵循最小權限分配原則，管理員級用戶應相互制約。

企業要按照“誰管理誰負責，誰運營誰負責，誰使用誰負責”的原則，進一步明確本網絡安全工作責任分工，做到“橫向到邊，縱向到底”。要加強網絡安全從業人員隊伍建設，配置專兼職管理人員，加強用戶個人信息保護需要的人員、經費、技術等資源保障。要按照“管業務必須管保護、管運營必須管保護、管系統必須管保護”的要求，將網絡安全工作與企業生產經營工作相結合，抓實生產運營全過程掌控好網絡安全工作。要建立網絡安全管理制度、工作流程和技術防護手段，強化賬號/工號實名制、權限管理、App權限獲取、第三方管控等重要風險領域管理，實現“采集有據、存當其用、用必留痕、濫用必究”。在落實工作過程中遇到問題，及時與上級部門聯系。

企業需要對各類云網設備、IT 系統、大數據平臺等日志進行安全審計。其中對存儲、調用客戶及用戶信息等重要或個人數據的劃定為重要系統和網絡設備，其余為一般系統和網絡設備。審計內容包括：賬號授權日志、日常操作日志、重要數據訪問日志、高危權限操作日志、賬號登錄日志、接口日志、防病毒軟件日志、數據庫日志、主機或應用的其它日志等。

五、結束語

企業的發展以業務為中心，以服務為導向，以需求為目標，以科技為引領，同時堅持以需求為先，積極推進信息化系統高質量發展。補短板、強弱項、揚優勢，以新安全格局保障新發展格局。企業運營安全保障不僅需要依靠技術手段，還需要建立相應的制度規范和質量管控體系。

企業網絡與信息安全制度的制定，應該基于對潛在風險的分析，按業務重要級別進行分類劃分。同時，應該通過技術創新和制度管控共同構建一套以“辦公自動化”為核心的“可知可信、可管可控、閉環運行”的信息化系統，為各應用部門提供“可視、可達、可管、可督”的全方位、一站式融合服務。這套信息化系統不僅要確保重點業務的高效運轉和落地落實，還需要解決不同部門、不同系統之間的協作和融合，為未來體系的運行打開多維協同、齊抓共管的新局面。

作者單位：樊華 中國電信股份有限公司景德鎮分公司

參" 考" 文" 獻

[1]黃錚，黃硯夫.企業網絡安全建設[M].北京：電子工業出版社，2022.

[2]徐國鋒，李明珠，王鵬.基于云計算技術的教育信息化管理系統[J].自動化技術與應用，2023，42（3）：56-72.

[3]鄒來龍.網絡安全評估標準實用手冊[M].北京：電子工業出版社，2022.

[4]張千里，陳光英.網絡安全新技術[M].北京：人民郵電出版社，2003.