核電施工企業網絡安全體系構建與實踐

中國核工業二四建設有限公司 馬利鑫

1 行業網絡安全建設現狀分析

1.1 網絡安全重視程度

在計算機應用于工作的各個方面時，如果缺乏對計算機數據信息的認識和了解，就會出現各種安全方面的問題。網絡安全被視為隱形投資，其投入效果無法直接量化和顯現。許多企業對網絡安全的重視程度不高，存在著僥幸心理或者由于缺乏網絡安全技術能力等問題而無法有效應對安全事件。考慮到防御的短板效應，無法做到全面防范，而投入的成本與發生的安全事件造成的損失往往難以準確衡量。

1.2 網絡安全硬件與技術協調工作

一些企業如果受到網絡安全廠商的推銷誤導，面對諸多概念和新名詞層出不窮的情況。為了快速建立安全防護體系，這些企業購買和上架了大量網絡安全產品。然而，組織和使用這些產品以發揮成效，卻成為企業面臨的新難題。由于缺乏相關技術人員，網絡安全崗位的人員數量極少，僅憑公司內部能力難以進行運維工作，導致設備閑置，并且可能成為外部攻擊的目標。

1.3 網絡安全體系的科學有效性

隨著企業網絡向“無邊界”轉變，網絡安全面臨了更大的挑戰。傳統的內網流量默認可信的邊界信任模型已無法適應無邊界企業的IT 架構，并且暴露出明顯的安全缺陷。舉例來說，連接內網和外網的VPN 網關一旦被攻擊者攻破，如果沒有更強大的安全措施，攻擊者將直接接觸到企業的數字資產，從而面臨數據泄露的風險。

另一方面，企業管理復雜的網絡結構和大量的遠程訪問也給企業的業務網站、應用系統和運維工作等帶來了巨大的壓力。這同時也影響到企業的辦公效率和運營效率。

2 針對企業網絡安全體系構建的對策

2.1 確保基礎網絡暢通可用

在全國范圍內存在建設項目的建筑公司，在建設內部網絡時同樣與一般公司一樣使用VPN 設備連接總部與各分公司或項目，但不同點如下。一是建設項目處于在建狀態，管理人員所在辦公區域一般為臨建設施；二是項目管理人員中沒有網絡專業人員；三是建設項目網絡安裝一般聯系本地電信或聯通公司委托辦理，VPN 需要企業自己安裝；四是建設項目完成后設備要回收重新使用；五是建設項目存在第三方分包為不可信第三方，不能接入企業內網[1]。

應對種種問題，相關網絡人員在建設項目開始之初，就應準備好網絡規劃。首先確認采購VPN 設備或調撥舊設備；其次需要與建設項目相關管理人員溝通，確認分包單位辦公區域，并預留預備空間；在建設項目辦理網絡時，與電信或聯通公司溝通，設置網絡結構，并要求張貼詳細線路標簽，具體簡易結構如圖1所示，確保分包單位與企業管理員工的工作網絡存在隔離；因目前VPN 產品往往有多種功能，可設置簡單的防火墻策略進行安全冗余設置。最后確認設備負責人，保證設備不被損壞，項目結束時負責回收設備。

圖1 VPN 部署位置及人員訪問路徑

因項目部處于在建狀態，按照控制成本效益最大化原則，采購網絡設備需充分考慮性價比，因此，項目可只采購一臺VPN 設備，具體設置鏈接如圖2所示，分為三類節點，總節點即總部，提供企業內部應用服務；次節點副中心節點，提供上網服務；末節點為項目部節點，為需求服務的節點。其中總部節點、副中心節點有完善的網絡防護設備，項目部節點通過VPN 對數據分流，對企業內部應用服務需求被發送至總部節點，對外網需求被發送至副中心節點，完成網絡出口統一，使項目部在邏輯上處于“內網”內部，而非邊界。副中心的具體選址應根據實際情況確定，需充分考慮成本與網絡服務質量。在壓縮成本的同時，應保證項目部網絡流程，不干擾工作。

圖2 總部與各分支機構網絡部署

2.2 應用系統上線前進行基線檢查

建筑企業內部應用的安全防護與一般企業相同，需要采取以下措施。

2.2.1 服務器安全

一是在服務器上安裝殺毒軟件，并定期更新病毒庫，以確保服務器免受惡意軟件的感染。二是定期修補服務器操作系統和應用程序的漏洞，保持系統的安全性。三是使用防火墻對服務器進行區域劃分，實現邏輯隔離，限制訪問權限，以防止橫向傳播攻擊。

2.2.2 上線準備和安全測試

一是在服務器上線之前，進行網絡安全測試，以發現和解決潛在的安全漏洞。二是上線后，根據信息安全等級保護2.0的指南，調整服務器的基線安全參數，包括安全配置、訪問控制和日志記錄等，以加強服務器的安全性。

2.2.3 加強出差個人使用的VPN 服務的安全保護

一是加強對出差個人使用的VPN服務的安全防護措施，例如啟用不可保存密碼、硬件特征碼認證和多因素認證等。二是應用服務可通過統一身份認證系統對各個系統賬號進行統一管理。三是對各個系統的初始密碼應采取安全措施，例如設置初始賬戶在一定時間內不登錄自動鎖定等。

通過專業的安全防護措施和控制措施，建筑企業能夠保護內部應用免受安全威脅，并確保企業數據和系統的安全性。

2.3 計算機主機安全防護不容忽視

計算機作為網絡的基本終端，確保數據安全性和防止泄密需要采取的措施如下。

一是安裝正版殺毒軟件。二是防止數據丟失和泄密。養成下班關機的好習慣，確保在離開時關閉計算機，防止未授權訪問和數據泄露。不安裝遠程工具或使用臨時安裝的軟件，在確保安全的前提下，限制軟件的安裝并及時卸載無用的軟件。避免從非官方渠道下載軟件，以減少惡意軟件的風險。三是備份重要文件，對重要文件進行定期備份，確保在數據丟失或損壞時還原文件。四是云桌面設備的推薦使用，推薦使用云桌面設備，當硬件和網絡滿足要求時，云桌面提供的成本和服務都優于傳統的桌面設備。云桌面具有更好的網絡防御能力，并自帶備份數據的安全性增強功能。可以通過預先安裝辦公軟件的云桌面模板，限制其他應用的安裝，并進行統一的補丁打包操作，提高系統的安全性，并減少員工對網絡安全的操作。

通過以上專業的安全措施，能夠保護計算機的安全性，防止數據丟失和泄密的風險。

2.4 增強企業計算機網絡安全意識

企業員工在日常工作中往往以完成自身任務為第一優先，與工作相關性較弱的內容越簡單越好。同時，建筑類公司員工施工現場工作強度大，日常受到的多為現場施工安全培訓，網絡安全意識不強，企業網絡人員數量不足，整體員工對網絡安全重視程度還未有效提升等現實問題。因此，可以采用更多的強制型技術，使用上網行為管理系統，一方面對員工上網服務進行合理限制，另一方面啟用上網實名制功能，促使用戶實名上網，在發現網絡安全隱患時可以快速定位隱患電腦位置；另外項目建設過程中有分包人員與勞務人員參與建設，相對人員較為復雜，用戶實名上網可有效防護和區分用戶的身份，便于后續系統審計使用[2-3]。

組織有關網絡安全的培訓和宣傳活動，牢牢抓住網絡安全宣傳周等活動，促進全員學習網絡安全知識，讓員工了解網絡安全的基本知識和技能，增強網絡安全意識。制定安全政策和規定，明確員工的行為準則和責任，加強網絡安全管理。對員工進行技術培訓和演練，提高員工的網絡安全技能和應對能力，增強網絡安全意識和能力。每年進行一次網絡安全演練活動，進行風險評估和管理，識別和評估網絡安全風險，采取相應的措施來降低風險。對員工的安全意識進行評估和考核，了解員工的網絡安全意識和水平，針對性地進行提高和改進。持續學習和更新網絡安全技術和知識，跟蹤國內外網絡安全發展動態，保持企業的網絡安全意識和能力處于領先水平。增強企業計算機網絡安全意識需要多方面的措施和努力，只有全員參與，共同努力，才能構建一個更加安全的計算機網絡環境。

2.5 定期對網絡安全狀態進行評估

網絡安全評估是對組織網絡安全狀態進行全面、系統、定量的評估和分析，以發現和評估安全風險、威脅、漏洞和弱點，為持續改進和加強網絡安全提供依據。定期對網絡安全狀態進行評估可以及時發現和解決安全問題，降低安全事件發生的風險，同時也能夠為領導決策提供依據，助力企業保護數據和資產，提升整體競爭力。

評估組織面臨的各種網絡安全威脅，包括網絡攻擊、數據泄露、入侵檢測等。評估組織目前的安全措施是否充分、有效，包括防火墻、入侵檢測、安全認證、漏洞管理等。評估組織的漏洞管理機制是否健全，包括漏洞發現、漏洞修補、漏洞監控等。組織評估員工的安全意識和技能水平，包括安全培訓、安全意識測試等。評估組織目前的安全狀態和風險，并制定相應的改進措施，以持續提升安全能力和水平。最好每年對網絡安全狀態進行一次評估，并且在評估結果的基礎上進行改進和優化，以保障組織的網絡安全和數據安全。

2.6 建立網絡安全應急響應機制

建立一個由網絡安全專家和相關人員組成的應急響應小組，負責處理網絡安全事件。制定響應流程，包括識別安全事件、確認威脅、評估影響、采取措施、監測效果等環節[4]。確保在安全事件發生時，能夠迅速采取措施并進行有效的響應。定期進行演練，包括實際響應操練和虛擬環境下的演練。演練可以幫助小組成員熟悉響應流程，提高應對能力。實時監測網絡安全威脅和漏洞，及時通報安全事件，并采取相應的措施來防止安全事件的擴大。通過培訓和宣傳，提高員工對網絡安全的意識和重視程度，幫助網絡安全人員更好地保護組織的資產和業務。其他相關部門合作（如當地網安部門、第三方網絡安全機構等），共同應對網絡安全威脅，提高整個社會的網絡安全水平。及時了解和掌握國家和國際的網絡安全法規和標準，確保組織的網絡安全符合最新的要求和標準。

3 結語

本文以如何布置網絡安全產品、增強人員意識、建立制度體系為主，重點強調如何系統化地從技術和管理等方面構建網絡安全體系架構，圍繞網絡安全基礎工作，以服務主營業務為主，建立了一套完整的管理體系，實現對網絡安全的配置和管理。