浅谈企业信息网络的安全防护体系

2017-03-10◆汤华

网络安全技术与应用 2017年9期

关键词：办公网络安全体系

◆汤华

（合肥第二发电厂安徽 230041）

浅谈企业信息网络的安全防护体系

◆汤华

（合肥第二发电厂安徽 230041）

互联网技术的发展带来了办公形式的改变，办公自动化、生产上网、业务上网、移动办公等新型办公形式逐渐流行，企业内部网络建设逐渐发展。众所周知，信息网络中存在一定的风险，企业网络容易受到攻击进而造成信息泄露，给企业带来不必要的损失。企业应加大网络建设投入，不断更新网络安全技术，维护网络安全。本文主要探讨了企业网络中存在的安全隐患，并指出了建设企业网络安全防护体系的措施。

网络安全；信息泄露；安全防护体系；企业网络

0 引言

互联网的发展改变了人们的生活与工作方式，实现了信息交流的便捷性。然而，互联网中也存在一定的安全隐患，病毒、木马、蠕虫的出现极大地损害了人们利益，影响了正常的网络环境。对于企业来讲，实现办公信息化必须要建设网络安全防护体系，企业管理人员应分析内部网络特点，加大网络设备投入，利用新型计算机技术来确保企业网络的稳定性，从而提升企业竞争力。

1 企业网络中存在的安全隐患

1.1 网络建设规划不合理

很多企业都缺乏合适的网络建设方案，这一现象较为普遍。因为企业在刚刚成立时，往往会忽视网络建设，随着企业业务的扩展以及规模的加大，对网络的依赖性逐渐提高，工作人员需要使用计算机进行相关文件的处理，然而由于建设规划的缺失导致网络安全事故频发，影响正常工作的进行。企业内部网络宽带缺乏足够的承载力，这一现象在很多企业中都存在，降低了工作效率，影响了企业竞争力的提高。

1.2 缺乏完善的防御体系

在互联网进步的同时，网络攻击形式也在逐渐变化，破坏性增强，传染性加快，并且病毒种类多样化，难以提前防范，对企业网络的威胁较大。然而，很多企业忽视防御体系的构建，缺乏入侵审计，监控工作效率低下，缺乏统一的安全防护标准，对安全策略制定的重视不足，因此难以抵挡网络攻击。

1.3 缺乏明确的物理层边界

随着企业规模的逐渐加大，分支机构逐渐增多。为了确保企业整体发展，分支机构与总公司间存在一定的网络联系。然而，总部网络与分支机构内部网络之间缺乏明确的物理层边界。移动办公的应用虽然极大地实现了企业内部信息共享，但同时也带来新的网络安全风险。

1.4 缺乏先进的网络设备

随着计算机技术的进步以及网络的发展，网络产品的更新换代逐渐加快。一些企业原本重金购进的先进设备经过长时间的使用后便会成为相对落后的设备，因此企业网络设备的更新难以适应社会的发展。部分企业缺乏充足的资金来及时更新设备，只能利用原有的设备处理企业事务，大大降低了工作效率。并且一些企业忽视网络设备的检查维护，导致现有的网络设备中存在一定的故障和漏洞，影响正常办公，严重时甚至会影响到网络安全。

1.5 管理工作困难

企业员工都需要使用企业网络进行办公，因此网络出口较多，增大了网络管理工作的难度。员工的流动性大，网络业务的逐渐扩展，办公人员没有良好的上网习惯，缺乏安全意识，在下载文件时随意性较大，以上事实都会造成企业内部信息泄露或感染病毒，影响网络安全。

2 企业网络安全防护体系的构建

2.1 建设目标

企业网络安全管理人员要在掌握企业网络性质、使用人员、安全防护目标的前提下划分逻辑子网，逻辑子网不同，安全防护体系也应有所差别。并且要做好网络边界以及安全访问的监管力度，实现区域间的信息交流，建设安全防护体系，确保企业网络安全稳定：（1）分析整体的网络安全事件，并将复杂的工作进行合理划分，使其转化成局部的、简单的网络安全防护问题，从而加强对网络安全风险的控制，提升网络的正常运行能力；（2）划分安全域，改善网络架构，对企业内部网络进行合理的规划与设计；（3）了解不同区域网络维护的重难点，确保现有安全设备的正常运行，确保这些设备的使用率；（4）加大网络维护力度，安排专业人员负责每日监察，合理投放审计设备，定期进行网络审核以及网络检查，及时发现存在的安全隐患，促进网络安全防护体系的建立。

2.2 安全域的划分

现代企业在划分安全域时主要依据以下三种方式：业务系统、安全防护等级以及系统行为。另外，应该依据不同层次、不同区域中企业网络的主要内容来划分安全域，主要应该参考其网络管理形式和业务内容，从而保证企业生产的正常进行，实现安全域的合理划分。为了达到以上要求，在划分安全域时应利用多种划分形式，综合考虑每种划分方式的优缺点，实现优势互补。并参考企业网络业务规模以及管理目标，提高安全域划分的合理性。

（1）在结合业务要求的基础上划分企业网络，将其划分成内网和外网两部分。外网主要是互联网出口，并将外网与内网服务进行隔离，从而减少安全威胁，避免因员工操作不规范而引起安全事故，提升内网的安全性。

（2）结合不同业务要求对内网和外网的安全区域进行划分。内网应该划分为生产管理网和办公信息网两部分，并且可以根据信息保密要求进一步划分为办公网、管理网、财务网等；外网应该划分为对外网站、业务接入网等。安全域的合理划分，有利于阐明网络边界，使监管人员了解保护对象以及防护范围。

（3）结合系统行为以及防护能力对不同子网进行安全域的划分，主要划分成边界接入域、服务提供域、基础保障域三部分。

其中，边界接入域位于信息系统与其他系统的边界处；服务提供域能够保护信息系统的安全，其主要功能是防止信息系统中数据信息的泄露与篡改，并能够在等级保护方案的引导下实现分级保护；基础保障域的功能是维护安全设备的正常运行，保护网络系统监管中心的安全，确保系统软件不受入侵。

2.3 动态防护系统

计算机技术的进步以及网络的发展使企业网络需要处理的网络威胁不断增加。当前，网络攻击形式多样，病毒种类不断增加，因此建设网络安全防护系统需要考虑到技术的发展，并结合防御技术、防御措施、企业员工等多种因素构建以入侵检测为基础的动态防护系统。以入侵检测为基础的动态防护系统主要包括以下内容：安全防护、入侵检测、应急处理机制、风险控制以及备份恢复，当检测到企业网络可能受到入侵时，防护系统会立刻启动应急处理机制，若网络已经受到攻击，文件受到破坏，利用备份恢复还原系统文件以及原有的网络设置，使企业网络能够持续运行。在动态防护系统中可以将防护信息通过反馈机制传递给企业管理人员，进而增强风险控制水准，提升防御水平。

2.4 安全防护方法

通常情况下，确保企业网络正常运行的主要防护方法是设置防火墙，但是防火墙仅具备有限的防护功能，无法对企业网络中的全部层次进行安全防护。为了提高安全防护效果，应实行分层纵深的防护方法，扩大安全防护的范围，确保安全防护体系的完整性、综合性以及高效性。分层纵深意味着不同层次采取不同的防护方法，例如物理层、网络层、系统层、数据层、应用层应分别运用物理安全防护、网络防护、操作系统防护、数据库防护以及应用系统防护的方法，这样可以根据不同层次的网络特点进行精准防护。比如，为了对企业网络进行访问控制，可以对网络层中访问控制以及资源控制模块进行设置，并在数据层与应用层中增添身份信息以及认证系统，防止用户进行越权操作和不规范操作；为了在复杂的网络系统中减少操作失误和权利滥用现象，应在系统层、数据层以及应用层增添网络行为管理模块，监管内部用户的上网行为，保护数据的非法外泄、保证网络服务器不受破坏，提升系统安全性。