胡尊智

一、前言

信息系统本身具有脆弱性和复杂性等特征，因此伴随着这些计算机应用的拓展不断涌现处大量的信息安全问题，像病毒传播、黑客入侵和网络犯罪这些安全事件的频率随之逐步上升，危害性也愈来愈高，如何构建企业网络信息安全体系，保护企业的利益和信息资产不受到侵害，为企业发展及业务经营提供强有力的支撑，为用户提供令人信服的服务，成为了企业当前需要迫切解决的问题。现就如何构建企业网络信息安全体系进行粗浅的探讨。

企业网络信息安全体系的构建是一项长期的系统化的工作，需要全网进行统筹规划各相关单位、部门、处室协同合作、扎实推行的工作。因此，企业首先要全面加强对于网络信息安全的重视度，通过加强人员培训、完善相关信息安全管理制度、应用先进的信息安全技术等措施，从上而下、从内到外的提高企业信息安全水平，实现主动防御的网络信息管理，以促进企业良性的监控发展。

二、当前企业信息安全中存在的主要問题

物理安全风险：主要包括计算机系统的设备、设施、媒体和信息面临因自然灾害（如火灾、洪灾、地震）、环境事故（如断电、鼠患）、人为物理操作失误以及不法分子通过物理手段进行违反犯罪等风险。

网络信息存在的安全隐患：随着互联网的发展，网络安全事件层出不穷。近年来，垃圾邮件泛滥、计算机病毒传播、蠕虫攻击、敏感信息泄露等已成为影响最为广泛的安全威胁对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。同时由于互联网所具有的开放性的特征，受不规范的资源共享行为、网络自身的漏洞等多种因素的影响，使其客观存在了一定的信息安全风险，网络信息遭受非正常授权使用、资源共享无法精准控制共享范围、无法对U盘进行有效管理、移动硬盘等存储设备和网络安全技术防范措施缺失等常见问题。

网络信息使用人员安全意识不足：虽然近几年计算机技术得到了较为广泛的应用，但部分操作人员仍不具备相应的网络安全问题，具体包括：忽略安全口令作用，对于必要的安全防护漠不关心；计算机未安装软件防火墙和相关杀毒软件；系统补丁更新不及时；信息安全防护意识不足。最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失所以企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

内部网络之间、内外网络之间的连接安全：随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题各地机构与总部之间的网络连接安全直接影响企业的高效运作。

三、企业网络信息安全体系的构建

以乌石化网络信息安全体系的构建为例，以6个模块为基础，构建一套网络信息安全体系。如图1所示，下面对每一个模块的意义进行解释：

（一）入侵检测系统

入侵检测系统（Intrusion Detection Systems，IDS）即是按照一定的安全策略，对网络、系统的运行状况进行监控，对网络系统资源的机密性、完整性、可用性进行监视，尽可能的发现其中的各种攻击企图和行为及结果，从而进行防护。

按照入侵检测的手段，IDS的入侵检测模型分为基于网络和基于主机的两种模型，基于主机的模型，也被叫做基于系统的模型，它的工作方式是通过分析系统内的审计数据来判断可以的活动，例如内存和文件是否发生了变化，它的主要数据来源就是系统的审计日志，因此它一般就能检测到在主机上发生的入侵行为；基于主机的模型有性价比高、监测更加细致、视野比较集中、易于用户剪裁、不需增加专门的硬件平台、对网络流量不敏感等优点。基于网络的模型它是通过连接在网络上的站点从而捕获网上的包，对其进行分析判断是否具有已知的攻击模式，然后判别其是否为入侵者；它发现一些可疑的现象时同样也会产生告警，同时项中心管理站点发出告警的信号。它的优点在于侦测速度快、隐蔽性较好、视野更加宽阔、占用较少的检测器、占资源比较少等优点。

入侵检测系统的部署方式。如图2所示：

（二）防火墙

防火墙作为最基本、经济、有效的实现网络安全的措施之一，在网络安全体系的构建中是必不可少的一个部分。它最基本的功能就是确保网络流量的合法性，并且以此为前提将网络的流量快速的从一个链路转发的其它的链路上去。它通过制定严格的安全策略实现内外网络不同信任域之间的隔离与访问控制，并且能实现单向或者双向的控制。防火墙设置有以下几个优点，首先它能够强化安全策略，并且能有效的记录网上活动的轨迹；防火墙是一个安全策略的检查站，所有进出的数据都要通过防火墙，形象的来说它就是一个安全问题的检查站，可以将一些可疑的访问拒之门外，从而进行保护。

在网络安全中，防火墙具有强化网络安全策略的功能它以防火墙为中心进行安全方案配置，将所有安全软件配置到防火墙上，使其集中安全管理更加经济；防火墙还可以监控网络存取和访问，因为所有的访问都需经过防火墙，它就记录下这些信息，并作出日志记录，同时记录网络使用情况的数据；当有可疑访问发生，它就能够进行报警，并提供详细信息；其次防火墙能够防止内部信息的外泄，通过对内部网络进行划分，实现内部网段之间的隔离，使局部安全问题不会对全局网络造成影响。

防火墙布置图。如图3所示：

（三）交换机

交换机在计算机网络中占据者核心地位，它发挥的作用不可替代。基于交换机的网络安全体系的构建，首先是划分VLAN以提高网络安全，它的工作模式实质就是划分虚拟局域网；其次是通过设置访问控制列表，控制访问过程能够最大化的避免用户利用非法手段访问，管理人员先设定好符合网络控制的列表，常见的控制有属性控制和网络权限控制两种，利用交换机能夠提高对于防火墙功能的辅助，加强对安全数据的过滤功能，提高防范网络病毒的效率。加强交换机的端口安全，网络端口中实施的安全措施，保证网络运行的安全是其最重要的母的，它主要结构是由MAC地址和网络交换机端口组成，以此来实现对网络虚拟端口和流量的严格控制和管理，来有效提高网络交换机端口的安全性能。所以，在实际访问的过程中，如果主机的MAC实际地址与交换机的信息不符合的终端口就会自动关闭，从而保护网络的安全。

（四）北信源网络接入控制系统

北信源网络接入控制系统是在北信源公司“面向网络空间的终端安全管理体系”架构下隆重推出的基于终端可信接入的一站式解决方案，是北信源公司“面向网络空间的终端安全管理体系”的重要组成部分。北信源网络接入控制系统主要用于解决不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题。

北信源网络接入控制系统，采用注册->身份认证->安全检查->安全隔离/入网的统一入网规范流程，无论采用何种准入控制机制，都不改变系统的入网流程。当客户网络出现扩容、改造的时候，采用不同的部署模式不会影响用户终端的入网习惯。尤其是，采用标准的入网规范，可以从根本上解决终端身份的可信认证、终端使用用户的可信认证以及终端安全层面可信认证的问题，通过统一入网规范，杜绝来自内部的信息泄密。

北信源网络接入控制系统逻辑模型图。如图4所示：

（五）终端安全系统-360天擎

终端安全管理系统-360天擎是面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系。它具有终端软件准入控制功能，保证只有合规软件安装运行。对未安装360天擎或者不满足安全性检查的终端不予以接入内网，确保企业网络安全可靠。无线热点、手机、光驱、打印机，USB等相关设备准入控制，外设接入安全无隐患。终端上传下载流量统计，内网外网流量统计，上传下载流量限速，全网流量畅通无阻。

（六）IP安全策略

IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，也就是说，当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。IP安全策略配置界面。如图5所示：

四、结束语

通过对企业网络安全威胁的分析，可以看出网络安全的问题主要集中在预防黑客和病毒和服务器的安全保护上，因此结合企业本身的战略和实际情况我们主要从防火墙使内外网隔离保证内部网络的安全；加强合法用户的访问认证，将用户的访问权限降低；加强各种访问的审计工作；加强对网络安全的重视程度，加强人员网络安全意识，完善相关信息安全管理制度，引用一些信息安全技术产品，以此为基础，逐步深化，循序渐进地实施落地，实现主动防御式的网络信息安全管理，最终构筑起企业积极、综合的信息安全防护体系。

企业网络信息安全体系的构建任重而道远，不是一蹴而就的，网络变化瞬息万变，同样的我们需要不断改进和完善网络信息安全措施，为企业信息化建设保驾护航。

作者单位：乌鲁木齐石化公司信息管理部