企业网信息安全建设研究

◆胡 锐

（中车长春轨道客车股份有限公司 吉林 130000）

随着互联网的发展，企业网信息安全问题现在越来越突出了。企业网信息安全面临的威胁概括而言，其中针对网络安全的威胁主要有三种：

（1）人为的无意失误。如管理员安全配置不当造成的安全漏洞对网络安全带来威胁。

（2）人为的恶意攻击。包括以各种方式有选择地破坏信息的有效性和完整性的主动攻击和截获、窃取、破译以获得重要机密信息的被动攻击。手段包括密码分析、身份假冒、拒绝服务、漏洞利用、恶意代码、社会工程、数据窃听、物理破坏。

（3）软件的漏洞和“后门”。软件的漏洞和缺陷以及软件公司设计编程人员为了自便而设置的“后门”就是黑客进行攻击的首选目标。

1 企业网信息安全需求

针对这些网络安全的威胁。企业网的信息安全需求包括：

（1）解决网络的边界安全，因为它是外来攻击的入口。

（2）要保证网络内部的安全。

（3）要实现系统安全和数据安全。

（4）建立全网通行的身份识别系统，实现用户的统一管理。

（5）在身份识别和资源统一管理的基础之上，实现统一的授权管理，在用户和资源之间进行严格的访问控制。

（6）信息传输时实现数据完整性和保密性。

（7）建立一整套审计、记录的机制，记录网上发生的事情，再根据记录进行事后的处理。

（8）把技术手段和行政手段融为一体，形成全局安全管理。

2 企业网信息安全建设分析

针对以上企业网信息安全需求，一种或几种网络安全技术是不能满足企业安全需要的。因为企业网是一个层次结构，其安全也是一个层次结构。在网络的不同层次，有不同的安全需求和不同的解决方案。网络安全方案只有覆盖多个层次，方案才是可靠、安全、没有漏洞的。

同时，技术手段与管理手段也需要结合。对于企业网来说，管理的失败是网络安全体系失败的非常重要的原因。最近报道的若干网络入侵案件证明了这一点。网络管理员升级网络应用不及时造成的安全漏洞、随意使用下载的软件、脆弱的用户口令等等这些管理落实上的问题是安全策略和网络安全技术体系都不能解决的。

网络安全概念中有一个"木桶"理论，网络安全系统的强度取决于其中最为薄弱的一环。这是由攻击和防守的特性决定的。相对于攻击来说，防守的任务更为艰巨，任何一个节点、某个服务、某个软件、某个用户的脆弱口令等等都可能造成整个防御系统的失效。攻击者只要找到一处，则攻击往往就成功了多半。

因此，必须针对目前网络所面临的各种威胁，结合企业网络安全的需求，在网络的不同层次，采用不同的解决方案，并将它们结合起来综合应用，才能构成企业网络安全体系。

3 企业网信息安全建设要点

（1）遵照ISO 27001（信息安全管理体系要求）、公安部（等级保护、82号令）、保密局以及SOX法案等国际、国家标准和行业法规，对企业信息安全进行整体规划。同时，进行信息安全体系架构设计，主要包括管理体系、技术体系和运维体系。

（2）识别关键业务领域保密信息、设计企业信息安全高压线和关键业务领域保密信息的“保险柜”，保障企业信息资产安全。

（3）实施关键信息系统安全等级保护测评与整改，使核心信息化基础资源和重要信息系统得到有效保护和较大改善。

（4）全面构建和完善信息安全管理体系，主要包含流程、规范、制度的一级、二级、三级文件等。

（5）全面构建和完善信息安全技术体系。

（6）全面构建和完善信息安全运维体系，主要包含安全测评、安全监测、安全审计、跟踪报警等。特别是日常要利用监测技术手段对网络攻击进行监测、分析、预警和处置。

（7）构建信息安全风险度量体系，基于业务需求的变化调整管控措施，保证信息安全风险管控水平与业务需求同步，以促进业务效率与信息安全双提升。

（8）按照PDCA（即计划、实施、检查、改进）的螺旋式上升过程持续优化信息安全体系，通过信息安全风险评估、渗透测试，识别出信息安全管理风险、技术风险，调整和强化信息安全管控措施，提高信息安全管控水平。

4 企业网信息安全技术体系建设方法

（1）客户端计算机安全。对所有接入计算机部署网络版防病毒软件、终端安全软件和加密软件。对无线接入设备进行有效的管理，统一管控。对接入交换机启用终端计算机接入统一身份认证系统。对用户进行双因子认证，防止密码窃取。对重点终端计算机部署客户端审计系统，实现客户端重要信息资产的审计。

（2）内外网隔离，安装网闸，进行内外网信息传输控制。

（3）企业网内根据信息资产的重要性和受控范围，实行分区管理，采用防火墙进行隔离，特别是子企业、分企业。开放指定的、最小权限的应用，在满足应用服务的前提条件下，关闭其他所有的服务及端口。

（4）对企业内外部网络部署威胁感知系统来监控内外网的网络流量情况并进行统计分析，进行内外网的定向攻击、APT攻击检测与分析工作。利用大数据、威胁情报及可视化分析等多种先进技术，回溯攻击过程、分析攻击技术及其影响范围，确定攻击目的。

（5）部署漏洞扫描系统，对企业网络、服务器、终端计算机进行漏洞检测和分析，对漏洞所造成的威胁、风险进行评估、修复，使其风险控制在可控接受范围之内。

（6）在服务器前部署堡垒机，用来监控系统管理员对服务器的日常维护记录审计，发现攻击或是非法侵入，并对此进行防范、改正及解决。

（7）在应用服务器前部署应用防火墙，审计计算机用户在服务器上的浏览、下载数据等操作，并按照关键字、通配符等信息对重要的信息资产进行审计、报警，同时设置数据下载量的阈值触发报警功能；同时开启安全防护功能，防止来自网络上的攻击。例如在网站前部署Web应用防火墙进行漏洞监测、网页篡改监测、网页挂马监测、内容变更监测、黑词监测、黑链监测、敏感词监测、网站可用性监测、DDOS攻击监测、未知资产监测、钓鱼/仿冒网站监测，并将监测的内容通过人工核查形成报表，进行分析和日志留存，提供网站的运行状态，防护企业对外发布的内容被篡改。

（8）在邮件服务器前段布置垃圾邮件过滤，防范钓鱼邮件；部署邮件归档审计系统，实现对企业电子邮件进行归档、审计，防范邮件泄密。

（9）在互联网出口部署网络版数据防泄露系统，对通过邮件、IM、ftp等工具及相关的协议进行传输的重要信息资产进行审计、报警；主要对重要信息资产的信息进行检测，如：主题、正文及附件通过策略设定的关键字、通配符、相似度、指纹等信息进行审计，对符合策略要求的传输进行审计并触发报警机制。

（10）部署上网行为管理系统，主要控制内部用户访问互联网进行控制及审计，通过策略实现哪个部门可以访问哪些网站、url的过滤和控制，并对用户访问的网址进行审计，提高互联网带宽的使用效率，并根据国家公安部的要求，对进行上网的日志进行保留，防范上外网泄密。

（11）对企业重要数据库服务器部署数据库审计防护系统，实现实时的全面记录数据库实际发生的操作情况；可疑行为发生时启动预先设置的告警流程；一旦发生非法操作，触发防御策略，实行阻断。

（12）建立远程办公VPN系统，利用SSL安全机制中的数字证书和加密技术保障数据的安全，按权限控制访问内容。

（13）部署日志审计系统，进行实时的日志审计分析和告警，将设备防护日志进行存储和保存，提供访问安全事件回溯功能，实时感知网络边界安全态势。

5 结束语

企业必须打造统一的信息安全管理平台，从基础安全服务和架构、安全运维、安全治理、风险管理和合规等方面逐步实现企业实体安全、运行安全、信息资产安全和人员安全的管理，确保企业信息安全、以免企业遭受损失，保障企业健康可持续的发展。同时，要做到管理与技术并重，预防与管理并重，加强信息安全保密教育，保证信息化安全保密防护系统的有效运行，保护好企业的信息化安全。同时信息安全系统的强度取决于其中最为薄弱的一环。因此，信息安全必须常抓不懈，时刻提高警惕，不能有丝毫马虎。