企业网络空间安全体系的构建分析

肖华枫

摘要：信息技术革命推动各行各业快速发展，企业顺应新时代发展需求，在实现自身的发展过程中使用信息技术不断融合，以此提高自己的市场竞争能力。但是企业在享受信息技术能力的同时，往往只注重于信息技术带来的优势，而忽略了网络安全漏洞可能给企业所带来的威胁，这种威胁产生的后果往往是巨大的，比如数据泄露、公司机密被窃取等。基于此背景下，该文将针对企业网络空间安全的现状与存在问题进行探讨，并为企业构建网络空间安全体系提供相关的策略保障建议。

关键词：网络安全;企业安全;建设策略

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）15-0038-02

随着经济社会发展进程加速，信息网络技术促进了企业数字化、信息化、网络化管理和运营。计算机网络的快速发展给所有企业都提供了一个发展自己的优势平台，网络发展快速带来的优势不言而喻，但是很多企业利用信息技术发展自身的同时，企业关注点主要聚焦在营销策略、业务规划等方面，反而威胁企业自身发展的网络安全问题很少有人提及和关注。然而又有很多企业，因为缺乏对网络空间安全的清晰认识，从而丧失了企业发展和成功的机会。在信息化和网络化的大背景之下，企业做好网络安全工作至关重要。针对企业网络中可能出现的威胁网络安全的因素，一定要采取强有力的措施做好预防工作，防患于未然。本文将讨论企业网络安全当中常见的几点安全问题，帮助企业正确认识网络安全的重要性，最后提出几点建设性策略旨在构建健全的网络空间安全体系，提高网络安全防护体系，保护企业网络的正常运行，不断优化当前企业网络安全建设的新局面。

1 企业信息化建设中的网络安全问题

1.1 网络安全意识薄弱

互联网技术发展日新月异，企业借助网络强大的数据传输能力和信息共享能力，实现了自身的发展。但是很多企业只顾眼前利益，却不见网络信息安全威胁所导致的长远利益的不稳定性。特别是企业管理层网络安全意识薄弱[1]，他们往往只关注企业是否能正常运转，企业内部系统是否能够正常运行，甚至对于企业出现的网络崩溃或者网络瘫痪也没有给予过多的重视，缺乏对网络安全的正确认识，缺乏对网络安全问题可能带来的损失的紧迫感和危机感。一旦出现棘手的网络问题才会急急忙忙找解决问题的办法，但是暂时的解决办法可能无法从根源上解决问题，往往会给网络安全问题带来更大的损失埋下伏笔。近年来，国家大力倡导加强网络空间治理，维护网络安全，各大企业逐步认识到了网络安全对于企业发展的重要性，开始着手建立网络安全防御体系。即便如此，许多企业在实际工作中仍然存在数据泄露、网络崩溃等诸多问题。这是由于大部分企业仍然存在网络安全意识淡薄等观念，他们执着于低成本高收益的诱惑，却对于网络安全的整体资源投入不足。

1.2 安全防护水平较低

目前信息技术的迅速发展，进一步导致了网络安全所面对的威胁更加多样化、智能化、严重化。信息技术不但促进了企业生产力的快速发展，而且也让黑客网络攻击技术快速发展，由黑客生产制造的木马和病毒移动计算、云计算等技术的加持下，导致网络安全威胁更加严重。而很多企业的网络安全性能和防御措施停滞不前，他们的网络安全技术防护能力远远低于攻击手段。黑客一旦入侵企业服务系统，由于企业信息化防护系统技术水平较低，往往会造成企业安全数据资料丢失的局面。

1.3 缺乏安全管理机制

企业信息安全维护工作和企业网络信息建设息息相关，一方面，网络安全以技术管理为基础，另一方面，管理体系是构建企业良好的网络安全环境的关键所在。企业管理机制的缺失往往使得安全管理措施的执行无法施展，所以制定必要的网络安全管理机制能够保证企业在網络安全维护工作上逐渐常态化和规范化。根据数据风险来源显示，网络安全所面临的数据泄露、网络攻击等威胁。一方面来源于黑客攻击，另一方面则来源于企业内部工作员工的泄露。在这样一个数据时代，人为窃取数据仍然呈现高速增长趋势。企业在完善网络安全防护体系时，也要构建安全管理机制，制定企业信息安全的各项管理规范和技术标准，改善企业所处的网络安全环境，减少由于人为因素所造成的网络安全问题。

2 构建企业网络安全体系的实践策略

2.1 重视网络安全宣传工作，提高企业网络安全意识

现如今大部分企业将网络防护安全墙、网络防护反应机制、入侵检测机制等作为网络安全防护的基石，然而在实际生活和工作中，除了企业管理者要有充分的网络安全意识之外，企业员工的网络安全意识也网络安全工作中重要的一环。因为在企业网络安全面前，企业员工存在着无法预知的变数，他们若缺少安全管理的责任心或者仅仅由于他们一次小小的信息泄露行为，都可能会导致企业的工作承受巨大经济损失。因此企业员工安全意识的提升将有效改变企业所面临的网络安全威胁。

企业员工作为网络安全防护的基石，企业要采取多种手段长期、持续地提升他们的网络安全意识。例如，企业对员工定期进行网络安全意识培训会，不断加强他们网络安全意识的专业性和有效性。在培训过程中，企业可以邀请国信网络安全工程师担任培训员，以此来确保培训会的学习效果价值，培训课程中结合真实案例给员工讲述掌握网络安全知识的重要性和必要性。培训结束后，企业为员工发放网络安全意识提升手册，这种手册可以用动画、海报、漫画等形式进行编写，将网络安全知识转换成每位员工都能通俗易懂的内容，让企业的安全意识培训会进行得更加顺畅。其次，为了检验培训效果，企业可以通过有奖问答、知识竞猜等丰富多彩的形式让员工更好地掌握网络安全知识。另外，企业还可以采取在员工休息区、工作区张贴网络安全标语、漫画等形式，调动员工积极学习网络安全知识，培养网络安全意识。只有通过提升员工自身的网络安全专业知识，才能帮助员工和企业更好地应对网络安全威胁，消除网络安全漏洞中的人为因素。BF49E160-7A68-46CF-AAAF-2FABB8E47933

2.2 加大网络安全防护技术，增强信息安全保障能力

网络安全问题源于信息技术的发展，在快速建设信息化企业的前提下，网络信息安全问题仍然要依靠信息防护技术来解决。网络空间安全的攻防对抗其实就是一场黑客和企业之间信息技术的较量战。只有将网络安全“防护网”越织越牢固，才能有效提高企业信息安全的保障能力。因此构建各个企业的网络安全防御体系是有效保障网络安全的重要技术手段。

首先，在众多网络安全防线中，第一道防线是处在网络防护最前沿的防火墙[2]。防火墙技术在目前的网络安全维护中应用得最为广泛，这道最基础的安全防护设施能够有效拦截黑客攻击信息，在最大程度上减少黑客的攻击面。所以，企业网络安全技术要增强防火墙，例如补充 IPS、WAF等串行阻断工具以及近年来运用更加广泛的旁路阻断技术[3]。将防火墙和新一代的阻断技术合力，能够从多个层面建立网络安全，立体式防护前沿。其次，一旦攻击者破坏了第一道防线，这个时候就需要第二道防线进行监测响应，及时发现和处置黑客攻击。第二道防线需要企业内部建立完善的数据中心汇聚平台，只有这样一道防线才能依靠网络流量、文件数据等分析检测黑客攻击，迅速处置攻击事件。最后，如果攻击者破坏了第二道防线，网络安全的第三道防线就要起作用了，网络安全的第三道防线有多种表现形式，其中包括访问控制、端点防御防线。企业加强这两道防线的建设可有效防范阻遏攻击者，这其中也包括对内部企业人员的监管。企业只有建立了如上所述的这种递进式、多重式、专业性、综合性的纵横向安全监测体制，利用网络技术不断提高网络安全防御能力，才能真正铸造“立体式、全方位”的网络安全纵深防御体系。

2.3 构建网络安全管理体制，有效降低网络安全风险

所有网络安全体系的最终使用者归根到底都是人，所以网络安全最大的隐患和最坚固的防线，两者的出发点和落脚点都是隐藏在技术背后的人的较量。在这一背景之下，构建网络安全管理体制，既能够增强网络安全防御体系，让其成为技术层面的第五道防线：组织体系，又能够通过人对网络的使用和管理，有效降低网络安全的风险。大部分企业将网络安全的管理体制归结为管理者的责任，这就导致企业的网络安全管理存在层次不分明、功能不完善、权责不清晰的问题，因此网络安全体制在企业网络安全中并没有得到有效运行。

企业要建立完整的网络安全管理体制[4]，需要从以下几个方面入手。第一：从层次上讲，完整的网络安全管理体制通常需要指挥层、运行层、保障层三者共同发挥作用，确保企业内部具有网络安全领导小组，负责网络安全方面的决策制定和执行，又有负责企业日常安全工作的运行事件处置的协调小组，同时又具备完善的网络安全技术提供商、软件硬件开发商等后勤保障小组，以此来建立权责统一的网络安全管理体制。第二：从安全意识层面讲，管理体制要落到实处，需要企业员工具有高度的网络安全意识。员工要从意识层面建立起强大的网络安全防御意识，针对典型的网络攻击能做出正确反应，通过参加网络安全意识教育培训会、网络攻击模拟会等学习会议，掌握并了解目前网络攻击的多种模式和形态，一旦企业网络安全遭受攻击，员工能够迅速地从防守方转变为攻击方，保障整个企业的网络纵深防御体系有效运营。通过员工自己学习和提升网络安全技术，降低企业的网络安全运营成本，从被动防守转为主动防御。第三：毕竟企业管理者和员工不是专业的网络安全工程师，所能学习和掌握的网络安全知识与技能比较有限，如果在企业自身无法保证网络攻击的情况下，可以寻求可靠的第三方网络安全专业机构的协助。企业管理者和企业员工需要掌握必要的网络安全知识以及技能，但是网络安全知识体系庞大且复杂，而且日新月异，在企业无法保证新型网络攻击的情况之下，可以寻求专业的网络安全检测机构的帮助。为了防止黑客入侵，需要定期对企业网络进行漏洞扫描，对当前的计算机系统做全面的深入的检测。入侵检测技术可以利用自身内部的配置及时发现网络中可能存在的危险因素。漏洞扫描技術常用的扫描工具有：AWVS、appscan、xunfeng、nessus、sqlmap等，不同工具可以运用在不同场景中，当检测出异常情况时，会根据危险等级来提醒用户，用户还需手动去核实漏洞的真实性，一旦确定确实存在风险要及时修补漏洞，另外还可以通过渗透技术模拟黑客攻击方任何可能来威胁到网络安全的途径来测试网络的安全性，一旦发现有漏洞或者安全隐患及时采取措施弥补漏洞防止更大的损失产生。渗透技术是一个持续的、长久的、兼顾深度和广度的同时也存在一定难度的漏洞挖掘过程。

2.4 监督软硬件的安装程序，逐步提升企业硬件设施[5]

企业所面临的网络安全威胁是来自各方面的压力，解决了外部攻击，提升了管理机制，增强了网络安全防御技术，仍然不能有效地保证整个企业的信息网络安全工作。这是由于企业安全的源头中，还存在着一个至关重要的环节，那就是在计算机设备上进行软硬件程序的安装过程中存在风险，最终导致企业机密被窃取。例如，在进行计算机的配置安装之前，为提高企业信息资料的保密性，工作人员要做好对安装环境的监测以及对安装程序人员的管理，保证整个硬件设备和软件程序在安装工作中一直处于企业工作人员的监管范围内。在计算机的配置安装过程之中，为防止企业资料泄露，尽可能保证安装人员不被外来人员打扰，在进行软件系统配置时，员工为程序安装人员打开所需要的软件系统，从根本上杜绝资料泄露的可能性。以上这些方面就要求企业工作人员在安装过程中，要从根源上做好检查工作、监督工作。

3 结束语

社会主义市场经济欣欣向荣，企业在市场经济下作为最富有活力的参与者，在当前的经济发展当中发挥着至关重要的作用。社会的发展靠企业，企业的发展靠网络，但是伴随着网络技术的发展，随之带来的信息安全、网络安全等问题层出不穷，网络技术之下的矛盾冲突日益加深。企业在利用网络来创造效益的同时，不可以只单纯地着眼于眼前的利益，而是要根据自身的需求和每个企业面临的网络问题，持续不断地进行学习、调整、进化，不断抵御在虚拟网络空间中的各种已知的和未知的网络安全的威胁，以此来提高整个企业的工作效率和质量，推动企业更优发展。一个企业能否持续性长远发展决定于在企业网络信息建设中的网络安全问题，所以构建健全的企业网络空间安全体系至关重要。

参考文献：

[1] 杜李斌.企事业单位办公内网安全建设需求探究及实施措施探讨[J].网络安全技术与应用，2022（1）：95-96.

[2] 王梁.计算机网络安全及防火墙技术分析[J].中国管理信息化，2021，24（24）：196-197.

[3] 康昊，沈学东，王军.从永恒之蓝勒索病毒事件浅谈企业网络安全[J].网络安全技术与应用，2020（10）：141-142.

[4] 汤荣秀.企业信息化建设中的网络信息安全[J].信息与电脑（理论版），2020，32（23）：230-232.

[5] 张成挺，丁男哲.企业网络信息建设中网络安全的探讨[J].网络安全技术与应用，2022（1）：94-95.

【通联编辑：代影】BF49E160-7A68-46CF-AAAF-2FABB8E47933