浅谈企业网络安全防护体系构建

2016-07-13吴二勇李静郑州大学综合设计研究院有限公司

科学中国人 2016年21期

吴二勇，李静郑州大学综合设计研究院有限公司

浅谈企业网络安全防护体系构建

吴二勇，李静
郑州大学综合设计研究院有限公司

近年来，随着我国科技技术的不断革新以及社会经济的不断进步，网络信息技术也在网络产品成本不断降低的前提下，在我国的各个领域得到了广阔的发展空间，在其中所占比重也在逐年上升，电子邮件、文件共享以及网络通信等内容的有序展开，需要构建一个相对完善的网络系统来提高工作效率，一方面能够加强企业内部的沟通合作，另一方面也为与外部的联系提供保障。然而，随之而来的网络安全问题也不容忽视，因此，加大对网络安全防护的投入力度，构建相应的网络安全防护体系，是实现企业可持续发展的重要前提。

企业；网络安全；防护体系；构建

引言

现如今，随着互联网技术的迅猛发展，使它在各企业的日常工作中发挥着重要作用。借助企业完善的网络系统，向企业内部以及外部的用户提供高效、优质、便捷以及透明的信息服务，使人与人之间可以冲破时间以及空间的屏障进行实时沟通以及文件共享。然而，随着企业网络系统的不断深入，也逐渐暴露出许多网络安全问题，并对企业的正常管理以及运营造成了巨大的影响，因此，构建一个完善的企业网络安全防护体系就迫在眉睫。

一、网络安全的内涵

网络安全，从本质上讲，就是指网络上的信息安全。信息的安全就是要最大限度的确保数据信息的完整性、保密性以及合法使用性等，因此，网络安全简单来说，就是要保护网络系统的硬件、软件以及系统中的数据信息不被恶意破坏、篡改、泄露，使网络系统能在正常运行的基础上，更好地为用户提供网络服务。而从另一个角度来说，凡是与网络信息保密性、完整性、可用性以及真实性等有关的技术或者是理论，都属于网络安全的研究范畴，它不仅包含网络管理方面的内容，同时也包括技术层面的内容，二者相互协调与配合，缺一不可。网络管理方面的内容主要针对的是企业内部的人为因素，而技术层面的内容则是针对外来非法用户。怎样将数据信息的保护工作落到实处、保证网络系统的安全性以及可靠性等问题，已经成为现阶段有关企业或部门需要重点探讨的问题。

二、企业网络安全的必要性

在信息技术不断发展的今天，网络信息与能源以及物源具有同等地位，有时候甚至会高于后两者。价值越高的信息就越容易出现恶意篡改、窃取以及泄露等现象，对于企业来说也是如此。打个比方来说，在企业正常运营时，它的原料配额、生产技术以及经营决策等内容将直接关系到企业的市场竞争力，并在某些时间或地点具有较高的保密性，一旦这些信息被泄露，不单单对企业的生产经营造成影响，严重时还可以给国家以及人民带来不可估量的损失，因此，强调企业网络的安全性以及可靠性是至关重要的。

三、企业网络的安全风险

目前，在我国企业的网络安全中，会涉及到多种专业技术，比如计算机科学技术、网络技术、通信技术、信息安全技术以及密码技术等，与此同时，网络安全还包括应用数学、数论以及信息论等专业理论知识。保证企业网络的安全性，最根本的目的是要让网络上流动或者是静态存放的信息在安全期内不被非法用户恶意访问，同时，企业网络安全还是保证信息完整性、机密性以及可用性的重要手段。然而，我国企业仍然会面临以下几个方面的安全威胁。

1、网络物理安全风险

第一，自然灾害对网络系统的破坏，比如地震、火灾以及水灾等；第二，因电源出现故障导致设备断电而引发的网络信息数据丢失；第三，设备丢失或者是损坏而导致的数据泄露以及丢失；第四，造成数据信息被恶意窃取或者是阅览的原因还有电磁辐射。

2、网络边界安全风险

网络边界，简单来说就是指连接两个不同安全级别的网络位置。从骨干网的角度出发，网络边界指的就是出口外部网络与英特网的连接处，而在内部网络中，办公系统以及业务系统二者之间也存在相应的安全边界。一旦没有对网络边界采取必要的防护措施，就会使企业内部网络极其容易受到外部的恶意入侵，从而使企业网络的信息安全得不到保障。

3、应用服务系统安全风险

现如今，我国绝大多数的企业采用的是Unix操作系统以及Windows操作系统，而获得这些系统的途径主要来自外购或者是自行研发。然而，这些系统总会不可避免的遗留一些安全漏洞，使整个网络系统的安全防护形同虚设，从而给网络信息造成威胁。

4、网络内部安全风险

在网络安全攻击事件中，仅仅来自网络内部的攻击就多达七成以上。攻击者会借助网上下载、盗版光盘、人为投放以及电子邮件等形式来向内部网络系统投放病毒或者恶意程序。网络作为最快以及最有效的传播病毒媒介，一旦将病毒成功的导入内部网络系统，不仅会对整个系统造成危害，同时还会因信息泄露而产生一系列严重后果，因此，加强对内网客户端的病毒防范措施以及补丁管理等工作，是整个网络安全管理中不可忽视的一环。

5、网络管理安全风险

在网络安全中，安全策略以及管理始终处于重要地位，一旦安全策略的科学性以及可行性较差，相应的安全管理制度也不够完善，就很难保证企业网络系统的正常运行。与此同时，有些企业领导对网络安全没有加以重视，相应的安全管理意识也较为薄弱，甚至于在一些企业领导心中，始终认为网络安全只要投入大量资金就可以实现，在盲目追求先进技术的同时，忽视了网络安全是一项长期性的工作。

四、企业网络安全防护体系的构建

企业想要构建一个完善的网络安全防护体系，就要从以下几个环节入手，即应用分析、划分适当的安全域、风险分析、分层保护以及构建安全保护保障体系等。具体如下：

1、应用分析

应用分析主要包含两方面的内容，即用途分析以及网络信息资产分析。不同的应用，所属的信息资产也各不相同，遇到的网络安全问题也大不一样。举例来说，大街上随处可见的网吧信息网络与国家政府的办公网络，这二者遇到的网络安全问题就天差地别。在实际运行中，就算处在同一个信息网络中，流动信息也不一致，对安全性的需求同样也是不同的。

2、风险分析

在完成应用分析环节后，下一步就要针对某一用途、某一类型或者是某一级别的信息进行风险分析。这一方式可以借助二维表格来体现。第一步要确定一个具体的信息类型或者是安全域，用X轴指代可能发生的风险，而其中每一个风险都包含三个要素，即风险发生的几率、这类信息对风险的容忍度以及风险可能发生的频率，将这三个要素认真的记录到二维表格中。其中，在记录事件发生几率的数据时，没有得到具体数值，可以先用不易发生、易发生以及极易发生之类的等级标准来对它进行记录，容忍度也可以这样记录。在实际操作中，为了更全面的对风险进行分析，可以将风险划分得更加细致。

3、安全等级的确定

企业要严格按照国家出台的相关准则来对信息的分类以及安全等级进行确定。一般会将标准划分为五个等级，且它们都具有各自不同的要求。企业可以综合考虑风险分析的结果，并将它与准则中的等级标准进行对比，从而对安全等级进行确定。除此之外，针对不同等级的信息，所采取的安全防护措施强度也各不相同，需要加强防护的信息可以重点对它加以保护，而不需要防护的信息就可以节省这一环节。值得注意的是，在采取必要的防护措施时，要考虑到系统的应用，不能注重防护而影响到应用的正常运行，然而在特殊时期，为了安全而牺牲应用的便捷性也是可取的。

4、分层保护

分层保护，就是指将那些容易发生且不能容忍的风险分解到各个层面上，然后借助计算机技术、加密技术以及安全管理等措施，对这些分层加以保护，以此来防止风险对网络系统造成危害。此外，有很多风险往往就存在于多个层面中，而对这些层面加以保护，就可以从根本上杜绝信息泄露现象，这也是实现网络安全防护的重要手段。

5、构建完善的保障体系

在实施了分层保护后，我们的工作还没有完全结束。企业要意识到信息网络是一个整体，对它的防护也要从整体的角度出发。第一，制定分层保护策略，并对整个信息网络的安全性进行评估，尤其是要检验结合部安全是否存在漏洞；第二，在进行分层保护时，将不同的信息资产或者是安全域来作为主体，而不是针对整个信息网络，因此，要对相应的分层保护方案进行适当的调整，从而对整个信息网络的保护方案进行确定；第三，选择合适的安全产品或者是安全技术。在实际的选择过程中，企业不仅要保证产品的先进性，同时还要对产品的成熟度进行考虑；第四，针对网络中的安全产品，要对它进行统一的动态管理以及联动，让它能形成一个动态的防范体系。此外，构建完善的安全体系，还要对安全措施成本进行核算，核算完毕后，对企业的成本效益进行评估，来考虑是否有必要进行保护以及保护力度如何等内容。