[摘要]企业网络数据安全面临着外网黑客攻击、非法接入、非法访问等安全问题，内网存在着员工上网行为、APT内网渗透、WLAN控制使用等引发的安全风险，以及还面对着操作系统与应用系统等安全隐患，对企业网络数据安全管理提出了严峻的挑战。本文针对企业网络数据安全问题进行深入的分析，明确了应对的技术路线，并就数据安全问题给出具体的应对策略，包括建立企业内外网隔离、网络安全预警系统、入侵保护与病毒破坏保护措施等，以提高企业网络数据安全风险防范水平，切实解决企业网络数据安全问题，维护企业网络长期稳定安全的运行。

[关键词]企业网络；网络数据安全；防火墙技术；入侵检测技术

[中图分类号]TN915.08 [文献标识码]B

[DOI]：10.20122/j.cnki.2097-0536.2023.07.010

企业网络数据身处互联网大环境中，受到内部网络与外部网络两个方面不安全因素的影响，危及企业网络数据的安全，增加了数据丢失、破坏、篡改等风险性。因此，针对企业网络数据安全问题的深度分析，确定企业网络数据安全问题的来源，以便于制定出有效的应对策略，构建企业网络数据安全的主动防御机制，提升企业网络数据存储、利用、传输的安全性，保护企业数据资产的安全。

一、企业面临的网络数据安全问题

（一）外网数据安全问题

从企业网络的角度来看，分为内部网络与外部网络两个部分，但企业的生产经营管理需要与外部网络建立联系，实现内网与外网之间的数据交互，也就是说企业的内网处于外部互联网的开放环境下，使其网络数据面临着外部网络的安全威胁，如黑客攻击行为、各类计算机病毒入侵、非法接入等，只要企业网络中的一台计算机感染病毒或是被侵入，则会蔓延至整个企业内网，完成对所有计算机、服务器、应用系统等的感染与攻击，甚至会牵连到与企业建立网络连接的客户与合作单位。

（二）内网数据安全问题

企业内部网络数据安全问题主要来源于内网侵入，如人为原因，企业员工网络数据安全意识不够，利用内部网络下载及使用各种不明应用，或是登陆钓鱼网站，泄露登录内网的用户名与密码、内部网络结构等，也存在企业员工故意破坏内网数据的现象。除此之外，还有APT内网渗透，攻击者从Web端渗透进入企业的内网环境，建立远程连接，获取企业内网某台计算机的控制权，以此台机器为跳板，谋取整个内网环境的控制权。以及WLAN控制使用问题，目前大多数企业已经实现无线网络覆盖，使WLAN控制器在企业局域网络中得到了普遍应用，而WLAN在实际的应用中面临着自带办公设备接入、用户移动化、容量问题等，形成了WLAN控制器使用的安全风险。

（三）操作系统安全问题

操作系统是计算机必备的系统，目前主流的操作系统主要有Windows、Linux、Unix与Mac等，这些操作系统稳定性、安全性及运行的可靠性表现良好。因此安装人员在操作系统安装时不会过多的考虑安全问题，更加关注操作系统是否运行正常，进而安装了非必要的应用，采取了缺省设置等，无意识的增加操作系统开放端口的数量，遗留下端口扫描的网络安全隐患[1]，危及到企业网络数据的安全。或者是操作系统本身存在漏洞、技术缺陷与安全策略缺陷等，然而后续操作系统更新维护工作不到位，未能及时应用补丁程序与更新程序，最终由操作系统引发企业网络数据安全问题，形成较高的全局渗透风险。

（四）应用系统安全问题

企业应用系统主要有办公系统、财务管理系统、业务系统、生产系统等，每个系统均有着自身的数据库，数据库则依托于服务器运行。所以企业应用系统及其安全性具有动态性特点，处于不断的变化之中，在应用系统使用过程中形成一定的网络数据安全风险。比如，应用系统依托于计算机与互联网运行，企业内部网络建立部门之间、员工之间的连接，外部网络则是建立了企业与下属分支机构、合作企业、客户等之间的网络连接，任何一个网络连接节点应用系统遭到入侵，均会牵连到企业网络数据安全。又或者是应用系统在开发阶段，针对网络数据安全考虑不够全面，存在安全漏洞，有被恶意代码注入、数据泄露、内容篡改的可能性。企业员工共享应用系统数据库中的数据，使数据长期暴露在网络环境下，增加数据窃取、破坏、传播的风险。再者，数据库本身也面临着诸多风险，包括了非法用户访问、服务器故障、应用系统安全性差、方便的物理访问等，都有可能导致应用系统数据的泄露、丢失与篡改。以及企业数据在采集、共享、传输及利用过程中，同样存在着一些数据安全问题。

二、企业网络数据安全问题应对的技术路线

（一）防火墙技术

防火墙建立企业内网与外网之间的一道安全屏障，通过对外网用户访问的控制，形成对企业内网的安全保护作用。目前基于安全域的防火墙在企业网络数据安全中得到了良好的应用，将防火墙攻击检测策略配置在安全域上，即使在复杂组网的条件下，也能灵活的将不同的攻击防范策略配置在安全域上，提升配置的简洁性与灵活性。防火墙接口工作模式主要有以下几种，一种是路由模式，防火墙处于内外网之间，内外网接口采用不同网段的IP地址，内网接口划分为Trust区域，外网则是Untrust区域，两个区域位于不同的子网中，报文在内外网接口转发过程中，防火墙发挥路由器的功能，并对报文进行处理，判断是否可以通过，同时完成攻击检查。另一种是透明模式，Trust与Untrust区域接口处于同一子网，直接在网络中安装防火墙，对IP报文进行过滤检查，ALC规则进行报文通过的判断；最后一种是混合模式，防火墙同时采用路由模式接口与透明模式接口，同时运行两种工作模式。

（二）入侵检测技术

入侵检测技术具有监视与分析用户及系统活动、识别恶意使用行为、系统异常统计分析、审计系统构造和弱点、安全报警等功能，在企业网络数据安全中的应用，与防火墙形成功能互补，实时监测企业网络中的入侵行为，并实时发出报警，提醒管理人员及时处理与修补漏洞。具体检测流程如下，首先是信息收集，在不同网段设置传感器或是在不同主机上设置授权代理，收集企业网络中应用系统、网络日志流量、非正常程序执行等信息[2]；其次是信息分析，由入侵检测引擎采用模式匹配、统计分析等技术手段，对收集到的信息进行分析，当分析结果为入侵时生成报警，向入侵检测系统的控制台发送该报警信息；最后是处理结果，控制台接收警报后，按照预先设定进行处理，如切断网络连接、向网络管理员发出警报、重新配置防火墙等。

（三）网络行为监控技术

网络行为监控技术主要针对用户的上网行为进行监控，监控的内容有用户上网时间、IP地址、使用应用的名称与类型、动作等，通过设置过滤类型（组过滤、用户过滤、IP过滤）、过滤对象（关键字、外发与下载文件、访问网页、聊天内容等）、过滤动作（拒绝、报警、记录）等，形成对企业内网用户上网行为的硬性约束与规范作用。在企业网络数据安全中常用的监控方法有以下两种，一种是过滤IP地址，在Windows操作系统控制面板Internet选项与浏览器Internet选项的安全设置中，可完成IP地址过滤设置。另一种是利用代理服务器，安装代理服务器软件后，进行代理服务器网站过滤设置，包括了站点过滤，输入多个过滤站点，编写过滤规则，完成允许站点与站点过滤的功能设定；禁止连接，如限制用户下载文件、上网、聊天、收发邮件等；内容过滤，对网页内容进行全文过滤，发现内容中含有设定的字符，则不显示该网页。

三、企业网络数据安全问题的应对策略

（一）建立企业内外网隔离

建立内外网隔离是保护企业内网数据安全的重要措施，只允许通过授权的计算机访问企业内部数据资源。一方面采用虚拟机隔离，企业具有云桌面虚拟化平台的条件下，在平台上搭建两个虚拟专用网络，两个网络相互独立，同时虚拟专用网络网关进行通讯加密，然后根据企业岗位需要分配虚拟专用网，完成内外网的隔离，避免网络不安全因素在企业云环境中的扩散。另一方面是防火墙隔离，在企业内外网之间设置防火墙，根据企业经营管理需要设计访问规则，集中控制外部访问，并记录与统计网络使用数据[3]。此外，还需注意操作系统补丁的升级、漏洞的修补，以及关闭网络中非必要开放的端口，尽量消除企业网络潜在的安全隐患，保护企业网络数据的安全存储、利用及传输。

（二）做好入侵与病毒破坏保护

企业网络数据安全保护主要针对的是入侵、病毒破坏，在入侵保护方面，企业网络物理设备需加强安全防护，做好日常的检修维护工作，长期维持物理设备的运行安全。在服务器保护方面，服务器存储着企业大量重要的数据信息，一方面采用身份验证机制，授予访问权限，形成对访问的安全控制。针对于重要保密的数据采取分布式存储，对各个版本数据进行备份，防范数据存储损失问题的发生，同时采取加密与验证保护，在使用数据之前需要输入密码，密码通过验证后方可使用数据。另一方面用户授权，用户在终端需输入用户名、密码登录服务器，在授权范围内展开操作。以及终端采用网络行为监控技术，用户上网全程留痕，避免非授权用户查阅与使用数据，同时在用户终端设置与服务器相匹配的安全保护措施，如使用专门的软件定期更换口令，防范口令破解现象的发生。在病毒与灾害破坏数据保护方面，加强企业核心设备物理安全保护，如为了避免电源供应异常引发的数据丢失，采用电源冗余设计。以及针对于企业重要的数据采取实时双机异地备份措施，也可依托于云存储进行备份，在数据破坏丢失后，可以及时恢复数据。

（三）建立网络安全预警系统

针对入侵与病毒导致的企业网络数据安全风险，专门建立网络数据安全预警系统。入侵预警系统，采取入侵检测技术识别入侵行为，并向企业网络管理员发出警报，构建主动防御机制，加快入侵处理的反应速度，将网络数据安全风险降至最低水平。入侵预警系统实时扫描企业内外网、应用系统，全面监控企业网络运行状态，对内外网的安全状态进行分析与评估，一旦判断风险程度超过设定值，系统自动发出警报，自动生成企业网络数据安全报告，统计企业网络的安全风险、安全漏洞，以及攻击分析结果、入侵分析结果、攻击或入侵警告信息[4]，评估网络安全风险发展趋势等，作为网络数据安全问题应对策略制定的依据。病毒预警系统，系统具有强大的扫描功能，全天候监控企业网络中的文件，实时扫描网络数据包，及时发现网络中的病毒，发出警报信息，给出病毒所在的位置与来源，并跟踪记录病毒在企业网络中的活动轨迹，自动生成扫描日志与报告，为企业网络数据安全管理提供病毒信息支撑。

四、结语

企业在信息化时代，生产经营管理中形成了大量重要、关键的数据信息，这些数据信息存储在网络环境之中，实时受到来自互联网与企业内网的安全威胁，主要包括黑客攻击、人为有意或无意导致的数据损坏，还有计算机病毒、操作系统漏洞、应用系统恶意代码注入等安全问题。需要企业深入挖掘自身网络数据安全面临的各项问题，探明问题的出处与成因，加强网络数据安全建设的力度，制定出有效、科学的应对策略，以保护自身网络运行的安全、网络数据存储与利用的安全。

参考文献：

[1]刘海军.企业视角看数据安全与网络安全：理解内涵演进，落实合规治理[J].中国信息安全，2022（9）：88-92.

[2]姚雨秋，闫育芸，张敏，等.互联网视域下移动应用数据安全问题研究[J].网络安全技术与应用，2022（12）：57-58.

[3]王治宽，张振庄，张世泽.关于网络数据安全防护手段的研究[J].中文科技期刊数据库（文摘版）工程技术，2022（2）：99-101.

[4]董爱祥，张剑波.大数据背景下数据治理网络安全的措施研究[J].中国新通信，2022，24（13）：128-130.

作者简介：冯森（1986.9-），男，汉族，河南安阳人，博士，助理工程师，研究方向：大型企业网络安全体系建设与运营。