张安宁 顾凯丰 叶茂

摘要：随着人们对互联网需求的日益增长，互联网技术也随之快速发展，并广泛应用于人们的生活和工作。但与此同时，大型企业受到来自网络安全的威胁也在不断增加，例如黑客攻击、病毒入侵、数据丢失等。为了提高大型企业的网络安全防护能力，文章先从物理机房、通信网络、系统边界、计算环境和管理制度等方面提出了网络安全问题分类，然后结合技术层面和管理层面提出了大型企业网络安全解决方案。

关键词：大型企业；网络安全；威胁；解决方案

中图分类号：TN915.08文献标志码：A

0 引言

目前，国内国际信息安全形势非常严峻，我国各重要信息化基礎设施面临的网络攻击、破坏、窃密等安全威胁日益增多，并时刻威胁着我国的国家安全、社会秩序与公民利益。2014年2月，中共中央成立的以习近平总书记为组长的中央网络安全和信息化委员会明确指出，“没有网络安全就没有国家安全，没有信息化就没有现代化”。

国内大型企业的业务量很大，产生了大量的数据，数据类型也很复杂，网络安全成为大型企业无法忽视的问题，同时也是提高企业竞争力、业务能力和创新能力的必要条件。与传统的信息管理模式相比，信息系统的应用不仅给企业带来了便利，还给企业增加了安全风险。一旦大型企业信息系统的业务信息和系统服务遭到入侵、修改、删除等不明侵害，就会损害公民、法人和其他组织的合法权益，甚至对社会秩序和公共利益造成侵害。为了保证合法用户对资源的及时有效访问，确保信息系统的安全平稳运行［1］，提升大型企业网络安全防护水平，大型企业需要一套成熟的网络安全解决方案。

1 大型企业的网络安全存在的问题

大型企业的网络安全问题分为技术层面和管理层面，包括物理机房、通信网络、系统边界、计算环境和管理制度等。

1.1 物理机房

大型企业物理机房的安全问题包括机房位置的选择、机房建筑和机房中设备的防雷措施（是否接地）、对非授权人员进出机房的访问控制、是否设置火灾自动消防系统、是否安装防静电地板、是否对机房的温湿度进行控制等。

1.2 通信网络

大型企业通信网络的安全问题包括企业内部网络的架构、信息系统在网络中的传输通信以及设备的可信验证等。

1.2.1 网络架构

网络架构是企业运营的重要组成部分。根据企业业务系统的特点构建网络非常关键。企业要重点关注整个网络的资源分布和架构是否合理，企业的体系结构只有安全时，才能有助于各种技术功能的实现，达到保护通信网络的目的。

1.2.2 通信传输

通信传输为企业在网络环境中的安全运行提供支持。为了防止企业的数据被篡改或泄露，企业应确保网络传输过程中数据的机密性、完整性和可用性。通信传输不仅应当关注不同安全计算环境之间的通信安全性，还应当关注单个计算环境内不同区域之间的通信安全性。

1.2.3 可信验证

企业中的传统通信设备使用缓存或其他形式存储固件，容易受到恶意攻击。黑客可以在未经授权的情况下访问或篡改固件，也可以在组件的闪存中嵌入恶意代码，这些代码可以轻松逃脱标准系统检测过程，从而对系统造成永久性损坏。如果通信设备基于硬件的可信根，则可以在通电后基于可信根实现预安装软件（包括系统引导程序、系统程序、相关应用程序和重要配置参数）的完整性验证或检测，做到 “无篡改再执行，有篡改就报警”，以确保设备启动和执行过程的安全。

1.3 系统边界

大型企业的系统边界问题包括企业各信息系统的边界防护、信息系统的病毒防范、信息系统的访问控制、垃圾邮件防范、信息系统的入侵防护、信息系统的安全审计和可信验证等。

1.4 计算环境

企业的边界内部称为安全计算环境，通常通过企业的局域网将各种设备节点连接起来，构成复杂的计算环境。构成节点的设备包括网络设备（如交换机、路由器等）、安全设备（如防火墙、入侵防御系统、防毒墙等）、服务器等。

大型企业的计算环境问题包括对设备登录时进行身份鉴别、设备在使用过程中的入侵防护和病毒防护、设备日志是否进行备份留存等。

1.5 管理制度

企业的管理制度是企业各信息系统在建设、开发、运维、升级、改造等阶段应当遵循的行为规范。安全策略和安全管理制度的正确制定与有效实施对企业的安全管理起着非常重要的作用，不仅能促使企业全员参与保障网络安全的行动，而且能有效降低人为操作失误造成的安全损害。

大型企业的管理制度问题包括企业对内部员工的岗位职责设置、物理机房的管理制度、信息系统及网络安全设备的漏洞修复、应急预案管理、网络安全事件处置流程等。

2 大型企业的网络安全工作方针

大型企业须始终牢记“网络安全永远在路上”，全面加强网络安全工作统筹规划，有效落实“三化六防”措施，即：“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”，以以下几个方面为网络安全工作方针，不断提升大型企业整体安全防护能力和水平。

2.1 提高政治站位，确保合法合规

大型企业需要进一步加强网络安全等级保护和关键信息基础设施安全保护，逐步完善并形成合法合规的网络安全制度体系，强化等级保护定级、建设、整改、测评各环节，建立网络安全等级保护工作责任制，健全企业网络安全综合防控体系。完善网络安全保护工作机制，根据“谁主管谁负责、谁运营谁负责”原则，划清网络安全保护边界，明确企业各部门的网络安全保护责任，做到“守土有责、守土尽责”，形成大型企业网络安全工作的良序格局。通过各类宣传培训会议活动强化各级领导干部的网络安全思维，提高企业全员网络安全意识。

2.2 开展应急演练，保证智慧运营

认真开展网络安全应急演练和网络安全整改工作，对应急演练中发现的各类安全问题进行复盘，加大对历史问题的检查力度，督促企业各部门处置存量漏洞。通过合理分区分域、收敛互联网暴露面、加强网络威胁攻击管控、强化纵深防御，确保专项行动中发现的安全隐患问题整改到位，防止问题反弹，巩固演习成果。持续开展网络安全运营管理工作，全面加强网络安全风险管控，将监测预防和应急处置工作常态化；通过网络安全资源共享和能力共享，推动构建监测预警体系；有力有效处置网络安全事件，让关键信息基础设施、重要网络和数据免受攻击、侵入、干扰和破坏。

2.3 重视队伍建设，提升实战水平

企业须搭建安全专家资源池，培养一批经验丰富、能力突出、素质良好的“教练”；对管理人员开展网络安全相关法律法规、政策标准解读培训，能更好地指导日常工作；定期开展网络安全业务骨干技术培训，提升网络安全实操能力和协同作业水平；开展全员网络安全意识教育，强化全员网络安全意识；推动企业各部门开展交流学习，组织攻防实战演练，提高网络安全保障队伍的攻防对抗与处置能力；指导企业各部门合理规划网络安全经费投入，加强经费保障。

3 大型企业的网络安全问题解决方案

3.1 物理机房

网络安全的前提和基础条件就是物理条件［2］。企业的物理机房不仅存放着支撑整个企业网络正常运行的各种设备，也存放着企业的关键业务数据。因此，物理机房的安全问题尤为重要，需要严格按照相关标准进行建设，做好防震、防火、防水、防雷、防盗、温湿度、电磁防护等安全措施。机房管理人员须每天对机房环境、机房设备进行巡检，一旦发现问题及时上报，以杜绝安全隐患。

3.2 通信网络

在规划和设计企业的整体网络架构时，企业应用是最基本的出发点，必须充分考虑企业当前以及未来涉及的各种应用程序，特别是要为企业业务的扩展留出足够的带宽和可扩展空间。这些方面直接关系到企业网络架构中各种网络安全设备（如交换机、路由器、安全产品、服务器等）的购买决策以及企业互联网总出口带宽的大小和企业网络的最终拓扑和规模。同时，网络架构应具有较高的灵活性和可扩展性，可以随意添加或减少。此外，企业还应考虑当前的技术条件是否满足可控和可管理网络的要求。

3.3 系统边界

3.3.1 主动防御

为了促进大型企业各子系统数据信息的资源共享，系统边界应建立完善的主动防御措施。企业应为整个网络建立统一的防病毒系统，除了部署网络版杀毒软件对整个网络进行统一集中管理外，还需要做好网络层的病毒防护和入侵防御，同时做好网络传输过程中的访问控制，确保子系统的独立性，防止黑客攻击计算机，以此提高大型企业信息安全管理的有效性和质量。

3.3.2 物理隔離

大型企业的内部业务系统和需要访问互联网的系统应采取物理隔离的方式，使各系统更加独立。为了提高企业信息资源管理的效率和质量，需要在不同系统的独立单元中使用专用的网络来访问专用的系统，以确保实现物理隔离，避免使用直接网络访问的形式，并确保企业信息的安全。

3.4 计算环境

3.4.1 安全巡检

安全管理员需要定期对企业的重要信息资产进行安全巡检，巡检对象包括物理安全、网络安全、设备安全、数据安全等，对安全产品的特征库定期进行升级（不超过3个月），以确保安全产品特征库的有效性。定期进行 Webshell 检查，检查企业各应用系统中是否存在暗链博彩网页木马、恶意war包、远程包含恶意代码、系统后门类、ARP监听类、远程控制类、灰鸽子远程控制类后门程序等。

3.4.2 漏洞扫描

企业安全管理员需要定期对企业的重要信息资产（网络设备、安全产品、数据库、应用系统等）进行漏洞扫描，及时掌握安全漏洞的情况，并进行漏洞修复。漏洞扫描工作主要依靠自动化的扫描工具，并在扫描实施前制订合理的扫描方案，注意规避漏洞扫描的安全风险（修复前在测试环境上对补丁进行验证），从而避免非法人员恶意利用操作系统的安全漏洞对企业进行网络入侵。

3.4.3 渗透测试

企业针对重要系统进行渗透测试，通过模拟黑客的入侵和攻击方式，评估计算机网络系统安全，主要内容如下。

（1）系统信息收集。

系统信息收集主要包括收集和分析所有与目标地址相关的域名和关联IP地址、关联地址拓扑结构分析和发现、关联目标系统端口扫描、目标系统提供的服务识别、服务类型及服务指纹收集、服务相关的域名、邮箱、用户密码、后台信息以及从搜索引擎和第三方漏洞平台收集行业和单位已暴露的漏洞等关联信息。

（2）漏洞测试验证。

在信息收集的基础上，针对开放的服务端口进行安全漏洞扫描和手工漏洞验证。安全漏洞扫描采用两种以上的安全扫描工具实现；手工漏洞验证主要包括口令猜解、已发现系统漏洞的脚本和手工方式测试验证等，生成可利用漏洞和具有安全隐患的问题清单。

（3）漏洞关联分析。

对所获取的安全漏洞和安全隐患关联目标系统进行分析处理，生成到达目标系统的可能路径以及采用相关测试手段可能造成的安全风险，并与现阶段测试的成果和预期测试可达的成果向委托方提交申请，经批准后再进行漏洞深入挖掘工作。

（4）漏洞深入挖掘。

依据漏洞关联分析结果，通过漏洞的挖掘利用，提升或获取路径节点的控制权，在获取控制权的节点上通过采用网络嗅探、ARP欺骗、系统后门、代理中转、协议隧道等技术手段绕过相关安全设备和安全策略的限制以实现目标系统的控制。此过程可循环进行，直到测试目标达成。测试完成后清除相关中间过程数据，将目标系统可能产生的不利影响降到最低。

3.4.4 安全加固

（1）网络架构及边界安全策略整改优化。

依据安全检测发现的问题形成网络层面安全整改方案，主要内容包括但不限于网络结构调整、网络边界安全策略优化、设备安全策略加固等。

（2）操作系统及通用网络服务安全加固。

依据安全检测发现的问题形成系统层面安全整改方案，主要内容包括但不限于安全基线加固、防入侵策略优化、补丁升级等。

（3）应用系统漏洞修复。

协助软件开发商对应用程序漏洞进行修复，跟踪并检查程序逻辑是否被修改，对于应用层各类漏洞均能实现有效防护。

3.4.5 数据备份和安全恢复

安全恢复是企业网络安全最后一道保护屏障［3］。大型企业的数据包括敏感数据私有数据，如果不能以合理有效的方式处理数据，将对客户造成巨大的损失，也会影响用户的信任度。为了保证数据安全保护体系的质量和建设效果，提高数据的安全性，建立企业的良好声誉，企业需要对数据定期进行冗余备份和安全恢复，以确保用户隐私数据存储的安全。

3.5 管理制度

3.5.1 安全意识

为了提高大型企业网络安全管理的有效性和质量，企业需要定期对员工的安全意识进行教育和培训。网络安全管理部门须定期对信息系统进行巡检，分析企业存在的网络安全问题。企业员工访问互联网时，须对访问权限和访问时间进行控制，合理利用外部数据信息，减少外部网络访问量，降低企业信息泄露的风险。

3.5.2 应急演练

为保障企业网络安全及信息系统的稳定运行，扎实做好每年的网络安全工作，企业需要定期开展应急演练工作，以形成科学、有效、反应迅速的应急工作机制，检验既定网络安全应急预案的科学性、实效性和操作性，提升应急保障队伍应对突发网络安全事件的应急响应力及处置能力，防止因网络安全事件造成重大损失和负面影响，确保重要业务系统的安全、稳定和持续运行。

4 结语

为了保障大型企业的网络安全，信息安全管理部门需要结合技术层面和管理层面，从物理机房、通信网络、系统边界、计算环境和管理制度等方面对企业的网络安全进行综合防护，不仅要做好入侵防御、病毒防护，也要提高企业员工的网络安全意识，完善单位网络安全管理制度，全方位构建大型企业的网络安全体系。

参考文献

［1］游传强.大型企业集团信息系统的安全防护［J］.网络安全技术与应用，2017（2）：111-112.

［2］耿泽飞.大型企业网络安全解决方案探析［J］.网络安全技术与应用，2015（12）：27-28.

［3］舒翔，刘浪.大型企业网络安全部署研究［J］.黑龙江科技信息，2007（21）：74.

（编辑 王雪芬）