企业中计算机网络安全防护体系的构建

摘要：随着网络技术的发展及网络产品成本的不断下降，计算机网络已经在企业的日常运作中扮演着越来越重要的角色。从电子商务到电子邮件，到最基本的文件共享、网络通信，一个良好的网络系统对提高工作效率，加强企业内部合作，沟通企业与外部的关系，处理客户的要求都起着关键的作用；但不容忽视的一个问题是由于网络本身存在的脆弱性从而导致的网络安全问题。本文阐明了企业网络安全的重要性，分析了企业面临的网络威胁，从技术架构及网络管理方面提出了相应的网络安全保障策略。

关键词：企业；网络安全防护；网络管理

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2010) 16-0000-02

The Construction of Enterprise Computer Network Security Protection System

Zhang Xu

(Xi"an Xianyang International Airport Co.,Ltd.,Xianyang 712035,China)

Abstract:With the development of network technology and the falling cost of network products,computer network has been in daily operation of enterprises play an increasingly important role.From e-commerce to e-mail, to the most basic file sharing,network communication,a good network system to improve efficiency,strengthen internal cooperation and communication between enterprise and outside to deal with customer demands have played a key role;However,a problem can not be ignored because of the vulnerability of the network itself,resulting in the existence of network security issues.This article illustrates the importance of enterprise network security,analysis of network threats facing enterprises,from the technical architecture and network management proposed appropriate network security policies.

Keywords:Enterprise;Network security protection;Network management

一、企业网络安全的重要性

在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题，对于企业更是如此。例如：在竞争激烈的市场经济驱动下，每个企业对于原料配额、生产技术、经营决策等信息，在特定的地点和业务范围内都具有保密的要求，一旦这些机密被泄漏，不仅会给企业，甚至也会给国家造成严重的经济损失。

二、企业网络安全风险分析

网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性应用，企业网络安全也不例外。企业网络安全的本质是保证在安全期内，网络上流动或者静态存放的信息不被非法用户访问，而合法授权用户可以正常访问。企业网络安全的目标是保障信息资产的机密性、完整性和可用性。通过对企业网络现状分析，并与资产的机密性、完整性和可用性的要求比较，我们总结出企业主要面临的安全威胁和问题主要体现在以下几个方面。

（一）网络物理安全风险分析

地震、水灾、火灾等环境事故会造成整个系统毁灭；电源故障会导致设备断电以至操作系统引导失败或数据库信息丢失；设备被盗、被毁造成数据丢失或信息泄漏；电磁辐射可能造成数据信息被窃取或偷阅。

（二）网络边界安全风险分析

网络的边界是指两个不同安全级别的网络的接入处。对于骨干网来说，网络边界主要存在于Internet和出口外部网络的连接处，内部网络中办公系统和业务系统之间以及内部网络之间也存在不同安全级别子网的安全边界。如果没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。

（三）应用服务系统安全风险分析

目前使用的操作系统主要包括Windows、UNIX操作系统，应用系统主要通过外购、自行开发的系统，这些系统可能存在着“Back-Door”或安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。

（四）网络内部安全风险分析

网络安全攻击事件70%是来自内部网络；通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径使病毒程序潜入内部网络；而网络是病毒传播的最好、最快的途径之一；内网客户端一旦感染病毒就很容易对整个网络造成危害；所以内网客户端的病毒防护和补丁管理等是网络安全管理的重点。

（五）网络管理的安全风险分析

在网络安全中，安全策略和管理扮演着极其重要的角色，如果没有制定有效的安全策略，没有进行严格的安全管理制度来控制整个网络的运行，那么这个网络就很可能处在一种混乱的状态。再者就是安全管理意识不强。企业管理层重视程度不够，认为花钱就能解决问题，盲目追求先进，甚至打算一步到位。

三、企业计算机网络安全体系的建构

企业中计算机网络安全防护体系的构建应该依据以下步骤：应用分析→划分适当的安全域→风险分析→以《计算机信息系统安全等级划分准则》为依据，确定相应的安全等级→以安全保护（PDRR）模型为指导，以保护信息的安全为目标，以计算机安全技术、加密技术和安全管理等为方法进行分层保护→构建整体的安全保护保障体系。

（一）应用分析

应用分析，应该包括二个方面，一是用途分析；二是对信息网络上的信息资产进行分析。不同的应用，信息资产也是不同的，存在的安全问题也肯定是不同的。试想一个单纯的接人互联网的信息网络（如网吧）与政府的办公网络的安全问题会一样吗?实际上，在同一个信息网络上，流动的信息也是不一样的，它们安全性的要求当然也是不同的。

（二）风险分析

在进行了应用分析的基础上，应该对某一用途，或某一级别或类别的信息，或某一安全域进行风险分析。这种分析可用一个二维的表格来实现。首先确定某一信息类别，或一个安全域，以可能发生的风险为X轴，对应于每一个风险，应该有3个参数填入到表格中，一个是该风险发生的概率，另一个是该类信息对该风险的容忍程度，再一个是该风险可能发生的频率。事件发生的概率，目前可能很难给出量化值，可以给出一个等级标准，如不易发生，易发生和极易发生，而容忍度也只能给出等级，如无所谓、可以容忍，不能容忍和绝对不能容忍等。实际上我们在风险分析时，可以将风险列得更细些，更全面些。对一个与互联网没有物理联结的内部网络来说，通过互联网发生的人侵，发生的病毒灾害应该是不易发生的是小概率事件，而对于一个网站来说，这二者且是极易发生的事件。

（三）确定安全等级

在对信息分级和分类基础上，应该依据《计算机信息系统安全等级划分准则》（国标17859）确定相应的安全保护等级。《准则》给出了五个等级标准，每个标准等级都相应的要求。笔者认为不一定完全的套用某一个级别，可以根据风险分析的结果，与准则中的要求进行一定的对应，确定准则中的某一个级别，或以一个级别为基础，在某些方面可做加强，而在另一些方面可以相对减弱。再次强调，保护应该是信息分级为基础，对于不同级别的信息保护强度是不一样，不同等级信息，最好在不同的安全域中加以保护。这样不需要保护的信息就可以不加保护，而需要加强保护的信息，就可以采取相对强度较高的保护措施。但这种保护，必须兼顾到应用，不能因为保护而造成系统的应用障碍不过为了安全牺牲掉一些应用的方便性也是必要的。

（四）分层保护问题

确定了安全级别之后，在风险分析的基础上，应该以计算机安全保护（PDRR）模型为指导，以《计算机信息系统安全等级划分准则》的依据，以计算机技术、计算机安全保护技术、保密技术和安全管理等为保护手段，以信息的机密性、完整性、可控性、可审计性、可用性和不可否认性等为安全为保护目标，分层分析和制定保护措施。所谓分层保护，就是要把所列出的那些较为容易发生，且又不能容忍的风险，分解到各个层面上，然后利用计算机技术、计算机安全保护技术、加密技术和安全管理手段尽量的按一定的强度加以保护，以规避相应的风险。如信息抵赖的风险，应该发生在用户层面，可以用对用户的身份认证技术来解决这样的风险。火灾、水灾都应该在物理层面上加以保护。许多风险可能是对应于多个层面，那就应该在多个层面上加以保护，如信息泄露，在所有的层面上都会发生，那就应该在所有的层面加以保护。

（五）构建完整的保障体系

对信息网络进行了分层次的安全保护，好像我们的任务就已经完成了，实际上则不然。信息网络是一个整体，对它的保护也应该是一个整体。首先，在进行分层保护的策略制定以后，首先应该在整体上进行评估，特别是结合部安全是还存在着问题。如，通过数据库可以获得系统的超级用户权限。其次，我们是以不同的信息资产或不同的安全域来进行分层保护的，而不是整个网络。此时我们应该对不同的信息资产或不同的安全域的分层保护方案进行比较和综合并进行适当的调整，考虑信息网络整体的保护方案。第三是应该选择适当的安全产品或安全技术。在安全产品的选择上即要考虑产品本身的先进性，还应该考虑安全产品本身的成熟性，对一些非常重要的信息网络，不要第一个去吃螃蟹。最后还应该考虑对网络中的安全产品实现统一的动态管理和联动，使之能成为一个动态的防范体系，成为一个有机的整体。动态管理应该考虑，安全策略发生错误和失效的修改，以及对安全产品失效的对策，应该有预案。联动，就是使所有使用的安全产品，在发生安全事件时，能够成为一个防范的整体。整体的安全体系的建立，还应该对安全的措施成本进行核算，国外的信息网络在安全方面的投人可达到系统建设费用的15%-30%，这个费用标准我们可以用来参考。核算措施成本后，还应该对成本效益进行评估，对于保护费用与效益在同一数量级上的花费，则应该考虑是否有必要进行这样的保护。

四、结束语

技术与管理相结合，是构建计算机网络信息系统安全保密体系应该把握的核心原则。为了增强计算机网络信息系统和计算机网络信息系统网络的综合安全保密能力，重点应该在健全组织体系、管理体系、服务体系和制度（技术标准及规范）体系的基础上，规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案，努力提高系统漏洞扫描、计算机网络信息系统内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。

参考文献：

[1]徐智刚.网络安全体系建设研究与探讨[J].中国新技术新产品,2010,10(2):33

[2]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社,2003

推荐访问:计算机网络 安全防护 构建 体系 企业