浅谈企业计算机网络信息安全体系的构建

南旭光

沈阳通利网络有限公司

浅谈企业计算机网络信息安全体系的构建

南旭光

沈阳通利网络有限公司

企业计算机网络信息安全体系的构建是一项长期的系统化工作，是需要全网统筹规划各相关单位部门协同、扎实推进的工作。因此，企业应全面加强对于信息安全的重视，通过加强人员培训、完善信息安全管理制度、应用先进信息安全技术产品等措施，提高企业信息安全水平，实现主动防御式的网络信息管理，以促进企业良性的健康发展。基于本文分析了企业计算机网络信息安全体系的构建。

企业；计算机网络信息；安全体系

1 、现阶段计算机网络存在的安全问题分析

1.1 网络信息安全隐患

由于互联网具有开放性特征，受不规范的资源共享行为、网络自身漏洞等因素影响，其客观存在一定的安全风险，常见问题包括网络信息遭受非正常授权使用、资源共享无法精准控制共享范围、无法有效管理U盘、移动硬盘等存储设备以及网络安全技术防护措施缺失等问题。

1.2 网络信息使用人员安全意识不足

虽然近几年计算机技术得到了较为广泛的应用，但部分操作人员仍不具备相应的网络信息安全使用意识，从而导致各种类型的网络安全问题，具体包括：忽略安全口令作用，对于必要的安全防护漠不关心；计算机未安装软件防火墙和相关杀毒软件；系统补丁更新不及时等。

1.3 网络安全管理缺失

就目前企业网络信息管理而言，普遍缺乏对于信息安全的规范化管理，多数企业不具备相应系统、完整、有效的安全管理制度及管理流程。并且，企业缺乏有效的实时网络信息安全监控手段，对于网络信息安全隐患，不能满足及时发现和消除的管理要求。

1.4 网络恶意攻击行为

现代社会逐渐趋向于向信息化方向发展，就企业网络信息而言，普遍蕴含着巨大的商业价值和经济价值。在经济利益的诱导下，网络上存在部分非法分子，使用恶意攻击性软件，窃取、损坏或篡改目标计算机信息，以获取不正当的利益，这种恶意攻击行为严重威胁着网络信息的安全。并且随着信息技术的发展，网络攻击逐渐从单一性向多样性发展，相应增加了网络信息安全保护的难度。

2 、企业计算机网络信息安全体系的构建

2.1 划分不同安全级别的安全域

划分不同安全级别的安全域，建立安全边界防护，设置不同的安全访问控制策略，防止恶意攻击和非法访问。整个网络的纵向通过防火墙来实现服务器安全域与终端设备安全域的划分；在服务器与终端设备的安全域边界部署防火墙、入侵检测和防病毒墙等安全产品；通过防火墙，访问用户终端、被访问的服务器及应用端口的控制、入侵检测设备对访问行为的检测及网络安全设备(如，防火墙、网络设备)的联动、防毒墙对传输中病毒过滤来加强服务器的保护，减少通过终端设备域给服务器域带来的攻击、病毒传递扩散等安全影响；整个网络的横向通过网络设备的VLAN来实现服务器间和终端设备间不同安全级别的划分，并通过网络设备的ACL控制技术来实现不同级别的服务器安全域和不同级别终端设备安全域间的控制，降低不同安全域间的相互影响，保证各自安全域的安全。

2.2 以企业计算机网络中关键业务应用系统及重要数据保护为核心

加强用户访问服务器的合法性，统一合法用户和规范授权访问，确保重要信息不被非授权访问，保证关键业务应用系统及重要数据的信息安全。应用系统及数据的运行安全，可将应用服务与数据库分开部署，数据采取统一集中存储，统一备份的方式；重要数据采取在线(通过应用系统自身的备份机制，定期进行数据备份)、近线(通过备份软件工具定期对应用系统的数据库进行备份)、离线(将备份出来的数据定期写入磁带库中磁带后进行磁带取出存档备份)的三级备份要求。关键业务应用系统需要建立应用系统的自身备份系统，定期开展备份数据恢复测试工作。同时，通过安全NAS等安全产品的部署应用，对关键及重要数据进行加密保存。

2.3 建立信息安全管理制度，健全信息管理人员配置

2.3.1 计算机设备管理制度。(1)计算机出现重大故障时，应及时向信息管理技术部门报告，不允许私自处理或找非本单位技术人员进行维修及操作；(2)业务部门的计算机开启审核功能，由信息终端维护人员定期导出系统审核日志。

2.3.2 信息系统管理制度。(1)信息系统管理及使用权限方案应根据岗位职责明确到人；(2)信息系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；(3)涉及数据整理、故障恢复等操作，须有系统管理上级及相关业务部门授权；(4)系统管理员及一般操作人员调离岗位，应及时注销其代码并生成新的操作员代码；(5)一般操作员不得使用他人帐户进行业务操作。

2.3.3 密码与权限管理制度。(1)密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。系统应有检验密码安全强度的设置；(2)密码应设定定期修改设置，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即联系管理人员进行修改，并记录用户名、修改时间、修改人等内容；(3)服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理。

2.4 严格控制传播途径

如果是在不使用网络传输的情况下，一定要将传播的途径切断，进而有效地避兔不明U盘或者是程序传输，能够使网络可疑的信息被严格控制在用户系统之外。另外，这种方法也能够避兔硬盘受到感染，确保计算机杀毒处理工作的有效性。

总之，从目前企业网络信息安全中存在的问题入手，构建信息安全体系，具有十分重要的现实意义，需要引起我们的重视。

[1]张文婷.浅谈计算机网络的信息安全体系结构[J].东方企业文化，2012，20：207.

[2]刘智能.浅谈构建计算机网络安全的管理体系[J].电脑知识与技术，2013，29：6517-6518.

[3]尉韬.计算机网络信息安全和防护体系构建[J].数码世界，2015，09：35-36.