对企业信息化建设中的网络安全管理问题探讨

刘忠海 国网辽宁省电力有限公司信息通信分公司 刘永胜 国网辽宁省电力有限公司

于海 国网辽宁省电力有限公司信息通信分公司 刘倩 国网辽宁省电力有限公司营销服务中心

一、企业网络安全现状

随着信息技术的飞速发展和广泛应用，国民经济、军事和社会发展对信息系统的依赖程度越来越高。但是，信息系统会产生各种安全风险。一旦信息系统受到来自外部或内部网络的风险的攻击，它将产生严重的后果，并给国家、企业或个人带来不可估量的损失。为了避免因为网络安全问题给企业造成损失，进行有效的风险评估和主动的安全防御是解决企业网络安全问题的关键。网络安全问题主要由自然环境、人为因素和系统因素造成，主要表现的方面是：自然灾害、黑客攻击、外部漏洞、内部泄漏等。它还包括信息战和网络协议本身的缺陷，例如TCP / IP协议安全性问题。如果想要保护企业的信息安全，那么首先要了解的是入侵者会去攻击数据信息的哪个特征。信息入侵者无论采用哪种方式进行攻击，都会通过攻击系统的完整性、可用性、可控性、和机密性来达到入侵的目的。

现在的网络技术已经渗透到了社会经济和人们生活的各个领域，并且随着网络技术的不断发展与变革，网络攻击技术也变得越来越复杂，通过将各种攻击技术相融合，使得企业有效开展网络安全防御工作更加艰难。从目前形势来看，企业切实做好网络安全防护工作已经到了刻不容缓的地步，稍有不慎将可能严重影响企业的正常运营，甚至威胁到国家的安全。我国企业虽然信息化建设水平很高，但是网络安全管理工作做的还是不到位。随着经济的发展，一些中小型企业不断涌现，但是中小型企业不像大型企业那样，有能力组建自己的安全队伍，保护企业的安全。当前如何加强这些中小型企业的安全管理，避免遭受网络攻击显得更加困难。因此，现阶段急需一个适用于所有企业的网络安全管理思路和方案，让企业在信息化建设过程中参考。

二、企业信息安全问题分析

(1）高安全性需求的原因

随着通信媒体和电子存储媒体的广泛发展，人们感到对个人和企业的安全性需求越来越高。现阶段企业出现较高的安全需求，原因可以归纳为以下几点：1）在贸易和日常生活中人们越来越多地使用电子媒体；2）网络中的信息共享；3）来自不同地方的信息可访问性；4）信息丢失的风险增加；5）缺乏专业的人才。

(2）安全问题

企业准确的了解什么是安全问题，可以帮助分析企业网络安全需求设置是否合理。基于企业的网络拓扑信息，我们大致需要解决以下安全问题：1）内部安全问题，包括网段的划分；2）如何实现网络边界安全；3）如何保证应用系统的安全性；4）如何防止黑客入侵网络和服务器；5）如何实现数据库和个人终端安全；6）如何保证企业信息传输安全和计算机网络安全；7）如何阻止在通讯内容中的否认、伪造、篡改和冒充行为；8）如何评估整个网络安全系统。

（3）风险分析

风险分析的重要过程是确定所有需要保护的资源，尤其是与安全性问题相关的资源。这些资源包括：工作站、服务器、网络和其他硬件设备等；程序和应用程序、操作系统和其他软件的在线存储、传输和数据备份。企业网络系统几乎包括所有的开源资源，如果企业尚未构建安全和保护系统，则将存在以下重大安全威胁：1）与Internet的直接链接；2）脆弱的欺诈行为；3）数据漏洞；4）缺乏对整个网络安全管理的控制；5）缺乏防止泄漏的安全措施。通过对计算机网络系统的初始风险分析以及掌握解决安全问题的需求，我们才可以进一步制定出保护企业信息安全的方案。

三、企业网络安全管理问题解决方案

(1）设计原则

鉴于当前社会企业信息化建设的实际完成情况，可以发现当务之急是解决企业的网络安全问题。考虑到技术上的合理性和设计成本等因素，我们应遵循以下思想：1）实质性地提高系统安全性；2）尽可能保持原有的网络特征；3）易于操作、维护和自动化管理，而无需增加额外的操作员；4）在不影响原有网络拓扑的前提下，系统易于扩展；5）安全系统性能好且成本低，一次性投资可长期使用；6）安全和加密产品须经国家有关当局和认证的批准；7）逐步实施。

(2）企业网络安全管理

在设计技术措施时，必须考虑安全管理。正是由于组织管理者和员工中出现了许多不安全因素，因此计算机网络安全必须考虑这些问题，领导者应注意安全管理。随着安全项目的规划和实施，以及信息网络系统的逐步建立健全，还必须建立具有自上而下管理规则的安全组织。与企业中安全结构的级别相对应，安全系统应该是分层的结构，建议由专门机构和人员负责对整个网络进行日常安全管理。主要职责是：监视整个网络的运行和安全信息；在各级网络上进行审计和对日志信息进行常规分析；对安全设备进行常规维护；安全战略规划、制定和实施；处理网络安全事件等等。企业信息系统的安全法规可以分为两部分：第一部分是国家保密局和公安部制定的法律法规中的信息安全管理，另一部分是企业自己制定的系统规章制度，它应该与网络安全机制相互补充。

(3）企业信息安全模型

鉴于网络安全问题日趋严重以及企业对安全的需求日益突出，我们提倡使用动态安全模型，该模型已被专业人士和企业家广泛认可。动态安全模型主要包括策略、保护、检测和响应。安全策略是一组有助于定义可接受的安全级别的规则，因此组织和企业应考虑这些策略。对于不同的组织来说，他们会有不同的安全需求，因此应该为他们指定不同的安全策略。企业的安全策略包括一组操作和说明，这些操作和说明提供了安全级别。组织和企业适当的解释安全策略，将有助于为实施管理控制提供适当的指导。在建立企业信息系统之前，应先执行系统的安全策略，因为如果没有安全策略，就无法将安全计算机与不安全计算机区分开。另外，保护、检测和响应是不完整周期的动态组成部分。

四、结束语

随着企业信息化建设的步伐越来越快，企业的信息安全保护也面临着前所未有的困难和挑战。众所周知，信息安全不是单个技术问题，安全审计和安全管理是网络信息安全系统的必要组成部分，使用安全相关产品应采取相应措施并完善制度。企业信息安全也是一个动态问题，因此，应定期对管理部门进行事件和安全需求处理，并及时反映安全需求的变化，以调整安全策略。本文首先对企业的网络安全现状和问题进行了分析，然后针对这些网络安全问题，提出了相应的解决方案，并且这些方案适用于多数企业。当今社会，无论企业规模如何，要想在激烈的市场竞争中生存下来，就必须在企业信息化建设的过程中注重网络安全管理的工作，这对于企业的长久发展具有重要的意义。