肖斌

[摘 要]在當(dāng)前的信息安全形勢(shì)下，企業(yè)要以安全策略為核心，堅(jiān)持技術(shù)和管理相結(jié)合，建立覆蓋網(wǎng)絡(luò)管理、設(shè)備管理、系統(tǒng)管理、人員及權(quán)限管理、安全基線管理等多個(gè)方面的制度體系，采取防火墻、入侵防護(hù)、安全審計(jì)、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全技術(shù)防護(hù)措施，并堅(jiān)持定期對(duì)信息系統(tǒng)運(yùn)行情況進(jìn)行評(píng)估分析。此外，通過安全模擬演練、應(yīng)急事件實(shí)戰(zhàn)演練、網(wǎng)絡(luò)區(qū)域劃分、安全審計(jì)及CA統(tǒng)一身份認(rèn)證、安全運(yùn)維監(jiān)控等技術(shù)手段的實(shí)施與改進(jìn)，進(jìn)一步了增強(qiáng)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全防護(hù)能力。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 管理流程 安全體系框架 安全防護(hù)策略

中圖分類號(hào)：TP 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2017）01-0394-01

企業(yè)在網(wǎng)絡(luò)安全方面的整體需求涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行和信息內(nèi)容安全、運(yùn)行維護(hù)的多個(gè)方面，包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、網(wǎng)站安全、應(yīng)急管理、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容，這些方方面面的安全需求，也就要求企業(yè)要有一流的安全隊(duì)伍、合理的安全體系框架以及切實(shí)可行的安全防護(hù)策略。

一、強(qiáng)化安全隊(duì)伍建設(shè)和管理要求

企業(yè)要做好、做優(yōu)網(wǎng)絡(luò)安全工作，首先要面臨的就是組織機(jī)構(gòu)和人才隊(duì)伍建設(shè)問題，因此，專門的網(wǎng)絡(luò)安全組織機(jī)構(gòu)對(duì)每個(gè)企業(yè)來講都是必不可少的。在此基礎(chǔ)上，企業(yè)要結(jié)合每季度或者每月的網(wǎng)絡(luò)安全演練、安全檢查等工作成果和反饋意見，持續(xù)加強(qiáng)網(wǎng)絡(luò)安全管理隊(duì)伍建設(shè)，細(xì)化安全管理員和系統(tǒng)管理員的安全責(zé)任，進(jìn)一步明確具體的分工安排及責(zé)任人，形成清晰的權(quán)責(zé)體系。同時(shí)，在企業(yè)網(wǎng)絡(luò)自查工作部署上，也要形成正式的檢查結(jié)果反饋意見，并在網(wǎng)絡(luò)安全工作會(huì)議上明確檢查的形式、流程及相關(guān)的文件和工作記錄安排，做到分工明確、責(zé)任到人，做到規(guī)范化、流程化、痕跡化管理，形成規(guī)范的檢查過程和完整的工作記錄，從而完成管理流程和要求的塑造，為企業(yè)后續(xù)的網(wǎng)絡(luò)安全工作提供強(qiáng)勁、持久的源動(dòng)力和執(zhí)行力。

二、搭建科學(xué)合理的安全體系框架

一般來講，我國有不少企業(yè)的網(wǎng)絡(luò)安全架構(gòu)是以策略為核心，以管理體系、技術(shù)體系和運(yùn)維體系共同支撐的一個(gè)框架，其較為明顯的特點(diǎn)是：上下貫通、前后協(xié)同、分級(jí)分域、動(dòng)態(tài)管理、積極預(yù)防。

上下貫通，就是要求企業(yè)整個(gè)網(wǎng)絡(luò)安全工作的引領(lǐng)與落實(shí)貫通一致，即企業(yè)整體的網(wǎng)絡(luò)安全方針和策略要在實(shí)際的工作中得到貫徹實(shí)施；前后協(xié)同，就是要求企業(yè)得網(wǎng)絡(luò)安全組織機(jī)構(gòu)和人員，要積極總結(jié)實(shí)際的工作經(jīng)驗(yàn)和成果，結(jié)合企業(yè)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)，最新的國際、國內(nèi)安全形勢(shì)變化，每年對(duì)企業(yè)的網(wǎng)絡(luò)安全方針和策略進(jìn)行不斷的修正，達(dá)到前后協(xié)同的效果。分級(jí)分域，就是要求企業(yè)要結(jié)合自身的網(wǎng)絡(luò)拓?fù)浼軜?gòu)、各個(gè)業(yè)務(wù)系統(tǒng)及辦公系統(tǒng)的安全需求、企業(yè)存儲(chǔ)及使用的相關(guān)數(shù)據(jù)重要程度、各個(gè)系統(tǒng)及服務(wù)的使用人員等情況，明確劃分每個(gè)員工的系統(tǒng)權(quán)限、網(wǎng)絡(luò)權(quán)限，對(duì)使用人員進(jìn)行分級(jí)管理，并對(duì)相關(guān)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器等進(jìn)行分區(qū)域管理，針對(duì)不同區(qū)域的設(shè)備設(shè)定不同的安全級(jí)別。

動(dòng)態(tài)管理，就是要求企業(yè)的整體安全策略和方針、每個(gè)階段的安全計(jì)劃和工作內(nèi)容，都要緊密跟蹤自身的信息化發(fā)展變化情況，并要在國內(nèi)突發(fā)或重大安全事件的引導(dǎo)下，適時(shí)調(diào)整、完善和創(chuàng)新安全管理模式和要求，持續(xù)提升、改進(jìn)和強(qiáng)化技術(shù)防護(hù)手段，保證網(wǎng)絡(luò)安全水平與企業(yè)的信息化發(fā)展水平相適應(yīng)，與國內(nèi)的信息安全形勢(shì)相契合；積極預(yù)防就是要求企業(yè)在業(yè)務(wù)系統(tǒng)的開發(fā)全過程，包括可研分析、經(jīng)濟(jì)效益分析、安全分析、系統(tǒng)規(guī)劃設(shè)計(jì)、開工實(shí)施、上線運(yùn)行、維護(hù)保障等多個(gè)環(huán)節(jié)上要抱有主動(dòng)的態(tài)度，采取積極的防護(hù)措施，不要等到問題發(fā)生了再去想對(duì)策、想辦法，要盡可能的提前評(píng)估潛在的安全隱患，并著手落實(shí)各種預(yù)防性措施，并運(yùn)用多種監(jiān)控工具和手段，定期感知企業(yè)的網(wǎng)絡(luò)安全狀態(tài)，提升網(wǎng)絡(luò)安全事故的預(yù)警能力和應(yīng)急處置能力。

三、落實(shí)切實(shí)可行的安全防護(hù)策略

在安全策略方面，企業(yè)的安全防護(hù)策略制定思路可以概括為：依據(jù)國家網(wǎng)絡(luò)安全戰(zhàn)略的方針政策、法律法規(guī)、制度，按照相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范要求，結(jié)合自身的安全環(huán)境和信息化發(fā)展戰(zhàn)略，契合最新的安全形勢(shì)和安全事件，從總體方針和分項(xiàng)策略兩個(gè)方面進(jìn)行制定并完善網(wǎng)絡(luò)安全策略體系，并在后續(xù)的工作中，以總方針為指導(dǎo)，逐步建立覆蓋網(wǎng)絡(luò)安全各個(gè)環(huán)節(jié)的網(wǎng)絡(luò)安全分項(xiàng)策略，作為各項(xiàng)網(wǎng)絡(luò)安全工作的開展、建立目標(biāo)和原則。

在網(wǎng)絡(luò)安全管理體系方面，企業(yè)要將上述安全策略、方針?biāo)婕暗南嚓P(guān)細(xì)化目標(biāo)、步驟、環(huán)節(jié)形成具體可行的企業(yè)管理制度，以制度的形勢(shì)固化下來，并強(qiáng)化對(duì)相關(guān)企業(yè)領(lǐng)導(dǎo)、安全機(jī)構(gòu)管理人員、業(yè)務(wù)辦公人員的安全形勢(shì)和常識(shí)培訓(xùn)，提高企業(yè)從上至下的安全防護(hù)能力和安全水平；在運(yùn)維管理體系建設(shè)方面，企業(yè)要對(duì)每個(gè)運(yùn)維操作進(jìn)行實(shí)時(shí)化監(jiān)控，在不借助第三方監(jiān)控工具如堡壘機(jī)的條件下，要由專人進(jìn)行監(jiān)管，以防止運(yùn)維操作帶來的安全隱患，同時(shí)，企業(yè)也要階段性的對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、安全設(shè)備等進(jìn)行安全評(píng)估，分析存在的安全漏洞或隱患，制定合理的解決措施，從而形成日常安全運(yùn)維、定期安全評(píng)估、季度安全分析等流程化管理要求和思路。

在技術(shù)防護(hù)體系建設(shè)方面，企業(yè)可以參照PPDRR模型，通過“策略、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)”這五個(gè)環(huán)節(jié)，不斷進(jìn)行技術(shù)策略及體系的修正，從而搭建一套縱向關(guān)聯(lián)、橫向支撐的架構(gòu)體系，完成對(duì)主機(jī)安全、終端安全、應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全等各個(gè)層面的覆蓋，實(shí)現(xiàn)技術(shù)體系的完整性和完備性。企業(yè)常用的技術(shù)防護(hù)體系建設(shè)可以從以下幾個(gè)方面考慮：

（1）區(qū)域邊界防護(hù)策略：企業(yè)可以考慮在各個(gè)區(qū)域的邊界、互聯(lián)網(wǎng)或者局域網(wǎng)出口部署下一代防火墻、入侵檢測(cè)與防御設(shè)備（如果條件合適，可以考慮選擇入侵防御設(shè)備）、上網(wǎng)行為管理、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全新技術(shù)和新設(shè)備，從而對(duì)互聯(lián)網(wǎng)出口或者重要區(qū)域邊界進(jìn)行全面的防護(hù)，提高內(nèi)網(wǎng)出入接口的安全保障水平。此外，針對(duì)有企業(yè)生產(chǎn)網(wǎng)的情況，要對(duì)生產(chǎn)網(wǎng)與內(nèi)網(wǎng)進(jìn)行物理隔離，并對(duì)接入生產(chǎn)網(wǎng)的各種終端設(shè)備進(jìn)行防病毒查收、報(bào)備，防止影響生產(chǎn)安全的各種事件發(fā)生，保障企業(yè)的財(cái)產(chǎn)安全。

（2）身份認(rèn)證和安全保密策略：在企業(yè)員工進(jìn)行網(wǎng)絡(luò)應(yīng)用、業(yè)務(wù)應(yīng)用過程中，尤其是終端上網(wǎng)、財(cái)務(wù)核算付款等應(yīng)用過程，必須要建立嚴(yán)格的身份認(rèn)證和安全保密策略，包括：建立統(tǒng)一的數(shù)字證書認(rèn)證體系、保密U盤、密碼器等配套設(shè)備，并針對(duì)終端上網(wǎng)采用DHCP服務(wù)器或者部署相關(guān)的終端管理軟件，MAC及IP綁定軟件等，以控制員工的網(wǎng)絡(luò)訪問，并利用上網(wǎng)行為管理進(jìn)行審計(jì)。在業(yè)務(wù)應(yīng)用許可上，如果條件允許，可以考慮在數(shù)字證書的兼容下，建設(shè)統(tǒng)一的單點(diǎn)登錄系統(tǒng)，完成對(duì)員工各個(gè)系統(tǒng)用戶名、密碼的統(tǒng)一管理和數(shù)字證書認(rèn)證，實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一審核、統(tǒng)一審計(jì)。此外，在數(shù)據(jù)及信息安全保密上，要對(duì)重要的員工數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等進(jìn)行加密存儲(chǔ)、單獨(dú)存儲(chǔ)，對(duì)相關(guān)的數(shù)據(jù)庫和數(shù)據(jù)表進(jìn)行加密，并嚴(yán)格審計(jì)訪問和使用相關(guān)數(shù)據(jù)的行為，同時(shí)，也要在數(shù)據(jù)傳輸過程中采取MD5等加密手段，防止利用wireshark等截獲明文數(shù)據(jù)。

（3）安全運(yùn)行和運(yùn)維策略：在日常運(yùn)行過程中，企業(yè)要建立定期檢查、評(píng)估、分析的安全機(jī)制，對(duì)網(wǎng)絡(luò)安全的整體狀態(tài)要有針對(duì)性的掌控，并適時(shí)結(jié)合云安全、大數(shù)據(jù)等新技術(shù)和工具，建立云預(yù)警平臺(tái)，并結(jié)合日志服務(wù)器、監(jiān)控預(yù)警服務(wù)器等定期對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)，實(shí)現(xiàn)預(yù)警、審計(jì)、響應(yīng)、修復(fù)的全過程聯(lián)動(dòng)。同時(shí)，針對(duì)重要數(shù)據(jù)和服務(wù)要建立相應(yīng)的容災(zāi)備份機(jī)制，對(duì)數(shù)據(jù)進(jìn)行異地存儲(chǔ)，對(duì)應(yīng)用進(jìn)行雙機(jī)互備，從而進(jìn)一步強(qiáng)化系統(tǒng)應(yīng)用和數(shù)據(jù)的安全防護(hù)水平。此外，在當(dāng)前云服務(wù)租賃等越來越盛行的情況下，企業(yè)應(yīng)該與服務(wù)供應(yīng)商簽署嚴(yán)格的安全保密協(xié)議，明確雙方的責(zé)任和義務(wù)，并對(duì)相關(guān)的服務(wù)外包過程、日常運(yùn)維過程等進(jìn)行監(jiān)管，提高系統(tǒng)應(yīng)用的安全水平。