企業網絡安全現狀分析及對策

　　互聯網絡深入到生產生活的各方面，改變了傳統的生產模式，對促進生產力的提高發揮著重要的作用;中石化也正是看到了這一點，在近幾年加快了信息化建設的步伐。網絡也在不斷調整和優化，幾乎每個加油站網點都被納人公司局域網之內;而且陸續投人使用了ERP系統、V20系統、視頻監控系統、加油卡系統等。這些系統的推廣和使用對提高中國石化的生產、經營和管理水平發揮了很大的作用。隨著中石化信息化不斷深入，網絡安全已成為維持日常經營活動正常開展的前提。中石化網絡信息安全管理架構的形成，既是企業業務需求形成的結果，也是網絡安全領域向全方位、縱深化、專業化方向發展的結果.無論從經濟效益還是社會影響考慮.我們都應該重視我們企業的網絡安全管理及系統建設情況。

　　1、網絡安全的含義及特征

　　1.1網絡安全定義

　　網絡安全指的是:為保證網絡正常平穩的運行，而采取使其免受各種侵害的保護措施。

　　1.2網絡安全特征

　　1)完整性:指信息不能在未得到授權的情況下擅自修改，不能被破壞、信息確保完整和及時傳送，確保承載企業信息的網絡系統完整性和有效性;

　　2)機密性:指網絡能夠阻止未經授權的用戶讀取保密信息，能夠保證為授權使用者日常的使用，并能防止非授權用戶的使用，而且有防范黑客，病毒等;

　　3)可用性:要保證系統時刻能正常運行，確保各種業務的順利開展。

　　2、企業網絡安全的要求

　　企業對信息網絡安全方面的需求主要包含:

　　1)實現網絡安全首先要保證機房能為各種核心設備提供符合標準的運行環境，要有門禁系統、防火、防雷、防靜電、防潮、防鼠防蟲等設備，有冗余供電線路和后備電源甚至發電系統，有空調設備保證機房恒溫，每天定時巡檢，及時發現問題及時解決。

　　宿遷分公司機房于2009年底進行改造，改造后較改造前有較大改觀;但還存在一些問題，比如UPS電池組使用超過期限，防潮防鼠防蟲不到位，沒有冗余供電線路和發電設備等等;但這些問題相對于泗陽、泗洪、沐陽、黑魚汪油庫、南關蕩油庫來講就不是問題了，因為這三縣兩庫根本就沒有機房，網絡設備隨意堆放，沒有任何防護措施，人員可以隨意出入，網絡布線雜亂無章。不過省信息處已經意識到此問題，準備在兩個油庫建立標準化機房，希望盡快改造，早日消除風險。

　　2)要實現網絡安全首先要實現承載公司各種業務系統的操作系統的安全，這有許多工作要做，比如:及時升級系統補丁堵住漏洞，關閉不必要的端口，配置系統安全策略，有選擇性限制用戶對系統的使用權限等;這些一系列復雜的操作，要按期望的結果執行，則必須制定一定的規范，將所有需要執行的步驟程序化，這樣可以規范一線信息人員的操作行為，減少誤操作的可能性，為網絡安全奠定堅實的基礎。

　　3)公司關鍵業務數據必須按照內控要求及時備份，并定期對備份介質進行可讀性檢查;公司移動辦公用戶接人內網辦公時，數據需要加密傳軸;保證業務系統正常運行，即使在業務中斷情況下也能迅速恢復。

　　省公司在保證數據安全性方面并沒有統一的解決方案，這對一個企業來講是非常危險的，數據的價值對企業的重要性是不言而喻的，因此我們不僅要制定有效的數據丟失防范策略，而且還要有相應的設備的支持。

　　4)公司關鍵網絡設備應該有冗余線路和冗余設備，以便在網絡中斷或設備停止工作時能自動切換，保證系統平穩運行;但我們還是冷備，斷網時需要手動切換，存在單點故障.需要改進。

　　5)加強對系統操作人員的培訓，通過培訓加深相關人員對業務系統的理解和認識，從而可以減少誤操作可能性，最大程度減少內部原因引起的各種不穩定因素。對安全性要求較高的場合，采用數字證書等認證方式，代替傳統的不安全的用戶名口令授權模式。對業務系統和內部網絡進行嚴格監控，防止異常情況的發生，并在發現異常時能及時采取相應措施。

　　3、企業網絡安全現狀及主要威脅

　　3.1來自企業內部的威脅

　　在所有對網絡安全造成威脅的事件中，來自企業內部的占絕大多數。據統計，來自企業外部的威脅只有不到1/4，而3/4以上的網絡安全威脅事件來自企業內部。且這些來自于企業內部的網絡安全事件中，源自企業內部制度不健全、安全意識較差等自身管理問題占3/5;企業內部未經授權的訪問所造成的威脅占1/5;剩下的1 /5則是由于設備老化或者相關人員操作失誤而導致。

　　由此可知，源于企業內部的安全威脅所占比重最大，所以對企業內部采取必要的安全措施是非常必要的。內部員工了解公司網絡結構、數據存放方式和地點、甚至掌握業務系統的密碼。因此從內部攻擊是最難預測和防范的。另一方面商業竟爭可導致更多的惡意攻擊事件的發生。特別是個別員工安全意識不高，有意或無意泄露企業商業機密、甚至為了謀取個人利益將其出售給競爭對手，最終給企業造成重大損失。

　　防范來自公司內部的威脅可以部署上網行為管理設備，它可以監控、規范并且記錄用戶的上網行為;根據不同的崗位設置不同的安全防護等級;甚至還可以防范DDOS, ARP攻擊等行為。因此我們認為要提高公司網絡安全和管理水平，很有必要部署此設備。

　　3.2來自企業自身發展水平的威脅

　　首先，由于公司用車不便、信息人員較少等多方面的原因，我公司信息安全問題一直有較多隱患。出現問題有時無法及時排除，特別是省公司卡管系統最近問題極多，這不僅影響經營也影響公司在客戶心目中的形象。

　　其次，公司加油站OA電腦配置水平較低，而且運行較多業務軟件，如:OA系統、液位儀、視頻監控、桌面安全、Norton網絡版客戶端等，電腦運行不暢，經常發生停頓無響應甚至死機情況，這樣不僅無法防病毒，而且會影響業務，只會有反作用.而且絕大部分加油站OA電腦使用時間超過4年，已不適應業務發展的需求，建議升級。

　　第三，公司加油站及油庫都已經安裝視頻監控系統，但沒有相應的規章制度來合理使用此系統，因此無法起到對經營及網絡安全的提升和促進作用。

　　3.3來自網絡黑客破壞和病毒的威脅

　　在互聯網高速發展的今天，相應的攻擊技術和黑客工具傳播很快，相關工具使用起來也變得非常容易;因此導致攻擊事件層出不窮。這些行為的出現還有較深層次的原因:首先是商業競爭導致的企業間為了各自利益而不顧道德和法律的約束，擅自雇傭黑客攻擊競爭對手以便獲取對方信息然后制定相應策略打壓對方;其次，越來越多的年輕人掩飾不住好奇心紛紛加人黑客隊伍，他們以設計黑客程序，攻破預期日標為樂，以此炫耀白己的技術水平。

　　如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升，因此造成的損失也呈兒何級數增長。隨著我們網絡的發展和應用的深入，網絡上存儲大量的重要信息，甚至包括核心信息。一喊遭到破壞，輕者影響業務增加維護成本;重者造成信息泄露，業務中斷，企業無法正常經背。我們就曾經遭受過沖擊波、震蕩波、ARP病毒的攻擊，導致系統莫名重啟，無法聯網的情況;現在操作系統的漏洞層出不窮，我們應該防范于未然，充分利用現有的桌面安全管理系統和Norton防病毒系統，將間題消滅在萌芽狀態。

　　4、加強與完善企業網絡安全管理的對策與建議

　　4.1建立網絡功能管理平合

　　現在的網絡系統日益龐大，網絡安全應用中也有很多成熟的技術可借鑒和使用，如防火墻、入侵檢測、防病毒軟件等;但這些系統往往都是獨立工作，處于“各自為政”的狀態，要保證網絡安全以及網絡資源能夠充分被利用，需要為其提供一個經濟安全、可靠高效、方便易用、性能優良、功能完善、易于擴展、易于升級維護的網絡管理平臺來管理這些網絡安全設備。中石化江蘇分公司在20(”年嘗試使用過HP Open View網絡管理系統，它的強大的網絡管理功能和跨平臺性是非常獨到的，它不僅功能強大、使用簡單，而且很適合宿遷分公司的復雜網絡環境。

　　4.2建立企業身份認證系統

　　傳統的口令認證方式雖然方便，但是由于其易受到竊聽、重放攻擊等的安全缺陷，因此這種方式已無法滿足當前復雜網絡環境下的安全認證需求。所以企業應盡量采用PKl的USB Key技術體系的身份認證。

　　中石化已經在2008年開始陸續在下屬分支公司的資金集中管理系統及OA簽章系統使用基于PKI的USB Key的認證系統;并且在2010年終止多用戶使用一個VPN賬號的粗放且不安全的管理方式，采用專人專號，集中申請和管理的方式，極大增強了安全性和保密性;這典安全的認證體系在提供身份認證的功能時，為企業的敏感通信和交易提供了一套信息安全保障.通過一定的層次關系和邏輯聯系，構建了用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統構成的綜合性安全技術體系，確保企業信息資源的訪問得到正式的授權，驗證資源訪問者的合法身份，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求，將企業網絡運行風險進一步細化，盡可能地減輕由于網絡安全管理風險給可能給企業造成的形象與經濟損失。

　　4.3應用防病毒技術，建立全面網絡防病毒體系

　　計算機網絡應用技術已經覆蓋企業生產經營方方面，各種信息設備在企業中扮演著重要的角色，因此保證它們安全穩定運行的要求變得很迫切。

　　江蘇石油分公司為了防止受到來自于多方面的威脅，特別是病毒的威脅。最大程度降低因病毒所造成的經濟損失，從2004年開始部署并在2009年升級了Norton網絡版防病毒系統，并采用多層的病毒防衛體系，在每臺PC機上安裝反病毒軟件，在網關上安裝基于網關的反病毒軟件，在服務器上安裝基于服務器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術，在網絡入口處檢查網絡通訊，根據企業設定的安全規則，在保護自身網絡安全的前提下，保障內外網絡通訊的暢通無阻。我們在網絡出口處安裝防火墻后.所有來自外部網絡的訪問請求都必須通過防火墻的檢查，內部與外部網絡的信息得到了有效的隔離，使得宿遷分公司網絡安全有了很大的提高;但由于投人使用的防火墻擴展性有限，隨著業務的擴展，它已經較難適應現在的業務需求，需要更換，否則會是一個較大的隱患。

　　4.4理立完善的數據備份與恢復體系

　　保證網絡安全的前提是保證業務系統數據的安全，我們根據公司的業務特點和網絡現狀，建立了基于Linux的數據備份系統，既能保證公司業務系統數據(如:財務數據、FTP數據和瑞通換票系統數據等)和關鍵用戶數據能及時自動同步到專用服務器上，又能在系統恢復后把數據白動同步回來。此系統客戶端支持Windows, Linux, Mac，因此兼容性好，應用前景廣。此系統有專人管理并定期刻錄轉存備份的數據，定期對轉存的數據做可讀性測試并做好記錄，有力保證了數據和網絡的安全，在使用中起到了良好的效果，公司應該盡快在全省推廣此應用，讓數據丟失的悲劇水遠不要再發生。

　　4.5建立安全管理制度度和規范管理人員

　　要保證計算機網絡的安全性，首先管理工作必須到位;因為網絡管理也是計算機網絡安全重要組成部分。通過制定相應的規范并有配套制度能保證規范執行到位，這是維持信息化企業經營活動正常開展的前提。分公司信息站在這方面應該是執行者，引導并監督相關人員正確、規范執行。任何好的制度和措施，如果沒有很好的執行，也只能是空談;網絡安全方面也是如此.我們倡導“技術先行，管理到位”的原則，這也正和內控制度相吻合。比如:使用門禁系統嚴格控制并記錄人員進出，機房每天定時巡槍、設備出入嚴格記錄并有負責人簽字;設備或網絡故障都有一套嚴格的響應機制和應急機制，確保及時發現，及時響應，及時處理;隨著這套機制在實踐中的逐步完善，我們的管理水平和網絡安全水平會有更大的提高。

　　對企業員工要強化宣傳，加強網絡安全教育和法制觀念教育，讓安全觀念和法制觀念深入人心，提高公司員工對網絡安全的認識和保護網絡安全的主動性。

　　4.6 視對員工的培訓

　　網絡安全做的再好，如果缺少人的因素，也是沒有意義的;因此人員素質的高低對信息安全方面至關重要;提高人員素質的前提就是加強培訓，特別加強是對專業信息人員的培訓工作。目前的現狀是，公司缺乏系統的、長期的培訓計劃，無相應培訓經費，偶爾組織的培訓課程也都是走馬觀花，蜻蜓點水。信息人員每天都扮演消防員的角色，到處救火，疲于奔命，一直停留在較低層次水平。公司如果能有制定合理的人才發展規劃，讓信息人員的業務水平能有穩步提高，進而能主動發現問題，解決問題，將問題解決在萌芽狀態。而且信息人員素質的提高對業務的提升能起到推動性的作用，信息人員可以對一線員工進行培訓，提高他們對業務系統的操作能力，進而可以提升公司形象，最終形成良性發展模式。

　　5、結論

　　綜上所述，企業網絡安全領域以及網絡安全管理是一個綜合、交叉的綜合性的課題。我們在充分享用它帶來便利的同時，也應將網絡安全放在可以管理的范圍之內。企業信息化建設過程中雖然面臨眾多網絡安全威脅，但是如果通過一定的技術和管理手段，在安全的范疇內不斷探索和嘗試，并在實踐工作中學習和掌握新的網絡安全與管理知識，我們完全可以構建一個安全可靠的網絡環境，從而為企業的快速發展提供高效的服務。
 

轉載請注明出處：拓步ERP資訊網http://www.lukmueng.com/

本文標題：企業網絡安全現狀分析及對策

本文網址：http://www.lukmueng.com/html/support/11121510446.html