隨著信息技術(shù)的飛速發(fā)展，以及信息化應(yīng)用對各行各業(yè)的逐漸滲透，越來越多的企事業(yè)單位都建立了自己的內(nèi)部辦公網(wǎng)絡(luò)，并在自建的內(nèi)部網(wǎng)絡(luò)中處理日常辦公事務(wù)。然而，在享受其為辦公帶來方便的同時(shí)，我們必須面對其所帶來的安全問題。目前，機(jī)構(gòu)的辦公網(wǎng)絡(luò)大多是基于自建的內(nèi)部網(wǎng)絡(luò)，雖然部分網(wǎng)絡(luò)也與Internet相連通，但是內(nèi)部網(wǎng)絡(luò)運(yùn)行環(huán)境的始終安全、可靠、保密，才能幫助機(jī)構(gòu)內(nèi)各類業(yè)務(wù)的開展提供保障。下面就辦公內(nèi)網(wǎng)網(wǎng)絡(luò)談?wù)勂浒踩�體系建設(shè)。

　　1、辦公網(wǎng)絡(luò)的結(jié)構(gòu)

　　辦公網(wǎng)絡(luò)在結(jié)構(gòu)上由外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)兩個(gè)部分組成。外部網(wǎng)絡(luò)主要用于機(jī)構(gòu)與外部用戶之間的溝通及信息的發(fā)布和采集：內(nèi)部網(wǎng)絡(luò)主要用于機(jī)構(gòu)內(nèi)部部門間、上下級問的公文流轉(zhuǎn)、信息交換和流程處理等。

　　2、辦公網(wǎng)絡(luò)安全

　　上世紀(jì)70年代中期，辦公業(yè)務(wù)量急劇增加對生產(chǎn)率產(chǎn)生巨大的影響，發(fā)達(dá)國家為解決問題，發(fā)展出了一門綜合性技術(shù)，也就是我們常說的OA，即辦公自動化。辦公網(wǎng)絡(luò)需要一種便利的內(nèi)部通訊和消息傳送機(jī)制，在計(jì)算機(jī)上實(shí)現(xiàn)基于網(wǎng)絡(luò)的協(xié)同工作機(jī)制，將所有的辦公文檔匯集在一起，實(shí)現(xiàn)規(guī)范化和一致化，方便統(tǒng)計(jì)和查詢，實(shí)現(xiàn)內(nèi)部成員基于不同權(quán)限共享資源。辦公網(wǎng)絡(luò)安全一直隨著辦公自動化的發(fā)展而發(fā)展。從最初的“COMSEC”到上世紀(jì)70年代的“INFOSEC”，1973年Anderson提出了危害安全的三種情況：非授權(quán)的信息發(fā)布，非授權(quán)的信息修改、非授權(quán)的拒絕服務(wù)，用戶越來越關(guān)心如何防范計(jì)算機(jī)系統(tǒng)不被他人非授權(quán)使用。80年代末，美國出現(xiàn)了“莫里斯”蠕蟲事件，到了90年代，如何防止通過網(wǎng)絡(luò)對聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行攻擊成為了人們關(guān)注的重點(diǎn)。學(xué)術(shù)界稱之為“NETSEC”。2000年，Stoneburg在NIST重申信息安全的目標(biāo)包括機(jī)密性、完整性、可用性、可追蹤性和保障。進(jìn)入新世紀(jì)，信息和系統(tǒng)的可控性、信息行為的不可否認(rèn)性等要求也被加入到了信息安全的概念里。安全已經(jīng)不局限于信息的保護(hù)。用戶需要的是對整個(gè)信息和信息系統(tǒng)提供包括防范、檢測、反應(yīng)和恢復(fù)四個(gè)方面在內(nèi)的保護(hù)和防御。如今，大部分的機(jī)構(gòu)對外網(wǎng)和內(nèi)網(wǎng)的隔離都從物理和邏輯兩方面開展，防火墻、入侵檢測、防病毒的常規(guī)組合基本隔絕了來自外網(wǎng)的威脅，但是對來自內(nèi)部網(wǎng)絡(luò)的安全威脅基本沒有防范，造成了沈昌祥院士所說的“老三樣防外，防不勝防”的局面。

　　3、內(nèi)網(wǎng)常見安全隱患分析

　　未經(jīng)允許，安裝各類軟件，容易導(dǎo)致內(nèi)網(wǎng)遭受病毒的感染；

　　員工私自隨意更換、更改計(jì)算機(jī)軟硬件，或辦公計(jì)算機(jī)軟硬件變更后，管理人員沒有及時(shí)進(jìn)行備案，造成軟硬件資源管理困難；

　　上網(wǎng)行為缺少有效監(jiān)控。員工隨意訪問外部網(wǎng)站，玩游戲、看電影、下載文件，不僅影響了自身的辦公效率，而且會占用大量帶寬資源，造成網(wǎng)絡(luò)擁堵，同時(shí)其所訪問的外部網(wǎng)站其安全性也是未知數(shù)；

　　非法修改IP地址或MAC地址，導(dǎo)致網(wǎng)絡(luò)內(nèi)部地址沖突，造成內(nèi)部網(wǎng)絡(luò)混亂；

　　外部終端設(shè)備非法接入辦公內(nèi)網(wǎng)。移動終端設(shè)備和新增其他終端設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入，很有可能帶來病毒傳播、黑客入侵等安全問題：

　　未經(jīng)備案和安全檢測，私自在內(nèi)部網(wǎng)絡(luò)中的終端上使用外來的可移動存儲設(shè)備， 可能帶來病毒傳播、黑客入侵等安全問題：

　　利用系統(tǒng)漏洞、病毒入侵、非法接入、非法外鏈、網(wǎng)絡(luò)濫用、外設(shè)濫用、密碼過于簡單等各種原因與管理不善，繼而導(dǎo)致企業(yè)內(nèi)部重要信息披露、修改或者毀滅，造成不可彌補(bǔ)的損失；

　　內(nèi)網(wǎng)用戶通過利用內(nèi)網(wǎng)中的某一終端，實(shí)行網(wǎng)絡(luò)攻擊或欺騙，非法獲得內(nèi)網(wǎng)中其他終端甚至是服務(wù)器的重要數(shù)據(jù)；蠕蟲病毒、網(wǎng)絡(luò)阻塞、數(shù)據(jù)損壞或丟失，而且短期內(nèi)無法定位故障來源以迅速采取隔離等處理措施，導(dǎo)致正常業(yè)務(wù)的開展遭受持續(xù)性的災(zāi)難性的影響。

　　4、內(nèi)網(wǎng)安全體系

　　隨著信息化的普及.用戶對信息安全的認(rèn)識也逐漸深入.但對網(wǎng)絡(luò)安全的理解依舊存有誤區(qū)。在對風(fēng)險(xiǎn)的防范上，用戶在選擇上常常偏愛簡單的靜態(tài)安全模型，即將信息安全技術(shù)都集中在對系統(tǒng)本身的加固和防護(hù)上，認(rèn)為利用網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用系統(tǒng)的認(rèn)證、授權(quán)和訪問控制等措施，加裝了防病毒系統(tǒng)后，網(wǎng)絡(luò)就安全了。但是隨著網(wǎng)絡(luò)的深入發(fā)展.靜態(tài)安全模型已無法完全應(yīng)對動態(tài)變化的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全是一個(gè)整體的、動態(tài)的、基于時(shí)間變化的概念，不再是僅依靠一個(gè)或幾個(gè)安全產(chǎn)品的簡單堆積就能實(shí)現(xiàn)的。

　　4.1建設(shè)目標(biāo)

　　內(nèi)網(wǎng)安全體系的建設(shè)目標(biāo)為：通過采用防范、檢測、反應(yīng)、恢復(fù)四方面行之有效的安全措施，以將來實(shí)際運(yùn)行過程中網(wǎng)絡(luò)可能遇到的各種安全威脅為切入點(diǎn)，構(gòu)建一個(gè)全方位、易管理的安全體系，保障網(wǎng)絡(luò)運(yùn)行的安全性、穩(wěn)定性和可靠性。

　　4.2基本原則

　　(1)安全第一：內(nèi)網(wǎng)辦公要求網(wǎng)絡(luò)有較高的性能，而安全性的實(shí)施又會消耗掉部分網(wǎng)絡(luò)和計(jì)算資源，兩者存在一定的矛盾，在考量和實(shí)施的過程中，可以選擇在做好基礎(chǔ)安全的情況，兼顧額外的安全性和網(wǎng)絡(luò)性能。

　　(2)多重保護(hù)：如前文提到的，單個(gè)安全產(chǎn)品無法做到全方位的保護(hù)。建立一個(gè)多重保護(hù)系統(tǒng)，系統(tǒng)間相互支持，相互補(bǔ)充。當(dāng)一種安全產(chǎn)品被攻破后，其他產(chǎn)品依舊可以維持對系統(tǒng)的保護(hù)。

　　(3)模塊化：根據(jù)網(wǎng)絡(luò)模型和網(wǎng)絡(luò)中數(shù)據(jù)傳播的階段。將整個(gè)數(shù)據(jù)的傳播和加拆包過程模塊化。分模塊做好保護(hù)。

　　(4)網(wǎng)段劃分：在物理劃分的基礎(chǔ)上做好邏輯上的子網(wǎng)劃分，控制好各網(wǎng)段的訪問權(quán)限，同時(shí)可以在網(wǎng)絡(luò)設(shè)備中做好訪問控制的相關(guān)設(shè)置，以達(dá)到訪問控制。

　　(5)最小授權(quán)：對各網(wǎng)段做好訪問權(quán)限管理，防止權(quán)限過于集中，避免一旦發(fā)生入侵，受到災(zāi)害過大。

　　(6)平衡點(diǎn)：網(wǎng)絡(luò)的安全通過增加功能和設(shè)置�；虬惭b第三方軟件來實(shí)現(xiàn)，而這些都會消耗系統(tǒng)資源，在性能和安全中進(jìn)行平衡。防止以偏廢全。

　　(7)非純技術(shù)：網(wǎng)絡(luò)系統(tǒng)的安全既是技術(shù)的，又是管理的。既要做好技術(shù)保障，又要做好管理上的配套制度和措施，相互彌補(bǔ)和完善，須知管理的漏洞有時(shí)也能轉(zhuǎn)變成系統(tǒng)的漏洞。

　　4.3安全體系架構(gòu)

　　(1)系統(tǒng)安全體系

　　從物理上做好保障是系統(tǒng)安全體系建設(shè)的前提。首先，機(jī)房的建設(shè)需嚴(yán)格按照國家相關(guān)標(biāo)準(zhǔn)，如GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB-2887-89《計(jì)算站抄底技術(shù)條件》、GB9361-88《計(jì)算站場地安全要求》。其次，做好設(shè)備安全，做好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。最后，要做好針對重要網(wǎng)路設(shè)備和服務(wù)器的冗余備份。

　　從物理和邏輯兩方面建立隔離平臺，不僅要對內(nèi)外網(wǎng)問的數(shù)據(jù)做好過濾和隔離。對內(nèi)網(wǎng)內(nèi)的數(shù)據(jù)也要根據(jù)權(quán)限做好過濾和隔離措施。

　　建立嚴(yán)謹(jǐn)完善的網(wǎng)絡(luò)拓?fù)洹�對�?nèi)網(wǎng)中的硬件進(jìn)行嚴(yán)格的網(wǎng)段劃分，并配合信任策略表，嚴(yán)格控制設(shè)備問的信任關(guān)系。一個(gè)網(wǎng)段必須有足夠的理由才能夠信任另一個(gè)網(wǎng)段，這樣網(wǎng)段間的信任關(guān)系就很小，一旦出現(xiàn)監(jiān)聽問題，能確保受災(zāi)面只存在在小范圍內(nèi)。

　　(2)信息安全體系

　　做好基于角色的安全控制，基本思路是：在系統(tǒng)中根據(jù)工作應(yīng)用的需要為不同的崗位創(chuàng)建對應(yīng)的角色，將角色與權(quán)限聯(lián)系起來，對用戶的職務(wù)和責(zé)任指派相應(yīng)的角色，用戶通過角色所匹配的權(quán)限，實(shí)現(xiàn)對系統(tǒng)的訪問。通過加密算法和數(shù)字簽名算法對用戶的身份驗(yàn)證進(jìn)行加密，用戶在登錄門戶時(shí)需做好相應(yīng)的身份驗(yàn)證。驗(yàn)證通過后才能訪問系統(tǒng)。這種方法可以有效地簡化權(quán)限管理，同時(shí)還可以支持最小授權(quán)原則。

　　做好網(wǎng)絡(luò)安全審計(jì)。作為識別和防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的一種重要措施，網(wǎng)絡(luò)安全審計(jì)主要包括采用網(wǎng)絡(luò)監(jiān)控與入侵檢測系統(tǒng)，識別網(wǎng)絡(luò)中與各個(gè)主體相關(guān)的違規(guī)操作與攻擊行為，做到即時(shí)響應(yīng)并阻斷；還有對數(shù)據(jù)信息內(nèi)容的審計(jì)�？捎行Х乐箖�(nèi)部機(jī)密或敏感信息泄漏。

　　做好網(wǎng)絡(luò)重點(diǎn)資源監(jiān)控、網(wǎng)絡(luò)設(shè)備使用監(jiān)控、內(nèi)網(wǎng)網(wǎng)絡(luò)信息采集及分析，對內(nèi)部發(fā)起的攻擊進(jìn)行報(bào)警及阻斷，并做好基于終端的集中式訪問控制管理。

　　根據(jù)系統(tǒng)的安全需求，對系統(tǒng)有選擇地實(shí)行不同的備份機(jī)制。依據(jù)系統(tǒng)設(shè)置和數(shù)據(jù)的重要程度，備份機(jī)制主要分為：實(shí)時(shí)、高速、大容量的自動數(shù)據(jù)存儲、備份和恢復(fù)：定期的數(shù)據(jù)存儲、備份和恢復(fù)：對系統(tǒng)設(shè)備的備份。

　　(3)安全制度體系

　　加強(qiáng)網(wǎng)絡(luò)安全教育，提高網(wǎng)絡(luò)安全意識。首先。必須要在思想上對網(wǎng)絡(luò)安全十分重視。自機(jī)構(gòu)領(lǐng)導(dǎo)至普通員工，都必須對網(wǎng)絡(luò)安全的重要性有足夠清晰、全面的認(rèn)識，充分了解潛在的網(wǎng)絡(luò)安全隱患所能帶來的后果。要定期或不定期地、有針對性地開展信息安全教育，提高網(wǎng)絡(luò)安全意識，并適當(dāng)?shù)赜玫湫桶咐�進(jìn)行教育，使其充分認(rèn)識到網(wǎng)絡(luò)安全的重要性。

　　其次，不斷提高管理人員的專業(yè)素養(yǎng)。網(wǎng)絡(luò)安全管理需要大量對信息化知識精通、掌握網(wǎng)絡(luò)管理技能的復(fù)合型人才。因此，在聘用相關(guān)人才管理網(wǎng)絡(luò)的同時(shí)，還需要定期對管理人員進(jìn)行網(wǎng)絡(luò)安全管理方面的技能培訓(xùn)，提高網(wǎng)絡(luò)安全防護(hù)能力。做好網(wǎng)絡(luò)安全管理的技術(shù)儲備。

　　加強(qiáng)網(wǎng)絡(luò)安全管理，健全網(wǎng)絡(luò)管理制度七分管理，三分技術(shù)。管理是機(jī)構(gòu)網(wǎng)絡(luò)安全的核心，技術(shù)是安全管理的保證，安全管理是安全體系的核心，必須始終貫穿整個(gè)安全體系。網(wǎng)絡(luò)安全技術(shù)與完整的規(guī)章制度、行為準(zhǔn)則相結(jié)合，網(wǎng)絡(luò)安全管理才能落地，網(wǎng)絡(luò)安全才能有最大的保障。作為機(jī)構(gòu).應(yīng)制定機(jī)房管理制度、各類人員職責(zé)分工、安全保密規(guī)定、口令管理制度、網(wǎng)絡(luò)安全指南、用戶上網(wǎng)使用手冊、系統(tǒng)操作規(guī)范、應(yīng)急響應(yīng)預(yù)案、安全防護(hù)記錄等一整套的制度來保證網(wǎng)絡(luò)安全、可靠地運(yùn)作。

　　5、結(jié)語

　　內(nèi)部網(wǎng)絡(luò)安全在實(shí)現(xiàn)辦公自動化的企業(yè)中占據(jù)著尤為重要的地位。本文對辦公網(wǎng)絡(luò)安全和內(nèi)網(wǎng)安全隱患進(jìn)行了簡要的闡述，并對內(nèi)網(wǎng)安全體系的建設(shè)進(jìn)行了較為詳細(xì)的論述。隨著信息化在各行各業(yè)的進(jìn)一步推廣和深入，機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全體系建設(shè)也要跟據(jù)技術(shù)的發(fā)展進(jìn)行動態(tài)的調(diào)整和更新。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全體系建設(shè)

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839411747.html