一、引言

　　伴隨著企業(yè)生產(chǎn)經(jīng)營活動(dòng)中對業(yè)務(wù)靈活性、成本控制、可伸縮性工作流程等需求的日益增多，以、經(jīng)營管理聯(lián)網(wǎng)、移動(dòng)辦公等業(yè)務(wù)模式出現(xiàn)，數(shù)據(jù)交換從內(nèi)部網(wǎng)絡(luò)延伸至企業(yè)間網(wǎng)絡(luò)、政府網(wǎng)絡(luò)和互聯(lián)網(wǎng)等，促使著企業(yè)必須加快信息網(wǎng)絡(luò)的建設(shè)步伐，同時(shí)，為了規(guī)范企業(yè)管理，從政府監(jiān)管部門到企業(yè)內(nèi)部都從內(nèi)部控制管理上對信息系統(tǒng)流程、應(yīng)用、數(shù)據(jù)和基礎(chǔ)設(shè)施的完整性、安全性、準(zhǔn)確性方面有嚴(yán)格的制度規(guī)范和管理要求。另一方面，信息網(wǎng)絡(luò)面臨的安全威脅也與日俱增，安全攻擊漸漸向有組織、有目的、規(guī)�；�集團(tuán)化利益化方向發(fā)展，網(wǎng)絡(luò)病毒、系統(tǒng)漏洞依然泛濫，建設(shè)一個(gè)適宜有效、安全穩(wěn)定、符合企業(yè)自身實(shí)際情況的信息網(wǎng)絡(luò)，建立健全一套符合安全管理規(guī)范月_具有可操作性的網(wǎng)絡(luò)安全防護(hù)體系，成為企業(yè)信息化建設(shè)中的重要內(nèi)容。

　　二、企業(yè)網(wǎng)絡(luò)面臨的主要問題及威脅

　　(一)從系統(tǒng)技術(shù)層面來看，企業(yè)網(wǎng)絡(luò)面臨的主要威脅來自以下幾個(gè)方面:

　　1.網(wǎng)絡(luò)系統(tǒng)自身的脆弱性

　　大多數(shù)企業(yè)網(wǎng)絡(luò)都是基于TCP/IP協(xié)議建立的基礎(chǔ)網(wǎng)絡(luò)，眾所周知，TCP/IP作為開放的網(wǎng)絡(luò)協(xié)議，存在著大量的安全漏洞，基于它所提供的FTP, EMA11、RPC, NFS等服務(wù)均包含了諸多不安個(gè)因素，而往往這些服務(wù)又是企業(yè)經(jīng)常用到的基礎(chǔ)服務(wù)。

　　2.操作系統(tǒng)的不安全性

　　大部分的信息系統(tǒng)產(chǎn)生安全問題的基本原因是操作系統(tǒng)的機(jī)構(gòu)和機(jī)制不安全，由于PC機(jī)硬件結(jié)構(gòu)的簡化，系統(tǒng)不分層執(zhí)行、內(nèi)存無越界保護(hù)等導(dǎo)致了系統(tǒng)資源配置可以被篡改、惡意代碼被植入執(zhí)行、利用緩沖區(qū)溢出攻擊、特權(quán)用戶被非法接管等安全事故。

　　3.數(shù)據(jù)庫與應(yīng)用程序的脆弱性

　　沒有數(shù)據(jù)庫技術(shù)支撐的企業(yè)信息系統(tǒng)是不可想象的，這也使得數(shù)據(jù)庫成為被攻擊的重點(diǎn)之一。原則上數(shù)據(jù)庫管理系統(tǒng)的安全性要與操作系統(tǒng)的安全性相配套，但在實(shí)際建設(shè)過程中卻經(jīng)常被忽略從而導(dǎo)致數(shù)據(jù)庫系統(tǒng)的脆弱性。應(yīng)用程序的BUG為攻擊者留下了大量的后門，使攻擊者可以輕而易舉地通過程序漏洞訪問、竊取、篡改數(shù)據(jù)，破壞應(yīng)用系統(tǒng)的正常運(yùn)行。

　　(二)從建設(shè)及管理角度看，企業(yè)網(wǎng)絡(luò)面臨的主要威脅有:

　　1.主觀安全意識(shí)薄弱

　　就企業(yè)網(wǎng)絡(luò)建設(shè)現(xiàn)狀而言，不同程度地存在著“重技術(shù)，輕安全，重建設(shè)，輕管理”的問題，有限的資金大多投在基礎(chǔ)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)，忽視網(wǎng)絡(luò)安全建設(shè)及管理制度落實(shí)。

　　2.安全建設(shè)缺乏整體規(guī)劃和一致性

　　目前企業(yè)網(wǎng)絡(luò)中的安全建設(shè)普遍缺乏整體安全設(shè)計(jì)，最后逐漸成為安全產(chǎn)品的堆砌，各個(gè)產(chǎn)品之間缺乏有效的聯(lián)動(dòng)，而且由于大量產(chǎn)品的堆砌不僅降低了網(wǎng)絡(luò)的運(yùn)行效率，還增加了網(wǎng)絡(luò)復(fù)雜度，增加系統(tǒng)維護(hù)難度。

　　3.缺乏安全管理機(jī)制

　　安全和管理是分不開的，即便有好的安全設(shè)備和系統(tǒng)，沒有一套好的安全管理方法并貫徹實(shí)施，值得注意的是，這里強(qiáng)調(diào)的不僅要有安全管理方法，而且還要貫徹實(shí)施，否則安全就是一句空話。

　　4.策略配置失當(dāng)

　　在網(wǎng)絡(luò)中應(yīng)用的操作系統(tǒng)提供了很好的安全機(jī)制保證安全的安裝配置、用戶和目錄權(quán)限設(shè)置及建立適當(dāng)?shù)陌踩�策略等系統(tǒng)安全處理加固。實(shí)際土企業(yè)網(wǎng)絡(luò)在安裝調(diào)試過程中對系統(tǒng)的安全策略上往往執(zhí)行最寬松的配置，但對于安全保密來說卻恰恰相反，要實(shí)現(xiàn)系統(tǒng)的安全必須遵循最小化原則。

　　三、企業(yè)網(wǎng)絡(luò)安全體系建設(shè)

　　(一)網(wǎng)絡(luò)安全技術(shù)體系架構(gòu)

　　網(wǎng)絡(luò)安全體系架構(gòu)是信息安全體系架構(gòu)的一個(gè)子集，同時(shí)，網(wǎng)絡(luò)安全體系架構(gòu)有其自身的特點(diǎn)。網(wǎng)絡(luò)安全體系架構(gòu)可以分為網(wǎng)絡(luò)安全技術(shù)體系和網(wǎng)絡(luò)安全管理體系。如下圖所示:

　　其中，網(wǎng)絡(luò)安全管理體系可以納入信息安全管理體系之中，其重點(diǎn)在于組織架構(gòu)的建設(shè)和流程的制定。網(wǎng)絡(luò)安全技術(shù)體系可以分二個(gè)層面來考慮，即架構(gòu)安全、安全技術(shù)和配置安全。

　　1.架構(gòu)安全(安全域劃分)

　　安全域是一個(gè)邏輯范圍或區(qū)域。同一安全域中的信息資產(chǎn)具有相同或相近的安全屬性，如安全級(jí)別、安全威脅、安全弱點(diǎn)、風(fēng)險(xiǎn)等。同一安全域內(nèi)的系統(tǒng)相互信任。通過安全域的劃分，能夠?qū)�業(yè)務(wù)系統(tǒng)與安全技術(shù)有機(jī)結(jié)合，形成完整的防護(hù)體系。這樣既可以對同一安全域內(nèi)的系統(tǒng)進(jìn)行統(tǒng)一規(guī)范的保護(hù)，又可以限制系統(tǒng)風(fēng)險(xiǎn)在網(wǎng)內(nèi)的任意擴(kuò)散，從而有效控制安全事件和安全風(fēng)險(xiǎn)的傳播。

　　企業(yè)可采用兩級(jí)安全域的劃分辦法。下圖為安全域劃分的一般步驟。

　　2.網(wǎng)絡(luò)安全技術(shù)

　　根據(jù)安全功能需求對網(wǎng)絡(luò)安全技術(shù)進(jìn)行歸類，形成1AARC框架，即身份識(shí)別及鑒權(quán)(I)，訪問控制(A),審計(jì)和響應(yīng)(A),冗余和恢復(fù)(R)，內(nèi)容安全(C)。遵循該框架的定義和原則，對網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)部署建設(shè)。

　　身份識(shí)別與鑒權(quán):用戶的帳戶管理、用戶的認(rèn)證、授權(quán)和審計(jì)，為網(wǎng)絡(luò)管理員提供安全的遠(yuǎn)程和本地接入系統(tǒng)終端。

　　訪問控制:對互聯(lián)網(wǎng)絡(luò)、邊界網(wǎng)絡(luò)、企業(yè)間網(wǎng)絡(luò)通過路由器、防火墻、安全網(wǎng)關(guān)等設(shè)備隔離控制。

　　審計(jì)和響應(yīng):通過合理部署入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、日志分析系統(tǒng)等，記錄操作行為，分析漏洞分布情況，掌握日志記錄，定位系統(tǒng)故障和攻擊。

　　冗余和恢復(fù):避免網(wǎng)絡(luò)出現(xiàn)意外而影響業(yè)務(wù)的正常運(yùn)行，需要對企業(yè)網(wǎng)絡(luò)的關(guān)鍵部位進(jìn)行冗余保護(hù)，包括網(wǎng)絡(luò)結(jié)構(gòu)的冗余、關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余;網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件的冗余等:安全設(shè)備的冗余等。

　　內(nèi)容安全:建立企業(yè)防病毒系統(tǒng)，貫徹實(shí)施企業(yè)防病毒管理機(jī)制，定期檢查服務(wù)器、終端病毒防范的遵循情況，如是否即時(shí)更新防病毒代碼和系統(tǒng)/應(yīng)用的安全補(bǔ)丁等。

　　3.網(wǎng)絡(luò)設(shè)備安全配置規(guī)范

　　針對不同類型的網(wǎng)絡(luò)設(shè)備，遵循安全配置策略最小化原則進(jìn)行安全配置，一般應(yīng)包括一下內(nèi)容:

　　口令配置與管理:口令長度，復(fù)雜度要求，加密要求等。

　　服務(wù)管理:關(guān)閉非必要服務(wù)及端口。

　　訪問控制和設(shè)備管理:設(shè)備登錄超時(shí)設(shè)置、SSH加密登錄、登錄訪問控制，AAA審計(jì)等。

　　攻擊防范:關(guān)閉IP  directed  brOAdcast、ICMP unreachables、ICMP redirects、proxy ARP等。

　　路由安全管理:使用路由協(xié)議認(rèn)證，null0接口關(guān)閉IP unreachables等。

　　(二)網(wǎng)絡(luò)安全管理體系

　　網(wǎng)絡(luò)安全建設(shè)與管理工作“三分靠技術(shù)，七分靠管理氣建立有效的網(wǎng)絡(luò)安全組織機(jī)構(gòu)是網(wǎng)絡(luò)安全管理的基礎(chǔ)。不健全的網(wǎng)絡(luò)安全管理機(jī)制是網(wǎng)絡(luò)安全最大的薄弱點(diǎn)和安全隱患。

　　1.完善安全組織機(jī)構(gòu)

　　網(wǎng)絡(luò)安全是一個(gè)整體的系統(tǒng)，總體的安全性取決于系統(tǒng)中最薄弱的一環(huán)。因此，需要對網(wǎng)絡(luò)安全進(jìn)行統(tǒng)一的管理和控制。同時(shí)從執(zhí)行效果方面考慮，一些管理操作需要分布地、并行地進(jìn)行。

　　2.完善角色和職責(zé)分配

　　企業(yè)網(wǎng)絡(luò)安全組織建議設(shè)置如下四種角色:網(wǎng)絡(luò)安全負(fù)責(zé)人、網(wǎng)絡(luò)安全控制員、網(wǎng)絡(luò)安全分析師和網(wǎng)絡(luò)安全管理員。

　　3.完善網(wǎng)絡(luò)安全管理和操作流程

　　為確保網(wǎng)絡(luò)處理設(shè)施的正確和安全使用，企業(yè)應(yīng)建立所有網(wǎng)絡(luò)安全設(shè)施的管理與操作的流程和職責(zé)，包括指定操作細(xì)則和事件響應(yīng)流程。企業(yè)應(yīng)落實(shí)責(zé)任的分工，減少疏忽的風(fēng)險(xiǎn)和蓄意的系統(tǒng)濫用。

　　四、總結(jié)

　　本文從網(wǎng)絡(luò)安全體系建設(shè)及其原則進(jìn)行了簡單論述。對企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進(jìn)行了探討和總結(jié)。網(wǎng)絡(luò)安全管理任重道遠(yuǎn)，網(wǎng)絡(luò)安全己成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運(yùn)行勢在必行。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)網(wǎng)絡(luò)安全體系建設(shè)中的問題及對策

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121810448.html