中小企业网络安全性规划设计研究

摘要：鉴于网络安全的严峻形势，国家相继出台了信息安全相关的多部法律和制度，对上网行为作出了相应的规定和约束。本文结合网络建设实际需求，对企业网络建设过程中所必然涉及到的差距分析、项目优先级的确定、项目计划、项目预算进行分析，为企业网络建设的发展提供参考。

关键词：中小企业 网络安全 信息安全

中图分类号：TN943.6 文献标识码：A 文章编号：1007-9416(2011)10-0212-01

1、网络建设的前瞻性规划

前瞻性规划是通过企业提供的基本的安全风险分析情况和安全策略规定，以及企业信息化中长期的发展目标，针对不同企业设计出合理的信息安全规划方案。通过这些信息安全规划的方案，使企业可以：(1)充分了解企业未来网络需求，适应未来业务；(2)提高未来网络的灵活性、可靠性、安全性；(3)良好的灵活性、可靠性和扩展能力。

进行企业信息安全前瞻性规划的一般步骤如下：(1)对企业中长期信息和网络系统需求调查和分析；(2)了解客户现有系统的安全风险分析和策略规定，网络和应用环境，相关人员配备和技术背景等资料；根据需求分析，设计具有企业信息安全前瞻性的安全体系结构。

2、中小企业信息安全存在的普遍问题

中小企业各种计算机应用对信息安全的认识距离与实际需要差距较大，对新出现的信息安全问题认识不足。主要体现为：(1)缺乏统一的信息安全管理规范。(2)急需建立同企业业务特点相适应的计算机信息安全体系。(3)计算机网络化使企业网络信息系统面临更多的病毒攻击和更多的混合型威胁的破坏。

同时，越来越多的病毒及其变种、混合型威胁技术的发展、内部违规操作，系统本身漏洞等对整个网络安全的构成了巨大的威胁。主要威胁来自四个方面：

(1)内部：个别内部人员滥用权利，越权访问机密信息，或者恶意篡改数据；来自内部的针对网络基础设施、主机系统和应用服务的各种攻击，造成网络和系统服务不可用、信息泄密、数据被篡改等；有害信息（如病毒、非法信息）的传播，造成系统瘫痪或内部影响。(2)外部：从外联单位来自的针对网络基础设施、主机系统和应用服务的各种攻击，造成网络和系统服务不可用、信息泄密、数据被篡改等；来自外部的有害信息（如病毒、非法信息）的传播等。(3)应用：现有的数据库和应用系统存在比较多的安全弱点，如口令的泄漏、权限等级含糊等。(4)管理：由于管理制度不够完善或执行不够严格，造成网络不安全。

3、网络安全的建设存在的问题

产生了网络系统中最为迫切的安全需求包括病毒防御、网络边界防御、关键业务系统保护、应用系统保护和基本安全管理制度实现。通过这些安全产品的部署和安全机制的实现，主要解决以下安全问题：(1)通用安全防护，如对病毒的检测，移动代码过滤等。(2)内外网络系统间的入侵检测、信息过滤（恶意代码、非法信息的传播）。(3)内部人员滥用权利，有意犯罪，越权访问机密信息或恶意篡改等问题。(4)内外部人员针对网络基础设施、主机系统和应用服务的各种攻击，造成网络和系统服务不可用、信息泄密、数据被篡改等。(5)缺少必要的安全管理制度来保证系统安全的实现。

4、针对存在的问题，我们采用的安全防护技术

4.1 终端防护体系的建立 － 企业级防病毒系统

网络系统中应该部署网络级防病毒软件，实现统一、跨平台的分级管理，即：管理策略、病毒特征代码可以进行统一的管理和分发，并可以实现分级管理。

4.2 网络边界防御体系的建立 －防火墙、安全过滤网关

在网络信息系统中，作为边界处，为了防护来自外部单位的病毒和其他混合型威胁，首先需要考虑的是防火墙，它能在边界处通过网络访问控制来屏蔽恶意攻击和部分的来自外部的威胁。作为网络安全防护体系的第一道防护措施，应及时与厂商联系合理制定网络访问控制策略，及时进行防火墙版本的升级，在网络出口处建立起合理并严格的访问控制措施。

作为网络安全防护体系的第二道防护措施，也是最关键的防护措施，必须部署安全过滤网关，以抵御防火墙所无法抵御的深层威胁——病毒和混合型威胁的风险，它能在网络边缘上防御蠕虫和病毒的威胁。将病毒拦截于它们接近的服务器之前，减少网络和主机受攻击的风险，对于网络来说，对病毒的防御不应该仅仅停留在被动的查杀病毒阶段，更高层次的病毒防御目标是对病毒感染、发作、爆发的追踪和控制。从红色代码等蠕虫病毒开始，新型的病毒已经表现出一些新的特征，如利用网络快速传播、利用系统漏洞进行感染和结合黑客手段等，因此通过防病毒网关的合理部署，在病毒爆发时，我们可以通过对病毒的传播源和传播途径进行控制，建立起纵深防御防范病毒的体系和措施，最大程度的保护网络免受病毒的威胁与破坏。

通过防病毒网关和防火墙的部署，主要解决来自内部和外部的病毒和入侵，根据网络安全防护要求进行访问控制策略的制定和实施，以解决外联单位的病毒入侵问题、内外网络系统间的访问控制、入侵检测、信息过滤（恶意代码、非法信息的传播）。

4.3 建立基本安全管理制度和技术保障手段（终端安全管理系统）

规范化的安全管理制度是实现网络信息安全的根本保障。安全业界强调“三分技术，七分管理”，充分说明了安全管理在安全体系中的重要地位。通过选择适当的安全产品和制定合理安全管理策略，可以提升整体安全防护的能力，完善企业的网络安全体系。

安全管理制度规范化可以参考ISO15408/BS7799。ISO15408/BS7799是通用的安全管理制度规范化准则，为信息安全提供了一套全面综合最佳实践经验的控制措施。其目的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供一个参考依据，并且能够让各种规模的组织所采用。这一标准包括了信息安全的十个方面，安全策略、组织的安全、资产分类管理、人员安全、实际和环境的安全、通信与操作管理、访问控制、系统开发与维护、业务连续性管理以及符合性。

通常安全管理制度和策略的制定，需要一定的技术手段保障其有效执行，往往由于种种企业文化和计算机水平参差不齐等客观因素的影响，往往一些必要、合理的安全管理制度和策略不能有效的执行，考虑到这些因素，建议采用终端安全管理系统的部署为企业网络安全管理制度和终端安全防护策略的有效实施提供强有力的技术支撑，从而提高整个企业网络信息系统终端用户的安全防护能力，为企业网络信息系统提供统一、集中的终端安全管理和防护手段。