中小企业信息安全整体方案

　　在飞速发展的互联网时代，企业的信息安全尤为重要，短时间的网络中断或者部分的信息泄露，就会给企业造成巨大的损失。为避免信息安全问题的发生，我们应该从企业需求分析，考虑多方面的防护，根据需求采取各种措施，设计多种解决方案，从软件到硬件对企业的信息化网络进行防护，杜绝或减少信息化安全给企业带来的损失。

　　前言

　　在日常的企业办公中，总部和各分公司以及出差的员工都需要实时地进行资源共享和信息传输，企业和企业之间的业务来往也是非常依赖于网络。但是由于互联网的通信协议原始设计的局限性和互联网的开放性，信息采用明文传输，导致互联网的安全性问题越来越严重，网络攻击、非法访问、窃取信息等不断发生，给企业的正常运行带来严重的安全隐患，有时会造成巨大的损失。网络攻击，会造成企业的服务器瘫痪; 信息窃取 ，会造成企业的商业机密泄漏，内部服务器被非法访问，会破坏传输信息的完整性或者被假冒;网络病毒，会造成整个公司的服务器被病毒感染，使得公司网络陷入瘫痪，造成公司系统的崩溃。目前的现状是信息和网络技术发展迅速，信息的安全技术相对滞后，用户在引入安全设备和系统时，有些是缺乏培训和学习，有些是对信息安全的重要性与技术认识不足，最终致使安全设备系统没有能够使其发挥最大的作用。比如对某些通信和操作需要限制，管理员没有意识到或是为了方便，设置成全开放状态等等，造成了网络漏洞。

　　1.企业安全需求分析

　　根据企业网络现状及发展趋势，对信息的保护方式进行安全需求分析主要从以下几个方面进行考虑

　　1.1网络传输保护：主要是数据加密，防窃听保护。

　　1.2密码账户信息保护：对网络银行和客户信息进行保护，防止泄露。

　　1.3网络的病毒防护：采用网络防病毒系统，对网内一些可能携带病毒的设备定期进行防护与查杀。

　　1.4侵检测系统：广域网接入部分设置入侵检测系统。

　　1.5系统漏洞的分析：安装漏洞分析软件和设备。

　　2.具体措施

　　2.1重要数据备份：重要数据信息一定做到定期备份

　　2.2网络安全结构可伸缩性：安全设备的可伸缩性，能根据需要随时进行功能、规模的扩展。

　　2.3安全审计：主要包括内容审计和网络通信审计

　　2.4网络设备防雷：埋设地线，做好防雷设施布控。

　　2.5重要信息点的防电磁泄露：安装好屏蔽设施设备，

　　3.安全解决方案

　　3.1物理安全和运行安全

　　企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故，以及人为操作失误或错误，及各种计算机犯罪行为导致的破坏过程。企业的运行安全即计算机与网络设备运行过程中的系统安全，是指对网络与信息系统的运行过程和运行状态的保护。主要的保护方式有风险分析与漏洞扫描、防火墙与物理隔离、病毒防治、访问控制、安全审计、源路由过滤、数据备份、入侵检测等。

　　3.2选择和购买安全硬件和软件产品

　　3.2.1硬件产品主要是防火墙的选购。

　　对于防火墙的选购要具备明确防火墙保护对象和需求的安全等级、根据安全级别确定防火墙的安全标准、选用功能适中且能扩展和安全有保障的防火墙 、能满足不同平台需求，并可集成于网络设备中、应能提供良好地售后服务的产品等要求。

　　3.2.2软件产品主要是杀毒软件的选择。

　　本方案中在选择杀毒软件时应当注意几个方面的要求：具有优秀的病毒防治技术、程序内核安全可靠、有对付国产和国外病毒的能力、系统资源占用低，性能优越、易管理和使用、集成度高、可调控系统资源的占用率、有便捷的网络化自动升级等优点。

　　3.2.3网络规划与子网划分组网规则。

　　规划网络要规划到未来的三到六年。并且在未来，企业的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构，星形连接在用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出，所以选择星形网络最好。

　　3.2.4网络隔离与访问控制。

　　网络安全是一个综合的系统工程，是由许多因素决定的，仅仅采用高档的安全产品并不能解决全部问题，对安全设备的管理要求也是非常高的。如果安全产品在管理上是各自管理，很容易因为某个设备的设置不当，造成整个网络出现重大安全隐患。技术员不够专业，上述现象就会更加容易出现;具体企业的维护人员的水平也有差异，配置的差异容易造成错误进而使网络中断。所以，选择安全设备就应当尽量选择可以进行网络化集中管理的设备，这样集成化管理的设备由少量的专业人员对其进行管理、配置，会成倍的提高整体网络的安全性和稳定性。

　　3.2.5操作系统安全增强。

　　企业各级网络系统平台的安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患，因此要加强对系统后门程序的管理，对一些可能被利用的后门程序要及时进行系统的补丁升级。

　　3.2.6应用系统安全。

　　企业应用的系统安全，首先包括用户进入系统的身份鉴别与控制， 使用网络各种资源的权限管理和访问控制，涉及到安全相关的操作一定要进行审计等。用户按等级分类，分为各级管理员用户和各类业务用户。 数据库系统、E-MAIL服务、WWW服务、VPN、FTP和TELNET应用中服务器系统自身的安全非常重要，这些系统提供安全的服务也非常重要。本方案中， 应用漏洞扫描设备对网络系统进行定期扫描，对存在的网络漏洞、系统漏洞、操作系统漏洞、应用程序漏洞、等进行探测、扫描，发现漏洞及时告警，自动提供解决措施或给出参考意见，及时提醒网络安全管理员作好相应调整。

　　3.2.7重点主机防护。

　　为重点主机，堡垒机建立主机防御系统，对于一些重要的资源，我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限，只允许已知的合法的应用程序访问这些资源。

　　3.2.8连接与传输安全。

　　由于企业中心内部网络存在两套网络系统，其中一套为企业对内网，内网主要运行的是内部办公、业务系统，生产系统等;另一套是外网与INTERNET相连，通常是通过宽带接入，与企业系统内部的上、下级机构网络相连。跨越INTERNET通过公共线路建立的企业集团内部局域网，通过网络进行信息共享、数据交换。INTERNET本身就缺乏有效的安全保护，信息传输过程中如果不采取相应的安全措施，非常容易受到网络上其他主机的监听而造成重要信息的泄密或被非法篡改的严重后果。所以在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA)，在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。这样就能有效地避免数据传输过程中面临的安全威胁。

　　4.结束语

　　企业信息的安全非常重要，要从管理层到具体实施层抓起，提高防范意识，让应用人员重视信息安全问题。从而避免信息安全带来的问题。为公司避免不必要的损失。

　　作者：向文 来源：大陆桥视野·下 2016年3期