企业信息化建设中的网络安全管理问题

杨豫　符鹏　陈鸿君

【摘  要】网络安全是保障企业信息系统安全可靠的基础。在网络安全管理中，企业要结合信息化建设实际情况采取有效的网络安全防范技术，落实相应的网络安全管理措施，全面降低企业信息系统面临的安全风险。论文分析了企业信息化建设中的网络安全管理问题，并提出加强网络安全管理的措施建议，期望对提高企业信息管理系统安全运行水平有所帮助。

【关键词】信息化;网络安全管理;安全防范技术

【中图分类号】TP393.0;F270.7【文献标志码】A  【文章编号】1673-1069（2022）05-0047-04

1 引言

随着企业信息化建设进程的不断加快，企业信息化管理系统已经覆盖到企业经营管理的各个层面，成为企业提高管理效率和经济效益的重要手段。但是，当前企业信息化建设普遍面临着硬件设备管理缺陷、网络结构不合理、系统更新升级不及时、信息系统漏洞以及病毒入侵等安全问题，影响企业信息系统的安全运行，易造成企业数据损坏、丢失风险。基于此，企业要在加快信息化建设的同时重视网络安全管理，提高网络安全防范意识，制定和实施网络安全管理措施。

2 企业信息化建设中的网络安全管理问题

2.1 硬件设备安全问题

企业信息化建设中的硬件设备包括路由器、交换机、服务器、工作站、线缆等，当硬件设备设计不合理时，会使网络安全出现问题。例如，硬件设备设计过于重视系统功能完善，忽视系统本身的安全风险，易出现网络安全问题;企业机房环境未规划部署防火、防水措施，一旦出现火灾、渗水等破坏，将影响系统数据的安全性[1];企业尚未对机房、线缆通道等建设防电磁辐射、屏蔽层等安全防护设施，使得硬件设备运营易受到环境因素影响;企业未针对服务器及其他重要的网络设备运行中可能发生的人为破坏、UPS电源缺陷采取相应的安全预防措施;企业未针对信息系统设备损坏风险采取容灾备份技术，如果发生网络安全问题，则可能会造成数据永久性丢失。

2.2 网络结构安全问题

企业信息化建设一直处于不断扩展阶段，逐步覆盖企业各项业务领域和管理层面，涉及各部门和员工，使得企业信息系统的复杂程度越来越高。各部门信息系统需通过光纤连接、专线连接和VPN连接，形成网络拓扑结构。但是，部分企业在内部网络拓扑结构设计中缺乏对安全性的考虑，普遍存在子网划分不合理、安全评价缺失、通信线路冗余建设等问题，埋下了网络安全隐患。

2.3 系统更新升级问题

企业主机操作系统、硬件设备存在着不同程度的安全问题，如系统配置不合理、安全漏洞管理缺失、补丁配置不及时等，对网络安全构成一定威胁，使得系统管理漏洞成为黑客攻击的突破口。尤其在信息系统运行阶段，企业尚未执行完善的补丁流程，如路由器等硬件设备没有及时更新系统程序，没有及时升级到最新的安全版本。还有一些部门和工作人员即使拿到了修补程序，也不懂得如何安装升级程序，埋下网络安全隐患。

2.4 系统本身安全问题

企业信息化建设采用多种软件和系统，包括办公软件、制图软件、OA协同办公系统、财务系统、物流管理系统、客户管理系统、门户网站系统、生产调度自动化系统、营销系统等，这些软件和系统一般都是由专业软件技术公司进行研发，采用通用型的技术标准，在软件和系统面市前经过大规模的测试，能够保证软件和系统的安全性。但是，也有个别软件系统是企业委托技术公司结合本单位实际情况研发的特有系统，如调度自动化系统、营销系统等，这部分系统未经过大规模安全测试和专业机构评审，并且在运行阶段的升级维护管理不到位，易出现网络安全问题。

2.5 病毒入侵问题

在开放性的网络环境下，企业信息系统连接外部网络，一些不法分子会将计算机病毒传播到外部网络中，使得企业信息系统面临着病毒入侵风险。在企业信息系统安全管理中，计算机操作人员的素质参差不齐，当操作人员浏览非法网页、携带不安全移动存储设备时，则会对本单位的计算机系统构成威胁，使病毒入侵企业联网的管理系统，造成数据丢失、系统瘫痪等问题[2]。此外，部分企业只重视信息化建设，忽视了网络安全管理，导致信息管理部门、系统操作人员的安全防范意识薄弱，容易产生信息系统运行阶段的网络安全问题。

3 加强网络安全管理的措施建议

3.1 加强硬件设备安全管理

企业信息化建设中要优化设计与网络安全相关的硬件设备，创建网络安全运行的物理环境，减少网络安全隐患。具体建议如下：①采用信息化机房安全设计方案，针对内外网数据信息管理建立起两个独立的机房，分别为管理网机房（连接外网）、生产网机房（连接内网），在机房内安装散热设备、除湿设备，保持机房环境卫生。②企业建设供电系统，保证在停电状态下能够启动供电设备保证机房正常运行。在供电系统设计中，合理布置线路铺设方案，选用横截面为125 mm2的铜线，将线路敷设到防静电地板下，并对硬件设备安装绝缘保护设施，规避电磁辐射、雷电等对机房设备造成破坏。③在机房安装防雷系统、防过电压系统，在机房配电箱内并联防雷器线路与UPS电源总进线，保护供电系统安全运行。④在机房建设中安装金属网状屏蔽层，减少电辐射对信息数据安全的影响，保护机房内工作人员免受电磁波的影响。

3.2 优化网络结构安全设计

企业信息化建设要基于高速主干网络优势，打破内外网络独立设计的局限，优化设计统一的企业综合信息网，采用树形网络拓扑结构加强企业网络安全管理，如图1所示。在网络结构中，核心层与交换层采用网络树形拓扑，接入层、核心层分别在二层、三层交换机实现交换，核心层配置交换机，满足不同终端设备的接入需求[3]。具体的安全设计要点如下：①在核心层交换机上配置多个VLAN，形成安全性较强的广播域，保证各部门的信息系统在VLAN上独立运行，且可以相互访问。根据企业业务需要划分独立子网，保证各网段的独立性，将工作网站与财务部门、人资部的服务器隔离，提高业务领域信息的安全性。②接入层交换机绑定IP地址、MAC地址，对TCP/UDP端口设置访问列表，用于管理IP地址。在接入层的交换机配置中，要选择高扩展性、运行稳定、性能优良的交换机，要求交换机能够对接入侵检测系统，增强网络安全管理。③企业租用第三方运营商的无线数据专线，接入核心层交换機千兆口，保证信息数据在接入设备与下级网络间高效处理。

3.3 采用防火墙安全策略

企业在计算机网络系统的内外网边界处设置防火墙（见图2），对外网实施安全访问控制，保证企业数据信息安全。边界防火墙设置可以通过外网与DMZ区域服务器软件TCP协议端口连接，阻止DNA区域连接外网或对内网发起攻击，且允许防火墙内网区域与网络区域连接，实现数据安全传输。在采用防火墙安全策略后，需加强服务器各端口的安全控制，禁止不适用端口号的访问行为，在内网区域内记录和排列各应用数据的访问次数，提高防火墙安全运行效率。在网络访问策略中，各应用系统的防火墙处于启动状态，利用日志监控手段及时过滤和分析访问行为，降低网络安全事件发生的可能性[4]。此外，企业要定期维护防火墙，维护时关闭Web管理功能，使防火墙处于安全环境下升级。在维护过程中，需要设置接口名称、安全等级、以太网IP地址和访问列表等参数信息，设置完成后再连接千兆端口与内网，维护后启动防火墙。

3.4 加强网络系统应用安全管理

企业在信息化建设中要转变应用系统分散管理模式，为提高网络访问的安全性和便利性，建议采用Windows AD域管理模式，借助活动目录技术实施安全策略，建立起分布式数据库系统，用于统一管理计算机系统和账户信息。AD域管理模式满足单点登录需求，在权限范围内随机选择一台计算机都可以登录到工作站，打破了以往单点登录工作站的局限。

3.4.1 AD域安全的总体规划

企业AD域管理模式要求适用于未来一段时间内的计算机系统升级，采用具备一定技术先进性的服务器和管理系统，设置主、備用DNS服务器，当主域服务器出现运行故障后，可以启动备用域管理器，保证企业信息系统安全运行。在域内管理中，对各部门的账户进行统一管理。企业调度数据网采用OSPF协议，业务路由发布方式为MP-BGP，并建立起VPN通信渠道，实现企业内部信息传输的毫秒级安全防护[5]。企业根据不同的业务类型，划分为实时数据网络通道和非实时网络通道，实现数据在企业内网中的互联互通。

3.4.2 账户安全管理

企业账户管理是信息系统安全管理的重点，在账户系统设置中要采用安全防护技术，提高账户的安全性。以员工账户为例，各部门员工账户都添加到全局组内，即企业建立起的本地域组，对用户权限进行管理，如设置用户访问权限、系统操作权限等，保证系统操作安全。每个用户设置口令密码，只允许用户自己修改密码，其他人无权修改密码。在账户安全管理中，每个用户都要明确所属部门、登录密码、操作有效期等信息，并对每个用户进行授权，定期生成用户操作报表。

3.4.3 文件服务器安全管理

企业配置机架式服务器，用于管理企业公共文档数据信息，在服务器内设置SAS硬盘，采用NTFS文件系统，对接系统软件、应用软件和日常办公软件，存储软件生成的文件信息。企业要合理配置文件服务器的操作权限，由数据库管理系统并发控制各类型数据操作，处理各个阶段的安全数据，为企业信息系统运行提供安全环境[6]。具体设计如下：①历史数据库采用关系型数据库，用实时数据库对接历史数据库，实时获取数据库服务。在数据库服务器上安装数据库，保存接收到的实时信息数据，提供快速访问、信息处理功能。②优化数据库安全性、可恢复性设计，当数据库出现运行故障时，能够自行恢复到异常状况前的运行状态，保证数据安全。数据库可以在任意授权的计算机系统中登录，方便数据查询。③实时数据库用于及时更新企业运行情况，按照IEC61970标准建设数据库，提供编辑器、浏览器和查询功能。在实时数据库运行中，要定期检查数据库服务的安全性，不存储无效数据。数据库具备自主恢复功能，可以在发生系统故障时重新启动，保证企业数据信息安全。

3.4.4 数据备份与恢复

企业信息化建设要针对数据库服务器实施数据备份与恢复管理措施，设置一台数据工作主机作为备份机，及时备份企业信息系统中生产的数据。当企业数据库主机出现故障导致数据丢失、损坏时，可启动备份机恢复数据。在数据备份与修复机制中，针对不同类型数据采用不同恢复措施，尤其对于企业重要数据信息而言，要保证能够及时恢复所有数据。

3.5 采用网络安全防范技术

3.5.1 漏洞扫描系统

企业在信息化建设中要购置漏洞扫描软件系统，利用扫描系统实时扫描交换机、防火墙、终端设备以及防火墙是否存在安全漏洞，由系统智能分析扫描后的数据，为网络安全管理提供依据。在调动自动化系统中配置微处理器，微处理器采用非INTEL指令系统，该系统具备较高的安全性[7]。此外，企业在信息系统的网络安全管理中要采用虚拟主机IP地址，隐藏MAC地址，执行综合报文过滤机制、访问控制机制，要求传输协议、MAC、传输端口严格执行安全控制机制，堵塞安全漏洞。

3.5.2 入侵检测系统

企业在信息化建设中可以采用千兆级入侵检测系统（见图3），在内网传输中将数据信息汇集到交换机，在外网连接中直接连接交换机与防火墙。企业采用网络拓扑结构提高网络运行的安全性，交换机是网络拓扑结构中的流程点，可在交换机上安装检测系统，全面检测企业内网、外网的入侵行为，加强防火墙下行数据流的安全管理。企业在网络安全管理中要建立起防入侵壁垒，采用加密认证技术、单向隔离技术，阻止外部网络黑客对系统内网造成的非法入侵，及时识别非法更改硬件设置、软件系统数据的入侵行为，将入侵行为单独隔离。此外，企业还要在信息系统运行中采用用户权限管理、信息分流管理、唯一性密码管理等措施，当发生入侵行为时第一时间发出预警，由入侵检测系统自动核实入侵行为的真伪，自动隔离入侵数据[8]。

3.5.3 病毒防范技术

企业要建立起多级病毒防御机制，在网络环境下，对所有计算机系统安装病毒查杀软件，统一配置防病毒服务器，批量化安装病毒查杀软件。在网络安全管理中，提高计算机系统操作人员的安全防范意识，不允许用户登录非法网站，减少人为因素造成的网络安全事件。在防病毒系统建设中，可以采取以下方案：优选防病害软件的生产商，测试防病毒软件性能，最终选用专业病毒查杀软件，如360安全卫士等，对外部网络病毒入侵行为实时管理;在内部数据网中安装病毒查杀软件，由于数据网在企业内部网中运行，所以无法实现病毒查杀软件的在线更新。针对这一现状，企业要制定病毒查杀软件定期统一升级机制，及时更新软件补丁，保证信息系统安全运行。

3.5.4 移动存储介质安全管理

企业信息化管理中经常使用移动存储介质进行数据转移，满足数据管理与使用需求。为保证移动存储介质使用安全，要加强移动存储介质安全性控制，制定移动存储介质安全操作规范，执行标准化操作，对移动存储介质的使用实施授权管理，在指定范围内规范使用，不允许非授权人员擅自将移动介质接入企业的计算机系统中。

3.5.5 物理隔离技术

企业要结合信息系统实际情况采用物理隔离技术，划分不同类型数据信息，保证数据信息的安全传输。一般情况下，企业可以采取分区管理模式，将各类信息系统划分到管理信息大区和生产信息大区，通过安装正反向隔离设备，安排隔离两个大区，确保管理信息大区对接外部网络的安全性，以及生產信息大区在内部网络运行的安全性。企业需配置专用网络安全隔离装置，用隔离装置及时识别外部网络中的非法请求，快速阻止越权访问操作，避免病毒、木马程序从外部网络向企业内网系统发动攻击。在企业内网系统中，采用非网络方式传输数据系统，减少外来的网络攻击风险。网络安全隔离装置内置智能IC卡读写器，采用数据加密算法、数字签名技术加强数据安全管控，保证数据在安全环境下传输。

4 结语

综上所述，企业要将网络安全管理作为信息化建设的有力保障，在准确识别企业信息化管理薄弱环节的基础上，结合企业内外网安全运行需求，全面落实硬件设备安全管理、网络结构安全设计、防火墙安全策略、网络系统应用安全管理以及网络安全防范技术，从而构建起完善的网络安全管理体系，促进企业信息管理系统安全运行。

【参考文献】

【1】曹宏亮.企业信息化建设中网络安全管理问题的思考[J].信息与电脑，2019（17）：218-219，222.

【2】王秀斌.企业信息化建设中的网络安全管理问题分析[J].中国管理信息化，2021（6）：103-104.

【3】吴琴.国有企业信息化建设中的网络安全管理探讨[J].科技创新导报，2021（24）：134-136.

【4】李永湘.企业信息化建设中的网络安全问题研究[J].科技资讯，2016（8）：24-25.

【5】唐易.企业信息化建设中的网络安全管理问题研究[J].现代工业经济和信息化，2018（9）：59-60.

【6】兰洋，黄天，梅飞.国有企业信息化建设中的网络安全问题探究[J].现代工业经济和信息化，2019（12）：78-79.

【7】汤荣秀.企业信息化建设中的网络信息安全[J].信息与电脑，2020（23）：230-232.

【8】董奕平.企业信息化建设集成与网络安全措施研究[J].中国管理信息化，2017（20）：52-53.