企业信息网络安全管理的建设与运维研究

摘  要：现代信息技术的发展与大数据的广泛应用，推动了各行业走向信息化可持续发展道路。而在信息化的过程中，最不可忽视的便是网络安全，如何构建一套完善的网络安全管理体系至关重要。文章从网络安全管理的角度入手，对企业网络安全管理体系建设进行了研究，结合企业现阶段的网络安全管理进行探索和思考，对企业在信息网络安全方面的建设与运维进行探讨。

关键词：网络安全;网络环境;管理体系

中图分类号：TP393            文献标识码：A文章编号：2096-4706（2022）06-0133-04

Research on the Construction and Operation and Maintenance of Enterprise Information Network Security Management

GUO Xiaoyu

（SDIC Guangxi Wind Power Co.， Ltd.， Qinzhou  535000， China）

Abstract： The development of modern information technology and the wide application of big data have promoted various industries to the road of information sustainable development. In the process of informatization， the most could not be ignored is network security. How to build a perfect network security management system is very important. Starting from the perspective of network security management， this paper studies the construction of enterprise network security management system， explores and considers the network security management of enterprises on the current stage， and discusses the construction， operation and maintenance of enterprise information network security aspect.

Keywords： network security; network environment; management system

0  引  言

近年来随着互联网经济的不断发展，网络安全提高到越来越重要的位置。国家相继出台了《网络安全法》《国家安全法》等法律法规，将网络安全提升到了一个新的高度。与此同时，网络安全风险却充斥着我们日常工作和生活中，特别是在企业管理中，网络安全变得愈发的重要。

企业信息网络的安全性将直接影响到自身经营活动的开展。因此，建设一套完善的企业网络安全管理体系变得尤为重要，能大大加强企业的抗风险能力，助推企业快速稳定发展。企业网络安全管理体系包括初期建设、中期调试、后期使用、日常运维和应急管理等方面，每个方面都衔接在一起组成一个整体。完备的企业网络安全管理体系建设将有助于防范和抵御网络安全风险，形成网络安全保护屏障。

目前，大多数企业的网络安全管理主要还是依靠网络安全设备开展活动，而设备只是辅助网络安全体系建设的一个工具，要形成完备的网络安全防护体系。还需要制度和人员等措施进行综合管控，不断强化企业网络安全制度和人员的管理。

在目前互联网网络安全形势较为严峻的环境下，不完善的网络安全管理体系将威胁着企业的发展。本文将从网络安全的角度，针对企业信息网络安全管理体系的建设与运维进行论述。

1  企业网络安全管理体系构建

網络安全管理体系的建设是企业网络安全工作的基础，贯穿到网络安全管理工作的方方面面，如图1所示。在体系建设的过程中，需要充分考虑系统初期建设、软硬件调试、人员培训、安全风险方案等多个因素。体系的建设需要遵循安全、可靠、稳定的原则，通过测试信息系统及其网络环境来评估安全风险，进而发现安全需求，来指导网络安全体系的建设，最终保障信息系统的安全稳定运行。

一套完备的网络安全管理体系的构建主要包括以下几个方面：制定网络安全目标、建立组织机构、实施风险评估、制定安全策略、教育培训、网络安全事件管理与持续改进。

具体来说，一是要制定网络安全目标和寻找实现目标的途径，如根据企业自身业务的实际情况，确定哪些信息系统是需要特殊的安全保障，参照信息系统等级保护测评相关的管理办法，对不同的信息系统进行分类分级，并确定哪些信息系统会影响到企业的关键业务，进而研究和寻找这些目标的途径。二是建立组织机构，即建立网络安全组织机构，设置岗位、配置人员并分配职责，遵循网络安全“三权分立”的原则，在信息系统管理内配置好系统管理员、安全管理员、审计员;三是实施风险评估，即开展信息网络安全风险评估和管理，组织有资质的外部网络安全测评机构对信息系统开展安全风险评估，查找网络安全风险问题和隐患;

进一步来说，四是制定安全策略，即根据信息系统的重要性和安全保障程度来制定相对应的网络安全策略，如关闭不必要的端口、限制相应IP地址登录等措施。并针对开展安全评估内容，对发现的问题进行整改和完善;五是教育培训，即网络信息安全的教育与培训，通过教育培训来提升网络安全管理人员的网络安全技能。同时，也要对企业的员工开展网络安全风险的教育和培训，宣贯常见的网络安全风险及其应对方法，提升员工的网络安全意识。六是网络安全事件管理，即做好网络安全事件的应急管理，形成相应的应急处置流程和预案。在遇到突发的网络安全事件时能够从应急预案中获取解决办法;七是持续改进，即网络安全的持续改进，通过对体系构建过程中产生的问题进行分析和研判，不断改进体系的方法来提升整体的安全性与合理化程度。78B3293E-D178-40C9-B86C-84410D402017

总的来说，要从网络安全管理工作过程中提炼出一套适用于现代企业的网络安全管理方法，并不断改进和完善，使之达到符合相应的要求和规范。

2  企业网络安全管理

面对当前日益复杂的网络安全形势，企业对网络安全的重视程度也在不断提高。国家层面的网络安全建设已在密集部署，各个地方也在积极推进重要领域网络安全防护建设工作。企业整体的网络安全建设需遵循“安全管理、防护技术、应急备用”的三维立体网络安全防护监控体系，如图2所示，三个维度相互支撑、相互融合、动态关联，并不断发展净化。

2.1  文档管理

在网络安全管理体系构建的过程中，相关文档的形成是非常有必要的。文档的类型主要包括手册、规范、指南和记录。手册是指向企业组织内部和外部提供关于网络安全管理体系的一致信息的文件，规范是指阐明企业网络安全管理要求的文件和说明，指南是指阐明推荐方法与建议的文件，记录是指为完成网络安全保障活动或达到的网络安全保障结果提供客观证据的文件或证明。

参照“金字塔”层级来说，包含四个级别的文件。一级文件是指国家网络安全的相关方针和政策;二级文件是指行业或企业的制度、流程以及规范;三级文件是指适用于企业基层的使用手册、操作指南和作业指导书;四级文件是指在日常网络安全管理工作中形成的日志、记录、检查表、模板和表单等。

2.2  人员管理

在企业的网络安全管理中，人员管理是较为重要的一环，如图3所示。网络安全设备再好，也需要人去管理和维护。对于网络安全人才的管理，要牢牢抓住其本质，即为对抗。对于网络安全人员来说，在工作中要从攻击者的视角来分析问题，再以防御者的视角来解决问题。随着时代的快速发展，网络安全知识和管理内容迭代速度过快，需要不断开展能力培训和提升。

强化岗位轮换机制，根据企业的实际工作需要，在网络、主机、应用和系统终端等网络安全岗位进行轮换。首先要接触网络安全运维，从日常的运维管理工作中积累经验，再逐步开展网络安全研究、项目建设等工作，提升人员的网络安全能力和人员获得感。定期开展企业网络安全人才盘点，充分做好团队的知识管理，强化其忧患意识，不断开展网络安全事件推演，对关键的网络安全人员进行知识固化。培养网络安全复合型人才，即既要懂技术又要懂管理。

此外，还需注重信息系统外包人员的管理。在某些企业的信息系统管理中，因外部运维人员操作失误导致的网络安全风险不在少数。部分外包人员存在网络安全意识淡薄、网络安全管理技术水平低等问题，可能会造成信息系统维护上存在安全隐患，进而导致企业整体的网络安全管理受到威胁。

2.3  设备管理

网络安全设备的管理是企业网络安全管理的载体，主要通过采取适当的技术措施对网络环境和信息资产中的各类服务和信息进行相应的监督、管理和控制，以此来保障企业网络运行的安全稳定。网络安全设备的选型需要结合企业自身的实际需要来确定，與此同时构建网络安全管理体系需要一套完备的网络安全设备来支撑。

常用的网络安全设备，如防火墙、入侵检测系统和VPN系统等都是常用的网络安全设备。需要结合企业生产业务和人员的数量来确定设备的选型，

2.4  防护策略管理

网络安全设备的策略管理是企业网络安全管理的纽带，再好再贵的网络安全设备都需要周全的防护策略去维护。防护策略需要根据企业的业务需要进行设置，如在办公网络环境下需要设置好办公内网终端的访问权限，工控生产环境需设置好策略的白名单等。

2.5  网络环境管理

日常办公所处的网络环境和信息系统所存放的网络环境基本所属同一个环境，这是一个非常重要的部分。这里主要指的是狭义的网络环境，如企业的内网等。在网络环境的总体设计上，要根据相关法律法规的要求，并结合企业的实际情况，合理划分网络安全区域，按照不同区域的不同功能和安全要求，将网络划分为不同的安全域，以便实施不同的安全策略。

在具体实施阶段，要规划好网络环境内的IP地址分布，制定所属网络环境IP地址的分配细则，制定网络设备的路由和交换配置策略。设计好网络线路和网络重要设备冗余措施，制定信息系统和网络安全设备的策略备份，部署网络冗余路由和交换设备，部署负载均衡的系统和数据备份等。在网络环境边界部署相关对应的网络安全设备，设计和规划网络安全设备具体部署位置和控制措施。还要规划好网络远程接入安全，保障远程用户安全地接入到企业网络中。

网络环境的好与坏直接影响到公司网络的健康度，必要的网络安全设备配置以及针对企业不同需求而进行的网络安全策略配置，都对企业网络环境起到非常积极的作用。

3  企业网络安全应急管理

企业应急响应体系的建设是指在突发重大网络安全事件后，对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略及规程。网络安全应急管理是管理体系中一个非常重要的部分，其包括：应急响应需求分析和应急响应策略的确定、应急预案文档的编制、应急预案的测试、培训、演练和维护。

根据应急响应的PDCERF方法，应急流程一般分为六个阶段：即准备、检测、遏制、根除、恢复和跟踪，如图4所示。

准备阶段，以业务为核心，针对各业务系统可能发生的安全事件，为迅速、有效、有序地开展应急行动制定预案，明确了在网络安全事件发生前、发生过程中以及结束之后，谁负责干什么、何时干以及相应的策略方法和资源准备等;检测阶段，即确定网络安全事件的性质和处理人。确定网络安全事件的应急等级，指定事件的责任人，以确定需要启动哪一级别的应急预案。遏制阶段，要及时采取行动，初步分析网络安全事件的性质，确定适当的封锁方法，以最快最简单的方式恢复系统的基本功能，同时还要汇总数据，估算损失和隔离效果。78B3293E-D178-40C9-B86C-84410D402017

在控制事态的发展后。根除阶段，针对网络安全事件进行详细分析，确定原因分析漏洞，修改安全策略，并加强监测工作，检查存在的网络安全问题和隐患。恢复阶段，根据需要进行相应的安全加固，审核合格后运行。并持续汇总分析，根据各业务系统的运行情况判断隔离措施的有效性。跟进阶段，对网络安全事件开展调查评估和责任确定，形成事件备案，健全和完善应急方案的内容。在跟进阶段中，最重要的任务便是要记录下整个应急响应的过程，将其写进网络安全事件报告内。报告内容至少包括网络安全事件的类型、时间、检测方法、遏制方法、根除方法和事件影响范围等。如属于新型网络安全事件，应纳入案例或者经验库。

应急管理是管理体系中最后一环，也是网络信息安全防护的最后一道防线。我们在应急预案的制定过程中，要考虑到网络安全事件处理流程和应急处理流程，将事件处理流程的环节和应急预案的各个部分有机结合起来。应急响应服务的目的是尽可能低减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，为企业网络安全提供最后一道保障。

4  结  论

纵观当今时代的企业网络安全建设，由于网络安全地位的不断提升，需要企业对网络安全有进一步的认识和提高。目前，大部分企业的网络信息安全体系建设正处于建立和完善阶段。在网络安全信息基础设施的安全建设、技術平台的搭建、信息系统安全建设、组织管理完善与制度标准建设等方面仍然存在不足之处。我们需要不断提高自身的网络安全意识，进一步完善企业的网络安全管理体系。

参考文献：

[1] 付云霞.建立企业网络安全管理体系探讨 [J].信息系统工程：2013（2）：77-78.

[2] 石松柏.企业网络安全建设工作的探讨 [J].数字技术与应用：2021，39（4），186-188.

[3] 吕毅.谈银行业网络安全人才观 [J].中国信息安全，2018（12），60-61.

[4] 钟剑.企业网络安全建设中的关键因素研究 [J].网络空间安全，2019，10（4），23-30.

[5] 曹雅斌.网络信息安全专业人员培训认证探讨与实践 [J].信息安全研究，2018，4（12），1124-1126.

[6] 戴延军.企业信息安全管理及风险防范策略分析 [J].现代信息科技，2020，4（12）：142-144.

作者简介：郭晓宇（1993—），男，汉族，广西合浦人，助理工程师，本科，研究方向：企业网络安全与信息化运维管理。

收稿日期：2022-02-1078B3293E-D178-40C9-B86C-84410D402017