核电施工企业网络安全体系构建与实践

中国核工业二四建设有限公司 马利鑫

1 行业网络安全建设现状分析

1.1 网络安全重视程度

在计算机应用于工作的各个方面时，如果缺乏对计算机数据信息的认识和了解，就会出现各种安全方面的问题。网络安全被视为隐形投资，其投入效果无法直接量化和显现。许多企业对网络安全的重视程度不高，存在着侥幸心理或者由于缺乏网络安全技术能力等问题而无法有效应对安全事件。考虑到防御的短板效应，无法做到全面防范，而投入的成本与发生的安全事件造成的损失往往难以准确衡量。

1.2 网络安全硬件与技术协调工作

一些企业如果受到网络安全厂商的推销误导，面对诸多概念和新名词层出不穷的情况。为了快速建立安全防护体系，这些企业购买和上架了大量网络安全产品。然而，组织和使用这些产品以发挥成效，却成为企业面临的新难题。由于缺乏相关技术人员，网络安全岗位的人员数量极少，仅凭公司内部能力难以进行运维工作，导致设备闲置，并且可能成为外部攻击的目标。

1.3 网络安全体系的科学有效性

随着企业网络向“无边界”转变，网络安全面临了更大的挑战。传统的内网流量默认可信的边界信任模型已无法适应无边界企业的IT 架构，并且暴露出明显的安全缺陷。举例来说，连接内网和外网的VPN 网关一旦被攻击者攻破，如果没有更强大的安全措施，攻击者将直接接触到企业的数字资产，从而面临数据泄露的风险。

另一方面，企业管理复杂的网络结构和大量的远程访问也给企业的业务网站、应用系统和运维工作等带来了巨大的压力。这同时也影响到企业的办公效率和运营效率。

2 针对企业网络安全体系构建的对策

2.1 确保基础网络畅通可用

在全国范围内存在建设项目的建筑公司，在建设内部网络时同样与一般公司一样使用VPN 设备连接总部与各分公司或项目，但不同点如下。一是建设项目处于在建状态，管理人员所在办公区域一般为临建设施；二是项目管理人员中没有网络专业人员；三是建设项目网络安装一般联系本地电信或联通公司委托办理，VPN 需要企业自己安装；四是建设项目完成后设备要回收重新使用；五是建设项目存在第三方分包为不可信第三方，不能接入企业内网[1]。

应对种种问题，相关网络人员在建设项目开始之初，就应准备好网络规划。首先确认采购VPN 设备或调拨旧设备；其次需要与建设项目相关管理人员沟通，确认分包单位办公区域，并预留预备空间；在建设项目办理网络时，与电信或联通公司沟通，设置网络结构，并要求张贴详细线路标签，具体简易结构如图1所示，确保分包单位与企业管理员工的工作网络存在隔离；因目前VPN 产品往往有多种功能，可设置简单的防火墙策略进行安全冗余设置。最后确认设备负责人，保证设备不被损坏，项目结束时负责回收设备。

图1 VPN 部署位置及人员访问路径

因项目部处于在建状态，按照控制成本效益最大化原则，采购网络设备需充分考虑性价比，因此，项目可只采购一台VPN 设备，具体设置链接如图2所示，分为三类节点，总节点即总部，提供企业内部应用服务；次节点副中心节点，提供上网服务；末节点为项目部节点，为需求服务的节点。其中总部节点、副中心节点有完善的网络防护设备，项目部节点通过VPN 对数据分流，对企业内部应用服务需求被发送至总部节点，对外网需求被发送至副中心节点，完成网络出口统一，使项目部在逻辑上处于“内网”内部，而非边界。副中心的具体选址应根据实际情况确定，需充分考虑成本与网络服务质量。在压缩成本的同时，应保证项目部网络流程，不干扰工作。

图2 总部与各分支机构网络部署

2.2 应用系统上线前进行基线检查

建筑企业内部应用的安全防护与一般企业相同，需要采取以下措施。

2.2.1 服务器安全

一是在服务器上安装杀毒软件，并定期更新病毒库，以确保服务器免受恶意软件的感染。二是定期修补服务器操作系统和应用程序的漏洞，保持系统的安全性。三是使用防火墙对服务器进行区域划分，实现逻辑隔离，限制访问权限，以防止横向传播攻击。

2.2.2 上线准备和安全测试

一是在服务器上线之前，进行网络安全测试，以发现和解决潜在的安全漏洞。二是上线后，根据信息安全等级保护2.0的指南，调整服务器的基线安全参数，包括安全配置、访问控制和日志记录等，以加强服务器的安全性。

2.2.3 加强出差个人使用的VPN 服务的安全保护

一是加强对出差个人使用的VPN服务的安全防护措施，例如启用不可保存密码、硬件特征码认证和多因素认证等。二是应用服务可通过统一身份认证系统对各个系统账号进行统一管理。三是对各个系统的初始密码应采取安全措施，例如设置初始账户在一定时间内不登录自动锁定等。

通过专业的安全防护措施和控制措施，建筑企业能够保护内部应用免受安全威胁，并确保企业数据和系统的安全性。

2.3 计算机主机安全防护不容忽视

计算机作为网络的基本终端，确保数据安全性和防止泄密需要采取的措施如下。

一是安装正版杀毒软件。二是防止数据丢失和泄密。养成下班关机的好习惯，确保在离开时关闭计算机，防止未授权访问和数据泄露。不安装远程工具或使用临时安装的软件，在确保安全的前提下，限制软件的安装并及时卸载无用的软件。避免从非官方渠道下载软件，以减少恶意软件的风险。三是备份重要文件，对重要文件进行定期备份，确保在数据丢失或损坏时还原文件。四是云桌面设备的推荐使用，推荐使用云桌面设备，当硬件和网络满足要求时，云桌面提供的成本和服务都优于传统的桌面设备。云桌面具有更好的网络防御能力，并自带备份数据的安全性增强功能。可以通过预先安装办公软件的云桌面模板，限制其他应用的安装，并进行统一的补丁打包操作，提高系统的安全性，并减少员工对网络安全的操作。

通过以上专业的安全措施，能够保护计算机的安全性，防止数据丢失和泄密的风险。

2.4 增强企业计算机网络安全意识

企业员工在日常工作中往往以完成自身任务为第一优先，与工作相关性较弱的内容越简单越好。同时，建筑类公司员工施工现场工作强度大，日常受到的多为现场施工安全培训，网络安全意识不强，企业网络人员数量不足，整体员工对网络安全重视程度还未有效提升等现实问题。因此，可以采用更多的强制型技术，使用上网行为管理系统，一方面对员工上网服务进行合理限制，另一方面启用上网实名制功能，促使用户实名上网，在发现网络安全隐患时可以快速定位隐患电脑位置；另外项目建设过程中有分包人员与劳务人员参与建设，相对人员较为复杂，用户实名上网可有效防护和区分用户的身份，便于后续系统审计使用[2-3]。

组织有关网络安全的培训和宣传活动，牢牢抓住网络安全宣传周等活动，促进全员学习网络安全知识，让员工了解网络安全的基本知识和技能，增强网络安全意识。制定安全政策和规定，明确员工的行为准则和责任，加强网络安全管理。对员工进行技术培训和演练，提高员工的网络安全技能和应对能力，增强网络安全意识和能力。每年进行一次网络安全演练活动，进行风险评估和管理，识别和评估网络安全风险，采取相应的措施来降低风险。对员工的安全意识进行评估和考核，了解员工的网络安全意识和水平，针对性地进行提高和改进。持续学习和更新网络安全技术和知识，跟踪国内外网络安全发展动态，保持企业的网络安全意识和能力处于领先水平。增强企业计算机网络安全意识需要多方面的措施和努力，只有全员参与，共同努力，才能构建一个更加安全的计算机网络环境。

2.5 定期对网络安全状态进行评估

网络安全评估是对组织网络安全状态进行全面、系统、定量的评估和分析，以发现和评估安全风险、威胁、漏洞和弱点，为持续改进和加强网络安全提供依据。定期对网络安全状态进行评估可以及时发现和解决安全问题，降低安全事件发生的风险，同时也能够为领导决策提供依据，助力企业保护数据和资产，提升整体竞争力。

评估组织面临的各种网络安全威胁，包括网络攻击、数据泄露、入侵检测等。评估组织目前的安全措施是否充分、有效，包括防火墙、入侵检测、安全认证、漏洞管理等。评估组织的漏洞管理机制是否健全，包括漏洞发现、漏洞修补、漏洞监控等。组织评估员工的安全意识和技能水平，包括安全培训、安全意识测试等。评估组织目前的安全状态和风险，并制定相应的改进措施，以持续提升安全能力和水平。最好每年对网络安全状态进行一次评估，并且在评估结果的基础上进行改进和优化，以保障组织的网络安全和数据安全。

2.6 建立网络安全应急响应机制

建立一个由网络安全专家和相关人员组成的应急响应小组，负责处理网络安全事件。制定响应流程，包括识别安全事件、确认威胁、评估影响、采取措施、监测效果等环节[4]。确保在安全事件发生时，能够迅速采取措施并进行有效的响应。定期进行演练，包括实际响应操练和虚拟环境下的演练。演练可以帮助小组成员熟悉响应流程，提高应对能力。实时监测网络安全威胁和漏洞，及时通报安全事件，并采取相应的措施来防止安全事件的扩大。通过培训和宣传，提高员工对网络安全的意识和重视程度，帮助网络安全人员更好地保护组织的资产和业务。其他相关部门合作（如当地网安部门、第三方网络安全机构等），共同应对网络安全威胁，提高整个社会的网络安全水平。及时了解和掌握国家和国际的网络安全法规和标准，确保组织的网络安全符合最新的要求和标准。

3 结语

本文以如何布置网络安全产品、增强人员意识、建立制度体系为主，重点强调如何系统化地从技术和管理等方面构建网络安全体系架构，围绕网络安全基础工作，以服务主营业务为主，建立了一套完整的管理体系，实现对网络安全的配置和管理。