中小企业如何进行网络信息安全建设

　　网络是企业信息化的基石，而网络信息安全则成为网络运用的障碍。企业对网络的利用率低，不仅仅是网络带宽的问题，更多的是考虑到网络安全的问题。因为害怕在网络上会出现这样或那样的问题，而不愿或不敢在网络上运行可以信息化的业务系统，而继续使用传统的或手工的方式来完成繁重的业务工作。

　　对于网络信息安全有两个普遍的观点：其一是“三分技术，七分管理”，说的是网络信息安全主要靠管理手段来保障，技术对网络信息安全的贡献只占三成；其二是“木桶原理”，说的是网络信息安全由一些基本的安全因素构成，这些安全因素中最脆弱的哪一部分将成为网络信息安全的最大威胁。

　　中小企业建设网络信息安全的内容

　　网络信息安全的实质是：保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们能正常发挥作用，保障系统能够安全可靠地工作。

　　网络信息安全大体上可以分为：物理安全问题、方案设计的缺陷、系统的安全漏洞、TCP/IP协议的安全和人的因素等几个方面。

　　对网络信息常采用的攻击手段有：窃取机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战等几大类。

　　针对中小企业网络信息安全建设，主要包括以下几个内容：

　　（1）物理安全：主要包括机房和配线间的条件、自然灾害、人为破坏、信息入侵等，进一步可以分为如下一些方面：

　　◆ 机房和配线间的电源、接地、防雷、防潮、防盗、防火、防尘、防鼠、温度调节、通风条件、强电流干扰等。

　　◆ 地震、火灾、洪水、台风等。

　　◆ 人为误操作、有意破坏信息系统或通信线路或设备、恐怖活动、战争等。

　　◆ 线路搭听、从网络入口处侵入网络等。

　　（2）计算机硬件和软件的资产安全：主要包括计算机硬件不被替换或者移走，所使用的计算机软件是否存在版权问题，是否使用了不允许使用的软件等。

　　（3）网络体系结构安全：主要包括如下一些内容：

　　◆ 相对独立的局域网的拓扑结构不存在环路。

　　◆ 通信线路通信性能上不存在瓶颈。

　　◆ 通信线路某一部分故障影响的范围尽可能小。

　　◆ 通信网络设备故障影响的范围尽可能小。

　　◆ 局域网与Internet的连接要有隔离措施等。

　　（4）病毒防范：病毒是影响网络和信息安全最频繁、最直接的因素，其破坏程度可大可小。

　　（5）入侵检测与安全审计：入侵可以分为来自局域网内部的入侵和来自局域网外部的入侵，所以入侵检测与安全审计可以在两个地方来实现，分别是在局域网与广域网的接口处即路由器或防火墙区域和在计算机终端操作系统上或接入级交换机上。

　　（6）信息活动跟踪与记录：防火墙和入侵检测的防御思想是如果发现某些信息数据是恶意的，那么直接把这些信息数据“杀死”。而信息活动跟踪与记录的防御思想是把所有信息数据的踪迹记录下来，如果发生了网络信息安全事件，则检查是哪些信息数据造成这个安全事件，并把这些信息数据的踪迹作为证据交给国家安全部门来处理。防火墙和入侵检测是对“黑客”的主动防御，靠技术手段实现；而信息活动跟踪与记录则是对“黑客”的被动防御，靠法律武器来实现。

　　（7）信息安全：信息安全主要包括信息的访问控制安全和信息的传输安全，即信息不能够让没有授权的用户看到甚至修改或者删除，有授权的用户需要信息时应该能够快速、方便地得到信息，信息在传输或者存储过程中应该加密等。

　　（8）信息系统正常运行：包括操作系统、数据库管理系统、应用软件系统及硬件系统的正常运行，受系统的设计缺陷、系统漏洞等因素影响。

　　（9）法律安全：法律安全主要是指有人恶意地利用企业的网络和计算机等设备，进行计算机犯罪；也可能是企业的网络和计算机设备受到病毒、木马、黑客程序等的控制，成为傀儡计算机，自主进行计算机犯罪。司法机关在追查计算机犯罪时，只能追查到犯罪分子使用的某个网络接口，而不能追查到接口以内的局域网上具体是哪台计算机。为了防止计算机犯罪，以及保留计算机犯罪分子进行犯罪的证据，技术上使用网络信息审计系统，来保证网络上所传输的信息的安全性以及记录不安全信息的痕迹。

　　（10）安全管理：网络和信息安全是一个逐步加固的过程，一步到位的方法是没有的。在网络和信息安全上普遍采用“三分技术，七分管理”的措施来保障。企业必须形成一整套关于网络和信息安全的管理办法，并且要把这套管理办法交给一个强有力的部门来执行。

　　网络信息安全建设指导原则

　　网络信息安全的建设没有统一的定式，受企业的地理环境、人文环境、对应用系统的使用程度和依赖程度、网络和软硬件等基础设施状况以及企业领导的重视程度和经费预算等因素的影响。作者总结多年来建设网络信息安全的经验，提出下列一些指导性原则：

　　（1）没有绝对的安全，过分强调安全则反而使网络信息系统的可用性和便捷性降低。

　　（2）网络信息系统安全的建设是一个复杂的系统工程，受各种条件的限制，不可能一步到位，建设过程中要分清轻重缓急。不要轻信供货商所谓的“完整解决方案”。

　　（3）“三分技术，七分管理”的思想基本上是符合实际的，必须制定和实施可行、有力的网络信息安全管理制度。除了内部的管理制度和采用合适的技术外，也不要忘了可以使用法律武器来保卫网络信息安全。

　　（4）不要迷信网络信息安全的“木桶原理”，它有一个假设前提就是影响网络信息安全的所有因素等概率发生。但这是不可能的，所以应该评估影响企业网络信息安全的各个因素发生的概率及其破坏的程度，以此来决定应该先做什么，后做什么。

　　（5）网络的体系结构安全是很容易实现的，但也是经常犯的一个错误。

　　（6）物理安全的内容很多，要依据企业的环境和经费预算，特别是要对物理安全的各个因素进行评估后，再拟定计划进行建设。

　　（7）UPS电源的使用能够保证企业关键应用不受到供电影响，核心机房空调恒温以及防盗、防鼠、防水是必需的，配线间通风、防尘、防高温也是必需的。

　　（8）在建设网络之前应该慎重选用网络产品，不要被各厂家网络产品大量的宣传迷惑，各网络产品除了具有很多共性外，也存在不少的特性。选用网络产品时主要应注意如下一些内容：

　　◆ 接入级交换转发速率、VLAN支持、远程管理等功能是必需的。此外，需要接入级交换机支持IP地址和MAC地址的绑定，支持基于端口号和基于IP地址的ACL设置，支持日志实时记录到计算机硬盘上。

　　◆ 核心交换机必须支持VLAN间通信限制策略的灵活定义，支持DHCP的长期租赁期（比如一年），支持VLAN流量的监测，支持IP地址和MAC地址的绑定，支持基于端口号和基于IP地址的ACL设置，支持日志实时记录到计算机硬盘上；核心交换机的热备份问题，有的是采用双主控板互为备份、双交换板互为备份，有的直接使用两台独立的交换机互为备份，不管哪种方式，从主机切换到备机的时间是一个值得关注的参数。

　　◆ 防火墙和路由器必须支持NAT，支持L2TP协议和IPSEC协议的VPN，支持数据的分流，支持日志实时记录到计算机硬盘上，支持扩展的ACL。

　　（9）操作系统的自动升级必须有很好的解决办法，可以在操作系统上配置成自动升级方式，也可以采用第三方软件来分发升级程序，如微软的SMS或者SUS。

　　（10）必须随时关注数据库管理系统和应用系统的升级信息，必要时进行系统升级。

　　（11）企业版网络杀毒软件是必须的，杀毒软件应该具备杀毒、防火墙、入侵检测等功能，应该能够检测和杀死木马程序。

　　（12）防火墙、入侵检测硬件网络产品是必须的，入侵检测产品应该是旁路接入的，可以与防火墙联动，或者直接采用入侵防护系统。

　　（13）最好使用信息安全审计系统，它可以实现信息活动跟踪与记录。

　　（14）网管软件是必须的，它应该支持所有可以远程管理的网络设备历史流量的记录，网络设备日志的记录，此外还应该方便网络设备的各种配置和管理。

　　（15）数据库的备份是必需的，有条件的话可考虑异地备份。

　　（16）网络和信息安全管理是一个持续改进的过程，要不断地发现问题、解决问题，不断提高安全性。

　　网络信息安全建设实例

　　以一个有两个分公司的集团性质的公司（分公司通过VPN方式与集团公司本部连接）建设信息安全网络为例，其网络拓扑图如图1所示。

图1 网络信息安全建设实例

　　案例中不讨论分公司的网络信息安全性，集团公司在网络信息安全方面采取的措施有：

　　◆ 制定并执行了完善的网络信息安全管理制度。

　　◆ 中心机房UPS电源、防静电、防盗、防水、防鼠。

　　◆ 路由器VPN认证，日志记录，流量记录，Telnet认证，NAT，部分高危端口关闭；路由器与Internet连接的网卡关闭ICMP和Telnet。

　　◆ 综合性防火墙，防毒、入侵监测与网络监察审计系统联动；防火墙只开启必须的端口，如WWW、SMTP、POP3、DNS、Telnet、SNMP等。

　　◆ 核心交换机支持VLAN间访问许可的灵活定义。

　　◆ 接入级交换机支持IP地址与MAC地址的绑定，支持基于端口号的ACL。

　　◆ 整个网络按部门和系统用户群划分为多个VLAN，VLAN间部分允许互相访问，部分不允许互相访问。

　　◆ 网络管理软件记录了所有可以管理的网络设备的流量，记录了这些网络设备的日志信息。

　　◆ 装有Symantec网络企业版杀毒软件，该杀毒软件要求部署到网络内所有计算机上，杀毒软件带有防火墙和入侵检测功能。

　　◆ 计算机操作系统升级问题采用微软的SUS（免费软件）实现。

　　◆ 网络监察审计系统旁路接入核心交换机，与防火墙联动，有防入侵的功能，主要用于记录谁在什么时候与Internet的哪个IP地址有连接。

　　◆ 数据库采用同一机房的另一台服务器来备份。

　　◆ 对每台可以远程管理的网络设备，每天记录一次CPU利用率、内存利用率、连续运行时间。对路由器还记录ICMP拒绝包数量、Telnet拒绝包数量、L2tp VPN用户以及路由器上的防火墙拒绝包的比例。对防火墙还记录匹配的Telnet、ICMP、WWW、SMTP、POP3、DNS、FTP等匹配次数，记录其他高危端口号如135、139等的匹配次数。对接入级交换机还记录高危端口如冲击波病毒、震荡波病毒、常见木马程序等的ACL匹配次数。这些记录对网络设备和网络的正常运行有预警的作用。

　　◆ 每天查看网络设备的日志信息，找出可能会出现网络故障的预警信息，以及出现了的网络故障的信息。

　　◆ 每天查看杀毒软件服务器日志信息，及时掌握网络病毒情况。

　　◆ 每天查看网络监察审计系统日志信息，及时掌握内外网联接的情况。