中小企业如何进行网络信息安全建设

网络是企业信息化的基石，而网络信息安全则成为网络运用的障碍。企业对网络的利用率低，不仅仅是网络带宽的问题，更多的是考虑到网络安全的问题。因为害怕在网络上会出现这样或那样的问题，而不愿或不敢在网络上运行可以信息化的业务系统，而继续使用传统的或手工的方式来完成繁重的业务工作。

对于网络信息安全有两个普遍的观点：其一是“三分技术，七分管理”，说的是网络信息安全主要靠管理手段来保障，技术对网络信息安全的贡献只占三成；其二是“木桶原理”，说的是网络信息安全由一些基本的安全因素构成，这些安全因素中最脆弱的哪一部分将成为网络信息安全的最大威胁。

中小企业建设网络信息安全的内容

网络信息安全的实质是：保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们能正常发挥作用，保障系统能够安全可靠地工作。

网络信息安全大体上可以分为：物理安全问题、方案设计的缺陷、系统的安全漏洞、TCP/IP协议的安全和人的因素等几个方面。

对网络信息常采用的攻击手段有：窃取机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战等几大类。

针对中小企业网络信息安全建设，主要包括以下几个内容：

（1）物理安全：主要包括机房和配线间的条件、自然灾害、人为破坏、信息入侵等，进一步可以分为如下一些方面：

◆机房和配线间的电源、接地、防雷、防潮、防盗、防火、防尘、防鼠、温度调节、通风条件、强电流干扰等。

◆地震、火灾、洪水、台风等。

◆人为误操作、有意破坏信息系统或通信线路或设备、恐怖活动、战争等。

◆线路搭听、从网络入口处侵入网络等。

（2）计算机硬件和软件的资产安全：主要包括计算机硬件不被替换或者移走，所使用的计算机软件是否存在版权问题，是否使用了不允许使用的软件等。

（3）网络体系结构安全：主要包括如下一些内容：

◆相对独立的局域网的拓扑结构不存在环路。

◆通信线路通信性能上不存在瓶颈。

◆通信线路某一部分故障影响的范围尽可能小。

◆通信网络设备故障影响的范围尽可能小。

◆局域网与Internet的连接要有隔离措施等。

（4）病毒防范：病毒是影响网络和信息安全最频繁、最直接的因素，其破坏程度可大可小。

（5）入侵检测与安全审计：入侵可以分为来自局域网内部的入侵和来自局域网外部的入侵，所以入侵检测与安全审计可以在两个地方来实现，分别是在局域网与广域网的接口处即路由器或防火墙区域和在计算机终端操作系统上或接入级交换机上。

（6）信息活动跟踪与记录：防火墙和入侵检测的防御思想是如果发现某些信息数据是恶意的，那么直接把这些

信息数据“杀死”。而信息活动跟踪与记录的防御思想是把所有信息数据的踪迹记录下来，如果发生了网络信息安全事件，则检查是哪些信息数据造成这个安全事件，并把这些信息数据的踪迹作为证据交给国家安全部门来处理。防火墙和入侵检测是对“黑客”的主动防御，靠技术手段实现；而信息活动跟踪与记录则是对“黑客”的被动防御，靠法律武器来实现。

（7）信息安全：信息安全主要包括信息的访问控制安全和信息的传输安全，即信息不能够让没有授权的用户看到甚至修改或者删除，有授权的用户需要信息时应该能够快速、方便地得到信息，信息在传输或者存储过程中应该加密等。

（8）信息系统正常运行：包括操作系统、数据库管理系统、应用软件系统及硬件系统的正常运行，受系统的设计缺陷、系统漏洞等因素影响。

（9）法律安全：法律安全主要是指有人恶意地利用企业的网络和计算机等设备，进行计算机犯罪；也可能是企业的网络和计算机设备受到病毒、木马、黑客程序等的控制，成为傀儡计算机，自主进行计算机犯罪。司法机关在追查计算机犯罪时，只能追查到犯罪分子使用的某个网络接口，而不能追查到接口以内的局域网上具体是哪台计算机。为了防止计算机犯罪，以及保留计算机犯罪分子进行犯罪的证据，技术上使用网络信息审计系统，来保证网络上所传输的信息的安全性以及记录不安全信息的痕迹。

（10）安全管理：网络和信息安全是一个逐步加固的过程，一步到位的方法是没有的。在网络和信息安全上普遍采用“三分技术，七分管理”的措施来保障。企业必须形成一整套关于网络和信息安全的管理办法，并且要把这套管理办法交给一个强有力的部门来执行。

网络信息安全建设指导原则

网络信息安全的建设没有统一的定式，受企业的地理环境、人文环境、对应用系统的使用程度和依赖程度、网络和软硬件等基础设施状况以及企业领导的重视程度和经费预算等因素的影响。作者总结多年来建设网络信息安全的经验，提出下列一些指导性原则：

（1）没有绝对的安全，过分强调安全则反而使网络信息系统的可用性和便捷性降低。

（2）网络信息系统安全的建设是一个复杂的系统工程，受各种条件的限制，不可能一步到位，建设过程中要分清轻重缓急。不要轻信供货商所谓的“完整解决方案”。

（3）“三分技术，七分管理”的思想基本上是符合实际的，必须制定和实施可行、有力的网络信息安全管理制度。除了内部的管理制度和采用合适的技术外，也不要忘了可以使用法律武器来保卫网络信息安全。

（4）不要迷信网络信息安全的“木桶原理”，它有一个假设前提就是影响网络信息安全的所有因素等概率发生。但这是不可能的，所以应该评估影响企业网络信息安全的各个因素发生的概率及其破坏的程度，以此来决定应该先做什么，后做什么。

（5）网络的体系结构安全是很容易实现的，但也是经常犯的一个错误。

（6）物理安全的内容很多，要依据企业的环境和经费预算，特别是要对物理安全的各个因素进行评估后，再拟定计划进行建设。

（7）UPS电源的使用能够保证企业关键应用不受到供电影响，核心机房空调恒温以及防盗、防鼠、防水是必需的，配线间通风、防尘、防高温也是必需的。

（8）在建设网络之前应该慎重选用网络产品，不要被各厂家网络产品大量的宣传迷惑，各网络产品除了具有很多共性外，也存在不少的特性。选用网络产品时主要应注意如下一些内容：

◆接入级交换转发速率、VLAN支持、远程管理等功能是必需的。此外，需要接入级交换机支持IP地址和MAC 地址的绑定，支持基于端口号和基于IP地址的ACL设置，支持日志实时记录到计算机硬盘上。