谈谈企事业单位网络安全管理的体系构建

【摘 要】本文首先从某市一个企业单位网络的安全管理现状着手，分析了现状形成的原因，然后提出了此类单位网络安全管理系统构建方面比较全面的构想，并根据该企业的实例提出了构建单位网络的安全体系主要应从技术人员、意识、监督三个方面着手，并具体分析了这三方面的主要内容。

【关键词】企事业；网络现状；安全管理；体系构建

1 引言

企事业单位网络，作为在互联网上业务延伸的平台，它的功能和效果越来越受到各单位的重视。在各类单位系统建设中，安全无不被提高到战略高度对待。各单位或从技术手段出发，采用各类信息安全技术来保障网络安全，或是辅之以信息安全的制度保障，从技术加管理的角度来落实安全措施。但是由于开发和管理单位网络时，在技术人员、意识、监督上的缺陷，造成软件与管理上存在一定程度的漏洞，给单位的网络安全带来了影响，甚至影响了工作的开展。

1.1 实例分析

某市一企业2007年为了方便业务对象的手续办理和咨询，自建了互联网服务器，开设网上办理手续的网站，网站主要服务为业务手续所需表格的下载、申请审批的预约、申请审批进程的查询、程序规范的宣传和注意事项、疑问解答等，有需要的客户在家就可了解该项手续的办理，获取申请表格、了解审批的进程。该网站采用access+asp，服务器操作系统使用windows2003，web服务使用操作系统自带的IIS，系统安全措施采用kill6.0杀毒软件。该站源代码采用动易网站管理系统，是网上下载的一个免费源代码程序，委托电脑公司根据实际业务需要经过修改而成。因该企业对网络制作与管理不熟悉，也为了管理的方便，所以在管理上，超级管理员帐号由委托的电脑公司网络制作人员掌握，出现网络或服务器的问题则由该电脑公司派员进行维护，业务操作的帐号则由该企业人员掌握。开始筹划并建立伊始，该企业对网络的安全管理比较重视，特地咨询技术人员制定了安全管理制度，确定每日检查的事项，以及应急处理的方案。但由于该企业人员都只会业务操作，对安全管理这块没有概念，对此也不知如何监督管理，故日常的服务器检查等都未开展，全靠电脑公司进行。由于服务器属于该企业，故放置在办公室，电脑公司维护人员通过在服务器安装serve-u软件开通了ftp功能，以及安装Remote Administrator可以进行远程控制，使网络的一些代码更改上的操作和一些简单的系统问题可以进行远程维护，服务器的系统登录密码该企业和电脑公司都掌握。

电脑公司在技术上有优势，如果能按照安全管理制度做好日常维护管理，包给电脑公司进行网络和服务器的维护这也是一个很适合该企业现状的安全管理方案，但电脑公司技术员由于责任心问题未认真进行日常检查维护，只是在该企业提出修改时进行一下网络代码的修改，或者系统局部问题的处理，在2007年初服务器的操作系统安装完毕，系统补丁打全、杀毒软件kill的病毒库升级后，就没有再次更新。由于网络数据没有及时备份，导致了业务信息全部丢失，无法及时进行应急恢复，给企业造成了很大的损失。

发生这次攻击并不是黑客的技术有多么的高超，仔细分析一下造成目前状况的主要原因，其实很明显：

（1）缺乏熟悉计算机技术的人员

该企业原有工作人员不熟悉计算机技术，水平仅停留在网络的业务信息基本操作上，对网络的安全管理一无所知。虽然网络创建伊始制定了安全管理制度，确定每日检查的事项，以及应急处理的方案，但是由于技术水平的限制，无法监督贯彻制度中的规定。

（2）存在重创建轻安防的意识

在网络安全问题上该企业还存在认知盲区和制约因素，网络是新生事物，很多人一接触就忙着用于学习、工作等，对网络信息的安全性无暇顾及，对网络信息不安全的事实认识不足，造成安全意识淡薄。

（3）维护外包但监督未及时跟进

应该来说，该企业针对自身缺少技术人员的情况，将网络和服务器包给电脑公司进行维护这个方案还是可行的，但问题出在外包后没有将监督及时跟进，没有对电脑公司的维护工作作出严格的监督，完全靠电脑公司技术人员发挥主观能动性来进行维护，还是存在很大风险的。

2 网络安全管理体系构建思路

2.1 技术保障体系中

技术研发：重新构建该网络源代码，或者在原先基础上，可以购买收费版的动易系统，获得开发商技术支持，可以有效防范代码漏洞的危险。

防护系统：采用在杀毒性能强、用户界面友好、升级方便的杀毒软件，比如卡巴斯基杀毒软件；采用防火墙，可以采用软件防火墙（如天网，设置好详尽的安全规则，屏蔽不用的端口）甚至硬件防火墙（如firebox），防止外部网络用户以非法手段通过外部网络非法访问服务器。

2.2 运行管理体系中

行政管理：在该企业内部建立安全组织机构，如电子商务网络安全管理小组，由该企业的经理直接管辖，提升对安全管理的认识层次、制定完善的安全措施，协调管理和监督方面的事宜。

2.3 社会服务体系中

安全管理____随着社会发展，安全管理外包服务越来越显出其重要性，可以由MSSP（安全服务提供商）提供信息安全咨询、安全技术管理、数据安全分析、安全管理评估等服务，使安全管理工作专业化。

应急响应____制定应急处置预案，进行演练

教育培训____信息安全教育和培训是该电子商务网络的管理人员目前急需的，是对电子商务网络进行有效管理、应用和维护系统安全的重要基础。

2.4 基础设施体系中

标准建设____参加计算机信息系统等级保护申报等。

3 体系构建存在问题的解决方法

3.1 增强单位工作人员安防忧患意识

该企业可以组织开展多层次、多方位的信息网络安全培训和技术学习，提高基本的计算机技术能力和对网络安全的认识，形成网络信息安全的概念，从而增强内部工作人员安全防范意识和防范能力，这是避免网络安全事件发生的有效途径。只要安防意识提高，就能带动提高查找管理漏洞的能力和加强学习、弥补漏洞的动力。

3.2 配备与电子商务网络相适应的技术力量

单位网络的信息安全管理不是一成不变的，它应该是一个动态的过程，但又是一个必须“长抓不懈”的系统工程。随着安全攻击和防范技术的发展，网络的安全策略也要因时因势分阶段调整，只有时刻保持住这种动态的平衡，才能使网络的安全立于不败之地，而前提是有相适应的技术力量，因为人是网络最终使用者，也是在网络整个生命周期中，如规划设计、建设实施、运行维护等过程中的参与者和管理者，人的因素是保证网络正常工作不可缺少的重要部分。

3.3 依托中介进行管理，完善监督机制

该企业将网络和服务器的创建和维护包给电脑公司进行，按照安全管理制度做好日常维护管理，这也是一个很适合该企业现状的安全管理方案，但电脑公司的技术员由于责任心的问题，未认真进行日常的检查维护，而该企业工作人员由于技术水平问题以及安全防范上的意识问题，没有对照安全管理制度对该电脑公司进行有效的督促。

4 结论

网络是依赖于计算机和网络技术而存在的，因此它的安全与否主要取决于服务器和网络安全与否，即系统自身的安全隐患和信息安全隐患。我们只有在包括技术人员、意识、监督等在内的多方面措施支撑下，积极查漏补缺，防止和修补好单位网络这个木桶出现的某一块缺损木板，才能使这个木桶不因我们僵化静止的观念而漏水，使企事业单位网络能发挥出它的积极作用。

参考文献：

[2]褚峻.构建电子政务安全管理体系研究[J] .档案学通讯，2003

（3）.