企业网络安全建设规划

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全建设规划，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

第1篇

关键词：信息安全；安全风险；风险防控

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-03

随着大型企业信息化建设的逐步深入，对信息系统的依赖程度不断提高，信息系统的稳定运行直接关系到社会秩序与国计民生。企业伴随着各信息系统的建成，信息化水平不断提高，信息系统对业务的支撑作用更加明显，迫切需要提高信息安全保障能力，保证网络基础设施与信息系统的安全、可靠运行。

为了加强大型企业信息系统的安全防护，按照《国家信息化领导小组关于加强信息安全保障工作的意见》文中明确提出的“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估"的指导建议，本文对信息系统进行风险评估，确定系统缺陷和安全需求，提出整改建议，为大型企业整体信息安全解决方案提供基础资料和有力依据；结合国家关于信息系统安全等级保护的相关要求，评价已有信息安全建设的适当性、合规性，分析所面临的威胁、影响和脆弱性及其发生的可能性，最终得出所面临的风险，并提出整改建议，为大型企业信息安全战略发展提供参考。

一、大型企业信息安全面临的风险

（一）风险概述

安全风险是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全风险是一个客观存在的事物，它是风险评估的重要因素之一。

产生安全风险的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全管理人员忽略。这将导致对安全风险的认识出现偏差。

（二）威胁类别

分析存在哪些威胁种类，首先要考虑威胁的来源，信息系统的安全风险来源如下。

对安全风险进行分类的方式有多种多样，针对上表威胁来源，可以将威胁分为以下种类。

二、信息安全风险防控

（一）信息安全风险防控思路

根据大型企业目前信息安全工作的现状，为了充分的利用现有资源、节约成本，并能够有效的对信息资产进行充分保障，我们提出“集中管控、纵深防御”二点方针：

1.集中管控：减少攻防界面是成本较低、成效显著的防御方法。随着网络设备、服务器主机、安全设备的不断增加，网络拓扑日益复杂，如能对安全设施进行集中管理，控制安全边界将能够有效地降低安全成本；

2.纵深防御：现有的任何防护措施都不能完全保证信息系统不发生安全事件，通过多级的安全防御部署，能够在出现未知漏洞外层防御措施失效后，控制安全事件造成的影响，减少损失。

基于以上两个观点，结合大型企业信息安全的现状，制定如下思路：

由于大型企业的网络复杂庞大，在未来的网络安全建设上建议采取大面上封堵，重点防御的策略。大面上封堵即阻断传统终端--网络—服务器—存储的访问方式；重点防御是指采用用户集中通过统一平台访问的方式实现业务应用，然后重点做好统一平台的安全防御工作；

在上述大思路的指导下，未来的网络安全建设还需要重点做好数据中心的网络安全防护工作，即不仅要防止由于服务端口开放带来安全风险，还应该重点防御深度注入web应用类型病毒所带来的安全风险，因为目前集团绝大多数的应用系统为B/S架构下通过web访问方式实现访问。

（二）信息安全风险防控蓝图

本文针对信息安全风险防控的蓝图拟从网络、主机、应用和数据4个方面来对大型企业的信息安全建设提出建议，如图所示：

大型企业信息安全建设规划蓝图

（三）信息安全风险防控措施

信息安全风险防控措施的基础工作是访问控制的细化。建议倾向于安全域的划分的思想，但不强调必须要进行安全域划分的表现形式。与网络相关的控制措施主要有以下3个方面：

1.单点故障：核心链路的各种网络设备往往为单台设备运行，诸如核心交换机、路由器以及防火墙等，一旦出现故障，将对网络的可用性造成严重影响，直接影响内外网间的访问，建议增加核心链路的设备数量，考虑进行双机热备。

2.边界控制：从网络整体来看，如果互联网出口数量较多，一旦发生来自网络外部的安全事件，判断和溯源难度大，管理分析成本较高，需要对企业网络的互联网边界适当管控，关闭或对互联网出口增加监管；

3.VLAN隔离：在服务器机房中存放的服务器主机的资产重要程度是不同的，部分主机所有互联网用户可以访问（如：门户网站），部分主机只有内部人员或内部部分人员可以访问（如：OA、ERP等）如果这些主机都划分在同一VLAN中，一旦任意主机出现安全事件，很容易影响到统一VLAN中的其他主机。需要对业务重要程度不同，系统应用耦合度小的主机间进行网段或其他方式的隔离，降低影响。同时通过隔离，一旦出现病毒、蠕虫等恶意代码，也能够方便管理人员排错和修复，提高网络管理效率。

三、结论和建议

（一）建立事前预警机制