數(shù)字化發(fā)展下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)中的風(fēng)險(xiǎn)識別及防范策略研究

張瀚允

（天津市寧河區(qū)煙草專賣局，天津 301500）

0 引 言

隨著數(shù)字化時代的到來，企業(yè)將面臨大量的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，可能面臨巨大的威脅，造成巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)信息受到威脅，會導(dǎo)致企業(yè)數(shù)據(jù)和信息被競爭對手獲得或受到黑客攻擊，進(jìn)而嚴(yán)重影響企業(yè)的生產(chǎn)經(jīng)營，甚至使企業(yè)陷入舉步維艱的困境。因此，為保證企業(yè)內(nèi)部數(shù)據(jù)和信息的安全，需從多個方面進(jìn)行分析和探討。

1 數(shù)字化發(fā)展下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)中的風(fēng)險(xiǎn)識別

1.1 無邊界

無邊界不可避免會涉及安全問題。在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)時，無論是構(gòu)建防火墻還是攻擊防護(hù)，均是為了在計(jì)算機(jī)網(wǎng)絡(luò)安全性上確立清晰的界線，保護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全[1,2]。5G通信技術(shù)和物聯(lián)網(wǎng)技術(shù)的創(chuàng)新發(fā)展，使企業(yè)的技術(shù)范圍不斷擴(kuò)大。在數(shù)字化背景下，物理虛擬系統(tǒng)（Cyber-Physical Systems，CPS）在數(shù)據(jù)的收集、處理、研究以及應(yīng)用等方面獲得廣泛應(yīng)用。面對物理?xiàng)l件的實(shí)操管控命令，它能夠在不同的場景中進(jìn)行業(yè)務(wù)運(yùn)作[3]。例如，無人機(jī)是智能技術(shù)與物聯(lián)網(wǎng)有效融合的經(jīng)典之作，已被運(yùn)用到各個行業(yè)，被納入企業(yè)具體的生產(chǎn)服務(wù)流程[4,5]。檢測物理?xiàng)l件和搜集監(jiān)管數(shù)據(jù)等方面均為企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全保證界限的擴(kuò)張，已沖破了以往物理方面定義的邊界涵義。企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)依附的基本設(shè)備和物理?xiàng)l件由以往建造互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet Data Center，IDC）升級為租借公共的IDC。硬件方面的基本設(shè)備由之前的網(wǎng)絡(luò)設(shè)施和服務(wù)器等，保存升級為建造私有云。滲透到混合云與公有云的結(jié)構(gòu)上，信息系統(tǒng)由以往的業(yè)務(wù)性能區(qū)域化結(jié)構(gòu)逐步升級為網(wǎng)絡(luò)企業(yè)的處理計(jì)劃。

中臺系統(tǒng)核心表現(xiàn)為新的互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）在演化發(fā)展中產(chǎn)生的1種以抽象的原子服務(wù)為基礎(chǔ)的交互式思想，即微服務(wù)。它是將通用功能進(jìn)行分解為和/或松耦合功能模塊組合，以達(dá)到動態(tài)變動改進(jìn)的信息結(jié)構(gòu)，是基于較高速度動態(tài)改進(jìn)業(yè)務(wù)形式下靈敏便捷的信息化軟件，不斷聚合與發(fā)布的集研發(fā)運(yùn)營于一身的產(chǎn)品[6]。它將大型和復(fù)雜的業(yè)務(wù)性能模塊分解，將公共服務(wù)和無邊界業(yè)務(wù)模塊融為一體的組合，增加了創(chuàng)建模型和具體運(yùn)行過程的難度。運(yùn)維與服務(wù)是云計(jì)算形式，而信息系統(tǒng)自身的邊界已超過了以往定義的邊界。在移動嵌入型計(jì)算技術(shù)飛速發(fā)展的今天，基于邊緣計(jì)算技術(shù)的物聯(lián)網(wǎng)技術(shù)和智能化終端被大范圍使用。例如，門禁系統(tǒng)沖破的邊界已不單單是收集數(shù)據(jù)與落實(shí)命令，也涵蓋了脫離中央核算處理決策水平的核算邊界。

1.2 零信任

在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全機(jī)制時，需重視信任問題。因?yàn)橐酝髽I(yè)要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全，得到信任是不可或缺的重要環(huán)節(jié)。因此，企業(yè)往往利用一連串的手段來保證工作人員的信用、確認(rèn)雇員的等級權(quán)限與個人信息、確認(rèn)終端裝置的使用標(biāo)識以及得到合作者信任等[7]。在不同的工作環(huán)境下，企業(yè)應(yīng)進(jìn)行身份識別和有效監(jiān)管，保證能夠合理解決信任方面的問題。從信任角度來講，信息系統(tǒng)的構(gòu)成是值得關(guān)注的重點(diǎn)。隨著信息化技術(shù)的快速發(fā)展，企業(yè)在規(guī)劃和布置內(nèi)部信息系統(tǒng)時，不可避免會出現(xiàn)由于資金問題或?qū)λ褂玫男畔④浖哂心承┆?dú)特要求而專門找人制作第三方公開源代碼的軟件，且同步使用第三方中的代碼與組件甚至公共服務(wù)。第三方提供的資源也存在信息安全方面的問題，并且關(guān)乎信任方面的問題[8]。假如企業(yè)并未創(chuàng)建真實(shí)可靠的信任制度和檢測方法，將對企業(yè)自身造成不可忽視的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。另外，建立企業(yè)的信任機(jī)制時需要考慮如何建立數(shù)據(jù)。在數(shù)字化發(fā)展背景下，云計(jì)算和大數(shù)據(jù)等新興技術(shù)的迅猛發(fā)展，導(dǎo)致企業(yè)在收集、傳輸、研究以及處理各種日益龐雜的信息等過程中存在信任問題，不利于企業(yè)構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。因此，在數(shù)字化環(huán)境下，為有效應(yīng)對日益復(fù)雜的信息和數(shù)據(jù)，企業(yè)應(yīng)立足于零信任創(chuàng)建計(jì)算機(jī)網(wǎng)絡(luò)安全機(jī)制，防止出現(xiàn)信任問題。

1.3 不對稱

在建立計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)時，企業(yè)須注意不對稱問題，即涉及信息攻擊與防御方面的問題。隨著數(shù)字化的發(fā)展，企業(yè)將面對的不僅有以往的集中式打擊，還有升級為有指向性和更準(zhǔn)確的信息沖擊，且具有持久的殺傷力，會對企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)生難以預(yù)估的損害，危及企業(yè)發(fā)展[9]。在這種情況下，企業(yè)大概率將面臨多種形式的信息沖擊，如行業(yè)間的激烈競爭、行業(yè)內(nèi)部利益沖突以及黑客惡意報(bào)復(fù)行為等。當(dāng)企業(yè)被確定成攻擊目標(biāo)時，將會引發(fā)攻擊與防御不對稱的問題，使企業(yè)陷入困境。如果企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)未健全，體制簡單，沒有足夠的防御保護(hù)措施，那么在應(yīng)對黑客使用漏洞發(fā)掘和武器庫等復(fù)雜的攻擊手段時，企業(yè)的關(guān)鍵數(shù)據(jù)和信息將無法被保存和免受攻擊。因此，在數(shù)字化發(fā)展背景下，攻擊與防御過程中存在的不對稱是企業(yè)要認(rèn)真思考和正確看待的問題，防止在面對黑客進(jìn)攻時企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不堪一擊[10]。企業(yè)應(yīng)設(shè)定正確的預(yù)防指標(biāo)，避免來自企業(yè)自身的蓄意攻擊和外界的惡意侵入。要有效抵御惡意攻擊，必須建立一個清晰的預(yù)防對象。企業(yè)也應(yīng)設(shè)定真實(shí)可靠的應(yīng)對措施，如參考或引入“深度防衛(wèi)”的安全模型。

2 數(shù)字化發(fā)展下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)中的防范策略

2.1 組織保障

計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)采用從上到下的架構(gòu)。要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)轉(zhuǎn)，確保信息網(wǎng)絡(luò)系統(tǒng)具有較強(qiáng)的安全效果，防止走漏隱私信息。為達(dá)成這個目標(biāo)，應(yīng)引進(jìn)最新的網(wǎng)絡(luò)安全技術(shù)，確保網(wǎng)絡(luò)安全能夠具有較強(qiáng)的保密性。立足于組織保障方面，企業(yè)管理層須承擔(dān)計(jì)算機(jī)網(wǎng)絡(luò)安全的保護(hù)責(zé)任。在企業(yè)發(fā)展中，管理層應(yīng)為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的預(yù)期效果提供相應(yīng)的資源支撐和決策性建議。企業(yè)領(lǐng)導(dǎo)應(yīng)以管理層共同制定的網(wǎng)絡(luò)安全制度為憑據(jù)，規(guī)劃整個網(wǎng)絡(luò)安全保證方案，包括目標(biāo)設(shè)定、組織架構(gòu)、資源分配、評估方式以及測試準(zhǔn)則等，進(jìn)而確定網(wǎng)絡(luò)安全所能達(dá)到的水準(zhǔn)，乃至對業(yè)務(wù)指標(biāo)的支持力度。在實(shí)際執(zhí)行網(wǎng)絡(luò)安全保障組織過程中，要求拆解和細(xì)化企業(yè)領(lǐng)導(dǎo)明確的規(guī)劃目標(biāo)，立足于經(jīng)營、管理和技術(shù)等方面，創(chuàng)建一個整體的系統(tǒng)層次來詳細(xì)實(shí)施的戰(zhàn)略規(guī)劃，并制定清晰的規(guī)劃和發(fā)展路線，以保證企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。

2.2 安全體系

在數(shù)字經(jīng)濟(jì)發(fā)展的社會變革中建立有效的計(jì)算機(jī)網(wǎng)絡(luò)完整系統(tǒng)，要求能預(yù)防和抵抗安全風(fēng)險(xiǎn)威脅。針對傳輸控制協(xié)議/網(wǎng)際協(xié)議（Transmission Control Protocol/Internet Protocol，TCP/IP）的網(wǎng)絡(luò)協(xié)議，基于7級開放式系統(tǒng)互聯(lián)（Open System Interconnection，OSI）的安全系統(tǒng)的分層結(jié)構(gòu)，將網(wǎng)絡(luò)的安全性融入整個系統(tǒng)結(jié)構(gòu)。在整個計(jì)算機(jī)網(wǎng)絡(luò)安全體系中，物理層的信息安全性是為了防止物理路徑受到損壞、入侵以及竊取；鏈路層網(wǎng)絡(luò)保持安全性的首要目標(biāo)是防止傳輸?shù)臄?shù)據(jù)被入侵竊聽，采用密碼通信分割虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）等方式來完成；操作系統(tǒng)（Operating System，OS）保障了存取用戶數(shù)據(jù)的安全性，并在OS內(nèi)實(shí)施審核；在網(wǎng)絡(luò)安全性上，要確保只有用戶才能獲得訪問許可，以確保網(wǎng)絡(luò)的正常運(yùn)行，防止被竊取、竊聽以及截獲；應(yīng)用平臺是在一個網(wǎng)絡(luò)上建立應(yīng)用程式，如電子郵件服務(wù)器、資料庫服務(wù)器以及網(wǎng)絡(luò)服務(wù)器等。因?yàn)閼?yīng)用平臺的體系比較煩瑣，所以通常采用各種技術(shù)來增強(qiáng)應(yīng)用安全。應(yīng)用軟件的主要功能是為使用者提供信息。系統(tǒng)安全與系統(tǒng)設(shè)計(jì)和落實(shí)存在緊密聯(lián)系，需要通過使用安全服務(wù)來保障系統(tǒng)的安全，如通信安全和認(rèn)證等，如圖1所示。

圖1 安全體系層次

2.3 系統(tǒng)響應(yīng)體系

響應(yīng)指在網(wǎng)絡(luò)安全系統(tǒng)檢測到入侵行為時的反應(yīng)動作。系統(tǒng)響應(yīng)主要包括被動響應(yīng)和主動響應(yīng)。主動響應(yīng)時，系統(tǒng)自動或者通過用戶設(shè)置方式阻斷攻擊，能夠阻止正在進(jìn)行的攻擊行為，避免攻擊者訪問。被動響應(yīng)能夠給用戶提供入侵信息，通過系統(tǒng)管理員采取適當(dāng)措施予以處置。此響應(yīng)以緊急程度為用戶提供信息，雖然和主動響應(yīng)相比實(shí)時性較差，但是安全性較高，便于維護(hù)數(shù)據(jù)。系統(tǒng)設(shè)計(jì)和主被動響應(yīng)優(yōu)勢結(jié)合，對模式庫中常見的攻擊類型預(yù)先設(shè)計(jì)動作，可實(shí)現(xiàn)對主動響應(yīng)的處理，并可利用異常算法檢測模式庫中是否存在攻擊，系統(tǒng)保存連接數(shù)據(jù)實(shí)現(xiàn)處理。在主動響應(yīng)中，系統(tǒng)要自動阻塞或者影響攻擊，改變攻擊過程。在被動攻擊中，系統(tǒng)只是報(bào)告和記錄檢測問題。系統(tǒng)分析體系結(jié)構(gòu)，如圖2所示。

圖2 系統(tǒng)分析體系結(jié)構(gòu)

2.4 技術(shù)體系

技術(shù)體系能夠按照技術(shù)層面進(jìn)行細(xì)分，形成一個專門的區(qū)域治理系統(tǒng)，其中用戶區(qū)域特殊技術(shù)的重點(diǎn)是通過共同的身份管控模塊和單點(diǎn)可登錄技術(shù)。立足于終端角度，著重于以漏洞和身份等內(nèi)容為核心的資產(chǎn)管理，重點(diǎn)是節(jié)點(diǎn)的完備性和一致性與終端驗(yàn)證身份，并且應(yīng)重視對終端進(jìn)行的惡意攻擊與損壞。計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵是要進(jìn)行邊界保護(hù)，在無邊界情況下應(yīng)使出口與入口保持在安全狀態(tài)。企業(yè)中不同等級的計(jì)算機(jī)網(wǎng)絡(luò)采用不同類型的安全域分區(qū)進(jìn)行管理，有效阻止入侵的擴(kuò)散，阻止內(nèi)部的越界襲擊。在系統(tǒng)方面加強(qiáng)安全性，防止已知的安全風(fēng)險(xiǎn)被攻擊，防止不相干的服務(wù)與接口被打開，加強(qiáng)對訪問的控制，是防止攻擊的重要手段。業(yè)務(wù)應(yīng)立足需要、開拓以及安排運(yùn)維3方面進(jìn)行有效研究，確保其運(yùn)用在代碼與邏輯方面的風(fēng)險(xiǎn)可控。此外，對運(yùn)用與系統(tǒng)2個方面進(jìn)行權(quán)限管控，防止受到越權(quán)入侵。安全實(shí)操在人為因素干預(yù)后，須建立健全授權(quán)隔離制度和員工安全制度，有效處理作業(yè)中的安全隱患。

3 結(jié) 論

伴隨計(jì)算機(jī)技術(shù)的快速發(fā)展和不斷創(chuàng)新，很多企業(yè)緊隨時代潮流，落實(shí)相關(guān)部門的政策號召，加大了企業(yè)內(nèi)部的數(shù)字化建設(shè)力度。在這一階段，企業(yè)應(yīng)該引起高度重視，保護(hù)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全，建立真實(shí)可靠的網(wǎng)絡(luò)安全體系，避免企業(yè)各類隱私信息被外界黑客和惡意軟件等入侵與破壞，開展好安全風(fēng)險(xiǎn)防范工作，提高企業(yè)的市場競爭力。