企業網絡安全是系統結構本身的安全，所以必須利用結構化的觀點和方法來看待企業網安全系統。企業網安全保障體系分為4個層次，從高到低分別是企業安全策略層、企業用戶層、企業網絡與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術防范系統，常見的企業網安全技術有如下一些。

便攜電腦的丟失難以避免且容易發生，因此企業必須做好便攜電腦的技術防范工作，以減少因無法避免的丟失而帶來的風險。便攜電腦的技術防范措施主要包括：安 裝強身份認證系統，例如指紋或USBKey等，以確保盜竊者無法打開計算機；采用加密軟件加密涉密文件，使盜竊者無法打開涉密文件；規定便攜電腦上不能夠 存儲涉密文件，涉密文件存儲在移動存儲介質上，存儲介質和便攜電腦分開存放。

目前國內主要采取第三條技術防范措施，要求便攜電腦上不得存儲涉密文件，這種措施實施起來有一定的難度，需要定期檢查便攜電腦中是否存有涉密文件或曾經存 儲過涉密文件，一旦發現就需要用永久性刪除軟件徹底刪除涉密文件以及記錄，特別是用戶已經刪除了涉密文件但留有記錄，需要對整個邏輯分區進行未用空間的徹 底清除，費時又費力。

這里建議還要聯合采用第一條和第二條技術措施。目前國內的單機版主機監控審計軟件大都能實現這兩種功能，一方面可以通過USBKey實現便攜電腦的強身份 認證，另一方面如果確實需要將涉密文件存放在便攜電腦中，那就要求將涉密文件存放在加密文件夾中，由主機監控審計軟件實現涉密文件的自動加密，涉密文件使 用完后應及時刪除。但國內這些加密軟件都不能實現對整個硬盤的加密，如果用戶將涉密文件存放在加密文件夾之外，涉密文件就不能實現自動加密。

目前市場上已經出現了全加密硬盤，例如希捷的全加密硬盤，可以從硬盤內部加密全部的存儲數據，甚至是臨時文件。這種硬盤即使丟失，盜賊即使可以登錄系統， 也無法訪問硬盤。此外還有全硬盤加密軟件，例如PGP公司和Pointset移動技術公司都提供這種類型的軟件，微軟Vista用可信賴平臺模塊 （TPM）的內置式安全芯片作為自己的BitLocker驅動器加密的一部分，也可以實現全硬盤的加密。以上的加密措施可以較好地保證涉密文件的安全，但 國內保密管理部門目前還沒有對任何商用的加密產品提供過安全保密認證，也就是說，企業丟失加密的涉密文件還是要負責任的。

移動存儲介質的技術防范

移動存儲介質和便攜電腦一樣，丟失難以避免，因此企業也必須實施好移動存儲介質的技術防范措施。移動存儲介質的技術防范措施主要是加密，使盜竊者無法打開移動存儲介質中的涉密文件。

目前國內部分主機監控審計產品都能實現移動存儲介質的加密存儲。強制要求在使用前必須進行存儲介質的認證，沒有通過認證的移動存儲介質在涉密信息系統中只 能讀，不能寫，只有通過認證的移動存儲介質才能進行正常讀寫，而且自動實現移動存儲介質中文件的加密。攜帶認證的存儲介質出差時，必須輸入正確的密碼才能 夠打開加密的文件，因此能較好地保證移動存儲介質中涉密文件的安全。

雖然國內在USB接口的移動存儲介質強制加密上具有較好的解決方案，但對于光盤（CD/DVD）的強制加密卻沒有較好的解決方案。這里建議企業可以從行政上強制規定，禁止使用光盤來存儲涉密信息，以防止涉密信息的丟失。

信息共享的技術防范

Windows系統工作組模式下的文件共享難以滿足企業的文件共享要求，容易出現每臺計算機都設有文件共享服務，混亂而且難以控制，甚至有些共享文件夾沒 有設密碼保護或密碼長度不符合安全保密的要求，這樣會導致涉密文件的知密范圍得不到很好的控制。需要采用Windows系統的域管理模式、配置域控服務 器，為每個用戶設置一個唯一的域帳號；配置專門的文件共享服務器，創建企業級、部門級和工作組級共享文件夾，并設置好用戶訪問共享文件夾的權限；通過腳本 將企業級、部門級和工作組級共享文件夾映射成用戶計算機上的網絡驅動器，以方便用戶訪問共享文件夾。同時，從技術上或行政上禁止用戶用本地計算機隨意進行 文件共享，只能通過專門的文件服務器進行網絡共享，這樣就建立好了企業的文件共享平臺。通過企業的文件共享平臺，可以較好地規范企業的文件共享行為，將知 密范圍控制在專業組、部門或項目組內。

文件共享只能對文件設置訪問權限，不能對更細級別的訪問權限進行控制，而基于數據庫的管理信息系統能夠進行記錄級甚至數據項級的訪問權限控制，能夠更好地 控制知密范圍，例如辦公自動化軟件和企業資源規劃軟件；基于產品數據管理軟件的文檔管理系統可以根據文檔的技術狀態動態地進行文檔權限的控制，例如定義文 檔設計狀態、校對狀態、審核狀態、發放狀態以及工程變更狀態的不同訪問權限，因此也能夠較好地控制文檔的知密范圍。同時，這些系統可以和Windows系 統的活動目錄實現集成，實現統一的系統登錄和認證，確保一次登錄，四處通行。因此，做好企業的信息化建設工作，不僅可以提高企業的工作效率和管理水平，還 可以提高涉密信息系統安全保密的水平。

網絡安全的技術防范

國內涉密信息系統要求和互聯網實現完全的物理隔離，因此國內涉密信息系統受到外來攻擊的可能性比較小，網絡安全主要是控制用戶網絡訪問的范圍，并預防員工 從內部發起網絡攻擊。

目前國內網絡安全產品在技術上比較成熟，而且品種也比較多。這里建議企業按部門或工作組來進行子網的劃分，并禁止各子網相互訪問來控 制網絡的訪問范圍；配置公共服務器子網，將企業公共的服務器放人公共服務器子網，例如郵件服務器、即時通訊服務器、主頁服務器、辦公自動化服務器、數據庫 服務器、企業資源規劃服務器和產品數據管理服務器等，并允許其他子網的計算機訪問公共服務器子網的服務器，從而實現企業內部跨部門或工作組的信息共享和交 換通過網絡交換機的配置來控制其他子網計算機只能訪Iral各公共服務器指定的網絡服務端口，從而較好地保護公共服務器的安全在企業核心網絡交換機上配置 人侵偵測系統，來偵測跨部門或工作組的網絡攻擊行為；通過MAC地址和網絡端口綁定Windows活動目錄和網絡交換機Radius認證的集成來防止非法 的網絡接人。

桌面安全的技術防范

桌面計算機輸入輸出控制是企業涉密信息系統安全保密工作技術防范的關鍵，桌面計算機輸人輸出控制不嚴會大大增加安全保密的風險，導致企業涉密信息系統安全 保密技術防范措施千瘡百孔，因此企業必須切實控制好桌面計算機的輸人輸出。目前國內控制桌面計算機輸人輸出行為的成功案例是統一集中的輸人輸出方案，可按 建筑物或部門設置統一集中的輸人輸出機房，并配置專人負責管理；規定所有的打印輸出必須到指定的輸人輸出機房進標每臺計算機上都安裝網絡版的主機監控審計 軟件客戶端[2][3），并在主機監控審計軟件服務器配置主機監控和審計策略，禁用用戶的各類輸入輸出端口，例如禁止使用USB端口的移動存儲介質、調制 解調器、各類光驅、紅外端口、SCSI端口和打印端口等，只允許輸人輸出機房的計算機能夠使用輸人輸出端口。但由于國內的主機監控審計軟件容易被突破，因 此桌面安全做得較好的企業會聯合采用物理措施封堵計算機的輸人輸出端口，例如更換專門的安全保密機箱并將機箱上鎖?；蛴谜衬z、封條等方式封堵計算機的輸人 輸出端口。同時為了防止病毒的人侵，避免用戶隨意安裝軟件和操作系統，確保整個涉密信息系統的安全，桌面安全做得較好的企業也會拆除計算機的只讀光驅。

如果手工進行所有桌面計算機的安全配置和漏洞封堵，將大大增加系統管理員的工作量，而且也難以做到位。因此，這里建議采用軟件自動配置的方式來完成桌面計 算機的安全配置和漏洞封堵，可采用Windows活動目錄組策略的配置來控制所有域內計算機的安全配置，例如域帳戶密碼的長度和復雜性要求、鎖屏策略等； 采用Windows的軟件分發服務來自動實現系統補丁的分發，可定期從國際互聯網上下載系統補丁包，由軟件分發服務器來實現系統補丁的分發。目前國內個別 先進的主機監控審計軟件也能夠實現桌面計算機安全配置和漏洞封堵的自動化。

其它類型防范方法

一、VLAN（虛擬局域網）技術

選擇VLAN技術可較好地從鏈路層實施網絡安全保障。VLAN指通過交換設備在網絡的物理拓撲結構基礎上建立一個邏輯網絡，它依*用戶的邏輯設定將原來物理上互連的一個局域網劃分為多個虛擬子網，劃分的依據可以是設備所連端口、用戶節點的MAC地址等。該技術能有效地控制網絡流量、防止廣播風暴，還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網，也無法得到整個網絡的信息。

二、網絡分段

企業網大多采用以廣播為基礎的以太網，任何兩個節點之間的通信數據包，可以被處在同一以太網上的任何一個節點的網卡所截取。因此，黑客只要接人以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。網絡分段就是將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。

三、硬件防火墻技術

任何企業安全策略的一個主要部分都是實現和維護防火墻，因此防火墻在網絡安全的實現當中扮演著重要的角色。防火墻通常位于企業網絡的邊緣，這使得內部網絡與Internet之間或者與其他外部網絡互相隔離，并限制網絡互訪從而保護企業內部網絡。設置防火墻的目的都是為了在內部網與外部網之間設立唯一的通道，簡化網絡的安全管理。

四、入侵檢測技術

入侵檢測方法較多，如基于專家系統入侵檢測方法、基于神經網絡的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。

我們需要重點解決企業實際存在的這些問題，確保做到有的放矢。下面從便攜電腦、移動存儲介質、信息共享、網絡安全、桌面安全、安全審計等方面的技術防范角度，來分析企業涉密信息系統安全保密技術防范措施。

結語

隨著信息安全技術的發展，信息安全產品正在向智能、整合和管理方向發展，未來的涉密信息系統安全保密技術防范方案將會越來越完善。同時我們也應該注意到， 如果沒有強有力的管理來支持，再好的技術防范措施都會大打折扣，再好的技術防范產品也將成為擺設，因此涉密信息系統安全保密工作的重點還是在于管理，需要 制定切實可行的規章制度，定期進行涉密信息系統的安全保密檢查，發現問題及時整改，并嚴肅處理違規的責任人，從而不斷強化員工的安全保密意識，使員工能夠 自覺遵守企業安全保密的規章制度。

【編輯推薦】

1. 網絡安全與保護：在差異中尋求共識
2. 利用安全VPN遠程訪問 確保企業內部網絡安全
3. 美網絡安全不足 官僚機構權責不明