自《网络安全法》正式实施以来，国家已将网络安全提升到法律高度，伴随2019年12月1日新版《信息安全技术网络安全等级保护基本要求》的正式实施，网络安全等级保护进入2.0时代，越来越多的企事业单位开始因各种原因开展等级保护测评工作。另一方面，国际网络安全形势日益严峻，各种针对企业网站、系统的攻击行为频发，给企业的业务运营造成重大影响，企业也希望通过等级保护测评工作，发现企业自身存在的安全问题，通过解决企业存在的安全问题不断提升自身的安全防御能力。

1企业面临的安全风险

伴随着云计算、大数据、移动互联网等技术的广泛应用，越来越多的企业开始追求云计算、大数据、移动互联网等新技术的应用和开发，但对于自身内部的网络安全防护没有足够的重视，造成企业网络安全状况时有发生。通过对各类企业进行的等保测评过程中发现，企业面临大量的安全风险，尤其中小企业面临的安全风险更为严峻。那么在等保测评过程中发现企业所面临的安全风险到底有哪些呢？

（1）企业内部网络中弱口令、相同口令普遍存在通过等保测评发现，企业对网络边界的防护措施日益完善，但针对企业内网中的防护措施还存在问题，企业员工对安全风险意识不足，许多员工为了工作方便，使用简单口令或默认口令登录应用系统，给企业的安全运维造成很大压力。

（2）对企业内部人为的恶意攻击防范不足来自企业内部的攻击者往往会对内部网安全造成最大的威胁，造成的损失最大，然而许多企业针对内部攻击防范措施缺乏，造成企业一旦被攻击无法及时发现和定位，错失收集事件关键信息的最佳时机。

（3）企业服务器和应用系统的漏洞整改不及时企业随着业务的增长，资产数量也在疯狂的增长，外部漏洞披露逐年增多，导致企业漏洞数量也随之增多，漏洞修复速度远远达不到漏洞产生的速度，就会导致漏洞逐年积压，形成企业漏洞管理顽疾。部分企业内部虽建立漏洞管理机制，但是漏洞管理很重要的一部分是流程管理环节，其中会涉及企业内部各个部门协调工作，针对企业漏洞管理人员职责不明确，缺乏监督执行，导致企业漏洞管理沦为纸上谈兵。同时漏洞修复工作涉及资产范围广，部分漏洞修复工作对技术要求高，运维人员修复难度大，需要更有效、更权威的漏洞解决方案来指导运维人员进行漏洞修复，依靠传统的技术很难完全覆盖所有的漏洞修复解决方案。

（4）病毒入侵防范能力不足网络病毒数量种类繁多，病毒很容易通过互联网、U盘、运维终端或其他途径进入企业内部服务器，造成企业内部网络拥塞、系统崩溃、业务中断等情况。许多中小企业的网络结构简单，有的只在网络边界部署一台防火墙，服务器普遍未安装杀毒软件等防护产品，一旦遭遇网络病毒入侵，无法有效进行防御，对企业应用系统和业务数据都会造成重大影响。

（5）远程访问工具审批不严格在多数企业中，对远程访问工具没有进行严格的检查、审批流程，无法对远程访问工具的使用情况进行有效监控，无法保证使用远程访问工具是企业的运维人员，有可能是企业原来的员工或网络犯罪分子。

（6）企业的安全管理制度落实不到位等保2.0标准明确了企业需要建立一套安全管理体系，但现实测评中发现，许多企业制定的安全管理制度并不全面，有的安全管理制度过于细化、量化，缺乏可操作性，制度执行起来难度很大；有的企业只是制定了安全管理制度，只是为了应付检查，并未对安全管理制度进行严格落实。

2企业的应对措施

针对企业安全风险的多样性，企业的安全防护能力也需要面面俱到，避免企业遭受网络安全攻击，企业网络维护者应致力于增强内网的防卫能力。

（1）加强企业内网安全防御

企业内部网络安全的威胁与网络边界的威胁有所不同，内网安全威胁主要来源于企业内部员工或设备。攻击者一般会先控制企业内部的一台服务器或终端，然后以此为跳板，对内网中其他服务器和终端发起恶意攻击。因此，应在网络边界加强恶意攻击的防护措施，同时加强内网防范和检查措施。

（2）实行自动跟踪的安全策略

实行自动实时跟踪的安全策略是有效实现企业网络安全实践的关键。企业可以利用一种自动检测方
、法来探测企业活动中的各种变更，企业的安全策略也必须与企业活动中的各种变更适应。如实时跟踪企业员工的上岗和离职、实时跟踪企业各个主机的网络利用情况并记录与其进行信息交互的服务器。总之，要做到确保企业重要活动能够自动实施跟踪，并遵循企业制定的安全策略。

（3）对企业内的重要资源重点保护

例如企业内网中部署了上千台设备，期望每台设备的安全策略和补丁更新都处于最新安全状态是非常不现实的。首先要对企业服务器做评估分析，然后对企业内网中每台服务器进行安全检查、修补和强化工作。找出重要的服务器并进行限制管理。这样就能迅速准确地确定企业最重要的资产，并做好在企业内网的定位和权限限制管理工作。

（4）企业应建立安全访问机制

许多企业员工给外部人员开启一些非法的访问权限，导致了企业内网实时跟踪困难。因此，企业须在边界防火墙之外建立外部人员访问网络区域，对外部人员访问企业内部网络进行统一审批流程，并对外部人员访问内网行为进行全程跟踪。

（5）强化企业管理制度的落实

企业需要根据企业自身实际需要，制定一整套可实施、可考核的安全管理体系，明确安全管理的各个环节和流程。企业领导层需对安全管理体系高度重视，明确安全管理体系的责任人，使之能够在企业运营过程中落实到企业活动的各个环节，同时不定期向企业员工宣传贯彻安全管理制度内容，提高企业员工的网络安全意识，使员工能够自觉依照安全管理制度要求进行企业活动。如何保障企业自身网络的信息安全是每个企业需要重视和研究的一个课题，在坚持“三分技术，七分管理”的原则下，企业应从领导到员工，重视企业内部的网络安全，培养建立企业信息安全文化，提高员工网络安全责任意识，养成良好的网络安全使用习惯，同时以信息安全技术为支撑，强化企业内部网络安全防护能力，通过安全管理和安全技术两方面共同发力，确保企业网络安全。

参考文献：

[1]李建波.企业安全风险分析与管控措施研究[J].企业改革与管理，2021.

[2]贺雅蓉.大数据时代企业信息安全管理体系研究[J].通讯世界，2020.

[3]闻天棋.企业信息安全风险防控探讨[J].科技创业月刊，2019.

作者:赵少飞  单位:陕西省网络与信息安全测评中心