現代企業公司網絡安全如何管理？下面談談個人經驗。

　　

　　一、領導高度重視

　　

　　對網絡安全而言，領導重視更重要。網絡安全管理是一個動態的系統工程，關系到：

　　

　　安全項目規劃、用需求分析、網絡技術應用、安全策略制定、人員職責分工、安全等級評定、網絡用戶管理、安全審計評價、人員安全培訓、安全規章制度建立。這些是對網絡管理者提出的要求，僅靠技術人員的工作職能無法完成。

　　

　　二、隨需求確定安全管理策略

　　

　　隨著網絡拓撲結構、網絡應用以及網絡安全技術的不斷發展，安全策略的制訂和實施是一個動態的延續過程。當然可以請有經驗的安全專家或購買服務商的專業服務。

　　

　　但是一個單位的網絡安全服務建設不可能僅依靠公司提供的安全服務，因為商業行為與企業安全有本質差別，不是所有的網絡都需要所有的安全技術，何況有些安全技術本身并不成熟，只有采取適當防護，重點突出的策略，才能有的放矢，不會盲目跟風。

　　

　　不同的網絡有不同的安全需求：

　　

　　內部局域網和互聯網接入有不同的要求；

　　

　　涉密計算機的管理與非涉密計算機的管理不同；

　　

　　不需實時在線的小型數據系統并不需要昂貴的NAS產品，活動硬盤即可；

　　

　　應該遵照國家和本部門有關信息安全的技術標準和管理規范，針對本部門專項應用，對數據管理和系統流程的各個環節進行安全評估，確定使用的安全技術，設定安全應用等級，明確人員職責，制定安全分步實施方案，達到安全和應用的科學平衡。

　　

　　就現階段而言，網絡安全最大的威脅不是來自外部，而是內部人員對網絡安全知識的缺乏。人是信息安全目標實現的主體，網絡安全需要全體人員共同努力，避免出現“木桶效應”。

　　

　　可以用網上攻擊案例教育大家，使他們充分了解計算機網絡存在的安全隱患，認識到網絡安全人人有責，提高工作人員的安全保密意識和自我防范能力。

　　

　　出于資金考慮，一個單位愿意花幾十萬元購買安全產品，而往往不愿意讓技術人員參加有償培訓,這是一個極大的誤區。

　　

　　網絡安全是一門新興的技術,即便是對計算機專業人員來說也是一個嶄新的領域.如果技術人員對安全產品只有一知半解,就不能對產品正確配置,甚至根本配置錯誤,不但大的安全投入得不到保護,而且帶來虛假的安全。對于安全產品不能買回來一裝了事，應該了解安全工具的局限性和雙刃性以及錯誤的配置帶來的問題。這要求技術人員不但要懂網絡、懂安全，還要了解應用需求，了解網絡協議、網絡攻擊手段，認清并處理網絡病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務、信任關系利用、端口攻擊、未授權訪問等多樣化的攻擊手段。

　　

　　針對技術人員的培訓包括：網絡安全理論培訓、安全技術培訓、安全產品培訓以及本部業務培訓。

　　

　　三、建立嚴格制度的文檔

　　

　　網絡建設方案：網絡技術體制、網絡拓撲結構、設備配置、IP地址和域名分配方案等相關技術文檔；

　　

　　機房管理制度：包括對網絡機房實行分域控制，保護重點網絡設備和服務器的物理安全；

　　

　　各類人員職責分工：根據職責分離和多人負責的原則，劃分部門和人員職責。包括對領導、網絡管理員、安全保密員和網絡用戶職責進行分工；

　　

　　安全保密規定：制定頒布本部門計算機網絡安全保密管理規定；

　　

　　網絡安全方案：網絡安全項目規劃、分步實施方案、安全監控中心建設方案、安全等級劃分等整體安全策略；

　　

　　安全策略文檔：建立防火墻、入侵檢測、安全掃描和防病毒系統等安全設備的安全配置和升級策略以及策略修改登記；

　　

　　口令管理制度：嚴格網絡設備、安全設備、應用系統以及個人計算機的口令管理制度；

　　

　　系統操作規程：對不同應用系統明確操作規程，規范網絡行為；

　　

　　應急響應方案：建立網絡數據備份策略和安全應急方案，確保網絡的應急響應；

　　

　　用戶授權管理：以最小權限原則對網絡用戶劃分數據庫等應用系統操作權限，并做記錄；

　　

　　安全防護記錄：記錄重大網絡安全事件，對網絡設備和安全系統進行日志分析，并提出修復意見；

　　

　　定期對系統運行、用戶操作等進行安全評估，提交網絡安全報告。

　　

　　其它制度還有信息發布審批、設備安裝維護管理規定、人員培訓和應用系統等，以及全面建立計算機網絡各類文檔，堵塞安全管理漏洞。