內網網絡安全與監控策略的探討

楊 銘 耿 丹

(1.南京大學金陵學院，江蘇南京 2100892.江蘇省氣象信息中心，江蘇南京 210008)

內網網絡安全與監控策略的探討

楊 銘1耿 丹2

(1.南京大學金陵學院，江蘇南京 2100892.江蘇省氣象信息中心，江蘇南京 210008)

本文分析了內網網絡的安全現狀，指出其存在的問題，提出幾項建立網絡安全系統的措施：將平面網絡結構變為層次網絡結構；建立統一的訪問認證系統；建立各業務系統的安全邊際保護措施；實現內外網的動態隔離；建立防病毒網關，防止病毒的攻擊；健全網絡安全管理規范.做好網絡安全工作，應該做到管理和技術相結合.

內網; 網絡安全; 監控策略

1 背景

隨著網絡的發展，各企、事業單位關于公共方面的服務必須面向社會公眾開放，為廣大群眾提供各類信息查詢等服務.那么如何在開放的環境下保證現有各系統的安全運行，就成為一個不能回避的首要問題.為此建設一個完善的網絡安全系統，提高整個網絡的安全性和可靠性，成為內部網絡信息化建設的必然選擇.

信息網絡是一個龐大的廣域網系統，它連接著國家、省、市和縣四級單位.它主要分為兩類：一類為行業內業務服務用信息系統，包括國家局、省局以及各地市建設的各類信息采集、信息傳輸、信息處理、信息存儲、信息共享、信息發布、視頻會商、業務監控、行政管理等.以氣象系統為例，經初步調查，省局在建及已建的平臺有15個，各市局自建有數量不等的業務平臺.第二類為用于對外信息的各類發布系統，包括短信平臺、手機終端、專業服務網站、門戶網站、電視插播系統、IPTV等.因此，要確保這個龐大系統的安全，必須在統一規劃分布實施的原則下進行.

正是考慮到信息網絡當前的現狀，本文提出了一些提高內部網絡安全的可行性措施.

2 影響網絡安全的因素

2.1 網絡設計存在的缺陷

網絡設計是指網絡拓撲結構的設計和各種網絡設備的選擇.網絡拓撲結構設計簡單的話，會直接影響到網絡系統的安全.假如在外部和內部網絡進行通信時，內部網絡的機器安全就會受到威脅，同時也會影響在同一網絡上的其他系統的安全.

2.2 網絡訪問配置管理不當

訪問配置不當會造成非授權訪問.如果網絡管理員在配置網絡時，給某些用戶權限設置過大，甚至權限設置混亂，開放不必要的服務器端口，或者一般用戶因為疏忽，丟失賬號及口令，都會造成非授權訪問的情況，給網絡安全造成危害.

2.3 信息網絡與互聯網互聯的安全，網絡邊界的安全

近年來，信息技術高速發展，單位內網與互聯網之間信息的交換越來越廣泛.如何選擇隔離手段將內網與外網進行隔離的同時，進行必要的通信，這是保障整體網絡安全亟待解決的問題.

把不同安全級別的網絡相連接，就產生了網絡邊界.邊界是指網絡與外界互通引起的安全問題，有入侵、病毒與攻擊.網絡邊界的安全直接影響到整體的網絡安全.

2.4 病毒類攻擊

近些年，我國網絡建設高速發展，使網絡成為電腦病毒傳播的主要途徑.病毒通過網絡入侵，具有了更快的傳播速度和更大的傳播范圍.入侵到網絡系統的某些惡劣病毒會利用網絡系統中的配置和服務管理失誤，給系統造成數據丟失、篡改、數據庫錯誤、信息失真等損失，嚴重地危害到網絡安全.

2.5 人員管理

如果網絡管理人員工作責任心不夠、用戶保密觀念不強，那么再穩固的網絡系統也會存在安全隱患.

3 主要措施

3.1 變平面網絡結構為層次網絡結構，實現網絡的縱深防御

當前，很多單位內部網絡是平面結構的[1]，即辦公網和業務網是相互連通的，通過辦公網可以隨意訪問業務網絡，這樣的網絡結構容易造成一點突破全局失防的結果.為此，我們考慮將網絡的層次劃分三層：外部網、辦公網和業務網.在外部網和業務網之間建立緩沖接待區，外網用戶不能直接訪問辦公網的信息，必須通過接待區進行地址的代理轉換.另外，在辦公網和業務網之間安裝防火墻，對未授權的辦公網用戶進行隔離.

這樣的立體防御體系的最大好處就是解決了網絡的分層保護問題，變單層防護為多級防御，提高了網絡的安全等級.

3.2 建立統一訪問認證系統

由于單位網絡的內部用戶眾多，要進行有效的管理，就必須建立統一的認證系統，通過認證來進行用戶的身份識別和訪問權限控制[2].因每個用戶可能要訪問不同的應用系統，為了減少用戶重復登錄，可以考慮使用單點登錄技術，用戶一次登錄后，即可獲得授權TICKET，然后各應用系統依據TICKET來確定是否允許訪問.

由于某些政府部門網絡的內部用戶可能有好幾千人，每個人的權限都可能不一樣，要給每個用戶授權工作量巨大，為此在認證服務器上我們可以實行分級管理和基于角色授權相結合的機制.以氣象網絡為例：首先省局氣象信息中心對二級單位的網絡管理員進行授權，然后二級單位的網絡管理員再對本單位的職工進行角色授權.這里的角色是指對應用系統訪問權限的組合.譬如：預報員角色的權限只能進入預報資料相關系統，縣級局長角色的權限則可以進入辦公、業務、財務等各個系統，但是他只能查看所管轄縣局所有的相關資料.

3.3 建立各應用系統的安全邊際保護措施

雖然網絡分層保護可以比較好地保證網絡安全，但是在各應用系統間采取相應的保護措施也是必不可少的.例如氣象部門的氣象報文傳輸系統是一個需要保證絕對安全的應用系統，因為它直接關系到天氣預報，如果出現差錯的話就可能造成天氣預報報不準甚至無法預報；再譬如氣象信息綜合分析處理系統(micaps)一旦出現問題，將直接影響到對全省天氣數據的分析，由于全省的天氣數據非常龐大，如果沒有分析處理系統，光靠預報員進行手工計算將無法在規定的時間里獲得最新最準確的天氣預報.可能早一分鐘發布天氣預警就可能減少很多人民群眾生命財產的損失.

因此，對這些核心的業務系統，必須強化安全防范措施，首先要劃分清楚網絡的安全邊界，保證每個系統只有一個接口對外進行信息交換，然后再根據每個系統的不同特點對網絡接口采取相應的技術措施.例如對于天氣信息查詢系統，我們可以規定信息只能向外讀，外界的信息不能向內寫，同時還要規定數據只能按照規定的路徑流動，另外還進行流量的監控，一旦出現異常就可發出警報.通過采取多種措施，可以很大地提高核心系統的安全性.

3.4 實現內外網的動態隔離

在社會信息化程度越來越高的情況下，實現內網和互聯網的連通是必然的趨勢.雖然物理隔離能提高系統的安全性，但是也極大地阻礙了信息資源的充分利用[3].

要實現內網和互聯網的互通，必須有一個安全可靠的技術方案來保證，否則管理者很難做出正確的決策.

在實現和互聯網的連接中可以考慮采用動態隔離的技術[4].首先是建立一個網絡訪問接待區，互聯網的用戶只能到達接待區，其訪問請求均由接待區進行代理和轉發后，再訪問辦公網，同時還規定互聯網用戶的數據訪問路徑，即只能訪問辦公網，不能訪問業務網，同時對接待區進行流量監控.系統內的用戶要訪問互聯網也必須通過接待區完成權限檢查和地址轉換.

通過動態隔離技術和物理隔離的互補，可以有效地加強內網網絡安全.

3.5 建立防病毒網關，防止病毒的攻擊

病毒和木馬層出不窮，對信息系統的安全構成了很大的威脅，病毒的防范也成為信息安全的一個重要內容.

具體的防病毒措施就是建立防病毒的網關來實現對病毒的查殺[5].具體的做法就是在內網和互聯網的連接外建立防病毒網關，在重要的應用系統的出口也加裝防病毒網關，對流入的數據進行分析和監控，及時查殺病毒.

3.6 加強人員管理，健全網絡安全管理規范

網絡安全問題將一直存在于網絡信息系統內，所以沒有絕對的網絡安全.網絡安全系統建立的目的是通過電子信息技術和管理手段的綜合運用，在用戶的理解和配合下，實現相對安全的網絡系統運行.在技術保障的前提下，不斷加強人員管理是提高網絡安全的有效途徑之一.因此，健全相應的管理規范是必不可少的內容.

網絡安全管理規范是各級系統管理人員管理、維護和建設信息網絡系統的基礎和依據，也是管理各級用戶的有效手段.

4 結束語

通過以上措施，可以說初步建立了內網的安全防護體系，使內網的安全性得到了很大的提高，尤其是這些措施整體使用，其安全防護效果更加明顯.

當然，網絡安全系統的建立，也不意味著萬事無憂.例如有可能會有用戶私自開通互聯網上網，這樣就使內部網絡有很多出口，也使得采取的技術防范措施毫無作用，會造成極大的安全隱患.針對這種情況可以考慮統一部署桌面安全系統，收集用戶數據流中的IP地址情況，發現非法IP地址時及時報警，這樣就可以很容易發現問題，及時采取措施果斷處理.

應該說內網網絡安全不僅僅要靠技術防范，更需要加強安全管理，只有兩者相輔相成，才能保證網絡更加安全可靠.

[1]鄒呂新.計算機網絡安全及防范[J].電腦知識與技術,2011(25).

[2]徐強.局域網絡安全應對策略[J].軟件導刊,2011(7).

[3]李大光.當今各國的網絡安全[J].百科知識,2011(15).

[4]龐凱.綜述企業計算機網絡安全[J].價值工程,2011(21).

[5]李東升.關于防火墻技術與網絡安全問題研究[J].經營管理者,2011(13).

(責任編輯 周 璇)

2014-09-16

楊 銘,男，江蘇南京人，南京大學金陵學院助理工程師.

TP309.5

A

1671-1696(2014)11-0057-03