企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的方案設(shè)計(jì)及信息技術(shù)

蘇向穎，王喃喃

摘要：本文主要通過(guò)安全體系建設(shè)的原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)方案等方面進(jìn)行闡述，為企業(yè)發(fā)展提供一個(gè)可靠、完整的方案。

關(guān)鍵詞：信息安全 企業(yè)網(wǎng)絡(luò)安全 安全防護(hù)

1 企業(yè)內(nèi)部網(wǎng)絡(luò)存在的安全問(wèn)題

絕大多數(shù)企業(yè)對(duì)于網(wǎng)絡(luò)安全的重視度不夠，一般都是通過(guò)采購(gòu)防火墻等設(shè)備堵住來(lái)自Internet的不安全因素。其中，常用的企業(yè)網(wǎng)絡(luò)安全防范較多時(shí)候是通過(guò)設(shè)置來(lái)預(yù)防的，主要針對(duì)來(lái)自網(wǎng)絡(luò)的病毒和通過(guò)系統(tǒng)漏洞的非法入侵檢測(cè)等方面的不安全因素，這就需要我們除了采用安全措施和相關(guān)配置在網(wǎng)絡(luò)與外部進(jìn)行連接的端口處進(jìn)行操作外，還要采取該形式安全因素進(jìn)行防范以此避免外部可能所帶來(lái)的安全威脅，但是往往卻忽視了內(nèi)部網(wǎng)絡(luò)所存在在的安全問(wèn)題。

為了解決內(nèi)部網(wǎng)絡(luò)安全問(wèn)題，我們除了要提高企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識(shí)外，還需要重視企業(yè)內(nèi)部網(wǎng)絡(luò)安全問(wèn)題。為了改變現(xiàn)狀，可以采取有效的措施對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)安全進(jìn)行管理，避免因?yàn)榫W(wǎng)絡(luò)管理不安全所帶來(lái)的事故，真正做到避免對(duì)企業(yè)的重大經(jīng)濟(jì)損失和社會(huì)的負(fù)面影響，確保企業(yè)內(nèi)部網(wǎng)絡(luò)不受任何非法侵害，這也是現(xiàn)代企業(yè)在進(jìn)行信息化建設(shè)過(guò)程中最需要解決的問(wèn)題。

2 內(nèi)部網(wǎng)絡(luò)將面對(duì)的威脅

隨著信息化技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)建設(shè)逐步成為企業(yè)內(nèi)部在進(jìn)行信息化過(guò)程中不可缺少的。而且，由于網(wǎng)絡(luò)應(yīng)用程度的不斷增加使企業(yè)網(wǎng)絡(luò)面臨的安全隱患也不斷增加，造成網(wǎng)絡(luò)的不確定因素。

2.1 內(nèi)部網(wǎng)絡(luò)的脆弱。企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實(shí)現(xiàn)的，由于部分網(wǎng)絡(luò)管理人員對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范疏于監(jiān)管和對(duì)防護(hù)措施的更新，使得大部分的計(jì)算機(jī)終端都面臨著嚴(yán)重的系統(tǒng)漏洞問(wèn)題，同時(shí)隨著內(nèi)部網(wǎng)絡(luò)中應(yīng)用程序數(shù)量的日益增加，也給計(jì)算機(jī)終端帶來(lái)了更多的系統(tǒng)漏洞問(wèn)題。

2.2 用戶權(quán)限的不同。企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶都有自己使用的權(quán)限和防止被別人使用的權(quán)限。因此，我們需要對(duì)用戶權(quán)限進(jìn)行統(tǒng)一的控制和管理，不然就會(huì)造成不同的應(yīng)用程序被非法破譯和越權(quán)操作。也正是設(shè)置權(quán)限不一，才導(dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)需要多次識(shí)別身份認(rèn)證。同時(shí)，對(duì)于那些擁有身份認(rèn)證較弱的用戶，極易被攻擊，黑客一旦通過(guò)基層身份打入內(nèi)網(wǎng)，就會(huì)實(shí)現(xiàn)越權(quán)操作。很多黑客有機(jī)可乘都是因?yàn)槠髽I(yè)的信息安全部門的服務(wù)器管理不到位造成的。

2.3 分散涉密信息。部分企業(yè)內(nèi)部網(wǎng)絡(luò)的涉密數(shù)據(jù)儲(chǔ)存一般都是分布在不同的計(jì)算機(jī)終端中的，并不是將這些涉密信息存儲(chǔ)到服務(wù)器中，這就需要我們有著嚴(yán)格的監(jiān)督制度進(jìn)行管理。這樣才會(huì)有效地對(duì)日常辦公的涉密數(shù)據(jù)進(jìn)行統(tǒng)一管理，不會(huì)給盜竊涉密信息的人員制造大量的攻擊機(jī)會(huì)。一些企業(yè)對(duì)于企業(yè)內(nèi)部的機(jī)密信息大多集中在中高層管理者的計(jì)算機(jī)終端里，企業(yè)內(nèi)部網(wǎng)絡(luò)對(duì)于這些信息沒(méi)有進(jìn)行整合。這也就意味著機(jī)密信息集中在幾個(gè)管理者手中。而他們對(duì)于信息的保護(hù)程度遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到專業(yè)性的程度。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案

3.1 網(wǎng)絡(luò)安全防范總體設(shè)計(jì)。企業(yè)內(nèi)部的網(wǎng)絡(luò)綜合的運(yùn)用就是對(duì)入侵檢測(cè)系統(tǒng)以及漏洞掃描系統(tǒng)等進(jìn)行防護(hù)，以此保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)通信的絕對(duì)安全。這就需要我們根據(jù)企業(yè)自身的特點(diǎn)，進(jìn)行內(nèi)部網(wǎng)絡(luò)安全的防范方案，就需要我們應(yīng)用部署硬件加密機(jī)。這樣除了保證企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信能夠進(jìn)行加密處理外，還能保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全可靠。

3.2 網(wǎng)絡(luò)安全體系模型構(gòu)建。一般來(lái)講，企業(yè)內(nèi)部的防衛(wèi)能力，從安全策略角度表現(xiàn)為兩個(gè)方面：一個(gè)為總體的安全策略和具體的規(guī)劃，總體安全策略制定一個(gè)組織結(jié)構(gòu)的戰(zhàn)略性安全指導(dǎo)方針，并成為這個(gè)方針實(shí)現(xiàn)分配的必要人力和物力。一般通常采用以下兩種方式，即物理隔離和遠(yuǎn)程訪問(wèn)控制。

物理隔離：所謂的物理隔離，就是我們?cè)诰W(wǎng)絡(luò)建設(shè)的時(shí)候建立在兩套相互獨(dú)立的網(wǎng)絡(luò)上，另一套用于連接到Internet，在同一時(shí)候還能始終只有一個(gè)硬盤處于工作狀態(tài)，這樣就能真正到達(dá)意義上的物理安全隔離。

遠(yuǎn)程訪問(wèn)控制：①用戶身份識(shí)別。在通過(guò)對(duì)用戶身份進(jìn)行識(shí)別時(shí)候，就是在確保內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的基礎(chǔ)上進(jìn)行的，也是保證能夠正確確定用戶身份的辨別。這樣能夠避免因?yàn)榭蛻舳擞脩魯?shù)量的不確定，而導(dǎo)致的存在不安全和不確定的隱患。因此，對(duì)于網(wǎng)絡(luò)客戶端用戶的身份識(shí)別是重中之重。②用戶授權(quán)管理。用戶在進(jìn)行授權(quán)管理的時(shí)候，我們必須要以身份認(rèn)證為基礎(chǔ)，然后對(duì)用戶所使用的企業(yè)內(nèi)部管理的數(shù)據(jù)資源為基準(zhǔn)進(jìn)行的，因?yàn)槊總€(gè)用戶對(duì)應(yīng)著的權(quán)限不同，就需要根據(jù)不同的權(quán)限進(jìn)行不同的操作。③數(shù)據(jù)信息保密。企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全管理中的核心部分就是數(shù)據(jù)信息的保密工作是否到位，為了確保安全，就需要我們對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)通信進(jìn)行統(tǒng)一的安全管理，以此保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)涉密信息和知識(shí)產(chǎn)權(quán)信息進(jìn)行高效率的保護(hù)。④實(shí)時(shí)監(jiān)控審計(jì)。在進(jìn)行實(shí)時(shí)監(jiān)控設(shè)計(jì)的時(shí)候，需要我們對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全進(jìn)行實(shí)施的監(jiān)控，以此形成企業(yè)內(nèi)部網(wǎng)絡(luò)安全的評(píng)估報(bào)告，為以后出現(xiàn)安全事故的時(shí)候提供有效的分析判斷依據(jù)。

4 安全防護(hù)手段的信息技術(shù)

4.1 完善管理：企業(yè)進(jìn)行內(nèi)部網(wǎng)絡(luò)管理制度的完善工作，主要就是保障網(wǎng)絡(luò)完全的基礎(chǔ)。其中安全管理我們可以從信息化安全技術(shù)和設(shè)備管理，制定嚴(yán)格的內(nèi)網(wǎng)安全管理制度、信息化管理人員的組織等方面進(jìn)行網(wǎng)絡(luò)安全的有力防范。其中管理的制度化極大程度地影響了整個(gè)網(wǎng)絡(luò)的安全，這樣能夠在一定程度上降低網(wǎng)絡(luò)安全漏洞。而各個(gè)單位針對(duì)自身的安全風(fēng)險(xiǎn)，就需要制定一系列屬于自身的安全策略和安全制度來(lái)保障自身企業(yè)的網(wǎng)絡(luò)安全。

4.2 網(wǎng)絡(luò)分段：內(nèi)部的局域網(wǎng)大部分采用的都是以廣播為基礎(chǔ)的以太網(wǎng)進(jìn)行監(jiān)測(cè)的，但是在以太網(wǎng)上任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包都可以被任意截取。當(dāng)黑客只要接入以太網(wǎng)上的任意一個(gè)節(jié)點(diǎn)的偵聽，就可以捕獲所有的數(shù)據(jù)包，然后分解數(shù)據(jù)包，從而竊取重要的信息。網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式，其中物理分段是指利用中心交換機(jī)的訪問(wèn)控制功能和三層交換功能，來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制；邏輯分段是指路由器上的網(wǎng)絡(luò)分段，主要是IP的分段。

4.3 主動(dòng)防御型安全產(chǎn)品。硬件防火墻：就是把防護(hù)程序做到硬件里面，由硬件來(lái)執(zhí)行這些功能，由此減小CPU的負(fù)荷，這樣可以確保運(yùn)轉(zhuǎn)穩(wěn)定性能。而防火墻程序主要是介于兩個(gè)網(wǎng)絡(luò)之間的設(shè)備，也是監(jiān)控兩個(gè)網(wǎng)絡(luò)之間的通信能夠順利的進(jìn)行。我們可以通過(guò)防火策略確定，可以較為有效地阻止外來(lái)網(wǎng)絡(luò)病毒的惡意攻擊與非法入侵，這也是進(jìn)行對(duì)外網(wǎng)主動(dòng)防御的最初應(yīng)用。

IDS入侵檢測(cè)系統(tǒng)：IDS入侵檢測(cè)系統(tǒng)主要是為了監(jiān)測(cè)內(nèi)網(wǎng)的非法訪問(wèn)而開發(fā)的一種設(shè)備，是依照入侵的檢驗(yàn)識(shí)別庫(kù)的規(guī)定對(duì)其中是否含有的非法訪問(wèn)進(jìn)行的判斷。監(jiān)控者只要經(jīng)過(guò)監(jiān)測(cè)到的數(shù)據(jù)，進(jìn)行網(wǎng)絡(luò)安全狀況的判斷，然后以此評(píng)估是否進(jìn)行安全防護(hù)的制定。而IDS與硬件防火墻的區(qū)別，就是IDS是基于主動(dòng)防御技術(shù)中更高一級(jí)的應(yīng)用。

殺毒軟件：在病毒越來(lái)越猖狂，破壞力越來(lái)越強(qiáng)大的嚴(yán)峻現(xiàn)狀下，較為陳舊的固定模式讓傳統(tǒng)的殺毒軟件已經(jīng)無(wú)法實(shí)現(xiàn)完全保護(hù)計(jì)算機(jī)安全的重任。因此，殺毒軟件制造商才推出集合了主動(dòng)防御技術(shù)的軟件，不過(guò)他們的主動(dòng)防御技術(shù)只是對(duì)網(wǎng)頁(yè)、注冊(cè)表、惡意腳本增加了監(jiān)測(cè)功能而已，而這些只是最初級(jí)的主動(dòng)防御應(yīng)用，距離真正的主動(dòng)防御也還有一定的差距。

一個(gè)可以在信息安全實(shí)踐中依據(jù)建設(shè)的藍(lán)圖，為每個(gè)網(wǎng)絡(luò)建立一套完善的網(wǎng)絡(luò)安全體系。網(wǎng)絡(luò)安全體系是融合技術(shù)和管理在內(nèi)的一個(gè)可以全面解決安全問(wèn)題的體系結(jié)構(gòu)。這樣才能較為完善的保障內(nèi)部網(wǎng)絡(luò)的安全性。

5 結(jié)束語(yǔ)

綜上所述，網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點(diǎn)問(wèn)題一直都是關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問(wèn)題，該問(wèn)題也是越來(lái)越多的企業(yè)開始重視的問(wèn)題。因此企業(yè)工作人員需要提高安全防范意識(shí)，避免給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來(lái)更多地安全隱患。

參考文獻(xiàn)：

[1]楊維永，林為民，陳亞?wèn)|.Linux系統(tǒng)下高性能加密系統(tǒng)框架研究與優(yōu)化[J].計(jì)算機(jī)與現(xiàn)代化，2010（4）.

[2]余文峰.淺談加密機(jī)在金融網(wǎng)絡(luò)中的應(yīng)用[J].信息安全與通信保密，2009（12）.

[3]張朝陽(yáng)，宋翠平.內(nèi)部網(wǎng)絡(luò)安全問(wèn)題與防范[J].廣播電視信息. 2009（02）

作者簡(jiǎn)介：

蘇向穎（1982-），女，河北邯鄲人，中級(jí)工程師，研究方向：企業(yè)信息化管理和企業(yè)信息化施工。