企事業(yè)單位辦公內網 安全建設需求探究及實施措施

康明

摘 要：本文思路為：背景描述、內網信息安全現狀、原因探究、內網安全需求、內網安全建設具體實施措施。

關鍵詞：信息安全；內網安全；防控意識

中圖分類號：U698 文獻標識碼：A 文章編號：1006—7973（2018）8-0026-02

1 內網安全需求探究

1.1 內網安全現狀及原因

隨著網絡技術的普及、社會網絡信息化深入和企事業(yè)單位無紙化辦公進程的加快，一般單位內的日?；A工作都需要網絡提供支持和服務。出于內部辦公安全需要，內網系統已經成為很多單位信息和辦公平臺的主要載體。如內部交流通訊、郵件傳輸、打印機共享、FTP文件共享、內部視頻會議、內部信息發(fā)布等。隨著內網中服務器、終端、辦公軟件、辦公人員的增多，系統承載信息量的增大以及對核心信息安全保護要求的提高，內網系統承載著巨大的單位安全辦公壓力。一個小小的疏忽或是失誤都可能帶來網絡無法正常工作，甚至是整個系統的癱瘓；一個小小的木馬和員工有意無意的信息泄密，則會給個人和單位帶來無法挽回的經濟損失。因此，辦公內網安全已經成為每個單位不得不面臨的問題。

目前企事業(yè)單位的辦公內網安全現狀主要呈現如下幾個特點：

1.1. 1領導層對內網安全缺乏認識

很多企事業(yè)單位只把單位業(yè)務發(fā)展看成是頭等大事，只要日常工作還能在網絡辦公系統上正常開展，即使是系統面臨崩潰勉強運轉，高層領導都容易忽視網絡安全問題。他們的意識還沒有與信息時代同步，對網絡的認識和重視不夠，缺乏網絡安全危機感，等到真正出了問題才焦頭爛額填補空當、解決難題。

1.1.2內部工作人員的安全意識亟待提高

單位內部的普通員工不注意安全操作，隨意安裝軟件或者將外來設備帶入內網，內網電腦隨意接入外部網絡，辦公專用U盤不注意區(qū)別隔離在內外網上任意使用等等行為，都會給單位辦公內網帶來嚴重的安全隱患。據不完全統計，80%的信息安全事件來自內部員工的違規(guī)操作。

1.1.3缺乏有效的終端監(jiān)管體系

內網安全辦公涉及到大量的計算機終端、操作用戶和軟件系統。使用環(huán)境的復雜性決定了內網辦公系統必須進行安全有效的集中管理和監(jiān)控，同時對全網的操作進行詳細的日志記錄，以便出現違法違規(guī)操作時進行溯源追責，幫助網管人員提升對內網辦公系統的維護效率，降低安全隱患和風險。避免網管人員成為臨時救火員，平時無人維護，出現問題再去抓壯丁，應該形成主動防范、積極應對的機制。

1.2 內網安全需求

企事業(yè)單位內網安全辦公，一般需要達到如下要求：

（1）要求內外網終端進行嚴格的物理隔離，禁止涉密機器接入互聯網。

（2）要求對辦公終端進行集中管理和統計，對于各種操作能追根溯源。

（3）要求終端使用固定的內部IP，并匹配MAC地址，杜絕IP沖突。

（4）要求對網絡行為進行實時控制，實時記錄并保存相關各類日志。

（5）要求對網絡上的潛在安全威脅做到事前預防，事中記錄，事后追蹤。

（6）要求對各廠家的不同網絡設備能做到統一監(jiān)控管理。

（7）要求對網絡中出現的故障、違規(guī)操作行為及時報警。

（8）要求內部網絡呈現可視化，清晰化，易于管控的網絡結構。

（9）要求對各類存儲介質進行嚴格管理，做好加密措施避免信息泄露。

（10）要求對內網的計算機終端能做到統一的系統補丁更新。

2 內網安全建設規(guī)劃

根據內網建設安全需求，對內網功能建設進行如下規(guī)劃：

2.1非法外聯控制

實現內網終端的固定IP與MAC綁定，未經授權的終端無法通過如撥號上網、3G無線網卡上網、無線網卡接入等各種方式訪問外部互聯網，杜絕內部信息泄密風險和外網病毒入侵風險。同時，需要對不同部門的計算機進行邏輯分域管理（不僅僅是網絡VLAN的劃分），并且根據計算機的使用性質，設置不同等級的保護策略，從而避免秘密信息的隨意傳播和泄密。

2.2非法接入控制

單位辦公內網一般規(guī)模較大，懷有惡意的外部人員會通過將自己的計算機接入內部的涉密網絡，這就可能導致信息泄密，及其他威脅信息安全的事件發(fā)生。因此，必須隔離本單位以外的計算機終端，實現禁止外部計算機終端在未經任何授權的情況下通過網絡接口連接接入辦公內網。對于各種違規(guī)接入行為通過密碼進行權限限制，并主動記錄訪問行為和路徑，以便有據可查。

2.3身份認證管理

單位內部辦公人員數量多，所屬部門的職責和權限各不相同，如果某個工作人員訪問了其權限之外的信息和文件，如涉密計算機、數據庫服務器等，將會對內網的信息安全構成非常重大的威脅。因此，必須擁有一套完善的用戶身份認證體系，對單位內部辦公人員進行認證和授權。每個人只能訪問權限范圍以內的計算機、文件和網絡資源等。為了確保進入內網的操作人員安全可信，可以對操作人員統一分配獨立賬戶并指定操作權限，對進入內網的操作行為進行記錄備查。

2.4共享文件管理

實現單位內部文件的安全共享，通過密碼機制允許指定人員訪問操作數據，防止共享文件違規(guī)外流造成的信息泄密。同時對單位內指定設備進行共享，提高辦公效率，節(jié)約辦公成本，避免外部終端接入進行惡意操作。

2.5移動介質管理

移動存儲設備是另一個主要的信息傳遞通道。根據單位辦公工作需要，經常會通過U盤、移動硬盤等移動存儲設備交換數據，這就大大增加了信息泄露的可能性。因此，必須對在內網中使用的移動存儲設備進行統一授權管理，禁止不受信設備接入內網，對受信設備明確使用范圍，使其可以在內網中正常使用，在未經授權時不能將數據帶出內網。同時，要求能夠實現內部移動存儲設備在外網中使用時，主動防護病毒侵害。在遺失后，通過密碼保護措施防止信息泄露。

2.6應用軟件管理

對內網用戶的計算機非法軟件使用行為進行監(jiān)控，防止用戶在上班時間使用游戲軟件、炒股軟件等，通過黑白名單對大部分應用程序進行行為管理。

2.7文件主動分發(fā)與日志管理

通過服務端管理平臺，實現內網自動分發(fā)軟件到各終端PC，以備單位辦公軟件的推廣使用。內網網絡管理員可以在服務端隨時查看網絡日志，以便對網絡上存在的安全風險及時管控。

3 實施措施

單位內網安全建設，主要靠網絡設備進行硬件物理隔離，和定制化的應用軟件進行全局信息管理來實現。

3.1 網絡物理隔離

（1）獨立建網。建設獨立的、與單位外網毫無連接的辦公內網，應嚴格執(zhí)行國家保密標準文件中有關物理隔離的相關規(guī)定。

（2）在辦公內網終端安裝外聯監(jiān)控軟件。辦公內網與外網實行物理隔離后，如果有終端用戶通過撥號上網、3G無線網卡、無線網卡等方式違規(guī)接入互聯網，就破壞了整個辦公內網的封閉環(huán)境，使辦公內網極易遭受來自外網的攻擊和滲透。在單位內網終端上強制安裝外聯監(jiān)控軟件，采取技術手段進行外聯阻斷，可以有效確保辦公內網的安全。

（3）嚴格管理。建立健全辦公內網保密管理制度，將相應的設備、介質、人員實施集中管理。通過嚴格檢查和完善的制度約束，杜絕內部違規(guī)操作引起的信息安全事故，有效確保辦公內網的物理隔離，確保辦公內網信息的安全。

3.2 定制化應用軟件

通過在辦公網絡的各個終端上安裝高度集成統一的內網安全管控軟件實現網絡安全管理。定制的應用軟件主要包含如下幾個模塊：

（1）網絡認證系統，主要實現辦公終端用戶身份的集中式認證，并進行操作權限規(guī)范。

（2）網絡保密系統，通過對通信網絡和硬盤加密，實現禁止終端非法聯入、聯出，規(guī)范數據登記，防止重要辦公信息外泄。

（3）移動存儲介質管理系統，通過配置終端與移動存儲設備之間的對應關系和屬性，實現保護移動存儲介質數據安全的目的，防止私用U盤外帶數據，管控公用U盤使用狀況。

（4）數據管理系統，實現辦公內網上各種數據信息的分級分類，規(guī)范信息交流、共享下載等行為。

（5）網絡監(jiān)控系統，主要實現對終端計算機的操作行為進行有效的控制與監(jiān)管并生成相應的日志記錄以備審計，對非法操作進行警報。

最后，辦公內網在企事業(yè)單位的業(yè)務發(fā)展和日常工作中起著越來越重要的作用，但網絡本身又是脆弱的。只有切實加強網絡安全建設，保障網絡的安全穩(wěn)定運行，也才能從根本上保障企事業(yè)單位的發(fā)展和穩(wěn)定。