基于內部威脅控制的安全網絡系統探究

李響

摘要：在當前的網絡信息系統安全領域之中，基于安全發生源進行分類，主要包含內部與外部兩種威脅。一般來說，網絡信息安全最大威脅來源于外部，如黑客入侵、蠕蟲干擾等。但是就大量實踐表明，內部威脅對于信息系統安全帶來的威脅更大，是信息系統安全風險的主要來源。所以，本文就內部威脅控制的安全網絡系統進行探討，希望可以讓內部威脅無法發揮其作用，最終保護網絡系統的安全性。

關鍵詞：安全網絡;內部威脅;控制

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）09-0031-02

在研究安全網絡系統中，基于內部威脅控制的基本分析，就需要了解威脅與內部威脅，能夠基于這一基礎條件，從而分析其安全網絡系統，這樣才能夠為后續的內部威脅研究提供參考條件。

1 威脅與內部威脅

在信息安全領域中，威脅，就是基于計算機網絡作為信息交換手段，由于計算機網絡本身的脆弱性與潛在的和現實客觀存在的安全問題，這樣就會給承載信息資源帶來的可能損失與侵害，其主要包含了人為與自然兩種因素[1]。

內部威脅，一般來說，就是信息系統內部用戶利用對于信息系統的熟悉度與接近度，再加上對于信息系統訪問權限，執行的非法或者是非授權的行為，這一種行為對于組織信息資產會帶來現實的或者是潛在的損失。

2 內部威脅控制模型基本分析

基于內部威脅控制模型的合理分析，首先就需要對信息系統模型的實例加以了解，在這一基礎上實現對基于內部威脅控制的安全網絡構建進行分析和探討，再配合上具體的網絡安全構建方法，這樣就能夠對其有真正的了解。

2.1 信息系統模型實例

本次選擇的3臺服務器，直接構成計算機信息系統集合，由于業務需要對外部提供web、mail、data以及ftp服務，其具體的網絡拓撲見圖1所示。

2.2 基于內部威脅控制的安全網絡構建方法

2.2.1 安全網絡需求與目標

第一，基于不同覆蓋范圍和對應的安全等級，其擁有兩套網絡，一套直接關聯到國際互聯網的業務網絡，上網終端108個，主要是用于日常的辦公需求，安全等級不涉密;第二，內部局域辦公專網，上網終端38個，主要是負責日常辦公、財務管理、人員管理等內部業務，其安全屬于秘密級。由于不同的網絡承載信息內容層次，網絡之間實現物理隔離，網絡之間的信息交互主要是通過移動存儲介質來實施[2]。

2.2.2 建設需求和目標

基于《信息系統安全等級保護基本要求》（GBIT 22239-2008），其對應的安全保護為：能夠避免外來小型組織或者是存在少量自愿威脅發起的惡意攻擊、一般自然災難以及其余對等威脅帶來的資源損害，能夠發現主要的安全事件和安全漏洞，在系統面臨損害之后，可以在一定時間內將個別功能恢復。建立統一的，覆蓋各個業務部門的專用網絡，就可以實現財務管理、辦公以及其他業務應用。

在建成網絡之后，擁有2套覆蓋型的網絡，其對于連接國際互聯網網絡地位的作用不會改變，主要是用于日常的辦公需求。原本的內部局域網專用于日常辦公、財務管理、人員管理等內部涉密信息的應用，基于業務的實際需求，將接人改局域網終端為38臺。

2.3 安全網絡構建方法分析

第一，網絡主干建設。所有的網絡設備都為專用，其主干與其余網絡完全的實現物理隔離，擁有更強的安全保密性。辦公專網的網絡拓撲圖見圖2所示。

第二，用戶接人建設。針對接入終端建設，由于專網接入終端擁有38個，每一個接人終端都是利用準人控制，從而確保用戶唯一的身份。準人利用IP地址、交換機端口綁定以及MAC地址的方式，接入終端利用無盤瘦終端或終端，不會存儲業務數據。對于用戶的身份確認。利用Ukey的認證方式，利用Ukey就可以在認證服務器身份之后，再登錄對應的系統[3]。

第三，安全中心以及數據中心的建設。辦公專網主要是利用身份認證、訪問控制、入侵檢測與防護、安全審計等對應的安全保護措施。為了方便安全控制與管理，在辦公專網之中劃分了核心數據、終端服務、應用服務、安全管理、用戶接人以及邊界這六個安全區域，在不同區域，需要利用對應的安全策略。

3 內部威脅分析模型在安全網絡系統中的應用

針對其內部威脅進行分析，首先需要考慮到在檢測到威脅事件之后，需要判斷其影響到的模塊和主機。然后按照判斷結果，通過模塊威脅指數計算模塊得到這一事件對于模塊的威脅指數，然后與模塊重要性權重相互的結合，通過利用主機威脅指數計算模塊來獲取主機威脅指數，然后與主機重要性權重相互結合，利用網絡系統威脅指數，最終就可以獲取其對應的網絡系統威脅指數。

3.1 系統總體設計

基于涉密信息網絡建設以及安全管理的需求，綜合運用網絡信息安全技術，從而對于涉密網絡以及對應的主機利用控制、監視以及審計等有效的安全防護措施，從而針對各種可能出現的信息泄密途徑進行統籌考慮，集中的監控與管理計算機軟硬件資源和文件系統。利用事前預防、事中監控、事后審計的方式，從而有針對性地開展監控、管理與審計，這樣就可以滿足對個整體網絡以及終端的管理和控制。

3.2 涉密網絡內部安全監控管理對應實現的功能

3.2.1 安全管理內網計算機

針對內網計算機進行統計管理，在注冊之后，計算機就變成合法內網機器，聯網的所有機器都處于監控范圍內，利用計算機網絡直接連接安全審計軟件資源使用、等級、共有自然資源的使用，再加上合理有效的監督。在管理框架之中，利用系統控制來完成對內、出入控制以及地址和所有網絡資源，用戶個人是無法進行修改和設定的[4]。

3.2.2 計算機接口、輸入輸出設備的統一管理

在本系統之中，其硬件方面的控制管理主要是針對各種外設以及接口的禁止與使用，并且做好打印機、存儲設備等對應的登記管理。在系統內部有對應的安全策略配置，以此來服務計算機接口和外部設備使用的控制。系統能夠實現對于1/0設備的開放與關閉，并且能夠對于各種使用情況加以記錄。

3.2.3 主機非法接入的安全控制管理

對于沒有注冊而接人到內網的計算機，都屬于違規機器，針對違規加入的計算機，就會實現隔離與阻斷，利用網絡控制功能將其實現。針對網絡信息安全和網內主機的信息安全帶來威脅的行為，或者是其他可能會對網絡行業系統產生危害的行為，都需要及時報警。

3.2.4 監控網絡行為和內網計算機

在系統之中，主要是實時監視網絡用戶終端行為和對應的節點運行狀態，在發現違規或者是違法操作時，能夠及時地管理控制，其主要包含了網絡監控、服務監控以及實時報警。網絡管理人員利用監控，就可以及時發現非法用戶在內網之中的竊密記錄以及信息安全方面存在的隱患，進而采取有效措施來消除安全漏洞，防范竊密行為的再一次出現。

3.2.5 移動存儲設備的注冊使用

對于正常使用的移動設備，都需要進行注冊與使用，在內網或者是脫網計算機上鎖使用的存儲設備必須經過注冊方可使用，在注冊之后，也不能夠在內網之外的機器上使用，需要實現雙向隔離。這樣就可以避免出現相互的復制，從而導致信息外泄的情況出現。

4 結語

總而言之，隨著時代的不斷發展，現階段對于安全網絡系統的重視度不斷增加。因此，本文在了解內部威脅的基礎上，研究基于內部威脅控制的安全網絡系統建設，希望通過這樣的分析，能夠對整個安全網絡系統有一定的了解，最終服務其后續的研究。

參考文獻：

[1]楊國泰.工業控制系統安全網絡防護分析[J].電子世界，2019（16）：70-71.

[2]張小平.核心業務系統安全網絡的構建[J].信息化建設，2016 （05）：331-332.

[3]郭建軍，王志剛，劉文平，等.面向數據中心的安全網絡存儲系統設計[J].計算機與數字工程，2015（5）：877-881.

[4]孟鑫，陳媛，張振江.安全網絡的概念模型以及安全網絡技術與安全評估機制[J].電腦知識與技術，2013（09）：2094-2095.

【通聯編輯：李雅琪】