基于內部網絡安全防范方案的設計

宋劍

【摘要】? ? 本文對當前內部網絡面對的威脅進行分析，主要包括內網脆弱、用戶權限不同、涉密信息分散等方面，并提出內網安全防范的有效措施。以期通過合理選擇關鍵網絡安全設備、創建內網安全體系模型、完善一體化內網安全體系、引入OA系統安全設計等方式，有效防止非法訪問與數據丟失等情況發生，使內部網絡與數據資源安全得到切實保障。

【關鍵詞】? ? 網絡安全? ? 防范方案? ? 設計措施

引言：

當前計算機技術不斷更新換代，網絡成為日常生活學習不可缺少的內容，網絡辦公已經成為職業發展的主流趨勢。但因網絡具有開放性特點，難免有許多不安全因素混雜其中，為辦公環境帶來網絡內部威脅，主要為內網脆弱、用戶權限不同、涉密信息分散等等，需要通過構建安全體系的方式，加強內網安全保護，從而加強網絡安全控制力度，營造安全和諧的辦公環境。

一、內部網絡面對的威脅

內網是在IP協議基礎上，依靠Web計算機核心技術創建的便于信息交換的平臺，屬于獨立網絡，無需與互聯網相連。在內部網絡的基礎上，計算機技術可對多媒體、圖形等信息進行統一化管理，促進工作效率提升，可見內網在企業中的作用不容忽視，可為電子政務發展提供強有力的技術支持。網絡在為人們帶來諸多便利的同時，安全威脅也接踵而至。當前人們對網絡安全的認知只停留于表層，即黑客與網絡外部構成的威脅，卻忽視了源于內部網絡的安全威脅。據統計，有超過50%的企業面臨著內網威脅，具體如下。

1.1內網脆弱

在企業發展中，因內網安全防范存在漏洞，部分網絡管理員對此缺乏重視，監管力度不足、未能及時更新防護措施，導致內網常常受到攻擊，大部分計算機終端的系統漏洞越來越大，加上內網中應用程序數量不斷增加，也使得終端系統漏洞越發嚴重。

1.2用戶權限不一

在企業內網中用戶的使用權限不盡相同，需要對用戶權限進行統一管控，否則將會導致不同應用程序被越權使用。正因設置權限不同，導致內網需要多次識別身份認證，對于身份認證較弱的用戶，很容易成為黑客攻擊的對象，一旦非法份子通過基層身份進入內網，便會實施越權操作;許多企業信息安全部門忽視服務器管理，為黑客入侵提供了可乘之機。

1.3涉密信息分散

對于部分企業來說，內網涉密設局常常分散存儲在多個計算機終端中，并非全部存儲在服務器中，這就要求制定嚴格的監管制度，才可使涉密數據得到統一有效的管理，不會為竊密者制造更多入侵機會;部分企業將機密信息存儲在中高層管理者計算機中，內網對于此類信息沒有整合，這說明企業機密掌握在幾名管理者手中，但此類主體的信息保護程度較弱，達不到專業化水平，同樣容易導致丟失、受損等現象發生[1]。

二、內部網絡安全防范的設計

在內部網絡中具有諸多安全因素，為提高內網安全程度，應制定切實可行的內網安全防范方案，做好設計前準備工作，結合系統現實需求進行總體設計，創建科學完善的安全體系，并注重OA系統開發研究，以此提高企業信息化水平，實現穩健長久發展。

2.1設計前準備

在內網安全方案制定之前，應了解內網安全設備的相關性能，為日后方案的科學應用提供基礎。在防火墻方面，該設備屬于網絡之間的有效防御系統，可對企業內網中的各類應用起到保護作用，可根據實際需要選擇屏蔽路由器型、屏蔽主機網管型與子網型。在入侵檢測方面，防火墻具有被動防御特點，但入侵屬于主動行為，可采用入侵檢測系統進行安全防護，可及時準確的檢測是否存在內網入侵行為，并判斷該行為的合法性;在硬件加密機方面，該設備與主機間的協議進行通信，具有數據通信、安全保密等功能，可有效規避網絡詐騙行為產生。

2.2總體設計

為了更為直觀的表明內網安全防范的總體設計思路，以某企業內網設計項目為例，該企業整體結構均是借助內網實現信息交流與共享，在方案設計中，下層機構難以與互聯網直接相連，需要經過上級外網路由器數據交換才可實現，具體設計內容與方法如下。

1、關鍵網絡安全設備配置。

針對當前企業在連接方面存在的問題，需要選擇恰當的安全設備來解決。在服務器選擇時，針對上級機構采用Windows2010操作系統，確保內網計算機能夠安全訪問，并強化該系統的安全設置，如禁止非法攻擊、斷開遠程恢復系統狀態等等。一些入侵者會創建多個遠程連接手段消耗服務器空間，達到服務器崩潰的目標。因服務器中空間有限，如若創建多個系統勢必會增加服務器運行負荷，影響運行正常性。對此，可通過強制斷開遠程系統與服務器連接的方式來確保系統正常運行。在防火墻選擇中，選擇的是包過濾防火墻，其價值在于信息傳輸中無需占用網絡帶寬，可滿足下級對上級訪問的要求;在入侵檢測系統選擇中，上對下采用網絡入侵檢測系統，下對上采用主機入侵檢測系統，使整體內網安全得到有效保障[2]。

2、增強型內網安全設計。

盡管上述方案與企業內網安全需求相符合，但部分企業對安全信息的要求十分嚴格，該方案與預期目標仍然有所出入。對此，應制定增強型安全設計方案，將蜜網技術引入上級機構中，使主機、操作系統、網絡服務有機融合起來，在高度可控的狀態下挖掘內網中的安全威脅，使網絡安全性得到顯著提升。通過蜜網的應用，可使黑客在瞄準蜜網中某一目標時，入侵檢測模塊便會立即分析該行為，及時發出報警信息，系統自動進入欺詐模塊，干擾和抵御入侵行為。此外，管理者還可以密切關注入侵行為，啟動日志系統記錄黑客信息，在此基礎上制定針對性防范措施，促進系統安全性全面提升。

2.3安全體系構建

在設計內網安全防范方案后，雖可在技術層面緩解企業內網安全問題，降低內網中面對各類安全威脅時造成的損失。但是，單純技術設計難以顯著增強內網應用中的防范能力，還應創建內網安全體系，與內網實際情況相結合，對各項安全管理因素綜合考慮，才可實現更高層次的內網安全保護目標。一方面，創建內網安全體系模型，主要分為安全管理、技術、產品與制度等方面，屬于分層結構。從水平層面上看，包括安全技術、管理與產品三項內容，屬于支配與被支配的關系;從垂直層面上看，以安全制度為主，可對水平層的各項因素安全行為進行規范。另一方面，完善一體化內網安全體系，主要包括授權管理、身份認證、監控審計與數據保密等內容，上述模塊相輔相成，共同構建出安全可靠的內部網絡。

其中，身份認證作為內網安全管理的基本內容，需要對參與者身份進行綜合分析和確定，如用戶、客戶端、服務端等等，尤其是用戶與客戶端，二者的數量較多、環境安全性不高、因素變化較大，對其身份認證十分必要;在身份認證完畢后便可進行授權管理，針對內網中各類信息資源進行授權，明確不同類型主體在終端中獲取的資源與權限。信息資源包括服務器、終端應用權、網絡資源等等。數據保密作為整體內網安全的核心所在，從本質上看是對內網數據流、信息流實施全生命周期的高效管理，營造安全的信息交換與存儲環境，使內網中核心數據與知識產權得到切實保護;監控審計作為整體內網安全中不可或缺的內容，其作用在于對整體內網安全狀態的全天候監管，提交監管評估報告，待發生網絡安全事故后，可及時準備的取證和處理[3]。

2.4 OA系統安全設計

根據上文研究可知，當前數據信息與系統安全受到極大威脅，急需創建一套切實可行的安全措施保證系統安全。當前OA系統日益普及，應加強對系統安全設計的重視程度，有效預防非法訪問與數據丟失情況發生。因OA系統所處網絡中含有諸多關鍵部門，且部門間的聯系緊密，信息資源傳輸的保密性較強，在安全設計中應根據系統所處環境，與實際情況相結合，為制定科學有效防范措施提供有利依據。同時，采取分層保護措施，使物理層、應用層與網絡層得到全面保護，依靠專業防護設備，提高系統整體安全性。一般情況下，OA系統安全設計體現在兩個方面，即防止非法訪問與數據丟失，具體措施如下。

1、防止數據丟失。

對于電源故障，可采用當前應用較為普遍的不間斷電源，與雙機耦合容錯結構相結合，此舉可使主機與輔機同時共享磁盤陣列信息，自動診斷錯誤，互相備份，使系統信息時刻處于安全狀態;利用磁盤陣列為關鍵數據備份，使網絡中關鍵設備自身容錯能力得到顯著提升;利用磁帶機對文件服務器中的系數信息根據錄入時間先后進行備份。

2、防止非法訪問。

當前企業OA系統中大多安裝了防火墻，在非法訪問抑制時可采取以下措施：一是數據加密，對系統中各個通信節點設置防火墻軟件，每個節點都定義為一個加密域，形成避免非法訪問的專用網絡;二是在登錄服務器時，設置登錄密碼，為不同用戶設置相應的訪問權限，針對文件系統的不同操作設置訪問許可證;三是地址設置，由管理者決定哪些IP被屏蔽，無法接入網絡;哪些IP屬于有效地址，經過映射后可接入網絡;四是授權控制，針對特定群體在固定時段內的應用進行控制，將標準進程替換為防火墻專用的Telbet進程，只有通過授權后才可實現通信。因HTTP認證服務在防火墻中運行，管理者可設定用戶的授權規則，決定哪些服務器可被用戶訪問;

3、完善訪問控制機制。

在避免上述兩種情況發生的同時，還應以角色訪問為基礎完善訪問控制機制，將權限與角色相聯系，為不同崗位設置相應角色，根據用戶責任與崗位工作給予合適角色，用戶可通過給予的角色獲取相應權限，由此實現對文件或網頁的訪問[4]。

三、結論

綜上所述，當前國內辦公自動化水平不斷提升，內網系統安全維護顯得十分關鍵。為了避免數據丟失、損壞與非法訪問，應積極通過合理選擇關鍵網絡安全設備、創建內網安全體系模型、完善一體化內網安全體系、引入OA系統安全設計等方式，從根本上保證內網安全，使系統運行更加穩定可靠。

參? 考? 文? 獻

[1]徐署華.基于多層防護的某監獄管理局網絡安全解決方案[J].科學技術與工程，2019，6（016）：2568-2570.

[2]劉佛祥，劉東陽.企業內部網絡安全防護系統的方案設計[J].江西冶金，2018，038（003）：41-44.

[3]齊天杰，郭錚.內部網絡安全防范方案設計淺析[J].網絡安全技術與應用，2019，000（003）：103-103.

[4]蘇向穎，王喃喃.企業內部網絡安全防范的方案設計及信息技術[J].中小企業管理與科技，2019（03）：012-014.