基于堡壘機技術的企業信息網絡安全防護模型

林志達，張華兵，曹小明，盧偉開

（1.中國南方電網有限責任公司數字化部，廣東廣州 510700；2.南方電網數字電網研究院有限公司平臺安全分公司，廣東 廣州 510700）

隨著互聯網技術的飛速發展，網絡在各個行業中發揮著重要的作用，企業信息的日常維護、安全生產、人事管理等越來越依賴互聯網，給企業帶來經濟效益的同時也帶來了更多的網絡安全問題，如果網絡出現安全風險，企業信息將會遭到泄露，其生產和辦公將無法正常運行[1]。

目前，企業網絡出現的安全問題包括：企業網絡受到黑客、病毒、拒絕服務攻擊，黑客以非法手段獲取企業操作系統的口令[2]，強行闖入企業網絡系統，以此竊取企業信息，而病毒則將非法數據寫入到企業的操作系統中，從而拷貝企業網絡系統中磁盤上的企業信息。除此之外，企業網絡自身存在安全漏洞，安全漏洞來源于企業的操作系統、網絡協議與網絡服務[3]。面對這些安全風險，企業把優勢資源只投入到安全漏洞方面，關注保護性控制，不重視對企業信息網絡安全的日常防護，從而不能有效防護來自企業內部網絡系統與外部網絡的共同威脅[4]。

基于此，該文構建了一種基于堡壘機技術的企業信息網絡安全防護模型，在企業網絡系統和外部網絡之間設置堡壘機，將企業信息網絡安全防護方案與風險因素進行整合，從而得出針對企業信息網絡安全的防護流程，最后通過實驗驗證該文設計的基于堡壘機技術的企業信息網絡安全防護模型的網絡安全防護能力。

1 安全防護模型結構

針對企業網絡目前存在的一些安全風險，結合堡壘機技術[5]，得到企業信息網絡安全防護模型結構，如圖1 所示。

圖1 企業信息網絡安全防護模型結構

防火墻將網絡系統中企業信息數據進行打包操作，并按照網絡安全協議進行過濾，可以保障企業內部網絡和堡壘機免受外界入侵。企業內部網絡在其與互聯網連通的端口處安裝防火墻[6]，企業內部網絡內所有的原始信息和企業計算機發送的信息都要經過防火墻，它可以幫助企業內部網絡過濾所有進、出網絡的信息數據，能夠阻止黑客對企業網絡系統進行攻擊，可以有效控制進、出企業網絡系統的訪問次數，并管理其訪問行為。如果互聯網存在對企業信息不利的業務，防火墻可以對其進行封堵，禁止其訪問企業內部網絡[7]。除此之外，防火墻可以實時記錄進、出企業內部網絡系統的信息內容和訪問地址，通過與堡壘機技術有機結合，對外界攻擊進行實時監測并發出入侵報警，關閉互聯網和企業內部網絡連接的端口，以便進行網絡安全防護工作。信息網絡收集邏輯架構如圖2 所示。

圖2 信息網絡收集邏輯架構

信息網絡收集邏輯架構中的VPN 也叫作虛擬專用網絡，是一種先進的網絡技術，采用堡壘機技術在互聯網上構建企業網絡，通過身份認證方式對企業信息進行加密，并對網絡客戶端進行密碼檢查。VPN 可以在堡壘機與堡壘機或服務器之間，對向企業網絡發送的信息內容進行身份認證。通過虛擬傳輸接口，讓兩個處于不同客戶端的用戶感覺是在同一個客戶端上，安全、沒有限制地進行網絡信息傳輸，企業的合作伙伴、員工、領導等可以安全地登錄企業局域網，瀏覽企業信息[8]。采集的數據類型與數量如表1 所示。

表1 采集的數據類型與數量

為保護企業信息中的私有信息不遭到泄密，在企業局域網內設有專門的內部信息子網，其包含企業的公共信息和私有信息，采用網絡安全協議和防護策略，在內部信息子網的登錄處設置了訪問端口，對訪問用戶進行嚴格的控制[9]。當有緊急情況發生時，內部信息子網可以與企業網絡和公共網絡完全隔離，公共網絡查看企業私有信息只能通過堡壘機技術查看。

企業內、外部資源訪問內部信息子網需要進行嚴格的控制，內部訪問資源可以使用較為薄弱的防護策略，對外部網絡提供服務，對訪問用戶進行多種控制。外部訪問控制是企業內的一種信息資源控制，企業外部用戶訪問企業內部資源時，可以對其進行身份認證[10]。如果遠端用戶想要訪問企業信息，需要由企業外部資源控制驗證其身份，檢查訪問權限，查看訪問級別，才可允許訪問。

2 安全防護基本流程

基于堡壘機技術的企業信息網絡安全防護的關鍵是將堡壘機技術和網絡安全防護策略進行結合，在身份認證、控制檢查、訪問內容、訪問級別、管理權限、構建、測試環節[11]融入安全風險與防護方法。企業信息網絡安全防護方法如圖3 所示。

圖3 企業信息網絡安全防護方法

堡壘機技術下的企業信息網絡安全防護方法被利用在防護流程中，安全風險發現階段始于身份認證階段，訪問內容在遠端用戶訪問企業內部信息子網時獲得，并在測試階段反映給控制系統[12]。根據以上給出的網絡安全防護方法，基于堡壘機技術的企業信息網絡安全防護的基本流程如圖4 所示。

圖4 企業信息網絡安全防護基本流程

企業信息網絡安全防護過程從企業信息分類開始，在企業信息分類過程中，建立企業信息模型并對其進行分析，信息分類階段會產生信息分類列表、分類列表的網絡安全級別、訪問控制向量，為基于堡壘機技術的企業信息建模提供基礎[13]。信息分類階段可以是使用級、網絡級、企業級或者信息級，該階段會擴展信息訪問功能，以此獲得遠端用戶訪問企業內部信息子網的效果矩陣，訪問權限控制功能會建立企業級的防護措施，防護措施通過訪問權限矩陣得出的結果返回到企業信息分類列表中，顯示訪問的信息內容，生成訪問級別，并記錄堡壘機與企業局域網、企業網絡和公共網絡之間出現的安全風險。遠端用戶訪問企業網絡而形成的控制矩陣會產生以下三種結果：

1）企業網絡控制系統。利用控制矩陣對堡壘機技術下的信息訪問效果進行評估，需要企業網絡控制系統提供當前影響訪問效果的因素，以此識別出企業網絡控制系統的運行狀態，從而確認系統是否需要觸發更新[14]。采用企業網絡的內部控制資源輸出控制效果，通過網絡安全授權控制器記錄控制結果，該控制結果可以更清晰地顯示非法入侵者攻擊企業網絡使用的攻擊手段。

2）網絡安全防護結構圖。對控制矩陣進行定量分析，利用分析結果可形成企業信息網絡安全防護結構圖，并形成可視化的訪問架構，企業信息分類列表的大小可間接反映控制矩陣的規模[15]。得到的企業信息安全態勢模型如圖5 所示。

圖5 企業信息安全態勢模型

3）企業信息訪問記錄。該記錄可直觀顯示外界對企業內部網絡攻擊的情況，攻擊的目的是訪問企業信息，獲取企業公共信息和私有信息，并粘貼和復制自身數據。企業信息訪問記錄與網絡安全防護結構圖中使用的數據集合相同，基于堡壘機技術的企業信息網絡安全防護流程的最后階段是產生或輸出。網絡安全防護結構圖也是一種防御工具[16]，可以有效阻止來自企業內部網絡和外部網絡的攻擊，與企業信息訪問記錄聯合，成為企業信息網絡安全防護控制的模范記錄。

3 實驗研究

為了驗證該文建立的基于堡壘機技術的企業信息網絡安全防護模型的防護效果，通過實驗與其他網絡安全防護模型進行對比。該文建立的網絡安全防護模型從訪問控制、訪問權限、安全風險分析和預處理4 個方面進行分析，采用堡壘機技術下的網絡安全防護方法，分析企業內部網絡存在的安全隱患以及安全隱患的來源。

該文建立的網絡安全防護模型能夠很好地應對企業網絡內部出現的安全隱患，遠端用戶訪問企業內部信息子網的行為可由網絡安全授權控制器控制，減少遠端用戶對企業內部網絡造成的威脅，保證企業網絡安全、穩定運行，對企業漏洞防護數據、企業信息保密數據、企業內部資源數據進行大數據分析，能夠更快速地篩選出對企業網絡安全造成威脅的數據，與其他網絡安全防護模型相比[17-18]，篩選效率更高，準確性更好。與此同時，企業外部資源數據庫采集海量的原始信息輸入、輸出潛在威脅參數，并優先對這些潛在的威脅參數進行可行化分析和處理。

面對企業網站遭受攻擊量大、安全漏洞多、攻擊強度大等問題，其他的網絡安全模型只分析攻擊類型和尋找網絡安全隱患，不能有效解決攻擊量和漏洞量大的問題。設攻擊漏洞為25 個，為了有效減少漏洞量，降低外界攻擊強度，綜合分析時間維度訪問量、攻擊量、信息業務訪問量、空間維度訪問量，得出企業網絡系統漏洞防護分析實驗結果，如表2 所示。

表2 系統漏洞防護分析實驗結果

由表2 可知，基于該文建立的網絡安全防護模型，漏洞量非常小，遠遠小于其他企業網站的漏洞量，說明該文設計的網絡安全防護模型防護等級高，有效阻止了外界的攻擊和入侵，提高了企業內部網絡安全防護能力，有效整合了各類企業信息系統，擴展了網絡安全分析的維度，增強了對大量威脅事件的檢測能力、取證能力和處理能力。產生這一結果的原因在于該文建立的基于堡壘機技術的企業信息網絡安全防護模型具有較強的網絡安全防護能力，其防護效果均優于其他網絡安全防護模型，能夠有效減少漏洞量，阻止外界攻擊企業內部網絡，具有更高的有效性和可行性。

4 結束語

該文針對企業安全漏洞多、網絡安全防護能力差等問題，建立了基于堡壘機技術的企業信息網絡安全防護模型，實驗結果表明，該模型提升了防護效果和應對安全事件的主動性，具有較高的有效性和可行性。