宋劍
【摘要】? ? 本文對當(dāng)前內(nèi)部網(wǎng)絡(luò)面對的威脅進行分析,主要包括內(nèi)網(wǎng)脆弱、用戶權(quán)限不同、涉密信息分散等方面,并提出內(nèi)網(wǎng)安全防范的有效措施。以期通過合理選擇關(guān)鍵網(wǎng)絡(luò)安全設(shè)備、創(chuàng)建內(nèi)網(wǎng)安全體系模型、完善一體化內(nèi)網(wǎng)安全體系、引入OA系統(tǒng)安全設(shè)計等方式,有效防止非法訪問與數(shù)據(jù)丟失等情況發(fā)生,使內(nèi)部網(wǎng)絡(luò)與數(shù)據(jù)資源安全得到切實保障。
【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 防范方案? ? 設(shè)計措施
引言:
當(dāng)前計算機技術(shù)不斷更新?lián)Q代,網(wǎng)絡(luò)成為日常生活學(xué)習(xí)不可缺少的內(nèi)容,網(wǎng)絡(luò)辦公已經(jīng)成為職業(yè)發(fā)展的主流趨勢。但因網(wǎng)絡(luò)具有開放性特點,難免有許多不安全因素混雜其中,為辦公環(huán)境帶來網(wǎng)絡(luò)內(nèi)部威脅,主要為內(nèi)網(wǎng)脆弱、用戶權(quán)限不同、涉密信息分散等等,需要通過構(gòu)建安全體系的方式,加強內(nèi)網(wǎng)安全保護,從而加強網(wǎng)絡(luò)安全控制力度,營造安全和諧的辦公環(huán)境。
一、內(nèi)部網(wǎng)絡(luò)面對的威脅
內(nèi)網(wǎng)是在IP協(xié)議基礎(chǔ)上,依靠Web計算機核心技術(shù)創(chuàng)建的便于信息交換的平臺,屬于獨立網(wǎng)絡(luò),無需與互聯(lián)網(wǎng)相連。在內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)上,計算機技術(shù)可對多媒體、圖形等信息進行統(tǒng)一化管理,促進工作效率提升,可見內(nèi)網(wǎng)在企業(yè)中的作用不容忽視,可為電子政務(wù)發(fā)展提供強有力的技術(shù)支持。網(wǎng)絡(luò)在為人們帶來諸多便利的同時,安全威脅也接踵而至。當(dāng)前人們對網(wǎng)絡(luò)安全的認(rèn)知只停留于表層,即黑客與網(wǎng)絡(luò)外部構(gòu)成的威脅,卻忽視了源于內(nèi)部網(wǎng)絡(luò)的安全威脅。據(jù)統(tǒng)計,有超過50%的企業(yè)面臨著內(nèi)網(wǎng)威脅,具體如下。
1.1內(nèi)網(wǎng)脆弱
在企業(yè)發(fā)展中,因內(nèi)網(wǎng)安全防范存在漏洞,部分網(wǎng)絡(luò)管理員對此缺乏重視,監(jiān)管力度不足、未能及時更新防護措施,導(dǎo)致內(nèi)網(wǎng)常常受到攻擊,大部分計算機終端的系統(tǒng)漏洞越來越大,加上內(nèi)網(wǎng)中應(yīng)用程序數(shù)量不斷增加,也使得終端系統(tǒng)漏洞越發(fā)嚴(yán)重。
1.2用戶權(quán)限不一
在企業(yè)內(nèi)網(wǎng)中用戶的使用權(quán)限不盡相同,需要對用戶權(quán)限進行統(tǒng)一管控,否則將會導(dǎo)致不同應(yīng)用程序被越權(quán)使用。正因設(shè)置權(quán)限不同,導(dǎo)致內(nèi)網(wǎng)需要多次識別身份認(rèn)證,對于身份認(rèn)證較弱的用戶,很容易成為黑客攻擊的對象,一旦非法份子通過基層身份進入內(nèi)網(wǎng),便會實施越權(quán)操作;許多企業(yè)信息安全部門忽視服務(wù)器管理,為黑客入侵提供了可乘之機。
1.3涉密信息分散
對于部分企業(yè)來說,內(nèi)網(wǎng)涉密設(shè)局常常分散存儲在多個計算機終端中,并非全部存儲在服務(wù)器中,這就要求制定嚴(yán)格的監(jiān)管制度,才可使涉密數(shù)據(jù)得到統(tǒng)一有效的管理,不會為竊密者制造更多入侵機會;部分企業(yè)將機密信息存儲在中高層管理者計算機中,內(nèi)網(wǎng)對于此類信息沒有整合,這說明企業(yè)機密掌握在幾名管理者手中,但此類主體的信息保護程度較弱,達不到專業(yè)化水平,同樣容易導(dǎo)致丟失、受損等現(xiàn)象發(fā)生[1]。
二、內(nèi)部網(wǎng)絡(luò)安全防范的設(shè)計
在內(nèi)部網(wǎng)絡(luò)中具有諸多安全因素,為提高內(nèi)網(wǎng)安全程度,應(yīng)制定切實可行的內(nèi)網(wǎng)安全防范方案,做好設(shè)計前準(zhǔn)備工作,結(jié)合系統(tǒng)現(xiàn)實需求進行總體設(shè)計,創(chuàng)建科學(xué)完善的安全體系,并注重OA系統(tǒng)開發(fā)研究,以此提高企業(yè)信息化水平,實現(xiàn)穩(wěn)健長久發(fā)展。
2.1設(shè)計前準(zhǔn)備
在內(nèi)網(wǎng)安全方案制定之前,應(yīng)了解內(nèi)網(wǎng)安全設(shè)備的相關(guān)性能,為日后方案的科學(xué)應(yīng)用提供基礎(chǔ)。在防火墻方面,該設(shè)備屬于網(wǎng)絡(luò)之間的有效防御系統(tǒng),可對企業(yè)內(nèi)網(wǎng)中的各類應(yīng)用起到保護作用,可根據(jù)實際需要選擇屏蔽路由器型、屏蔽主機網(wǎng)管型與子網(wǎng)型。在入侵檢測方面,防火墻具有被動防御特點,但入侵屬于主動行為,可采用入侵檢測系統(tǒng)進行安全防護,可及時準(zhǔn)確的檢測是否存在內(nèi)網(wǎng)入侵行為,并判斷該行為的合法性;在硬件加密機方面,該設(shè)備與主機間的協(xié)議進行通信,具有數(shù)據(jù)通信、安全保密等功能,可有效規(guī)避網(wǎng)絡(luò)詐騙行為產(chǎn)生。
2.2總體設(shè)計
為了更為直觀的表明內(nèi)網(wǎng)安全防范的總體設(shè)計思路,以某企業(yè)內(nèi)網(wǎng)設(shè)計項目為例,該企業(yè)整體結(jié)構(gòu)均是借助內(nèi)網(wǎng)實現(xiàn)信息交流與共享,在方案設(shè)計中,下層機構(gòu)難以與互聯(lián)網(wǎng)直接相連,需要經(jīng)過上級外網(wǎng)路由器數(shù)據(jù)交換才可實現(xiàn),具體設(shè)計內(nèi)容與方法如下。
1、關(guān)鍵網(wǎng)絡(luò)安全設(shè)備配置。
針對當(dāng)前企業(yè)在連接方面存在的問題,需要選擇恰當(dāng)?shù)陌踩O(shè)備來解決。在服務(wù)器選擇時,針對上級機構(gòu)采用Windows2010操作系統(tǒng),確保內(nèi)網(wǎng)計算機能夠安全訪問,并強化該系統(tǒng)的安全設(shè)置,如禁止非法攻擊、斷開遠程恢復(fù)系統(tǒng)狀態(tài)等等。一些入侵者會創(chuàng)建多個遠程連接手段消耗服務(wù)器空間,達到服務(wù)器崩潰的目標(biāo)。因服務(wù)器中空間有限,如若創(chuàng)建多個系統(tǒng)勢必會增加服務(wù)器運行負荷,影響運行正常性。對此,可通過強制斷開遠程系統(tǒng)與服務(wù)器連接的方式來確保系統(tǒng)正常運行。在防火墻選擇中,選擇的是包過濾防火墻,其價值在于信息傳輸中無需占用網(wǎng)絡(luò)帶寬,可滿足下級對上級訪問的要求;在入侵檢測系統(tǒng)選擇中,上對下采用網(wǎng)絡(luò)入侵檢測系統(tǒng),下對上采用主機入侵檢測系統(tǒng),使整體內(nèi)網(wǎng)安全得到有效保障[2]。
2、增強型內(nèi)網(wǎng)安全設(shè)計。
盡管上述方案與企業(yè)內(nèi)網(wǎng)安全需求相符合,但部分企業(yè)對安全信息的要求十分嚴(yán)格,該方案與預(yù)期目標(biāo)仍然有所出入。對此,應(yīng)制定增強型安全設(shè)計方案,將蜜網(wǎng)技術(shù)引入上級機構(gòu)中,使主機、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)有機融合起來,在高度可控的狀態(tài)下挖掘內(nèi)網(wǎng)中的安全威脅,使網(wǎng)絡(luò)安全性得到顯著提升。通過蜜網(wǎng)的應(yīng)用,可使黑客在瞄準(zhǔn)蜜網(wǎng)中某一目標(biāo)時,入侵檢測模塊便會立即分析該行為,及時發(fā)出報警信息,系統(tǒng)自動進入欺詐模塊,干擾和抵御入侵行為。此外,管理者還可以密切關(guān)注入侵行為,啟動日志系統(tǒng)記錄黑客信息,在此基礎(chǔ)上制定針對性防范措施,促進系統(tǒng)安全性全面提升。
2.3安全體系構(gòu)建
在設(shè)計內(nèi)網(wǎng)安全防范方案后,雖可在技術(shù)層面緩解企業(yè)內(nèi)網(wǎng)安全問題,降低內(nèi)網(wǎng)中面對各類安全威脅時造成的損失。但是,單純技術(shù)設(shè)計難以顯著增強內(nèi)網(wǎng)應(yīng)用中的防范能力,還應(yīng)創(chuàng)建內(nèi)網(wǎng)安全體系,與內(nèi)網(wǎng)實際情況相結(jié)合,對各項安全管理因素綜合考慮,才可實現(xiàn)更高層次的內(nèi)網(wǎng)安全保護目標(biāo)。一方面,創(chuàng)建內(nèi)網(wǎng)安全體系模型,主要分為安全管理、技術(shù)、產(chǎn)品與制度等方面,屬于分層結(jié)構(gòu)。從水平層面上看,包括安全技術(shù)、管理與產(chǎn)品三項內(nèi)容,屬于支配與被支配的關(guān)系;從垂直層面上看,以安全制度為主,可對水平層的各項因素安全行為進行規(guī)范。另一方面,完善一體化內(nèi)網(wǎng)安全體系,主要包括授權(quán)管理、身份認(rèn)證、監(jiān)控審計與數(shù)據(jù)保密等內(nèi)容,上述模塊相輔相成,共同構(gòu)建出安全可靠的內(nèi)部網(wǎng)絡(luò)。
其中,身份認(rèn)證作為內(nèi)網(wǎng)安全管理的基本內(nèi)容,需要對參與者身份進行綜合分析和確定,如用戶、客戶端、服務(wù)端等等,尤其是用戶與客戶端,二者的數(shù)量較多、環(huán)境安全性不高、因素變化較大,對其身份認(rèn)證十分必要;在身份認(rèn)證完畢后便可進行授權(quán)管理,針對內(nèi)網(wǎng)中各類信息資源進行授權(quán),明確不同類型主體在終端中獲取的資源與權(quán)限。信息資源包括服務(wù)器、終端應(yīng)用權(quán)、網(wǎng)絡(luò)資源等等。數(shù)據(jù)保密作為整體內(nèi)網(wǎng)安全的核心所在,從本質(zhì)上看是對內(nèi)網(wǎng)數(shù)據(jù)流、信息流實施全生命周期的高效管理,營造安全的信息交換與存儲環(huán)境,使內(nèi)網(wǎng)中核心數(shù)據(jù)與知識產(chǎn)權(quán)得到切實保護;監(jiān)控審計作為整體內(nèi)網(wǎng)安全中不可或缺的內(nèi)容,其作用在于對整體內(nèi)網(wǎng)安全狀態(tài)的全天候監(jiān)管,提交監(jiān)管評估報告,待發(fā)生網(wǎng)絡(luò)安全事故后,可及時準(zhǔn)備的取證和處理[3]。
2.4 OA系統(tǒng)安全設(shè)計
根據(jù)上文研究可知,當(dāng)前數(shù)據(jù)信息與系統(tǒng)安全受到極大威脅,急需創(chuàng)建一套切實可行的安全措施保證系統(tǒng)安全。當(dāng)前OA系統(tǒng)日益普及,應(yīng)加強對系統(tǒng)安全設(shè)計的重視程度,有效預(yù)防非法訪問與數(shù)據(jù)丟失情況發(fā)生。因OA系統(tǒng)所處網(wǎng)絡(luò)中含有諸多關(guān)鍵部門,且部門間的聯(lián)系緊密,信息資源傳輸?shù)谋C苄暂^強,在安全設(shè)計中應(yīng)根據(jù)系統(tǒng)所處環(huán)境,與實際情況相結(jié)合,為制定科學(xué)有效防范措施提供有利依據(jù)。同時,采取分層保護措施,使物理層、應(yīng)用層與網(wǎng)絡(luò)層得到全面保護,依靠專業(yè)防護設(shè)備,提高系統(tǒng)整體安全性。一般情況下,OA系統(tǒng)安全設(shè)計體現(xiàn)在兩個方面,即防止非法訪問與數(shù)據(jù)丟失,具體措施如下。
1、防止數(shù)據(jù)丟失。
對于電源故障,可采用當(dāng)前應(yīng)用較為普遍的不間斷電源,與雙機耦合容錯結(jié)構(gòu)相結(jié)合,此舉可使主機與輔機同時共享磁盤陣列信息,自動診斷錯誤,互相備份,使系統(tǒng)信息時刻處于安全狀態(tài);利用磁盤陣列為關(guān)鍵數(shù)據(jù)備份,使網(wǎng)絡(luò)中關(guān)鍵設(shè)備自身容錯能力得到顯著提升;利用磁帶機對文件服務(wù)器中的系數(shù)信息根據(jù)錄入時間先后進行備份。
2、防止非法訪問。
當(dāng)前企業(yè)OA系統(tǒng)中大多安裝了防火墻,在非法訪問抑制時可采取以下措施:一是數(shù)據(jù)加密,對系統(tǒng)中各個通信節(jié)點設(shè)置防火墻軟件,每個節(jié)點都定義為一個加密域,形成避免非法訪問的專用網(wǎng)絡(luò);二是在登錄服務(wù)器時,設(shè)置登錄密碼,為不同用戶設(shè)置相應(yīng)的訪問權(quán)限,針對文件系統(tǒng)的不同操作設(shè)置訪問許可證;三是地址設(shè)置,由管理者決定哪些IP被屏蔽,無法接入網(wǎng)絡(luò);哪些IP屬于有效地址,經(jīng)過映射后可接入網(wǎng)絡(luò);四是授權(quán)控制,針對特定群體在固定時段內(nèi)的應(yīng)用進行控制,將標(biāo)準(zhǔn)進程替換為防火墻專用的Telbet進程,只有通過授權(quán)后才可實現(xiàn)通信。因HTTP認(rèn)證服務(wù)在防火墻中運行,管理者可設(shè)定用戶的授權(quán)規(guī)則,決定哪些服務(wù)器可被用戶訪問;
3、完善訪問控制機制。
在避免上述兩種情況發(fā)生的同時,還應(yīng)以角色訪問為基礎(chǔ)完善訪問控制機制,將權(quán)限與角色相聯(lián)系,為不同崗位設(shè)置相應(yīng)角色,根據(jù)用戶責(zé)任與崗位工作給予合適角色,用戶可通過給予的角色獲取相應(yīng)權(quán)限,由此實現(xiàn)對文件或網(wǎng)頁的訪問[4]。
三、結(jié)論
綜上所述,當(dāng)前國內(nèi)辦公自動化水平不斷提升,內(nèi)網(wǎng)系統(tǒng)安全維護顯得十分關(guān)鍵。為了避免數(shù)據(jù)丟失、損壞與非法訪問,應(yīng)積極通過合理選擇關(guān)鍵網(wǎng)絡(luò)安全設(shè)備、創(chuàng)建內(nèi)網(wǎng)安全體系模型、完善一體化內(nèi)網(wǎng)安全體系、引入OA系統(tǒng)安全設(shè)計等方式,從根本上保證內(nèi)網(wǎng)安全,使系統(tǒng)運行更加穩(wěn)定可靠。
參? 考? 文? 獻
[1]徐署華.基于多層防護的某監(jiān)獄管理局網(wǎng)絡(luò)安全解決方案[J].科學(xué)技術(shù)與工程,2019,6(016):2568-2570.
[2]劉佛祥,劉東陽.企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護系統(tǒng)的方案設(shè)計[J].江西冶金,2018,038(003):41-44.
[3]齊天杰,郭錚.內(nèi)部網(wǎng)絡(luò)安全防范方案設(shè)計淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019,000(003):103-103.
[4]蘇向穎,王喃喃.企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的方案設(shè)計及信息技術(shù)[J].中小企業(yè)管理與科技,2019(03):012-014.