基于內(nèi)部網(wǎng)絡(luò)安全防范方案的設(shè)計

宋劍

【摘要】? ? 本文對當(dāng)前內(nèi)部網(wǎng)絡(luò)面對的威脅進行分析，主要包括內(nèi)網(wǎng)脆弱、用戶權(quán)限不同、涉密信息分散等方面，并提出內(nèi)網(wǎng)安全防范的有效措施。以期通過合理選擇關(guān)鍵網(wǎng)絡(luò)安全設(shè)備、創(chuàng)建內(nèi)網(wǎng)安全體系模型、完善一體化內(nèi)網(wǎng)安全體系、引入OA系統(tǒng)安全設(shè)計等方式，有效防止非法訪問與數(shù)據(jù)丟失等情況發(fā)生，使內(nèi)部網(wǎng)絡(luò)與數(shù)據(jù)資源安全得到切實保障。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 防范方案? ? 設(shè)計措施

引言：

當(dāng)前計算機技術(shù)不斷更新?lián)Q代，網(wǎng)絡(luò)成為日常生活學(xué)習(xí)不可缺少的內(nèi)容，網(wǎng)絡(luò)辦公已經(jīng)成為職業(yè)發(fā)展的主流趨勢。但因網(wǎng)絡(luò)具有開放性特點，難免有許多不安全因素混雜其中，為辦公環(huán)境帶來網(wǎng)絡(luò)內(nèi)部威脅，主要為內(nèi)網(wǎng)脆弱、用戶權(quán)限不同、涉密信息分散等等，需要通過構(gòu)建安全體系的方式，加強內(nèi)網(wǎng)安全保護，從而加強網(wǎng)絡(luò)安全控制力度，營造安全和諧的辦公環(huán)境。

一、內(nèi)部網(wǎng)絡(luò)面對的威脅

內(nèi)網(wǎng)是在IP協(xié)議基礎(chǔ)上，依靠Web計算機核心技術(shù)創(chuàng)建的便于信息交換的平臺，屬于獨立網(wǎng)絡(luò)，無需與互聯(lián)網(wǎng)相連。在內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)上，計算機技術(shù)可對多媒體、圖形等信息進行統(tǒng)一化管理，促進工作效率提升，可見內(nèi)網(wǎng)在企業(yè)中的作用不容忽視，可為電子政務(wù)發(fā)展提供強有力的技術(shù)支持。網(wǎng)絡(luò)在為人們帶來諸多便利的同時，安全威脅也接踵而至。當(dāng)前人們對網(wǎng)絡(luò)安全的認(rèn)知只停留于表層，即黑客與網(wǎng)絡(luò)外部構(gòu)成的威脅，卻忽視了源于內(nèi)部網(wǎng)絡(luò)的安全威脅。據(jù)統(tǒng)計，有超過50%的企業(yè)面臨著內(nèi)網(wǎng)威脅，具體如下。

1.1內(nèi)網(wǎng)脆弱

在企業(yè)發(fā)展中，因內(nèi)網(wǎng)安全防范存在漏洞，部分網(wǎng)絡(luò)管理員對此缺乏重視，監(jiān)管力度不足、未能及時更新防護措施，導(dǎo)致內(nèi)網(wǎng)常常受到攻擊，大部分計算機終端的系統(tǒng)漏洞越來越大，加上內(nèi)網(wǎng)中應(yīng)用程序數(shù)量不斷增加，也使得終端系統(tǒng)漏洞越發(fā)嚴(yán)重。

1.2用戶權(quán)限不一

在企業(yè)內(nèi)網(wǎng)中用戶的使用權(quán)限不盡相同，需要對用戶權(quán)限進行統(tǒng)一管控，否則將會導(dǎo)致不同應(yīng)用程序被越權(quán)使用。正因設(shè)置權(quán)限不同，導(dǎo)致內(nèi)網(wǎng)需要多次識別身份認(rèn)證，對于身份認(rèn)證較弱的用戶，很容易成為黑客攻擊的對象，一旦非法份子通過基層身份進入內(nèi)網(wǎng)，便會實施越權(quán)操作;許多企業(yè)信息安全部門忽視服務(wù)器管理，為黑客入侵提供了可乘之機。

1.3涉密信息分散

對于部分企業(yè)來說，內(nèi)網(wǎng)涉密設(shè)局常常分散存儲在多個計算機終端中，并非全部存儲在服務(wù)器中，這就要求制定嚴(yán)格的監(jiān)管制度，才可使涉密數(shù)據(jù)得到統(tǒng)一有效的管理，不會為竊密者制造更多入侵機會;部分企業(yè)將機密信息存儲在中高層管理者計算機中，內(nèi)網(wǎng)對于此類信息沒有整合，這說明企業(yè)機密掌握在幾名管理者手中，但此類主體的信息保護程度較弱，達不到專業(yè)化水平，同樣容易導(dǎo)致丟失、受損等現(xiàn)象發(fā)生[1]。

二、內(nèi)部網(wǎng)絡(luò)安全防范的設(shè)計

在內(nèi)部網(wǎng)絡(luò)中具有諸多安全因素，為提高內(nèi)網(wǎng)安全程度，應(yīng)制定切實可行的內(nèi)網(wǎng)安全防范方案，做好設(shè)計前準(zhǔn)備工作，結(jié)合系統(tǒng)現(xiàn)實需求進行總體設(shè)計，創(chuàng)建科學(xué)完善的安全體系，并注重OA系統(tǒng)開發(fā)研究，以此提高企業(yè)信息化水平，實現(xiàn)穩(wěn)健長久發(fā)展。

2.1設(shè)計前準(zhǔn)備

在內(nèi)網(wǎng)安全方案制定之前，應(yīng)了解內(nèi)網(wǎng)安全設(shè)備的相關(guān)性能，為日后方案的科學(xué)應(yīng)用提供基礎(chǔ)。在防火墻方面，該設(shè)備屬于網(wǎng)絡(luò)之間的有效防御系統(tǒng)，可對企業(yè)內(nèi)網(wǎng)中的各類應(yīng)用起到保護作用，可根據(jù)實際需要選擇屏蔽路由器型、屏蔽主機網(wǎng)管型與子網(wǎng)型。在入侵檢測方面，防火墻具有被動防御特點，但入侵屬于主動行為，可采用入侵檢測系統(tǒng)進行安全防護，可及時準(zhǔn)確的檢測是否存在內(nèi)網(wǎng)入侵行為，并判斷該行為的合法性;在硬件加密機方面，該設(shè)備與主機間的協(xié)議進行通信，具有數(shù)據(jù)通信、安全保密等功能，可有效規(guī)避網(wǎng)絡(luò)詐騙行為產(chǎn)生。

2.2總體設(shè)計

為了更為直觀的表明內(nèi)網(wǎng)安全防范的總體設(shè)計思路，以某企業(yè)內(nèi)網(wǎng)設(shè)計項目為例，該企業(yè)整體結(jié)構(gòu)均是借助內(nèi)網(wǎng)實現(xiàn)信息交流與共享，在方案設(shè)計中，下層機構(gòu)難以與互聯(lián)網(wǎng)直接相連，需要經(jīng)過上級外網(wǎng)路由器數(shù)據(jù)交換才可實現(xiàn)，具體設(shè)計內(nèi)容與方法如下。

1、關(guān)鍵網(wǎng)絡(luò)安全設(shè)備配置。

針對當(dāng)前企業(yè)在連接方面存在的問題，需要選擇恰當(dāng)?shù)陌踩O(shè)備來解決。在服務(wù)器選擇時，針對上級機構(gòu)采用Windows2010操作系統(tǒng)，確保內(nèi)網(wǎng)計算機能夠安全訪問，并強化該系統(tǒng)的安全設(shè)置，如禁止非法攻擊、斷開遠程恢復(fù)系統(tǒng)狀態(tài)等等。一些入侵者會創(chuàng)建多個遠程連接手段消耗服務(wù)器空間，達到服務(wù)器崩潰的目標(biāo)。因服務(wù)器中空間有限，如若創(chuàng)建多個系統(tǒng)勢必會增加服務(wù)器運行負荷，影響運行正常性。對此，可通過強制斷開遠程系統(tǒng)與服務(wù)器連接的方式來確保系統(tǒng)正常運行。在防火墻選擇中，選擇的是包過濾防火墻，其價值在于信息傳輸中無需占用網(wǎng)絡(luò)帶寬，可滿足下級對上級訪問的要求;在入侵檢測系統(tǒng)選擇中，上對下采用網(wǎng)絡(luò)入侵檢測系統(tǒng)，下對上采用主機入侵檢測系統(tǒng)，使整體內(nèi)網(wǎng)安全得到有效保障[2]。

2、增強型內(nèi)網(wǎng)安全設(shè)計。

盡管上述方案與企業(yè)內(nèi)網(wǎng)安全需求相符合，但部分企業(yè)對安全信息的要求十分嚴(yán)格，該方案與預(yù)期目標(biāo)仍然有所出入。對此，應(yīng)制定增強型安全設(shè)計方案，將蜜網(wǎng)技術(shù)引入上級機構(gòu)中，使主機、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)有機融合起來，在高度可控的狀態(tài)下挖掘內(nèi)網(wǎng)中的安全威脅，使網(wǎng)絡(luò)安全性得到顯著提升。通過蜜網(wǎng)的應(yīng)用，可使黑客在瞄準(zhǔn)蜜網(wǎng)中某一目標(biāo)時，入侵檢測模塊便會立即分析該行為，及時發(fā)出報警信息，系統(tǒng)自動進入欺詐模塊，干擾和抵御入侵行為。此外，管理者還可以密切關(guān)注入侵行為，啟動日志系統(tǒng)記錄黑客信息，在此基礎(chǔ)上制定針對性防范措施，促進系統(tǒng)安全性全面提升。

2.3安全體系構(gòu)建

在設(shè)計內(nèi)網(wǎng)安全防范方案后，雖可在技術(shù)層面緩解企業(yè)內(nèi)網(wǎng)安全問題，降低內(nèi)網(wǎng)中面對各類安全威脅時造成的損失。但是，單純技術(shù)設(shè)計難以顯著增強內(nèi)網(wǎng)應(yīng)用中的防范能力，還應(yīng)創(chuàng)建內(nèi)網(wǎng)安全體系，與內(nèi)網(wǎng)實際情況相結(jié)合，對各項安全管理因素綜合考慮，才可實現(xiàn)更高層次的內(nèi)網(wǎng)安全保護目標(biāo)。一方面，創(chuàng)建內(nèi)網(wǎng)安全體系模型，主要分為安全管理、技術(shù)、產(chǎn)品與制度等方面，屬于分層結(jié)構(gòu)。從水平層面上看，包括安全技術(shù)、管理與產(chǎn)品三項內(nèi)容，屬于支配與被支配的關(guān)系;從垂直層面上看，以安全制度為主，可對水平層的各項因素安全行為進行規(guī)范。另一方面，完善一體化內(nèi)網(wǎng)安全體系，主要包括授權(quán)管理、身份認(rèn)證、監(jiān)控審計與數(shù)據(jù)保密等內(nèi)容，上述模塊相輔相成，共同構(gòu)建出安全可靠的內(nèi)部網(wǎng)絡(luò)。

其中，身份認(rèn)證作為內(nèi)網(wǎng)安全管理的基本內(nèi)容，需要對參與者身份進行綜合分析和確定，如用戶、客戶端、服務(wù)端等等，尤其是用戶與客戶端，二者的數(shù)量較多、環(huán)境安全性不高、因素變化較大，對其身份認(rèn)證十分必要;在身份認(rèn)證完畢后便可進行授權(quán)管理，針對內(nèi)網(wǎng)中各類信息資源進行授權(quán)，明確不同類型主體在終端中獲取的資源與權(quán)限。信息資源包括服務(wù)器、終端應(yīng)用權(quán)、網(wǎng)絡(luò)資源等等。數(shù)據(jù)保密作為整體內(nèi)網(wǎng)安全的核心所在，從本質(zhì)上看是對內(nèi)網(wǎng)數(shù)據(jù)流、信息流實施全生命周期的高效管理，營造安全的信息交換與存儲環(huán)境，使內(nèi)網(wǎng)中核心數(shù)據(jù)與知識產(chǎn)權(quán)得到切實保護;監(jiān)控審計作為整體內(nèi)網(wǎng)安全中不可或缺的內(nèi)容，其作用在于對整體內(nèi)網(wǎng)安全狀態(tài)的全天候監(jiān)管，提交監(jiān)管評估報告，待發(fā)生網(wǎng)絡(luò)安全事故后，可及時準(zhǔn)備的取證和處理[3]。

2.4 OA系統(tǒng)安全設(shè)計

根據(jù)上文研究可知，當(dāng)前數(shù)據(jù)信息與系統(tǒng)安全受到極大威脅，急需創(chuàng)建一套切實可行的安全措施保證系統(tǒng)安全。當(dāng)前OA系統(tǒng)日益普及，應(yīng)加強對系統(tǒng)安全設(shè)計的重視程度，有效預(yù)防非法訪問與數(shù)據(jù)丟失情況發(fā)生。因OA系統(tǒng)所處網(wǎng)絡(luò)中含有諸多關(guān)鍵部門，且部門間的聯(lián)系緊密，信息資源傳輸?shù)谋Ｃ苄暂^強，在安全設(shè)計中應(yīng)根據(jù)系統(tǒng)所處環(huán)境，與實際情況相結(jié)合，為制定科學(xué)有效防范措施提供有利依據(jù)。同時，采取分層保護措施，使物理層、應(yīng)用層與網(wǎng)絡(luò)層得到全面保護，依靠專業(yè)防護設(shè)備，提高系統(tǒng)整體安全性。一般情況下，OA系統(tǒng)安全設(shè)計體現(xiàn)在兩個方面，即防止非法訪問與數(shù)據(jù)丟失，具體措施如下。

1、防止數(shù)據(jù)丟失。

對于電源故障，可采用當(dāng)前應(yīng)用較為普遍的不間斷電源，與雙機耦合容錯結(jié)構(gòu)相結(jié)合，此舉可使主機與輔機同時共享磁盤陣列信息，自動診斷錯誤，互相備份，使系統(tǒng)信息時刻處于安全狀態(tài);利用磁盤陣列為關(guān)鍵數(shù)據(jù)備份，使網(wǎng)絡(luò)中關(guān)鍵設(shè)備自身容錯能力得到顯著提升;利用磁帶機對文件服務(wù)器中的系數(shù)信息根據(jù)錄入時間先后進行備份。

2、防止非法訪問。

當(dāng)前企業(yè)OA系統(tǒng)中大多安裝了防火墻，在非法訪問抑制時可采取以下措施：一是數(shù)據(jù)加密，對系統(tǒng)中各個通信節(jié)點設(shè)置防火墻軟件，每個節(jié)點都定義為一個加密域，形成避免非法訪問的專用網(wǎng)絡(luò);二是在登錄服務(wù)器時，設(shè)置登錄密碼，為不同用戶設(shè)置相應(yīng)的訪問權(quán)限，針對文件系統(tǒng)的不同操作設(shè)置訪問許可證;三是地址設(shè)置，由管理者決定哪些IP被屏蔽，無法接入網(wǎng)絡(luò);哪些IP屬于有效地址，經(jīng)過映射后可接入網(wǎng)絡(luò);四是授權(quán)控制，針對特定群體在固定時段內(nèi)的應(yīng)用進行控制，將標(biāo)準(zhǔn)進程替換為防火墻專用的Telbet進程，只有通過授權(quán)后才可實現(xiàn)通信。因HTTP認(rèn)證服務(wù)在防火墻中運行，管理者可設(shè)定用戶的授權(quán)規(guī)則，決定哪些服務(wù)器可被用戶訪問;

3、完善訪問控制機制。

在避免上述兩種情況發(fā)生的同時，還應(yīng)以角色訪問為基礎(chǔ)完善訪問控制機制，將權(quán)限與角色相聯(lián)系，為不同崗位設(shè)置相應(yīng)角色，根據(jù)用戶責(zé)任與崗位工作給予合適角色，用戶可通過給予的角色獲取相應(yīng)權(quán)限，由此實現(xiàn)對文件或網(wǎng)頁的訪問[4]。

三、結(jié)論

綜上所述，當(dāng)前國內(nèi)辦公自動化水平不斷提升，內(nèi)網(wǎng)系統(tǒng)安全維護顯得十分關(guān)鍵。為了避免數(shù)據(jù)丟失、損壞與非法訪問，應(yīng)積極通過合理選擇關(guān)鍵網(wǎng)絡(luò)安全設(shè)備、創(chuàng)建內(nèi)網(wǎng)安全體系模型、完善一體化內(nèi)網(wǎng)安全體系、引入OA系統(tǒng)安全設(shè)計等方式，從根本上保證內(nèi)網(wǎng)安全，使系統(tǒng)運行更加穩(wěn)定可靠。

參? 考? 文? 獻

[1]徐署華.基于多層防護的某監(jiān)獄管理局網(wǎng)絡(luò)安全解決方案[J].科學(xué)技術(shù)與工程，2019，6（016）：2568-2570.

[2]劉佛祥，劉東陽.企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護系統(tǒng)的方案設(shè)計[J].江西冶金，2018，038（003）：41-44.

[3]齊天杰，郭錚.內(nèi)部網(wǎng)絡(luò)安全防范方案設(shè)計淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，000（003）：103-103.

[4]蘇向穎，王喃喃.企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的方案設(shè)計及信息技術(shù)[J].中小企業(yè)管理與科技，2019（03）：012-014.