0 引言
改革開放以來��,科學(xué)信息技術(shù)在世界范圍內(nèi)快速地發(fā)展�,很多企業(yè)都感受到了科技進步給帶來的便利,但是與此同時也帶來了很多的安全隱患�����。以往企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計��,主要是為了防止和控制企業(yè)外部網(wǎng)絡(luò)的入侵和攻擊����,重點在于企業(yè)內(nèi)部網(wǎng)絡(luò)入口的保護,以為通過這種方式可以有效保障網(wǎng)絡(luò)系統(tǒng)安全運行�����,但是實際上卻無法解決企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的安全問題����。例如,2020年11月圓通快遞40萬客戶運單信息被泄露事件�,值得引起各企業(yè)的高度重視,在網(wǎng)絡(luò)高速發(fā)展的當(dāng)下�����,必須加強網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計,不斷完善安全系統(tǒng)技術(shù)��,并敢于創(chuàng)新和進步����,才能保證企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全系統(tǒng)的實現(xiàn)。
1 互聯(lián)網(wǎng)面臨的安全威脅因素
由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�,計算機已經(jīng)成為一個完全開放的、不受控制的網(wǎng)絡(luò)系統(tǒng)��,目前�����,網(wǎng)絡(luò)所面臨的安全威脅因素主要有病毒攻擊�����、黑客攻擊和拒絕服務(wù)攻擊��。在互聯(lián)網(wǎng)中��,經(jīng)常會有黑客嘗試各種方式侵入計算機系統(tǒng)����,然后盜取計算機中的機密文件和數(shù)據(jù),或者直接破壞重要信息�,使計算機無法正常運行,直至癱瘓���。拒絕服務(wù)攻擊是一種直接毀滅性的破壞方式�,例如電子郵件炸彈��,通過發(fā)送大量的電子郵件給計算機使用者的方式�,導(dǎo)致嚴重影響計算機系統(tǒng)的運行,使系統(tǒng)喪失功能�����,甚至導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的癱瘓�。結(jié)合企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)的實際運行情況,深入分析了企業(yè)所面臨的網(wǎng)絡(luò)安全威脅����,主要包括以下幾個方面:
(1)互聯(lián)網(wǎng)病毒攻擊。網(wǎng)絡(luò)蠕蟲類病毒的流行給網(wǎng)民造成了巨大損失��。隨著我國互聯(lián)網(wǎng)技術(shù)的高速發(fā)展����,在互聯(lián)網(wǎng)環(huán)境下���,病毒可以很容易進行傳播,并且傳播速度非??欤《究梢酝ㄟ^文件或者郵件附件的形式進行傳播����,給網(wǎng)民帶來極大的影響。病毒的高效傳播��,不僅導(dǎo)致計算機無法正常使用��,還將使計算機丟失重要的數(shù)據(jù)和文件�,甚至導(dǎo)致計算機系統(tǒng)癱瘓。
(2)外來入侵情況�。企業(yè)內(nèi)部的網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行連接,雖然網(wǎng)絡(luò)中部署了防火墻設(shè)置��,但是由于沒有其他的安全防范措施����,還是比較容易受到網(wǎng)絡(luò)上黑客的攻擊。使用補丁,操作系統(tǒng)程序中包含的驅(qū)動程序和系統(tǒng)服務(wù)可以升級����,并實現(xiàn)動態(tài)連接,對黑客來說這是一種簡便的方法����,也是制造計算機病毒的溫床�����。除此之外���,黑客還經(jīng)常使用操作系統(tǒng)提供的遠程服務(wù)和無密碼入口作為入侵通道����。
(3)來自內(nèi)部人員的威脅�����。任何網(wǎng)絡(luò)系統(tǒng)都離不開人的控制和管理��,網(wǎng)絡(luò)內(nèi)部人員的威脅一方面是來自于對企業(yè)心生怨憤的內(nèi)部員工的惡意破壞�,企業(yè)內(nèi)部員工特別是有一定權(quán)限的管理人員,可以直接接觸到核心服務(wù)器等關(guān)鍵設(shè)備����,從而破壞企業(yè)內(nèi)部網(wǎng)絡(luò)����,會造成嚴重后果�����。另一方面則是內(nèi)部員工的操作不規(guī)范�,或是為了貪圖方便繞過網(wǎng)絡(luò)中的安全系統(tǒng)等違規(guī)操作,從而給網(wǎng)絡(luò)帶來各種威脅和潛在隱患�。
2 企業(yè)信息化網(wǎng)絡(luò)安全體系設(shè)計
為了有效保護網(wǎng)絡(luò)信息系統(tǒng)的軟硬件及相關(guān)數(shù)據(jù),保證網(wǎng)絡(luò)服務(wù)不中斷和系統(tǒng)正常運行����,應(yīng)從企業(yè)實際需求入手,對系統(tǒng)的物理環(huán)境��、網(wǎng)絡(luò)���、應(yīng)用和數(shù)據(jù)庫等系統(tǒng)的信息安全網(wǎng)絡(luò)���,進行系統(tǒng)化的管理。企業(yè)的信息安全系統(tǒng)主要由安全管理、安全技術(shù)兩個部分構(gòu)成����,每個部分由多個子模塊組成,每個子模塊在其領(lǐng)域發(fā)揮著不同的作用��。
2.1 安全管理部分
安全管理部分����,如圖1所示,包含了四個獨立功能的子模塊�����,分別是組織機構(gòu)��、員工管理����、安全策略�����、操作管理:
(1)組織機構(gòu):本模塊主要是為了滿足企業(yè)內(nèi)部對信息網(wǎng)絡(luò)安全系統(tǒng)的需求����,建立能保證組織正常��、有效運行的組織機構(gòu)�����,使組織功能得以實現(xiàn)�����。
(2)員工管理:本模塊旨在系統(tǒng)的管理員工���,培養(yǎng)員工的安全意識和提高員工的業(yè)務(wù)能力,以保證各項工作可以順利的進行��。
(2)訪問防火墻控制�����。要實現(xiàn) VPN到端口和端口到VPN安全連接數(shù)據(jù)傳輸����,必須結(jié)合內(nèi)外防火墻,以實現(xiàn)數(shù)據(jù)的安全傳輸�,同時需要保證防火墻設(shè)置建立在隔離區(qū)之中�����,實行設(shè)置的單向控制��,但必須嚴格過濾來自網(wǎng)內(nèi)隔離區(qū)的數(shù)據(jù)�����。
(4)操作管理:本模塊主要從微觀層面入手��,工作中每一個環(huán)節(jié)都嚴格按照各項制度進行操作�����,結(jié)合安全策略模塊,以保證系統(tǒng)操作的安全性���。
2.2 安全技術(shù)部分
從企業(yè)業(yè)務(wù)方面進行考慮��,把信息網(wǎng)絡(luò)安全技術(shù)部分分為四個模塊��,分別是漏洞管理����、安全控制、應(yīng)答管理���、風(fēng)險管理和資產(chǎn)管理�。每個子模塊由以下功能模塊組成:
(1)漏洞管理子模塊:該模塊主要由入侵檢查��、漏洞監(jiān)測�、網(wǎng)絡(luò)監(jiān)查和安全審計 4個方面組成。
(3)安全策略:本模塊主要是從宏觀層面和政策層面入手分析����,建立和完善安全管理體系和安全管理制度。
(3)應(yīng)答管理子模塊:該模塊主要由管理平臺��、產(chǎn)品應(yīng)答��,人員應(yīng)答 3個方面組成����。
(4)風(fēng)險管理子模塊:該模塊主要由風(fēng)險辨別、風(fēng)險管控��、風(fēng)險規(guī)避�、風(fēng)險轉(zhuǎn)移、風(fēng)險評價 5個方面組成����。
(5)資產(chǎn)管理子模塊:該模塊主要由物理環(huán)境�、網(wǎng)絡(luò)設(shè)施���、服務(wù)器����、計算機系統(tǒng)���、用戶終端����,應(yīng)用系統(tǒng) 6個方面組成����。
3 信息網(wǎng)絡(luò)安全系統(tǒng)的實現(xiàn)
當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)相連接時,網(wǎng)絡(luò)安全將是企業(yè)重點關(guān)注的問題�����。為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全���,企業(yè)既要防范來自外部的各種攻擊���,又要防范企業(yè)內(nèi)部用戶提供的非法網(wǎng)絡(luò)服務(wù)��,必須采取相應(yīng)的安全策略�,防止企業(yè)網(wǎng)絡(luò)資源被非法利用����。為此����,企業(yè)必須對網(wǎng)絡(luò)信息安全機制進行全面調(diào)整���,重新部署安全設(shè)施��,建立信息網(wǎng)絡(luò)安全體系,并制定相應(yīng)的控制策略。部署企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)應(yīng)著重解決以下問題:
(1)因特網(wǎng)安全訪問。通過防火墻對計算機中的機密數(shù)據(jù)進行物理隔離��,例如�,當(dāng)用戶需要登錄到Internet時����,在將過濾數(shù)據(jù)從外部防火墻映射到 Internet之前,該用戶必須通過 Internet才能對數(shù)據(jù)進行過濾�,然后才能將過濾數(shù)據(jù)傳送到外部防火墻。
(2)安全控制子模塊:該模塊主要由防病毒����、防火墻、反垃圾、防拒絕訪問 4個方面組成。
(3)入侵檢測。通過 IDS技術(shù)在發(fā)現(xiàn)可疑行為時,可自動阻斷入侵行為���,并及時通知網(wǎng)絡(luò)管理員 IDS檢測,可以最大程度地保護系統(tǒng)安全����,為系統(tǒng)提供保護支撐。
(4)驗證用戶�����。在主域服務(wù)器中安裝用戶認證系統(tǒng)并設(shè)置用戶的訪問和密碼權(quán)限,通過檢測連接用戶的用戶名��、密碼對其進行身份識別�����,以保證撥號和網(wǎng)絡(luò) VPN連接的安全。同時�����,對于連接的用戶建立訪問日志數(shù)據(jù)庫�����,用以記錄 VPN連接用戶的 IP���、登錄時間、身份信息等��,為系統(tǒng)管理提供依據(jù)��。
(5)網(wǎng)絡(luò)防毒�����。為確保系統(tǒng)數(shù)據(jù)不受病毒攻擊�����,確保日常工作正常進行��,企業(yè)需要在客戶端��、文件服務(wù)器�、郵件服務(wù)器和 OA服務(wù)器等設(shè)備上都安裝防病毒軟件,防止病毒的侵入和傳播����,同時對殺毒軟件的病毒識別庫進行實時更新,以防止最新病毒的傳播造成整個網(wǎng)絡(luò)的破壞����。
(6)VPN加密。為使企業(yè)員工能在因特網(wǎng)上訪問企業(yè)內(nèi)部網(wǎng)的 OA系統(tǒng)���,可將 VPN技術(shù)與防火墻技術(shù)相結(jié)合����,配置 VPN硬件設(shè)備,構(gòu)建虛擬專用網(wǎng)絡(luò)VPN����。實現(xiàn)了以下功能:一是通過認證通信訪問控制;二是記錄已處理的通信或服務(wù)�,生成日志和審計記錄;三是通過直接連接將認證數(shù)據(jù)發(fā)送到主機應(yīng)用程序����;四是通過VPN穿越防火墻;五是利用第三方認證產(chǎn)品改進認證安全性和訪問控制���。
4 結(jié)束語
網(wǎng)絡(luò)安全在一定程度上決定著企業(yè)信息的風(fēng)險程度�����,提高企業(yè)網(wǎng)絡(luò)信息安全,需要不斷地完善網(wǎng)絡(luò)信息安全系統(tǒng)工程�,掌握網(wǎng)絡(luò)信息安全的系統(tǒng)知識,熟悉網(wǎng)絡(luò)系統(tǒng)安全防護的原理����,然后按照系統(tǒng)的設(shè)計原則,結(jié)合系統(tǒng)部署方案�,最終建立完善的安全管理平臺���、安全保護服務(wù)器、安全保護代理等系統(tǒng)����,從而提高系統(tǒng)的安全響應(yīng)能力。
