基于內(nèi)部網(wǎng)絡(luò)安全防范方案的設(shè)計

林寬勝

摘要：文章對我國企事業(yè)單位內(nèi)部網(wǎng)絡(luò)安全防范方案進(jìn)行設(shè)計，以期促進(jìn)網(wǎng)絡(luò)技術(shù)更好地服務(wù)于企業(yè)生產(chǎn)工作。

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；安全防范；方案設(shè)計

對于很多企業(yè)而言，網(wǎng)絡(luò)辦公已經(jīng)成為其日常生產(chǎn)工作中必不可少的輔助工具，而內(nèi)部網(wǎng)絡(luò)也成了企業(yè)工作人員內(nèi)部通信交流的有效方式之一。通常企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)指的是依托于互聯(lián)網(wǎng)技術(shù)，在企業(yè)內(nèi)部建立的專用網(wǎng)絡(luò)系統(tǒng)，其通信協(xié)議采用的是TCP/IP技術(shù)，同時利用互聯(lián)網(wǎng)絡(luò)模型作為信息處理平臺，實現(xiàn)數(shù)據(jù)傳送。當(dāng)前多數(shù)企業(yè)在使用內(nèi)部網(wǎng)絡(luò)時，認(rèn)為自身并沒有與外界網(wǎng)絡(luò)接觸，并不會受到惡意攻擊，因此一旦出現(xiàn)網(wǎng)絡(luò)安全事故，企業(yè)往往蒙受巨大的經(jīng)濟(jì)損失。對此，必須針對企業(yè)內(nèi)部網(wǎng)絡(luò)制定相應(yīng)的安全防范方案，以避免重要信息的泄露。

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀

目前，我國大部分企業(yè)已經(jīng)實現(xiàn)了網(wǎng)絡(luò)覆蓋，但是諸多企業(yè)單位對于網(wǎng)絡(luò)安全問題重視程度還不夠。作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的重要組成部分，內(nèi)部網(wǎng)絡(luò)的安全管理主要是針對網(wǎng)絡(luò)病毒以及系統(tǒng)漏洞等進(jìn)行檢測和修復(fù)，一般的安全防范措施都設(shè)在內(nèi)部網(wǎng)絡(luò)與外部的接口處，雖然在很大程度上減少了外部病毒以及黑客的入侵，但是對于企業(yè)內(nèi)部網(wǎng)絡(luò)的監(jiān)控和防范措施力度仍然不夠，這使得企業(yè)內(nèi)部潛在的安全問題得不到妥善的解決。就目前網(wǎng)絡(luò)安全而言，企業(yè)內(nèi)部的網(wǎng)絡(luò)安全犯罪及泄密案件遠(yuǎn)遠(yuǎn)多于外部網(wǎng)絡(luò)，多數(shù)企業(yè)的技術(shù)人員對于內(nèi)部網(wǎng)絡(luò)安全并不重視，且將多數(shù)精力投入于外網(wǎng)的安全防范工作中，因此導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)案件頻發(fā)。近幾年，國內(nèi)大量新聞報道了內(nèi)部網(wǎng)絡(luò)出現(xiàn)機(jī)密泄露以及服務(wù)器癱瘓等安全問題，導(dǎo)致諸多企業(yè)遭受巨大經(jīng)濟(jì)損失的事件，因此對于企業(yè)單位來說，必須增強(qiáng)自身的內(nèi)部網(wǎng)絡(luò)安全防范意識，并找到切實可行的方案。

2 企業(yè)內(nèi)部網(wǎng)絡(luò)安全遭受的威脅

2.1 內(nèi)部網(wǎng)絡(luò)安全措施薄弱

隨著信息化時代的迅速發(fā)展，企業(yè)的內(nèi)部網(wǎng)絡(luò)遭遇到越來越多的威脅，因此網(wǎng)絡(luò)安全防范問題已經(jīng)成為國內(nèi)諸多企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)過程中的重要課題之一。通常企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅是病毒和黑客的攻擊，采用的主要修復(fù)方式為修補(bǔ)安全漏洞，建立防火墻等，但是由于企業(yè)的部分技術(shù)人員對于內(nèi)部網(wǎng)絡(luò)的安全防范意識不夠，因此往往是在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞問題之后才采取措施，導(dǎo)致“亡羊補(bǔ)牢”，部分損失無法挽回。

2.2 企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的使用權(quán)限不同

在企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，用戶權(quán)限的統(tǒng)一管理很難做到，每個工作人員都會擁有不同的權(quán)限，這使得內(nèi)部網(wǎng)絡(luò)中的軟件很容易在用戶使用時被黑客肆意攻擊甚至修改密碼。同時，企業(yè)相關(guān)部門對于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位，更增加了黑客攻擊系統(tǒng)的幾率。

2.3 企業(yè)內(nèi)部網(wǎng)絡(luò)機(jī)密信息分散

目前，部分企業(yè)將內(nèi)部機(jī)密信息的相關(guān)數(shù)據(jù)存儲于不同的服務(wù)器終端中，并沒有將這些相關(guān)信息統(tǒng)一放置在同一個服務(wù)器中，對于這些機(jī)密文件缺乏統(tǒng)一、科學(xué)的管理體系，并且通常不會進(jìn)行加密處理，加上企業(yè)內(nèi)部安全部門疏于管理等，導(dǎo)致信息在內(nèi)部網(wǎng)絡(luò)中隨意流通，進(jìn)而為黑客提供了盜取企業(yè)內(nèi)部機(jī)密文件和信息數(shù)據(jù)的機(jī)會。

2.4 USB使用的問題

USB是計算機(jī)感染病毒最常見的途徑之一。由于USB接口對文件傳輸效率高、便捷，因此，當(dāng)前人們對其使用頻率非常高，多數(shù)企業(yè)也會利用USB進(jìn)行文件拷貝等方面的處理。但是USB存在特殊性，而人們對其的安全防范意識較為不足。許多員工會互相借U盤拷貝文件，因此讓計算機(jī)之間的病毒相互感染，并且部分員工并沒有對U盤進(jìn)行殺毒的習(xí)慣，導(dǎo)致很多企業(yè)中的計算機(jī)基本上被交叉感染了病毒。為了最大程度地減少SB病毒的感染，可以將USB的封口完全堵死，或者利用相關(guān)的平臺和軟件進(jìn)行安全管理。

2.5 惡意代碼、黑客攻擊等影響

目前，很多企業(yè)將自身的內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)進(jìn)行資源共享，因此部分重要信息很容易被不法分子得知。另外，惡意代碼以及黑客的攻擊在很大程度上也嚴(yán)重影響到了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

3 內(nèi)部網(wǎng)絡(luò)安全防范方案的設(shè)計思路與策略

3.1 內(nèi)部網(wǎng)絡(luò)安全防范方案的整體設(shè)計與安全模型建立

為了能夠及時、有效地解決企業(yè)內(nèi)部網(wǎng)絡(luò)中存在的大量安全漏洞，保障網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，企業(yè)內(nèi)部的網(wǎng)絡(luò)安全防范方案設(shè)計如圖1所示。

該方案的上半部分屬于企業(yè)下級機(jī)構(gòu)，而下半部分屬于企業(yè)上級機(jī)構(gòu)。通常來說，企業(yè)下級機(jī)構(gòu)與上級機(jī)構(gòu)的連接是通過內(nèi)部網(wǎng)絡(luò)實現(xiàn)的。在企業(yè)內(nèi)部網(wǎng)絡(luò)安全方案設(shè)計當(dāng)中，企業(yè)下級機(jī)構(gòu)不能直接與互聯(lián)網(wǎng)接通，只能通過企業(yè)上級機(jī)構(gòu)的外網(wǎng)與外界數(shù)據(jù)信息進(jìn)行傳輸交流。同時，下級機(jī)構(gòu)傳輸?shù)臄?shù)據(jù)信息必須經(jīng)過防火墻以及黑客入侵安全檢測系統(tǒng)的安全過濾。然而即便這樣，也難以保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全的萬無一失，因此，筆者認(rèn)為在企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計方案中，必須加強(qiáng)硬件加密的部署以及數(shù)據(jù)通信的加密工作，以進(jìn)一步保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

3.2 內(nèi)部網(wǎng)絡(luò)安全防范的相關(guān)策略

3.2.1 保證內(nèi)部網(wǎng)絡(luò)中操作系統(tǒng)的安全

內(nèi)部操作系統(tǒng)的安全與否，直接影響到整個企業(yè)網(wǎng)絡(luò)的安全與穩(wěn)定。對于計算機(jī)操作系統(tǒng)而言，首先要保證內(nèi)部網(wǎng)絡(luò)中所有的用戶程序以及應(yīng)用服務(wù)等軟件在各種操作系統(tǒng)中的正常運(yùn)行。在進(jìn)行操作系統(tǒng)建設(shè)時，除了要加強(qiáng)安全補(bǔ)丁等基本操作之外，還要經(jīng)常進(jìn)行口令驗證以及設(shè)置外網(wǎng)的訪問權(quán)限等，以保證內(nèi)部網(wǎng)絡(luò)的絕對安全。

3.2.2 進(jìn)行網(wǎng)絡(luò)邊界安全防范，建立內(nèi)網(wǎng)型的邊界防護(hù)

國內(nèi)多數(shù)企業(yè)的內(nèi)部網(wǎng)絡(luò)在邊界安全防護(hù)方面做得并不到位。企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界應(yīng)當(dāng)對相關(guān)工作人員的資源訪問設(shè)置權(quán)限。然而筆者通過調(diào)查發(fā)現(xiàn)，國內(nèi)很多企業(yè)的技術(shù)人員并沒有對其進(jìn)行設(shè)置，使得內(nèi)網(wǎng)的上下級機(jī)構(gòu)可隨意互連與訪問，以及對內(nèi)部資源進(jìn)行上傳、下載，增加了傳播病毒以及木馬入侵等的危險系數(shù)。所以，考慮到系統(tǒng)防護(hù)不能完全控制內(nèi)部員工的訪問活動，就需要為企業(yè)的各個部門建立一個相對安全的局域區(qū)，在這個區(qū)域內(nèi)可共享企業(yè)員工所需要的資源（不含任何機(jī)密文件），從而將危險系數(shù)降到最低。

3.2.3 做好計算機(jī)網(wǎng)絡(luò)的日常維護(hù)工作

計算機(jī)網(wǎng)絡(luò)要加強(qiáng)日常的維護(hù)工作，主要做到2點：第一，在企業(yè)內(nèi)部的網(wǎng)絡(luò)建設(shè)中，要定期進(jìn)行安全方面的測試和修復(fù)，特別需要注意的是，要對網(wǎng)絡(luò)中的單個用戶定期進(jìn)行安全維護(hù)工作，并對網(wǎng)絡(luò)系統(tǒng)的每一個環(huán)節(jié)進(jìn)行檢查。如果網(wǎng)絡(luò)中某臺設(shè)備出現(xiàn)溫度過高等現(xiàn)象，要及時進(jìn)行診斷和處理。某臺設(shè)備出現(xiàn)問題的頻率較高，還需對該設(shè)備進(jìn)行重點檢查，且要及時更換。第二，網(wǎng)速快慢關(guān)系到企業(yè)的生產(chǎn)效率，因此對網(wǎng)速的維護(hù)工作是企業(yè)通信系統(tǒng)維護(hù)的重要環(huán)節(jié)之_。通常在用網(wǎng)高峰期時，企業(yè)網(wǎng)絡(luò)速度較慢，這嚴(yán)重影響了企業(yè)員工的用網(wǎng)舒適度。對此，技術(shù)人員要經(jīng)常檢查交換機(jī)的使用情況，觀察燈的閃爍情況，進(jìn)而保證網(wǎng)絡(luò)傳輸?shù)耐〞承浴?/p>

3.2.4 加強(qiáng)口令密碼的安全性，對內(nèi)部網(wǎng)絡(luò)進(jìn)行密鑰治理

企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題的產(chǎn)生，很多時候是由于使用者在使用計算機(jī)的過程中缺乏安全意識，從而導(dǎo)致網(wǎng)絡(luò)安全存在很大的漏洞。尤其是各個部門的人員通常沒有對機(jī)密文件設(shè)置密碼的習(xí)慣，對登錄口令也不會經(jīng)常修改以及檢查，這樣做不僅會使得重要文件丟失，也增加了黑客攻擊網(wǎng)絡(luò)的幾率。為了進(jìn)一步防范網(wǎng)絡(luò)入侵與惡意攻擊，技術(shù)人員要在目標(biāo)網(wǎng)絡(luò)中設(shè)置口令以及相關(guān)的入侵文件夾，企業(yè)員工可以用特殊的加密算法進(jìn)行口令解密。如果使用者在操作時將共享文件夾啟用，那么黑客就可以通過遠(yuǎn)程操作進(jìn)行攻擊。對此，企業(yè)內(nèi)部網(wǎng)絡(luò)管理員應(yīng)該定期修改口令，同時用口令驗證存放的文件是否能夠正常打開，以檢測存放口令的安全性，從而保證企業(yè)文件不被盜取。

4 設(shè)置內(nèi)部網(wǎng)絡(luò)的防火墻，部署內(nèi)部網(wǎng)絡(luò)的入侵檢測系統(tǒng)

企業(yè)內(nèi)部網(wǎng)絡(luò)主要依靠操作系統(tǒng)的穩(wěn)定性實現(xiàn)安全、順暢運(yùn)行，因此在日常維護(hù)工作中必須加強(qiáng)網(wǎng)絡(luò)操作系統(tǒng)的建設(shè)。眾所周知，企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)傳輸主要依靠路由器等設(shè)備來實現(xiàn)，在數(shù)據(jù)傳輸過程中要做好積極的防護(hù)措施，如分段進(jìn)行數(shù)據(jù)運(yùn)輸?shù)?。?dāng)前，企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅主要來自拒絕服務(wù)的黑客攻擊，為了使內(nèi)部網(wǎng)絡(luò)受到最大程度的安全保護(hù)，必須提升內(nèi)部網(wǎng)絡(luò)防火墻的安全性能，部署內(nèi)部網(wǎng)絡(luò)的入侵檢測系統(tǒng)以及合理設(shè)置網(wǎng)絡(luò)防火墻，使得傳輸?shù)臄?shù)據(jù)能夠被過濾和實時攔截，即時監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，及時發(fā)現(xiàn)與修補(bǔ)病毒以及攔截黑客的多種入侵，及時發(fā)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)存留的病毒以及系統(tǒng)漏洞等。通過進(jìn)行處理和修復(fù)，以進(jìn)一步加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全與穩(wěn)定性，從而在很大程度上保障企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。

5 結(jié)語

綜上所述，內(nèi)部網(wǎng)絡(luò)安全是當(dāng)前信息化時代業(yè)內(nèi)人士討論的熱點問題。隨著大數(shù)據(jù)以及各種軟件應(yīng)用的快速發(fā)展及不斷演變，傳統(tǒng)的網(wǎng)絡(luò)防范手段已經(jīng)難以完全解決一些安全漏洞問題，因此要把內(nèi)部網(wǎng)絡(luò)安全作為企業(yè)網(wǎng)絡(luò)安全防護(hù)的重點來開展工作。對此，筆者在文中結(jié)合自身工作經(jīng)驗，提出了相關(guān)的內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計方案，能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問題，具有一定的實踐應(yīng)用價值。