跨國企業(yè)網(wǎng)絡(luò)與信息安全防護淺析

◆王 朋

(中國中車股份有限公司 北京 100000)

跨國企業(yè)網(wǎng)絡(luò)與信息安全防護淺析

◆王 朋

(中國中車股份有限公司 北京 100000)

隨著企業(yè)發(fā)展和海外業(yè)務(wù)不斷增加，對網(wǎng)絡(luò)與信息安全也提出了新的要求。因跨國信息傳輸、防護環(huán)境有其特殊性，故信息安全防護與國內(nèi)也有所區(qū)別。本文從技術(shù)、管理兩方面針對跨國網(wǎng)絡(luò)與信息安全防護進行研究，提出幾點見解。

網(wǎng)絡(luò)安全；數(shù)據(jù)安全

0 引言

隨著“一帶一路”戰(zhàn)略構(gòu)想的提出，企業(yè)都在加速推進國際化戰(zhàn)略，企業(yè)實現(xiàn)走出去的目標，需要國際化 IT的支撐。隨著不斷走出去和業(yè)務(wù)的擴展，企業(yè)網(wǎng)絡(luò)與信息安全也面臨更大的風(fēng)險，保護企業(yè)核心商秘和敏感信息是迫切需要解決的重要問題。

1 網(wǎng)絡(luò)安全

企業(yè)要走出去，在海外設(shè)立公司，IT支撐勢必需要利用國際網(wǎng)絡(luò)環(huán)境進行海外組網(wǎng)，建設(shè)支撐海外公司的網(wǎng)絡(luò)環(huán)境，需租用其他國家的物理鏈路，從而帶來信息安全風(fēng)險。

1.1 物理鏈路風(fēng)險

隨著針對光纖信號竊聽技術(shù)的日益成熟，對光纖網(wǎng)絡(luò)中傳輸?shù)钠髽I(yè)數(shù)據(jù)威脅也越來越嚴重。通過光纖竊聽技術(shù)[1]，不法分子很容易竊取光纖鏈路中傳輸?shù)臄?shù)據(jù)信息，且竊聽成本越來越低、隱蔽性越來越強。對企業(yè)的商業(yè)秘密和敏感信息造成了極大地威脅。

1.2 建設(shè)國際專線，保護企業(yè)商業(yè)秘密

企業(yè)可通過虛擬專用網(wǎng)（Virtual Private Network）技術(shù)建設(shè)國際專線，實現(xiàn)與海外公司的互聯(lián)。VPN是指通過在一個公用網(wǎng)絡(luò)（如Internet、ATM等）上臨時建立的專用邏輯網(wǎng)絡(luò)，通過加密進行通信。VPN通過加密技術(shù)，對建立的邏輯隧道中傳輸?shù)臄?shù)據(jù)進行加密，保證企業(yè)數(shù)據(jù)在傳輸中的安全[2]。VPN的安全性包括隧道與加密、數(shù)據(jù)驗證、用戶驗證、防火墻與攻擊檢測等。

1.3 部署網(wǎng)絡(luò)加密機，保障網(wǎng)絡(luò)傳輸安全

在國際專線兩端部署網(wǎng)絡(luò)加密機，對網(wǎng)絡(luò)傳輸數(shù)據(jù)進行加解密操作，校驗數(shù)據(jù)的合法性，并且對網(wǎng)絡(luò)傳輸數(shù)據(jù)中的敏感信息進行加解密處理[3]，防止信息泄露，防御非法數(shù)據(jù)攻擊的風(fēng)險。網(wǎng)絡(luò)加密機須是國家密碼管理局指定的商用加密產(chǎn)品，須遵循國家密碼管理局相關(guān)技術(shù)標準和規(guī)范。

1.4 設(shè)置海外業(yè)務(wù)傳輸前置區(qū)，保障內(nèi)網(wǎng)業(yè)務(wù)安全

在企業(yè)業(yè)務(wù)內(nèi)網(wǎng)前端設(shè)置海外業(yè)務(wù)傳輸前置區(qū)，通過網(wǎng)閘與內(nèi)網(wǎng)互聯(lián)，同時部署邊界安全設(shè)備，保護內(nèi)網(wǎng)安全。

通過網(wǎng)閘中斷內(nèi)網(wǎng)與互聯(lián)網(wǎng)的直接連接，終止所有網(wǎng)絡(luò)協(xié)議，禁止任何 TCP/IP協(xié)議穿透網(wǎng)閘，剝離網(wǎng)絡(luò)協(xié)議并將其還原成原始數(shù)據(jù)。在兩個主機系統(tǒng)之間采用自有協(xié)議，進行應(yīng)用層數(shù)據(jù)的擺渡，從而實現(xiàn)內(nèi)網(wǎng)安全。

通過在海外業(yè)務(wù)傳輸前置區(qū)部署防火墻、IPS、防毒墻等邊界安全防護設(shè)備，對交互數(shù)據(jù)進行檢測，防止內(nèi)網(wǎng)遭受攻擊和病毒侵入，實現(xiàn)內(nèi)網(wǎng)安全。

圖1 網(wǎng)站工作原理

圖2 網(wǎng)絡(luò)拓撲圖

2 數(shù)據(jù)安全

2.1 部署圖文檔加密系統(tǒng)

為防止企業(yè)敏感信息泄露，對接入企業(yè)辦公內(nèi)網(wǎng)的所有終端實施敏捷圖文檔加密，保障文件在全生命周期（包括在新建、瀏覽、編輯、更改等操作文件的時候）都處于圖文檔加密系統(tǒng)的保護之下。在保護環(huán)境內(nèi)文檔能正常操作，如果被非法帶出保護環(huán)境，打開文件后以亂碼呈現(xiàn)，無法看到文件真實內(nèi)容，從而在源頭上保證了企業(yè)商業(yè)秘密的安全。

2.2 部署移動存儲介質(zhì)管理系統(tǒng)

移動存儲介質(zhì)管理系統(tǒng)，對移動存儲介質(zhì)（主要為移動硬盤、U盤）內(nèi)數(shù)據(jù)經(jīng)過高強度加密算法處理，并通過安全控制策略使其具有較高安全性能的移動存儲介質(zhì)。移動存儲介質(zhì)管理系統(tǒng)將存儲介質(zhì)和指定的內(nèi)網(wǎng)計算機進行信息綁定，在同一安全策略的控制下，這些被綁定的計算機就構(gòu)成了同一個信任域。只有屬于同一信任域的內(nèi)網(wǎng)計算機能夠使用注冊過的存儲介質(zhì)進行信息交換。保密移動存儲介質(zhì)管理系統(tǒng)實行單一安全控制策略，即保密區(qū)策略。存儲介質(zhì)只允許設(shè)置數(shù)據(jù)加密的保密區(qū)，只有屬于同一信任域的內(nèi)網(wǎng)計算機能夠正常讀寫保密區(qū)數(shù)據(jù)。

移動存儲介質(zhì)的管理，遵循“即領(lǐng)即用、編號管理、即時查殺、妥善保管”的原則，嚴格控制發(fā)放范圍，切實保護企業(yè)商業(yè)秘密和核心數(shù)據(jù)。

2.3 配備跨境專用筆記本電腦和移動存儲介質(zhì)

統(tǒng)一購置專門用于跨境出國的筆記本電腦和移動存儲介質(zhì)。一是對電腦的操作系統(tǒng)、辦公軟件等進行正版化，避免在境外引起不必要的糾紛。二是對電腦內(nèi)存儲的資料進行審查，使用專業(yè)清除工具清除商業(yè)秘密和內(nèi)部資料。三是安裝圖文檔加密系統(tǒng)和移動存儲介質(zhì)管理系統(tǒng)，對數(shù)據(jù)資料進行加密，對移動存儲介質(zhì)進行管控，防止失泄密發(fā)生。

圖3 移動存儲介質(zhì)管理系統(tǒng)拓撲圖

3 人員安全

一是加強員工特別是涉外員工的保密培訓(xùn)和教育，每年不少于兩次培訓(xùn)和教育。二是加強網(wǎng)絡(luò)與信息安全防護技術(shù)培訓(xùn)，提高員工網(wǎng)絡(luò)與信息安全意識和技術(shù)防護水平。三是加強對員工保密和網(wǎng)絡(luò)與信息安全知識與技術(shù)考核，考核成績納入員工年度工作績效考核。

4 結(jié)束語

網(wǎng)絡(luò)與信息安全防護是一項長期的工作，既要采取技術(shù)手段加以防護，又要通過制度對資產(chǎn)和人員加強管理。本文從網(wǎng)絡(luò)安全、數(shù)據(jù)安全和人員安全對網(wǎng)絡(luò)與信息防護進行闡述，提出了幾點防護見解，加強企業(yè)與海外公司網(wǎng)絡(luò)與信息安全防護，切實保護企業(yè)商業(yè)秘密和敏感信息。

[1]張 睿 汭.光纖通信網(wǎng)絡(luò)竊聽方法及防御措施[J].電信科學(xué)，2012.

[2]馮運波，藺新華，楊義先.虛擬專用網(wǎng)技術(shù)[J].電子商務(wù)，1998.

[3]黃金雪.淺析加密機在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)與信息，2010.