企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

葛 紅

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心甘肅分中心，甘肅 蘭州 730030）

0 引言

改革開放以來(lái)，科學(xué)信息技術(shù)在世界范圍內(nèi)快速地發(fā)展，很多企業(yè)都感受到了科技進(jìn)步給帶來(lái)的便利，但是與此同時(shí)也帶來(lái)了很多的安全隱患。以往企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)，主要是為了防止和控制企業(yè)外部網(wǎng)絡(luò)的入侵和攻擊，重點(diǎn)在于企業(yè)內(nèi)部網(wǎng)絡(luò)入口的保護(hù)，以為通過(guò)這種方式可以有效保障網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，但是實(shí)際上卻無(wú)法解決企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題。例如，2020年11月圓通快遞40萬(wàn)客戶運(yùn)單信息被泄露事件，值得引起各企業(yè)的高度重視，在網(wǎng)絡(luò)高速發(fā)展的當(dāng)下，必須加強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)，不斷完善安全系統(tǒng)技術(shù)，并敢于創(chuàng)新和進(jìn)步，才能保證企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全系統(tǒng)的實(shí)現(xiàn)。

1 互聯(lián)網(wǎng)面臨的安全威脅因素

由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)已經(jīng)成為一個(gè)完全開放的、不受控制的網(wǎng)絡(luò)系統(tǒng)，目前，網(wǎng)絡(luò)所面臨的安全威脅因素主要有病毒攻擊、黑客攻擊和拒絕服務(wù)攻擊。在互聯(lián)網(wǎng)中，經(jīng)常會(huì)有黑客嘗試各種方式侵入計(jì)算機(jī)系統(tǒng)，然后盜取計(jì)算機(jī)中的機(jī)密文件和數(shù)據(jù)，或者直接破壞重要信息，使計(jì)算機(jī)無(wú)法正常運(yùn)行，直至癱瘓。拒絕服務(wù)攻擊是一種直接毀滅性的破壞方式，例如電子郵件炸彈，通過(guò)發(fā)送大量的電子郵件給計(jì)算機(jī)使用者的方式，導(dǎo)致嚴(yán)重影響計(jì)算機(jī)系統(tǒng)的運(yùn)行，使系統(tǒng)喪失功能，甚至導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的癱瘓。結(jié)合企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)際運(yùn)行情況，深入分析了企業(yè)所面臨的網(wǎng)絡(luò)安全威脅，主要包括以下幾個(gè)方面：

（1）互聯(lián)網(wǎng)病毒攻擊。網(wǎng)絡(luò)蠕蟲類病毒的流行給網(wǎng)民造成了巨大損失。隨著我國(guó)互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，在互聯(lián)網(wǎng)環(huán)境下，病毒可以很容易進(jìn)行傳播，并且傳播速度非?？?，病毒可以通過(guò)文件或者郵件附件的形式進(jìn)行傳播，給網(wǎng)民帶來(lái)極大的影響。病毒的高效傳播，不僅導(dǎo)致計(jì)算機(jī)無(wú)法正常使用，還將使計(jì)算機(jī)丟失重要的數(shù)據(jù)和文件，甚至導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓。

（2）外來(lái)入侵情況。企業(yè)內(nèi)部的網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行連接，雖然網(wǎng)絡(luò)中部署了防火墻設(shè)置，但是由于沒(méi)有其他的安全防范措施，還是比較容易受到網(wǎng)絡(luò)上黑客的攻擊。使用補(bǔ)丁，操作系統(tǒng)程序中包含的驅(qū)動(dòng)程序和系統(tǒng)服務(wù)可以升級(jí)，并實(shí)現(xiàn)動(dòng)態(tài)連接，對(duì)黑客來(lái)說(shuō)這是一種簡(jiǎn)便的方法，也是制造計(jì)算機(jī)病毒的溫床。除此之外，黑客還經(jīng)常使用操作系統(tǒng)提供的遠(yuǎn)程服務(wù)和無(wú)密碼入口作為入侵通道。

（3）來(lái)自內(nèi)部人員的威脅。任何網(wǎng)絡(luò)系統(tǒng)都離不開人的控制和管理，網(wǎng)絡(luò)內(nèi)部人員的威脅一方面是來(lái)自于對(duì)企業(yè)心生怨憤的內(nèi)部員工的惡意破壞，企業(yè)內(nèi)部員工特別是有一定權(quán)限的管理人員，可以直接接觸到核心服務(wù)器等關(guān)鍵設(shè)備，從而破壞企業(yè)內(nèi)部網(wǎng)絡(luò)，會(huì)造成嚴(yán)重后果。另一方面則是內(nèi)部員工的操作不規(guī)范，或是為了貪圖方便繞過(guò)網(wǎng)絡(luò)中的安全系統(tǒng)等違規(guī)操作，從而給網(wǎng)絡(luò)帶來(lái)各種威脅和潛在隱患。

2 企業(yè)信息化網(wǎng)絡(luò)安全體系設(shè)計(jì)

為了有效保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的軟硬件及相關(guān)數(shù)據(jù)，保證網(wǎng)絡(luò)服務(wù)不中斷和系統(tǒng)正常運(yùn)行，應(yīng)從企業(yè)實(shí)際需求入手，對(duì)系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)庫(kù)等系統(tǒng)的信息安全網(wǎng)絡(luò)，進(jìn)行系統(tǒng)化的管理。企業(yè)的信息安全系統(tǒng)主要由安全管理、安全技術(shù)兩個(gè)部分構(gòu)成，每個(gè)部分由多個(gè)子模塊組成，每個(gè)子模塊在其領(lǐng)域發(fā)揮著不同的作用。

2.1 安全管理部分

圖1 信息網(wǎng)絡(luò)安全體系

安全管理部分，如圖1所示，包含了四個(gè)獨(dú)立功能的子模塊，分別是組織機(jī)構(gòu)、員工管理、安全策略、操作管理：

（1）組織機(jī)構(gòu)：本模塊主要是為了滿足企業(yè)內(nèi)部對(duì)信息網(wǎng)絡(luò)安全系統(tǒng)的需求，建立能保證組織正常、有效運(yùn)行的組織機(jī)構(gòu)，使組織功能得以實(shí)現(xiàn)。

（2）員工管理：本模塊旨在系統(tǒng)的管理員工，培養(yǎng)員工的安全意識(shí)和提高員工的業(yè)務(wù)能力，以保證各項(xiàng)工作可以順利的進(jìn)行。

（3）安全策略：本模塊主要是從宏觀層面和政策層面入手分析，建立和完善安全管理體系和安全管理制度。

（4）操作管理：本模塊主要從微觀層面入手，工作中每一個(gè)環(huán)節(jié)都嚴(yán)格按照各項(xiàng)制度進(jìn)行操作，結(jié)合安全策略模塊，以保證系統(tǒng)操作的安全性。

2.2 安全技術(shù)部分

從企業(yè)業(yè)務(wù)方面進(jìn)行考慮，把信息網(wǎng)絡(luò)安全技術(shù)部分分為四個(gè)模塊，分別是漏洞管理、安全控制、應(yīng)答管理、風(fēng)險(xiǎn)管理和資產(chǎn)管理。每個(gè)子模塊由以下功能模塊組成：

（1）漏洞管理子模塊：該模塊主要由入侵檢查、漏洞監(jiān)測(cè)、網(wǎng)絡(luò)監(jiān)查和安全審計(jì) 4個(gè)方面組成。

（2）安全控制子模塊：該模塊主要由防病毒、防火墻、反垃圾、防拒絕訪問(wèn) 4個(gè)方面組成。

（3）應(yīng)答管理子模塊：該模塊主要由管理平臺(tái)、產(chǎn)品應(yīng)答，人員應(yīng)答 3個(gè)方面組成。

（4）風(fēng)險(xiǎn)管理子模塊：該模塊主要由風(fēng)險(xiǎn)辨別、風(fēng)險(xiǎn)管控、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)評(píng)價(jià) 5個(gè)方面組成。

（5）資產(chǎn)管理子模塊：該模塊主要由物理環(huán)境、網(wǎng)絡(luò)設(shè)施、服務(wù)器、計(jì)算機(jī)系統(tǒng)、用戶終端，應(yīng)用系統(tǒng) 6個(gè)方面組成。

3 信息網(wǎng)絡(luò)安全系統(tǒng)的實(shí)現(xiàn)

當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)相連接時(shí)，網(wǎng)絡(luò)安全將是企業(yè)重點(diǎn)關(guān)注的問(wèn)題。為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，企業(yè)既要防范來(lái)自外部的各種攻擊，又要防范企業(yè)內(nèi)部用戶提供的非法網(wǎng)絡(luò)服務(wù)，必須采取相應(yīng)的安全策略，防止企業(yè)網(wǎng)絡(luò)資源被非法利用。為此，企業(yè)必須對(duì)網(wǎng)絡(luò)信息安全機(jī)制進(jìn)行全面調(diào)整，重新部署安全設(shè)施，建立信息網(wǎng)絡(luò)安全體系，并制定相應(yīng)的控制策略。部署企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)應(yīng)著重解決以下問(wèn)題：

（1）因特網(wǎng)安全訪問(wèn)。通過(guò)防火墻對(duì)計(jì)算機(jī)中的機(jī)密數(shù)據(jù)進(jìn)行物理隔離，例如，當(dāng)用戶需要登錄到Internet時(shí)，在將過(guò)濾數(shù)據(jù)從外部防火墻映射到 Internet之前，該用戶必須通過(guò) Internet才能對(duì)數(shù)據(jù)進(jìn)行過(guò)濾，然后才能將過(guò)濾數(shù)據(jù)傳送到外部防火墻。

（2）訪問(wèn)防火墻控制。要實(shí)現(xiàn) VPN到端口和端口到VPN安全連接數(shù)據(jù)傳輸，必須結(jié)合內(nèi)外防火墻，以實(shí)現(xiàn)數(shù)據(jù)的安全傳輸，同時(shí)需要保證防火墻設(shè)置建立在隔離區(qū)之中，實(shí)行設(shè)置的單向控制，但必須嚴(yán)格過(guò)濾來(lái)自網(wǎng)內(nèi)隔離區(qū)的數(shù)據(jù)。

（3）入侵檢測(cè)。通過(guò) IDS技術(shù)在發(fā)現(xiàn)可疑行為時(shí)，可自動(dòng)阻斷入侵行為，并及時(shí)通知網(wǎng)絡(luò)管理員 IDS檢測(cè)，可以最大程度地保護(hù)系統(tǒng)安全，為系統(tǒng)提供保護(hù)支撐。

（4）驗(yàn)證用戶。在主域服務(wù)器中安裝用戶認(rèn)證系統(tǒng)并設(shè)置用戶的訪問(wèn)和密碼權(quán)限，通過(guò)檢測(cè)連接用戶的用戶名、密碼對(duì)其進(jìn)行身份識(shí)別，以保證撥號(hào)和網(wǎng)絡(luò) VPN連接的安全。同時(shí)，對(duì)于連接的用戶建立訪問(wèn)日志數(shù)據(jù)庫(kù)，用以記錄 VPN連接用戶的 IP、登錄時(shí)間、身份信息等，為系統(tǒng)管理提供依據(jù)。

（5）網(wǎng)絡(luò)防毒。為確保系統(tǒng)數(shù)據(jù)不受病毒攻擊，確保日常工作正常進(jìn)行，企業(yè)需要在客戶端、文件服務(wù)器、郵件服務(wù)器和 OA服務(wù)器等設(shè)備上都安裝防病毒軟件，防止病毒的侵入和傳播，同時(shí)對(duì)殺毒軟件的病毒識(shí)別庫(kù)進(jìn)行實(shí)時(shí)更新，以防止最新病毒的傳播造成整個(gè)網(wǎng)絡(luò)的破壞。

（6）VPN加密。為使企業(yè)員工能在因特網(wǎng)上訪問(wèn)企業(yè)內(nèi)部網(wǎng)的 OA系統(tǒng)，可將 VPN技術(shù)與防火墻技術(shù)相結(jié)合，配置 VPN硬件設(shè)備，構(gòu)建虛擬專用網(wǎng)絡(luò)VPN。實(shí)現(xiàn)了以下功能：一是通過(guò)認(rèn)證通信訪問(wèn)控制；二是記錄已處理的通信或服務(wù)，生成日志和審計(jì)記錄；三是通過(guò)直接連接將認(rèn)證數(shù)據(jù)發(fā)送到主機(jī)應(yīng)用程序；四是通過(guò)VPN穿越防火墻；五是利用第三方認(rèn)證產(chǎn)品改進(jìn)認(rèn)證安全性和訪問(wèn)控制。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全在一定程度上決定著企業(yè)信息的風(fēng)險(xiǎn)程度，提高企業(yè)網(wǎng)絡(luò)信息安全，需要不斷地完善網(wǎng)絡(luò)信息安全系統(tǒng)工程，掌握網(wǎng)絡(luò)信息安全的系統(tǒng)知識(shí)，熟悉網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的原理，然后按照系統(tǒng)的設(shè)計(jì)原則，結(jié)合系統(tǒng)部署方案，最終建立完善的安全管理平臺(tái)、安全保護(hù)服務(wù)器、安全保護(hù)代理等系統(tǒng)，從而提高系統(tǒng)的安全響應(yīng)能力。