杨 铭 耿 丹

(1.南京大学金陵学院，江苏南京 2100892.江苏省气象信息中心，江苏南京 210008)

内网网络安全与监控策略的探讨

杨 铭1耿 丹2

(1.南京大学金陵学院，江苏南京 2100892.江苏省气象信息中心，江苏南京 210008)

本文分析了内网网络的安全现状，指出其存在的问题，提出几项建立网络安全系统的措施：将平面网络结构变为层次网络结构；建立统一的访问认证系统；建立各业务系统的安全边际保护措施；实现内外网的动态隔离；建立防病毒网关，防止病毒的攻击；健全网络安全管理规范.做好网络安全工作，应该做到管理和技术相结合.

内网; 网络安全; 监控策略

1 背景

随着网络的发展，各企、事业单位关于公共方面的服务必须面向社会公众开放，为广大群众提供各类信息查询等服务.那么如何在开放的环境下保证现有各系统的安全运行，就成为一个不能回避的首要问题.为此建设一个完善的网络安全系统，提高整个网络的安全性和可靠性，成为内部网络信息化建设的必然选择.

信息网络是一个庞大的广域网系统，它连接着国家、省、市和县四级单位.它主要分为两类：一类为行业内业务服务用信息系统，包括国家局、省局以及各地市建设的各类信息采集、信息传输、信息处理、信息存储、信息共享、信息发布、视频会商、业务监控、行政管理等.以气象系统为例，经初步调查，省局在建及已建的平台有15个，各市局自建有数量不等的业务平台.第二类为用于对外信息的各类发布系统，包括短信平台、手机终端、专业服务网站、门户网站、电视插播系统、IPTV等.因此，要确保这个庞大系统的安全，必须在统一规划分布实施的原则下进行.

正是考虑到信息网络当前的现状，本文提出了一些提高内部网络安全的可行性措施.

2 影响网络安全的因素

2.1 网络设计存在的缺陷

网络设计是指网络拓扑结构的设计和各种网络设备的选择.网络拓扑结构设计简单的话，会直接影响到网络系统的安全.假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也会影响在同一网络上的其他系统的安全.

2.2 网络访问配置管理不当

访问配置不当会造成非授权访问.如果网络管理员在配置网络时，给某些用户权限设置过大，甚至权限设置混乱，开放不必要的服务器端口，或者一般用户因为疏忽，丢失账号及口令，都会造成非授权访问的情况，给网络安全造成危害.

2.3 信息网络与互联网互联的安全，网络边界的安全

近年来，信息技术高速发展，单位内网与互联网之间信息的交换越来越广泛.如何选择隔离手段将内网与外网进行隔离的同时，进行必要的通信，这是保障整体网络安全亟待解决的问题.

把不同安全级别的网络相连接，就产生了网络边界.边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击.网络边界的安全直接影响到整体的网络安全.

2.4 病毒类攻击

近些年，我国网络建设高速发展，使网络成为电脑病毒传播的主要途径.病毒通过网络入侵，具有了更快的传播速度和更大的传播范围.入侵到网络系统的某些恶劣病毒会利用网络系统中的配置和服务管理失误，给系统造成数据丢失、篡改、数据库错误、信息失真等损失，严重地危害到网络安全.

2.5 人员管理

如果网络管理人员工作责任心不够、用户保密观念不强，那么再稳固的网络系统也会存在安全隐患.

3 主要措施

3.1 变平面网络结构为层次网络结构，实现网络的纵深防御

当前，很多单位内部网络是平面结构的[1]，即办公网和业务网是相互连通的，通过办公网可以随意访问业务网络，这样的网络结构容易造成一点突破全局失防的结果.为此，我们考虑将网络的层次划分三层：外部网、办公网和业务网.在外部网和业务网之间建立缓冲接待区，外网用户不能直接访问办公网的信息，必须通过接待区进行地址的代理转换.另外，在办公网和业务网之间安装防火墙，对未授权的办公网用户进行隔离.

这样的立体防御体系的最大好处就是解决了网络的分层保护问题，变单层防护为多级防御，提高了网络的安全等级.

3.2 建立统一访问认证系统

由于单位网络的内部用户众多，要进行有效的管理，就必须建立统一的认证系统，通过认证来进行用户的身份识别和访问权限控制[2].因每个用户可能要访问不同的应用系统，为了减少用户重复登录，可以考虑使用单点登录技术，用户一次登录后，即可获得授权TICKET，然后各应用系统依据TICKET来确定是否允许访问.

由于某些政府部门网络的内部用户可能有好几千人，每个人的权限都可能不一样，要给每个用户授权工作量巨大，为此在认证服务器上我们可以实行分级管理和基于角色授权相结合的机制.以气象网络为例：首先省局气象信息中心对二级单位的网络管理员进行授权，然后二级单位的网络管理员再对本单位的职工进行角色授权.这里的角色是指对应用系统访问权限的组合.譬如：预报员角色的权限只能进入预报资料相关系统，县级局长角色的权限则可以进入办公、业务、财务等各个系统，但是他只能查看所管辖县局所有的相关资料.

3.3 建立各应用系统的安全边际保护措施

虽然网络分层保护可以比较好地保证网络安全，但是在各应用系统间采取相应的保护措施也是必不可少的.例如气象部门的气象报文传输系统是一个需要保证绝对安全的应用系统，因为它直接关系到天气预报，如果出现差错的话就可能造成天气预报报不准甚至无法预报；再譬如气象信息综合分析处理系统(micaps)一旦出现问题，将直接影响到对全省天气数据的分析，由于全省的天气数据非常庞大，如果没有分析处理系统，光靠预报员进行手工计算将无法在规定的时间里获得最新最准确的天气预报.可能早一分钟发布天气预警就可能减少很多人民群众生命财产的损失.

因此，对这些核心的业务系统，必须强化安全防范措施，首先要划分清楚网络的安全边界，保证每个系统只有一个接口对外进行信息交换，然后再根据每个系统的不同特点对网络接口采取相应的技术措施.例如对于天气信息查询系统，我们可以规定信息只能向外读，外界的信息不能向内写，同时还要规定数据只能按照规定的路径流动，另外还进行流量的监控，一旦出现异常就可发出警报.通过采取多种措施，可以很大地提高核心系统的安全性.

3.4 实现内外网的动态隔离

在社会信息化程度越来越高的情况下，实现内网和互联网的连通是必然的趋势.虽然物理隔离能提高系统的安全性，但是也极大地阻碍了信息资源的充分利用[3].

要实现内网和互联网的互通，必须有一个安全可靠的技术方案来保证，否则管理者很难做出正确的决策.

在实现和互联网的连接中可以考虑采用动态隔离的技术[4].首先是建立一个网络访问接待区，互联网的用户只能到达接待区，其访问请求均由接待区进行代理和转发后，再访问办公网，同时还规定互联网用户的数据访问路径，即只能访问办公网，不能访问业务网，同时对接待区进行流量监控.系统内的用户要访问互联网也必须通过接待区完成权限检查和地址转换.

通过动态隔离技术和物理隔离的互补，可以有效地加强内网网络安全.

3.5 建立防病毒网关，防止病毒的攻击

病毒和木马层出不穷，对信息系统的安全构成了很大的威胁，病毒的防范也成为信息安全的一个重要内容.

具体的防病毒措施就是建立防病毒的网关来实现对病毒的查杀[5].具体的做法就是在内网和互联网的连接外建立防病毒网关，在重要的应用系统的出口也加装防病毒网关，对流入的数据进行分析和监控，及时查杀病毒.

3.6 加强人员管理，健全网络安全管理规范

网络安全问题将一直存在于网络信息系统内，所以没有绝对的网络安全.网络安全系统建立的目的是通过电子信息技术和管理手段的综合运用，在用户的理解和配合下，实现相对安全的网络系统运行.在技术保障的前提下，不断加强人员管理是提高网络安全的有效途径之一.因此，健全相应的管理规范是必不可少的内容.

网络安全管理规范是各级系统管理人员管理、维护和建设信息网络系统的基础和依据，也是管理各级用户的有效手段.

4 结束语

通过以上措施，可以说初步建立了内网的安全防护体系，使内网的安全性得到了很大的提高，尤其是这些措施整体使用，其安全防护效果更加明显.

当然，网络安全系统的建立，也不意味着万事无忧.例如有可能会有用户私自开通互联网上网，这样就使内部网络有很多出口，也使得采取的技术防范措施毫无作用，会造成极大的安全隐患.针对这种情况可以考虑统一部署桌面安全系统，收集用户数据流中的IP地址情况，发现非法IP地址时及时报警，这样就可以很容易发现问题，及时采取措施果断处理.

应该说内网网络安全不仅仅要靠技术防范，更需要加强安全管理，只有两者相辅相成，才能保证网络更加安全可靠.

[1]邹吕新.计算机网络安全及防范[J].电脑知识与技术,2011(25).

[2]徐强.局域网络安全应对策略[J].软件导刊,2011(7).

[3]李大光.当今各国的网络安全[J].百科知识,2011(15).

[4]庞凯.综述企业计算机网络安全[J].价值工程,2011(21).

[5]李东升.关于防火墙技术与网络安全问题研究[J].经营管理者,2011(13).

(责任编辑 周 璇)

2014-09-16

杨 铭,男，江苏南京人，南京大学金陵学院助理工程师.

TP309.5

A

1671-1696(2014)11-0057-03