苏向颖，王喃喃

摘要：本文主要通过安全体系建设的原则、实例化的企业整体网络方案等方面进行阐述，为企业发展提供一个可靠、完整的方案。

关键词：信息安全 企业网络安全 安全防护

1 企业内部网络存在的安全问题

绝大多数企业对于网络安全的重视度不够，一般都是通过采购防火墙等设备堵住来自Internet的不安全因素。其中，常用的企业网络安全防范较多时候是通过设置来预防的，主要针对来自网络的病毒和通过系统漏洞的非法入侵检测等方面的不安全因素，这就需要我们除了采用安全措施和相关配置在网络与外部进行连接的端口处进行操作外，还要采取该形式安全因素进行防范以此避免外部可能所带来的安全威胁，但是往往却忽视了内部网络所存在在的安全问题。

为了解决内部网络安全问题，我们除了要提高企业管理人员的网络安全防范意识外，还需要重视企业内部网络安全问题。为了改变现状，可以采取有效的措施对企业内部网络安全进行管理，避免因为网络管理不安全所带来的事故，真正做到避免对企业的重大经济损失和社会的负面影响，确保企业内部网络不受任何非法侵害，这也是现代企业在进行信息化建设过程中最需要解决的问题。

2 内部网络将面对的威胁

随着信息化技术的不断发展，网络建设逐步成为企业内部在进行信息化过程中不可缺少的。而且，由于网络应用程度的不断增加使企业网络面临的安全隐患也不断增加，造成网络的不确定因素。

2.1 内部网络的脆弱。企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的，由于部分网络管理人员对于企业内部网络安全防范疏于监管和对防护措施的更新，使得大部分的计算机终端都面临着严重的系统漏洞问题，同时随着内部网络中应用程序数量的日益增加，也给计算机终端带来了更多的系统漏洞问题。

2.2 用户权限的不同。企业内部网络的用户都有自己使用的权限和防止被别人使用的权限。因此，我们需要对用户权限进行统一的控制和管理，不然就会造成不同的应用程序被非法破译和越权操作。也正是设置权限不一，才导致整个内部网络需要多次识别身份认证。同时，对于那些拥有身份认证较弱的用户，极易被攻击，黑客一旦通过基层身份打入内网，就会实现越权操作。很多黑客有机可乘都是因为企业的信息安全部门的服务器管理不到位造成的。

2.3 分散涉密信息。部分企业内部网络的涉密数据储存一般都是分布在不同的计算机终端中的，并不是将这些涉密信息存储到服务器中，这就需要我们有着严格的监督制度进行管理。这样才会有效地对日常办公的涉密数据进行统一管理，不会给盗窃涉密信息的人员制造大量的攻击机会。一些企业对于企业内部的机密信息大多集中在中高层管理者的计算机终端里，企业内部网络对于这些信息没有进行整合。这也就意味着机密信息集中在几个管理者手中。而他们对于信息的保护程度远远没有达到专业性的程度。

3 企业内部网络安全防范设计方案

3.1 网络安全防范总体设计。企业内部的网络综合的运用就是对入侵检测系统以及漏洞扫描系统等进行防护，以此保证企业内部网络之间的数据通信的绝对安全。这就需要我们根据企业自身的特点，进行内部网络安全的防范方案，就需要我们应用部署硬件加密机。这样除了保证企业内部网络中的所有数据通信能够进行加密处理外，还能保证企业内部网络的安全可靠。

3.2 网络安全体系模型构建。一般来讲，企业内部的防卫能力，从安全策略角度表现为两个方面：一个为总体的安全策略和具体的规划，总体安全策略制定一个组织结构的战略性安全指导方针，并成为这个方针实现分配的必要人力和物力。一般通常采用以下两种方式，即物理隔离和远程访问控制。

物理隔离：所谓的物理隔离，就是我们在网络建设的时候建立在两套相互独立的网络上，另一套用于连接到Internet，在同一时候还能始终只有一个硬盘处于工作状态，这样就能真正到达意义上的物理安全隔离。

远程访问控制：①用户身份识别。在通过对用户身份进行识别时候，就是在确保内部网络安全稳定运行的基础上进行的，也是保证能够正确确定用户身份的辨别。这样能够避免因为客户端用户数量的不确定，而导致的存在不安全和不确定的隐患。因此，对于网络客户端用户的身份识别是重中之重。②用户授权管理。用户在进行授权管理的时候，我们必须要以身份认证为基础，然后对用户所使用的企业内部管理的数据资源为基准进行的，因为每个用户对应着的权限不同，就需要根据不同的权限进行不同的操作。③数据信息保密。企业内部网络信息安全管理中的核心部分就是数据信息的保密工作是否到位，为了确保安全，就需要我们对企业内部网络中的数据通信进行统一的安全管理，以此保证对企业内部网络涉密信息和知识产权信息进行高效率的保护。④实时监控审计。在进行实时监控设计的时候，需要我们对企业内部网络的安全进行实施的监控，以此形成企业内部网络安全的评估报告，为以后出现安全事故的时候提供有效的分析判断依据。

4 安全防护手段的信息技术

4.1 完善管理：企业进行内部网络管理制度的完善工作，主要就是保障网络完全的基础。其中安全管理我们可以从信息化安全技术和设备管理，制定严格的内网安全管理制度、信息化管理人员的组织等方面进行网络安全的有力防范。其中管理的制度化极大程度地影响了整个网络的安全，这样能够在一定程度上降低网络安全漏洞。而各个单位针对自身的安全风险，就需要制定一系列属于自身的安全策略和安全制度来保障自身企业的网络安全。

4.2 网络分段：内部的局域网大部分采用的都是以广播为基础的以太网进行监测的，但是在以太网上任何两个节点之间的通信数据包都可以被任意截取。当黑客只要接入以太网上的任意一个节点的侦听，就可以捕获所有的数据包，然后分解数据包，从而窃取重要的信息。网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式，其中物理分段是指利用中心交换机的访问控制功能和三层交换功能，来实现对局域网的安全控制；逻辑分段是指路由器上的网络分段，主要是IP的分段。

4.3 主动防御型安全产品。硬件防火墙：就是把防护程序做到硬件里面，由硬件来执行这些功能，由此减小CPU的负荷，这样可以确保运转稳定性能。而防火墙程序主要是介于两个网络之间的设备，也是监控两个网络之间的通信能够顺利的进行。我们可以通过防火策略确定，可以较为有效地阻止外来网络病毒的恶意攻击与非法入侵，这也是进行对外网主动防御的最初应用。

IDS入侵检测系统：IDS入侵检测系统主要是为了监测内网的非法访问而开发的一种设备，是依照入侵的检验识别库的规定对其中是否含有的非法访问进行的判断。监控者只要经过监测到的数据，进行网络安全状况的判断，然后以此评估是否进行安全防护的制定。而IDS与硬件防火墙的区别，就是IDS是基于主动防御技术中更高一级的应用。

杀毒软件：在病毒越来越猖狂，破坏力越来越强大的严峻现状下，较为陈旧的固定模式让传统的杀毒软件已经无法实现完全保护计算机安全的重任。因此，杀毒软件制造商才推出集合了主动防御技术的软件，不过他们的主动防御技术只是对网页、注册表、恶意脚本增加了监测功能而已，而这些只是最初级的主动防御应用，距离真正的主动防御也还有一定的差距。

一个可以在信息安全实践中依据建设的蓝图，为每个网络建立一套完善的网络安全体系。网络安全体系是融合技术和管理在内的一个可以全面解决安全问题的体系结构。这样才能较为完善的保障内部网络的安全性。

5 结束语

综上所述，网络信息安全领域研究的热点问题一直都是关于企业内部网络的安全防范问题，该问题也是越来越多的企业开始重视的问题。因此企业工作人员需要提高安全防范意识，避免给企业内部网络带来更多地安全隐患。

参考文献：

[1]杨维永，林为民，陈亚东.Linux系统下高性能加密系统框架研究与优化[J].计算机与现代化，2010（4）.

[2]余文峰.浅谈加密机在金融网络中的应用[J].信息安全与通信保密，2009（12）.

[3]张朝阳，宋翠平.内部网络安全问题与防范[J].广播电视信息. 2009（02）

作者简介：

苏向颖（1982-），女，河北邯郸人，中级工程师，研究方向：企业信息化管理和企业信息化施工。