APP下载

跨国企业网络与信息安全防护浅析

2017-07-24◆王

网络安全技术与应用 2017年7期
关键词:存储介质内网商业秘密

◆王 朋

(中国中车股份有限公司 北京 100000)

跨国企业网络与信息安全防护浅析

◆王 朋

(中国中车股份有限公司 北京 100000)

随着企业发展和海外业务不断增加,对网络与信息安全也提出了新的要求。因跨国信息传输、防护环境有其特殊性,故信息安全防护与国内也有所区别。本文从技术、管理两方面针对跨国网络与信息安全防护进行研究,提出几点见解。

网络安全;数据安全

0 引言

随着“一带一路”战略构想的提出,企业都在加速推进国际化战略,企业实现走出去的目标,需要国际化 IT的支撑。随着不断走出去和业务的扩展,企业网络与信息安全也面临更大的风险,保护企业核心商秘和敏感信息是迫切需要解决的重要问题。

1 网络安全

企业要走出去,在海外设立公司,IT支撑势必需要利用国际网络环境进行海外组网,建设支撑海外公司的网络环境,需租用其他国家的物理链路,从而带来信息安全风险。

1.1 物理链路风险

随着针对光纤信号窃听技术的日益成熟,对光纤网络中传输的企业数据威胁也越来越严重。通过光纤窃听技术[1],不法分子很容易窃取光纤链路中传输的数据信息,且窃听成本越来越低、隐蔽性越来越强。对企业的商业秘密和敏感信息造成了极大地威胁。

1.2 建设国际专线,保护企业商业秘密

企业可通过虚拟专用网(Virtual Private Network)技术建设国际专线,实现与海外公司的互联。VPN是指通过在一个公用网络(如Internet、ATM等)上临时建立的专用逻辑网络,通过加密进行通信。VPN通过加密技术,对建立的逻辑隧道中传输的数据进行加密,保证企业数据在传输中的安全[2]。VPN的安全性包括隧道与加密、数据验证、用户验证、防火墙与攻击检测等。

1.3 部署网络加密机,保障网络传输安全

在国际专线两端部署网络加密机,对网络传输数据进行加解密操作,校验数据的合法性,并且对网络传输数据中的敏感信息进行加解密处理[3],防止信息泄露,防御非法数据攻击的风险。网络加密机须是国家密码管理局指定的商用加密产品,须遵循国家密码管理局相关技术标准和规范。

1.4 设置海外业务传输前置区,保障内网业务安全

在企业业务内网前端设置海外业务传输前置区,通过网闸与内网互联,同时部署边界安全设备,保护内网安全。

通过网闸中断内网与互联网的直接连接,终止所有网络协议,禁止任何 TCP/IP协议穿透网闸,剥离网络协议并将其还原成原始数据。在两个主机系统之间采用自有协议,进行应用层数据的摆渡,从而实现内网安全。

通过在海外业务传输前置区部署防火墙、IPS、防毒墙等边界安全防护设备,对交互数据进行检测,防止内网遭受攻击和病毒侵入,实现内网安全。

图1 网站工作原理

图2 网络拓扑图

2 数据安全

2.1 部署图文档加密系统

为防止企业敏感信息泄露,对接入企业办公内网的所有终端实施敏捷图文档加密,保障文件在全生命周期(包括在新建、浏览、编辑、更改等操作文件的时候)都处于图文档加密系统的保护之下。在保护环境内文档能正常操作,如果被非法带出保护环境,打开文件后以乱码呈现,无法看到文件真实内容,从而在源头上保证了企业商业秘密的安全。

2.2 部署移动存储介质管理系统

移动存储介质管理系统,对移动存储介质(主要为移动硬盘、U盘)内数据经过高强度加密算法处理,并通过安全控制策略使其具有较高安全性能的移动存储介质。移动存储介质管理系统将存储介质和指定的内网计算机进行信息绑定,在同一安全策略的控制下,这些被绑定的计算机就构成了同一个信任域。只有属于同一信任域的内网计算机能够使用注册过的存储介质进行信息交换。保密移动存储介质管理系统实行单一安全控制策略,即保密区策略。存储介质只允许设置数据加密的保密区,只有属于同一信任域的内网计算机能够正常读写保密区数据。

移动存储介质的管理,遵循“即领即用、编号管理、即时查杀、妥善保管”的原则,严格控制发放范围,切实保护企业商业秘密和核心数据。

2.3 配备跨境专用笔记本电脑和移动存储介质

统一购置专门用于跨境出国的笔记本电脑和移动存储介质。一是对电脑的操作系统、办公软件等进行正版化,避免在境外引起不必要的纠纷。二是对电脑内存储的资料进行审查,使用专业清除工具清除商业秘密和内部资料。三是安装图文档加密系统和移动存储介质管理系统,对数据资料进行加密,对移动存储介质进行管控,防止失泄密发生。

图3 移动存储介质管理系统拓扑图

3 人员安全

一是加强员工特别是涉外员工的保密培训和教育,每年不少于两次培训和教育。二是加强网络与信息安全防护技术培训,提高员工网络与信息安全意识和技术防护水平。三是加强对员工保密和网络与信息安全知识与技术考核,考核成绩纳入员工年度工作绩效考核。

4 结束语

网络与信息安全防护是一项长期的工作,既要采取技术手段加以防护,又要通过制度对资产和人员加强管理。本文从网络安全、数据安全和人员安全对网络与信息防护进行阐述,提出了几点防护见解,加强企业与海外公司网络与信息安全防护,切实保护企业商业秘密和敏感信息。

[1]张 睿 汭.光纤通信网络窃听方法及防御措施[J].电信科学,2012.

[2]冯运波,蔺新华,杨义先.虚拟专用网技术[J].电子商务,1998.

[3]黄金雪.浅析加密机在网络安全中的应用[J].网络与信息,2010.

猜你喜欢

存储介质内网商业秘密
档案馆移动存储介质管理方法探讨
一种使用存储介质驱动的方式
企业内网中的数据隔离与交换技术探索
内外网隔离条件下如何实现邮件转发
美国《保护商业秘密法》的立法评价
侵犯商业秘密罪中“重大损失”的司法判定——以60个案例为样本
侵犯商业秘密罪中“重大损失”的内外审查方法
医院环境下移动存储介质的信息安全管理
论商业秘密的法律保护