企业信息网络安全系统的设计与实现
2021-01-07葛红
葛 红
(国家计算机网络与信息安全管理中心甘肃分中心,甘肃 兰州 730030)
0 引言
改革开放以来,科学信息技术在世界范围内快速地发展,很多企业都感受到了科技进步给带来的便利,但是与此同时也带来了很多的安全隐患。以往企业网络信息安全系统的设计,主要是为了防止和控制企业外部网络的入侵和攻击,重点在于企业内部网络入口的保护,以为通过这种方式可以有效保障网络系统安全运行,但是实际上却无法解决企业内部网络信息系统的安全问题。例如,2020年11月圆通快递40万客户运单信息被泄露事件,值得引起各企业的高度重视,在网络高速发展的当下,必须加强网络安全系统的设计,不断完善安全系统技术,并敢于创新和进步,才能保证企业内部网络信息安全系统的实现。
1 互联网面临的安全威胁因素
由于网络技术的不断发展,计算机已经成为一个完全开放的、不受控制的网络系统,目前,网络所面临的安全威胁因素主要有病毒攻击、黑客攻击和拒绝服务攻击。在互联网中,经常会有黑客尝试各种方式侵入计算机系统,然后盗取计算机中的机密文件和数据,或者直接破坏重要信息,使计算机无法正常运行,直至瘫痪。拒绝服务攻击是一种直接毁灭性的破坏方式,例如电子邮件炸弹,通过发送大量的电子邮件给计算机使用者的方式,导致严重影响计算机系统的运行,使系统丧失功能,甚至导致网络系统的瘫痪。结合企业计算机网络系统的实际运行情况,深入分析了企业所面临的网络安全威胁,主要包括以下几个方面:
(1)互联网病毒攻击。网络蠕虫类病毒的流行给网民造成了巨大损失。随着我国互联网技术的高速发展,在互联网环境下,病毒可以很容易进行传播,并且传播速度非常快,病毒可以通过文件或者邮件附件的形式进行传播,给网民带来极大的影响。病毒的高效传播,不仅导致计算机无法正常使用,还将使计算机丢失重要的数据和文件,甚至导致计算机系统瘫痪。
(2)外来入侵情况。企业内部的网络与互联网进行连接,虽然网络中部署了防火墙设置,但是由于没有其他的安全防范措施,还是比较容易受到网络上黑客的攻击。使用补丁,操作系统程序中包含的驱动程序和系统服务可以升级,并实现动态连接,对黑客来说这是一种简便的方法,也是制造计算机病毒的温床。除此之外,黑客还经常使用操作系统提供的远程服务和无密码入口作为入侵通道。
(3)来自内部人员的威胁。任何网络系统都离不开人的控制和管理,网络内部人员的威胁一方面是来自于对企业心生怨愤的内部员工的恶意破坏,企业内部员工特别是有一定权限的管理人员,可以直接接触到核心服务器等关键设备,从而破坏企业内部网络,会造成严重后果。另一方面则是内部员工的操作不规范,或是为了贪图方便绕过网络中的安全系统等违规操作,从而给网络带来各种威胁和潜在隐患。
2 企业信息化网络安全体系设计
为了有效保护网络信息系统的软硬件及相关数据,保证网络服务不中断和系统正常运行,应从企业实际需求入手,对系统的物理环境、网络、应用和数据库等系统的信息安全网络,进行系统化的管理。企业的信息安全系统主要由安全管理、安全技术两个部分构成,每个部分由多个子模块组成,每个子模块在其领域发挥着不同的作用。
2.1 安全管理部分
图1 信息网络安全体系
安全管理部分,如图1所示,包含了四个独立功能的子模块,分别是组织机构、员工管理、安全策略、操作管理:
(1)组织机构:本模块主要是为了满足企业内部对信息网络安全系统的需求,建立能保证组织正常、有效运行的组织机构,使组织功能得以实现。
(2)员工管理:本模块旨在系统的管理员工,培养员工的安全意识和提高员工的业务能力,以保证各项工作可以顺利的进行。
(3)安全策略:本模块主要是从宏观层面和政策层面入手分析,建立和完善安全管理体系和安全管理制度。
(4)操作管理:本模块主要从微观层面入手,工作中每一个环节都严格按照各项制度进行操作,结合安全策略模块,以保证系统操作的安全性。
2.2 安全技术部分
从企业业务方面进行考虑,把信息网络安全技术部分分为四个模块,分别是漏洞管理、安全控制、应答管理、风险管理和资产管理。每个子模块由以下功能模块组成:
(1)漏洞管理子模块:该模块主要由入侵检查、漏洞监测、网络监查和安全审计 4个方面组成。
(2)安全控制子模块:该模块主要由防病毒、防火墙、反垃圾、防拒绝访问 4个方面组成。
(3)应答管理子模块:该模块主要由管理平台、产品应答,人员应答 3个方面组成。
(4)风险管理子模块:该模块主要由风险辨别、风险管控、风险规避、风险转移、风险评价 5个方面组成。
(5)资产管理子模块:该模块主要由物理环境、网络设施、服务器、计算机系统、用户终端,应用系统 6个方面组成。
3 信息网络安全系统的实现
当企业内部网络和互联网相连接时,网络安全将是企业重点关注的问题。为了保证企业内部网络的安全,企业既要防范来自外部的各种攻击,又要防范企业内部用户提供的非法网络服务,必须采取相应的安全策略,防止企业网络资源被非法利用。为此,企业必须对网络信息安全机制进行全面调整,重新部署安全设施,建立信息网络安全体系,并制定相应的控制策略。部署企业信息网络安全系统应着重解决以下问题:
(1)因特网安全访问。通过防火墙对计算机中的机密数据进行物理隔离,例如,当用户需要登录到Internet时,在将过滤数据从外部防火墙映射到 Internet之前,该用户必须通过 Internet才能对数据进行过滤,然后才能将过滤数据传送到外部防火墙。
(2)访问防火墙控制。要实现 VPN到端口和端口到VPN安全连接数据传输,必须结合内外防火墙,以实现数据的安全传输,同时需要保证防火墙设置建立在隔离区之中,实行设置的单向控制,但必须严格过滤来自网内隔离区的数据。
(3)入侵检测。通过 IDS技术在发现可疑行为时,可自动阻断入侵行为,并及时通知网络管理员 IDS检测,可以最大程度地保护系统安全,为系统提供保护支撑。
(4)验证用户。在主域服务器中安装用户认证系统并设置用户的访问和密码权限,通过检测连接用户的用户名、密码对其进行身份识别,以保证拨号和网络 VPN连接的安全。同时,对于连接的用户建立访问日志数据库,用以记录 VPN连接用户的 IP、登录时间、身份信息等,为系统管理提供依据。
(5)网络防毒。为确保系统数据不受病毒攻击,确保日常工作正常进行,企业需要在客户端、文件服务器、邮件服务器和 OA服务器等设备上都安装防病毒软件,防止病毒的侵入和传播,同时对杀毒软件的病毒识别库进行实时更新,以防止最新病毒的传播造成整个网络的破坏。
(6)VPN加密。为使企业员工能在因特网上访问企业内部网的 OA系统,可将 VPN技术与防火墙技术相结合,配置 VPN硬件设备,构建虚拟专用网络VPN。实现了以下功能:一是通过认证通信访问控制;二是记录已处理的通信或服务,生成日志和审计记录;三是通过直接连接将认证数据发送到主机应用程序;四是通过VPN穿越防火墙;五是利用第三方认证产品改进认证安全性和访问控制。
4 结束语
网络安全在一定程度上决定着企业信息的风险程度,提高企业网络信息安全,需要不断地完善网络信息安全系统工程,掌握网络信息安全的系统知识,熟悉网络系统安全防护的原理,然后按照系统的设计原则,结合系统部署方案,最终建立完善的安全管理平台、安全保护服务器、安全保护代理等系统,从而提高系统的安全响应能力。