◆付萍华 周红艳 姚利侠

企业信息网络安全系统的设计与实现分析

◆付萍华 周红艳 姚利侠

（浙江乾冠信息安全研究院有限公司 浙江 310000）

计算机技术及网络技术应用日益广泛，为企业的生产经营提供了极大的便利，但同时也增加了网络环境中的潜在风险，企业为实现持续、健康发展，需要重视信息网络安全系统构建问题。本文通过研究发现以往技术应用已不适用于当前企业网络安全管理需求。因此，需要针对当前网络环境中存在的威胁因素，加强对新型安全技术的融合应用，提升安全性，保证网络系统稳定运行和数据信息安全性。

信息网络；安全系统；设计

本文以信息网络安全系统为主要研究对象，对现阶段网络环境中潜在威胁因素进行简要阐述，然后简要分析企业信息网络安全系统设计模块，最后总结企业设计经验提出企业信息网络安全系统设计和实现思路，为企业提供参考。

1 网络环境中存在威胁因素

网络技术逐渐发展，目前计算机已成为不受控制、完全开放的系统。现阶段，网络环境中的威胁因素有很多，有事件也有隐患，安全事件里也分有害程序事件、网络攻击事件、系统入侵事件、数据破坏事件。其中，有害程序包括病毒、蠕虫、马、僵尸网络恶意代码、恶意程序等；网络攻击事件包括拒绝服务攻击域名解析异常、WiFi劫持、路由劫持、广播欺诈等；系统入侵事件包括后门入侵、域名仿冒、身份仿冒、APT攻击等；数据破坏事件包括数据篡改、数据泄露、数据窃取、服务异常、流量异常等。针对事件的攻击或入侵手段不同，所采用的策略和管理方式也存在差异性。企业信息网络安全系统应用中存在的安全隐患里包含了系统漏洞、配置错误、恶意行为等，其中系统漏洞也分了SQL注入、跨站脚本、敏感信息泄露、硬盘固件漏洞、网卡固件漏洞、任意文件上传、下载等类型；配置错误包括配置错误、系统弱口令、敏感信息披露等；恶意行为包括扫描探测、隐患利用、域名仿冒、钓鱼邮件、暴力破解、短信/邮件轰炸等。针对不同安全隐患所采用处理方式也不尽相同。

现对部分威胁因素和安全隐患的简要分析。在网络环境中经常存在不法分子入侵网络系统，窃取、损坏、恶意篡改数据和机密文件，导致计算机系统瘫痪。而拒绝服务攻击属于毁灭性破坏方式，如邮件炸弹，向计算机用户发送大量邮件，对系统运行产生严重影响，致使系统无法运行，甚至造成网络系统瘫痪。对企业信息网络安全系统运行实际情况进行分析，存在安全威胁包括：首先，病毒攻击。蠕虫类型网络病毒将对网络用户产生巨大损失。现阶段，随着我国网络技术不断发展，病毒类型和传播范围、速度迅速提升，病毒能够通过邮件、文件方式传播，对网络用户信息安全性造成威胁。病毒传播不仅将造成系统瘫痪，还将导致重要文件、数据丢失、被恶意篡改，最终导致系统瘫痪。其次，外部入侵。企业内部网络和互联网连接，虽然部署了防火墙，但因为缺少其他安全技术，依然易受到黑客攻击。借助补丁可以升级操作系统中系统服务、驱动程序，达到动态连接，但同时也为黑客攻击提供了便利[1]。同时，黑客能够应用操作系统远程服务、无密码入口入侵。最后，内部人员潜在威胁。网络系统需要专业人员进行控制管理，网络安全内部人员威胁包括部分员工对企业网络恶意破坏，尤其是部分具有一定权限管理人员，能够接触核心服务器，对企业的内部网络造成破坏，同时也存在部分员工操作规范性不足，增加网络系统潜在威胁和隐患。

2 企业信息网络安全系统设计模块

为保护网络信息系统软件、硬件和相关数据信息，确保网络持续服务，系统稳定运行，需要结合企业具体需求，对系统网络环境、物理环境、应用以及数据库信息安全进行精细化管理。信息网络安全系统包括安全技术和安全管理两部分，各部分又包括多个模块，不同模块起到不同作用。

2.1 安全管理

安全管理模块主要由四个模块组成：组织机构、安全策略、员工管理和操作管理。第一，组织机构。该模块的主要作用是满足企业信息网络安全系统构建相关需求，构建可以确保组织有效、正常运行的机构，实现组织功能[2]。第二，安全策略。该模块作用是由政策层面、宏观层面分析，建立健全安全管理相关体系和制度。第三，员工管理。该模块作用是对企业内部员工进行管理避免，提升人员业务能力和综合素养，培养其安全意识，确保各项工作顺利开展。第四，操作管理。该模块由微观层面分析，工作时各个环节均需要根据相关制度操作，确保系统操作的可行性、安全性。第四，在展开安全管理工作时，需要对系统的硬件、软件、组件、防火墙、数据库方面全面考虑，并结合自身具体情况应用加密算法等安全技术，建立健全管理机制，确保企业信息网络安全系统功能完善性。

图1 信息网络安全体系图

2.2 安全技术

就企业业务层面分析，将信息网络安全技术划分为五个模块：安全控制、漏洞管理、应答管理、资产管理与风险管理。各个模块的应用由不同功能组成。第一，安全控制，功能模块主要作用是抵御攻击，包括防拒绝访问、反垃圾、防火墙和防病毒组成。第二，漏洞管理。主要作用是为信息网络安全系统存在漏洞进行检查分析，并对入侵病毒进行监测，保护系统安全。包括网络监察、安全审计、漏洞监测和入侵检查。第三，应答管理。包括人员应答、产品应答和管理平台。第四，资产管理，主要是对系统相关设施进行安全管理。包括应用系统、用户终端、服务器、网络设施和物理环境等。第五，风险管理，主要是对系统和企业业务经营信息潜在安全隐患进行管控，并采取相应措施规避风险。包括风险辨别、管控、规避、转移、评价等内容。

3 企业信息网络安全系统设计和实现

企业的内部网络与外部互联网连接，企业需要对网络安全问题加以重点关注。为确保企业网络安全性，需要积极应用安全技术抵御外部攻击，同时防范内部用户非法服务，需要采用相关安全策略，避免非法行为利用网络资源。因此，企业需要全面调整网络信息安全体制，对安全设施进行重新的部署，构建信息网络安全系统，制定行之有效的控制策略。企业在部署信息网络安全系统时需要对相关问题加以着重解决。首先，网络安全访问，借助防火墙物理隔离系统中机密数据。例如，用户登录网络系统时，需要在过滤数据由外部的防火墙映射至网络系统前，用户需要通过网络方可过滤数据，之后将数据传输至外部的防火墙。其次，防火墙抵御控制。为确保VPN至端口数据信息安全传输，需要将内部防火墙和外部防火墙有效结合，确保数据信息安全传输，另外，需确保防火墙的设置构建于隔离区内，单向控制设置，但需要对隔离区数据信息严格过滤。再次，入侵检测。应用IDS技术检测到可疑行为，能够对入侵行为自动阻断，第一时间通知管理人员应用IDS技术进行检测，可以保护网络系统运行安全，并为系统提供技术支撑[3]。第四，用户验证。主域服务器内安装认证系统，设置用户访问与密码权限，对访问用户名和密码进行检测，识别其身份，确保拨号与VPN安全连接。另外，对连接用户构建访问数据库，对用户IP、身份信息、登录时间详细记录，为网络系统管理管控提供参考依据。

3.1 企业信息网络安全系统框架

对实际运需求分析，通常为确保网络系统软件、硬件、相关数据能够得到有效保护，网络系统稳定运行，企业需要加强管理。首先对企业信息网络安全具体情况进行分析，对安全系统的框架设计进行调整，对子模块、相应功能进行重新划分。在调整前，需要研究、分析框架调整原则。经过对大量实践经验进行总结，调整原则主要包括：第一，稳定性和高性能。保证信息安全系统优化调整后可以应用较少资源对网络进行安全保护。例如提升入侵行为发现和处理速度和维护能力，确保系统稳定运行，不会因为突发事件出现系统故障、系统崩溃情况。第二扩展性和维护性。保证进行日常、突发事件维护时，便于管理人员进行维护工作，不需配置特殊资源，系统软件、硬件具备扩展性。第三，时效性和经济性。对系统调整优化后，在优化时投入资金较少，为减低优化成本，需要尽量应用原硬件、软件资源，对日后硬件、软件维护费用、升级费用加以全面考虑。第四，保密性和安全性。对系统优化后确保数据信息具有足够的安全性，并确保数据信息不会被非法用户操作。

3.2 划分安全区域

划分安全区域能够降低信息网络安全系统潜在风险，控制网络风险；更有效应用安全设备，提升安全措施应用效率；大局入手，为系统安全规划、设计提供参考意见；提供检查参考，结合实际情况指导制定安全措施，减小维护阶段存在运行风险。对区域划分原则加以确定时，需要从业务层面出发，之后考虑区域划分安全性。该过程中需要参考网络结构、管理分工原有情况，减小划分安全区域时付出代价，确保网络系统安全性。对企业一般业务需求进行总结归纳，划分安全区域需要分析业务属性和功能特征；业务间存在逻辑关系和互相之间存在的关联性；系统对外的紧密度；安全特性相关要求；安全要求和安全威胁相似度；对非重要/重要资产进行区分[4]。设计时，对企业信息网络安全系统框架确定后，按照现有管理模式、业务模式，对安全区域进行重新划分，把企业安全区域划分为生产服务、运行管理、办公服务、用户接入和外联五个区域，并对安全边界进行调整，提高安全级别。首先，生产服务，主要作用是生产、加工处理信息数据，包括信息接入和信息分布两个层面。其次，运行管理主要作用是确保系统稳定运行，并提供系统状况报告，包括AAA服务器和ACL。办公服务主要作用是为日常事务办公提供服务。再次，用户接入，服务对象包括运行维护、业务用户、办公用户。最后，外联区域，包括Extranet区与Internet区，两个区域中设置有防火墙，对接入区、DMZ区进行划分，层层划分，其DMZ只能够供相应区域访问。

3.3 安全系统部署设计

首先，对防火墙的部署设计。该部分指的是应用访问列表、防火墙管理各个安全区域和网络核心间的访问行为。部署方案为：生产服务依然选用Cisco交换机内模块。把ACL控制技术使用于运行管理。把防火墙设置在办公区域，并在外联区配置新防火墙。其次，对审计系统、集中认证系统进行部署设计，信息网络安全系统内设置AAA系统。再次，部署设计集中告警。在设计中，硬件选用安全运行区域中检测系统控制主机，软件选用收集系统，借助收集系统集中管理分散系统。例如防火墙、Windows域、防病毒、VPN等系统和系统设备，并把安全设备运行报告传输至告警系统中。

4 总结

综上所述，通过大量调查，企业信息网络安全系统构建中硬件搭建、网络布置以及相关软件的应用均存在安全隐患。对安全技术应用分析，存在区域划分合理性不足情况，用户认证和管理存在漏洞，同时，物理安全、系统安全得不到切实保护。因此需要对企业信息网络安全系统重新规划，更改划分网络布局和网络区域，加设认证系统，改善原有管理机制，降低变动幅度，节约成本。另外，对于信息网络安全系统构建需要结合企业的实际情况，保证系统有效和高效。

[1]林森.计算机网络与信息安全的主要隐患及其管理措施[J].科技与创新，2021（12）：129-130.

[2]吴海威.企业计算机应用技术和信息网络技术研究[J].无线互联科技，2021（09）：84-85.

[3]王春林.大数据时代的计算机网络安全及防范措施探析[J].信息记录材料，2019，20（05）：71-72.

[4]吴双，杜飞.基于企业信息网络安全系统的设计与实现探析[J].网络安全技术与应用，2016（04）：112-113.