潘登科

(武汉铁路职业技术学院 湖北 武汉 430205)

0 引言

信息技术的进步为网络的建设发展提供了推动力,给人们日常的工作生活以及企业的生产经营活动带来了巨大改变,但以网络为载体的安全问题日益严重,尤其是计算机网络技术的发展应用使得安全问题呈现出多元化特征,互联网信息的价值属性随着大数据时代的到来得以充分展现。基于网络信息安全所造成的威胁具有隐蔽性、专业性等特征,而企业网络是网络空间中的重要组成部分,因此需以计算机网络技术为重点对企业网络信息安全防护体系进行完善,以此降低多元化网络信息安全的威胁性,为企业网络和信息系统安全提供切实保障,进而为企业网络信息和应用程序防护能力的增强奠定基础。

1 网络信息安全的特征

计算机网络技术是集系统化、开放性、实时性等为一体的综合信息化技术,而企业在利用计算机网络技术进行生产经营时自身的网络安全风险系数也随之增加,因此,企业着力于对网络信息安全防护体系进行更为可靠构建的同时,还需更加深入了解并掌握网络信息安全的以下4个特征。

(1)完整性。网络空间信息存储方式采用的是二进制结构,其在进行信息传输、处理、存储的机制虽较为复杂,但对网络信息的完整性较为有利,而网络信息的完整性一旦被破坏,其优势也会逐渐被削弱,可见,网络信息安全的完整性必不可少。

(2)隐私性。互联网的开放性使企业信息遭受恶意攻击、窃取等的风险大幅增加,为确保企业信息安全需对互联网中的一些特定信息进行规范管理,非授权范围内的处置行为才能够有效规避,所以隐私性作为网络信息安全的重要特征更需要企业加以重视。

(3)唯一性。互联网信息在进行交互时通信双方的身份必须是唯一的,不法分子在篡改网络信息时,信息原有的身份属性会主动发生改变,进而为网络信息安全主体辨识度的提升提供行为依据,也促使互联网在信息来源方面常见的取证难等问题从根本上得以解决。

(4)可控性。网络信息是在一定准则的规范下进行交互的,不同类型的网络信息可通过计算机网络技术实现有效监管,若网络信息出现异常情况对其进行控制时所采取的手段也更为多样,大幅缩减了互联网因异常信息所造成的影响范围,同时通过信息溯源实现对网络信息安全的源头管控[1]。

2 企业网络信息安全风险分析

随着计算机网络技术在各个领域的广泛应用,网络信息安全形势日趋复杂多变,新型网络攻击不断涌现,使得企业大量网络设备运维的统一性遭到破坏,企业各种日志报表统计分析的准确性受到影响,具体风险可概括为以下三点。

(1)针对新型变种病毒防范难度大,企业员工在日常办公、浏览网页时无意中接触到不良网站或挂马网站的可能性较大,这也给了恶意软件或病毒可乘之机并侵入企业内网。随着安全威胁的不断升级,大量高级持续性威胁(advanced persistent threat,APT)在社会工程学攻击方式的协助下,将含有恶意程序或恶意指向站点的邮件或程序精准发送至指定目标人员,使企业内网的安全性面临着严峻挑战;若对单一受害者无权限限制,恶意程序会以最快的速度扩散至企业网络的各个角落,进而对内网安全的影响范围会更大、更严重[2]。

(2)针对攻击入侵无法有效应对,内部用户访问互联网的统一出口和对外信息服务的入口的载体均来自网络区域出口,其面对的安全威胁更多也更直接,因此设置的安全防护手段要与该区域承受的安全威胁相匹配。同时,作为核心枢纽的数据中心为数据的收集和处理提供了配套的网络系统,其安全建设不仅要对各区域如internet、intranet等的安全风险进行全面的安全隔离,以促使访问控制能够实现网络级,而且还要对僵尸网络、信息泄露、Web应用威胁等恶意攻击和非法入侵进行有效防范。

(3)数据库审计管理平台尚未建立,企业重要的数据资产都通过数据库进行存放,企业对数据库的安全性也更加重视,同时企业的核心业务数据也储存在数据库中,这些信息若遭到篡改或泄露,企业将会承担一定的经济损失,严重时甚至给企业形象及社会公共安全带来负面影响。随着企业信息化的发展建设,网络规模和设备数量随之不断扩大增多,而IT系统、安全问题日趋复杂,同时相应的数据库审计管理平台尚未建立,使得企业数据库管理面临的潜在安全风险相对较大。

3 企业网络信息安全需求分析

企业的网络等级可以安全性为依据进行区域划分,主要包括:(1)敏感数据保护区。该区域所包含的服务器群和数据库是企业内部的重要应用程序,网络设备和用户等数据中心是企业的重要管理内容。(2)隔离区。该区域作为业务窗口主要是面向客户,如电话、信息门户查询、视频监控网络等。(3)普通区域。除上述两种区域以外的用户和网络设备。(4)外部接入区域。该区域是企业与internet端口接入、许可访问的部分,也是分公司与总部两者的共享网络部分[3]。而网络信息安全问题日益严峻,使得企业对网络整体安全性的需求提出了新的、更高要求,其安全需求主要体现在网络安全责任主体是否明确、重要数据是否具备可用性和可恢复性、面向客户服务的畅通性是否满足以及内部网络行为是否规范四个方面。

4 关键性技术分析

4.1 虚拟专用网络技术

虚拟专用网络(virtual private network,VPN)可为信息安全提供必需的技术保障,并确保计算机网络运行过程中信息的安全性。该技术是在专用网络的基础上进行了延伸,其公共网络链接可与Internet实现共享,对两点之间的链路进行模拟时,通过数据压缩处理可将数据在相对安全的环境中传送至目的地。专用链接是模拟公用网络形成的,专用网络建设后还需对其进行加密处理,要想对数据进行解压并阅读必须掌握密钥才能够实现,对网络信息安全的保护有较高的强化效果。在网络数据传输中,VPN对敏感数据采取的隔离机制为物理性的,有权限的用户与VPN建立起连接后可允许对敏感数据进行访问,该技术与防火墙技术、入侵检测技术等相结合可提高网络信息安全的防范作用[4]。与传统的计算机网络安全技术相比,VPN的优势更明显如应用便捷、任务量简化等,还可大量缩减企业在网络信息安全方面的资金投入,技术人员所耗费的精力较少,铺设问题通过内部线路即可解决,有助于线路铺设效率及质量的显著提升。

4.2 防火墙技术

防火墙技术是网络信息安全防范体系中应用最广泛的计算机网络技术,但传统防火墙技术在使用时有一定的局限性,如信息传递慢、审计功能弱、内部风险防范能力差等,因此可通过对混合型防火墙系统进行优化设计,以此对传统防火墙技术存在的弊端进行有效弥补。混合型防火墙结构可分为4部分,即堡垒主机、基站主机服务器、内部及外部防火墙,企业内外网之间可通过内外防火墙进行安全子网的构建,而安全子网对公用服务器有着良好的屏蔽效果[5]。防火墙在运行过程中,堡垒主机服务器可对通信协议进行逐层分析,到达主机的数据包可采用过滤管理模式来过滤,并对安全信息进行提取,之后将其送至接收基站主服务器,而过滤信息再通过服务器实现回传。若在内部网络中进行非法操作,防火墙可对访问行为进行快速隔离,阻断数据包传输,并将数据包中的信息提取出来,由基站主机服务器中的安全数据库对该非法操作行为进行一系列的对比分析,以此制定针对性的过滤措施来降低因非法操作带来的网络信息安全风险。

4.3 入侵检测技术

入侵检测技术(intrusion detection systems,IDS)是网络信息安全防范最有效的网络技术,其根据入侵检测行为可分为异常检测和误用检测两种模式。前者是以系统访问的正常行为来建立模型,访问者行为若与该模型不符即视为入侵,有助于合法用户的冒充检测行为进行有效检测,但对正常行为轮廓和异常行为轮廓的建立和确定阈值难以界定;后者是对所有可能发生的不利的或不可接受的行为进行归纳,并以此为基础建立模型,而访问者行为与该模型相符即视为入侵,可对防范方法加以提示,但针对内部人员越权行为的检测较为困难。

5 企业网络信息安全防护方案

5.1 统一收集安全情报与威胁告警信息

基于上述计算机网络技术企业对网络信息安全防护技术进行了场景应用,企业内部的资源共享、信息发布、技术交流、生产组织等均可通过企业内网来实现,同时互联网出口直接连接外网,使企业内外部信息的双向交互更为便捷,且外网造成的安全威胁和安全攻击也得以有效阻断,进而有助于企业内部统一安全管控平台的构建,并基于该平台实现自动化安全防护方案[6]。该平台的安全情报一方面是通过上级指挥调度平台或安全情报中心进行外部收集,另一方面来自IDS、态势感知等的内部监测,而基于计算机网络技术有助于企业各级安全情报和威胁监测系统的有效收集,针对传统安全情报收集成本高、效率低等问题也得以有效解决(见图1)。该平台包括5个模块,即定时任务管理、后台应用程序接口(application program interface,API)调用、Web-driver、文字识别(optical character recognition,OCR)、数据处理与存储,其中定时任务管理模块是将各平台的情报收集任务进行统一调度管理,安全管理员可在此基础上对任务的执行策略进行定制化调整;各平台情报数据通过Web API进行收集,情报收集速度在API请求的加持下也更快,若使用API调用获取数据遭到限制,可使用备选方案Web-driver,与API调用相比,Web-driver的情报收集速度虽然较低,但几乎不受技术限制;OCR可智能识别出情报获取过程中的验证码[7];情报信息收集完成后,还要分析、整合、存储威胁告警信息,以便为企业网络安全防护的后续工作奠定情报信息基础。

图1 基于计算机网络技术的企业网络安全情报收集示意图

5.2 执行安全防御处置

相比人工处置,计算机网络技术的引入大幅提高了企业安全防御处置效率,人为出错的可能性也大幅减少,同时安全防御处置在应用过程中可通过安全管控平台对威胁IP进行封堵,具体应用场景如图2所示:步骤1,安全管控平台对IP封堵处置工单接收成功后,将其存储至数据库中;步骤2,通过定时任务定时启动封堵处置调度器,待封堵IP列表在数据库中即可加载;步骤3,公司通过对各地防火墙进行依次登录,并对IP封堵进行操作执行;步骤4,成功封堵后,也要对数据库进行同步修改,之后向企业安全管理人员推送消息;步骤5,若封堵失败,需对异常日志信息做好记录后方可向安全管理人员推送,再由人工介入对失败原因进行排查,线下修复完成后再次执行封堵操作,直至封堵成功。

图2 基于计算机网络技术的企业安全威胁IP封堵示意图

6 应用效果

基于计算机网络技术的企业网络信息安全防护方案,经在实际场景应用过程中对企业的安全防护效果进行了专项验证,其优势得以充分展现。一方面,企业对日常网络信息安全防护投入的人力、物力等显著缩减,防护效率也得以有效提升,使技术人员能够对安全方案研究更加深入,进而有助于企业在安全情报收集与安全防御处置执行等过程的自动化实现;另一方面,加快了企业的安全事件响应和处置速度,提高了安全防护的可靠性,因人为操作出错的安全事故发生风险得以有效规避,有助于网络信息安全防护体系的优先级调整,网络信息传输保护实现了进一步强化,其防护机制将网络数据流量动态感知、自动化管理、IDS等进行了融合协同,进而有助于企业网络信息安全防护系统通过计算机网络技术实现逆向管理。

7 结语

综上所述,随着信息技术和计算机网络技术的发展应用,企业在网络空间中面临的安全威胁和安全攻击日益严峻,本文通过对网络信息安全的特征进行了简单阐述,并对企业网络信息安全风险和关键技术进行了深入分析,在此基础上提出相应的安全防护方案,该方案为企业的网络信息安全防护体系系统化、智能化的实现提供了技术支持,对企业安全管理成本的降低和安全管理可靠性的提升有积极影响,但企业的安全防护人员仍需对防护策略和技术手段进行不断的改进,为企业网络信息安全防线的筑牢奠定基础。