楊 銘 耿 丹

(1.南京大學(xué)金陵學(xué)院，江蘇南京 2100892.江蘇省氣象信息中心，江蘇南京 210008)

內(nèi)網(wǎng)網(wǎng)絡(luò)安全與監(jiān)控策略的探討

楊 銘1耿 丹2

(1.南京大學(xué)金陵學(xué)院，江蘇南京 2100892.江蘇省氣象信息中心，江蘇南京 210008)

本文分析了內(nèi)網(wǎng)網(wǎng)絡(luò)的安全現(xiàn)狀，指出其存在的問題，提出幾項(xiàng)建立網(wǎng)絡(luò)安全系統(tǒng)的措施：將平面網(wǎng)絡(luò)結(jié)構(gòu)變?yōu)閷哟尉W(wǎng)絡(luò)結(jié)構(gòu)；建立統(tǒng)一的訪問認(rèn)證系統(tǒng)；建立各業(yè)務(wù)系統(tǒng)的安全邊際保護(hù)措施；實(shí)現(xiàn)內(nèi)外網(wǎng)的動(dòng)態(tài)隔離；建立防病毒網(wǎng)關(guān)，防止病毒的攻擊；健全網(wǎng)絡(luò)安全管理規(guī)范.做好網(wǎng)絡(luò)安全工作，應(yīng)該做到管理和技術(shù)相結(jié)合.

內(nèi)網(wǎng); 網(wǎng)絡(luò)安全; 監(jiān)控策略

1 背景

隨著網(wǎng)絡(luò)的發(fā)展，各企、事業(yè)單位關(guān)于公共方面的服務(wù)必須面向社會(huì)公眾開放，為廣大群眾提供各類信息查詢等服務(wù).那么如何在開放的環(huán)境下保證現(xiàn)有各系統(tǒng)的安全運(yùn)行，就成為一個(gè)不能回避的首要問題.為此建設(shè)一個(gè)完善的網(wǎng)絡(luò)安全系統(tǒng)，提高整個(gè)網(wǎng)絡(luò)的安全性和可靠性，成為內(nèi)部網(wǎng)絡(luò)信息化建設(shè)的必然選擇.

信息網(wǎng)絡(luò)是一個(gè)龐大的廣域網(wǎng)系統(tǒng)，它連接著國家、省、市和縣四級(jí)單位.它主要分為兩類：一類為行業(yè)內(nèi)業(yè)務(wù)服務(wù)用信息系統(tǒng)，包括國家局、省局以及各地市建設(shè)的各類信息采集、信息傳輸、信息處理、信息存儲(chǔ)、信息共享、信息發(fā)布、視頻會(huì)商、業(yè)務(wù)監(jiān)控、行政管理等.以氣象系統(tǒng)為例，經(jīng)初步調(diào)查，省局在建及已建的平臺(tái)有15個(gè)，各市局自建有數(shù)量不等的業(yè)務(wù)平臺(tái).第二類為用于對(duì)外信息的各類發(fā)布系統(tǒng)，包括短信平臺(tái)、手機(jī)終端、專業(yè)服務(wù)網(wǎng)站、門戶網(wǎng)站、電視插播系統(tǒng)、IPTV等.因此，要確保這個(gè)龐大系統(tǒng)的安全，必須在統(tǒng)一規(guī)劃分布實(shí)施的原則下進(jìn)行.

正是考慮到信息網(wǎng)絡(luò)當(dāng)前的現(xiàn)狀，本文提出了一些提高內(nèi)部網(wǎng)絡(luò)安全的可行性措施.

2 影響網(wǎng)絡(luò)安全的因素

2.1 網(wǎng)絡(luò)設(shè)計(jì)存在的缺陷

網(wǎng)絡(luò)設(shè)計(jì)是指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)簡單的話，會(huì)直接影響到網(wǎng)絡(luò)系統(tǒng)的安全.假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也會(huì)影響在同一網(wǎng)絡(luò)上的其他系統(tǒng)的安全.

2.2 網(wǎng)絡(luò)訪問配置管理不當(dāng)

訪問配置不當(dāng)會(huì)造成非授權(quán)訪問.如果網(wǎng)絡(luò)管理員在配置網(wǎng)絡(luò)時(shí)，給某些用戶權(quán)限設(shè)置過大，甚至權(quán)限設(shè)置混亂，開放不必要的服務(wù)器端口，或者一般用戶因?yàn)槭韬觯瑏G失賬號(hào)及口令，都會(huì)造成非授權(quán)訪問的情況，給網(wǎng)絡(luò)安全造成危害.

2.3 信息網(wǎng)絡(luò)與互聯(lián)網(wǎng)互聯(lián)的安全，網(wǎng)絡(luò)邊界的安全

近年來，信息技術(shù)高速發(fā)展，單位內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間信息的交換越來越廣泛.如何選擇隔離手段將內(nèi)網(wǎng)與外網(wǎng)進(jìn)行隔離的同時(shí)，進(jìn)行必要的通信，這是保障整體網(wǎng)絡(luò)安全亟待解決的問題.

把不同安全級(jí)別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界.邊界是指網(wǎng)絡(luò)與外界互通引起的安全問題，有入侵、病毒與攻擊.網(wǎng)絡(luò)邊界的安全直接影響到整體的網(wǎng)絡(luò)安全.

2.4 病毒類攻擊

近些年，我國網(wǎng)絡(luò)建設(shè)高速發(fā)展，使網(wǎng)絡(luò)成為電腦病毒傳播的主要途徑.病毒通過網(wǎng)絡(luò)入侵，具有了更快的傳播速度和更大的傳播范圍.入侵到網(wǎng)絡(luò)系統(tǒng)的某些惡劣病毒會(huì)利用網(wǎng)絡(luò)系統(tǒng)中的配置和服務(wù)管理失誤，給系統(tǒng)造成數(shù)據(jù)丟失、篡改、數(shù)據(jù)庫錯(cuò)誤、信息失真等損失，嚴(yán)重地危害到網(wǎng)絡(luò)安全.

2.5 人員管理

如果網(wǎng)絡(luò)管理人員工作責(zé)任心不夠、用戶保密觀念不強(qiáng)，那么再穩(wěn)固的網(wǎng)絡(luò)系統(tǒng)也會(huì)存在安全隱患.

3 主要措施

3.1 變平面網(wǎng)絡(luò)結(jié)構(gòu)為層次網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)網(wǎng)絡(luò)的縱深防御

當(dāng)前，很多單位內(nèi)部網(wǎng)絡(luò)是平面結(jié)構(gòu)的[1]，即辦公網(wǎng)和業(yè)務(wù)網(wǎng)是相互連通的，通過辦公網(wǎng)可以隨意訪問業(yè)務(wù)網(wǎng)絡(luò)，這樣的網(wǎng)絡(luò)結(jié)構(gòu)容易造成一點(diǎn)突破全局失防的結(jié)果.為此，我們考慮將網(wǎng)絡(luò)的層次劃分三層：外部網(wǎng)、辦公網(wǎng)和業(yè)務(wù)網(wǎng).在外部網(wǎng)和業(yè)務(wù)網(wǎng)之間建立緩沖接待區(qū)，外網(wǎng)用戶不能直接訪問辦公網(wǎng)的信息，必須通過接待區(qū)進(jìn)行地址的代理轉(zhuǎn)換.另外，在辦公網(wǎng)和業(yè)務(wù)網(wǎng)之間安裝防火墻，對(duì)未授權(quán)的辦公網(wǎng)用戶進(jìn)行隔離.

這樣的立體防御體系的最大好處就是解決了網(wǎng)絡(luò)的分層保護(hù)問題，變單層防護(hù)為多級(jí)防御，提高了網(wǎng)絡(luò)的安全等級(jí).

3.2 建立統(tǒng)一訪問認(rèn)證系統(tǒng)

由于單位網(wǎng)絡(luò)的內(nèi)部用戶眾多，要進(jìn)行有效的管理，就必須建立統(tǒng)一的認(rèn)證系統(tǒng)，通過認(rèn)證來進(jìn)行用戶的身份識(shí)別和訪問權(quán)限控制[2].因每個(gè)用戶可能要訪問不同的應(yīng)用系統(tǒng)，為了減少用戶重復(fù)登錄，可以考慮使用單點(diǎn)登錄技術(shù)，用戶一次登錄后，即可獲得授權(quán)TICKET，然后各應(yīng)用系統(tǒng)依據(jù)TICKET來確定是否允許訪問.

由于某些政府部門網(wǎng)絡(luò)的內(nèi)部用戶可能有好幾千人，每個(gè)人的權(quán)限都可能不一樣，要給每個(gè)用戶授權(quán)工作量巨大，為此在認(rèn)證服務(wù)器上我們可以實(shí)行分級(jí)管理和基于角色授權(quán)相結(jié)合的機(jī)制.以氣象網(wǎng)絡(luò)為例：首先省局氣象信息中心對(duì)二級(jí)單位的網(wǎng)絡(luò)管理員進(jìn)行授權(quán)，然后二級(jí)單位的網(wǎng)絡(luò)管理員再對(duì)本單位的職工進(jìn)行角色授權(quán).這里的角色是指對(duì)應(yīng)用系統(tǒng)訪問權(quán)限的組合.譬如：預(yù)報(bào)員角色的權(quán)限只能進(jìn)入預(yù)報(bào)資料相關(guān)系統(tǒng)，縣級(jí)局長角色的權(quán)限則可以進(jìn)入辦公、業(yè)務(wù)、財(cái)務(wù)等各個(gè)系統(tǒng)，但是他只能查看所管轄縣局所有的相關(guān)資料.

3.3 建立各應(yīng)用系統(tǒng)的安全邊際保護(hù)措施

雖然網(wǎng)絡(luò)分層保護(hù)可以比較好地保證網(wǎng)絡(luò)安全，但是在各應(yīng)用系統(tǒng)間采取相應(yīng)的保護(hù)措施也是必不可少的.例如氣象部門的氣象報(bào)文傳輸系統(tǒng)是一個(gè)需要保證絕對(duì)安全的應(yīng)用系統(tǒng)，因?yàn)樗苯雨P(guān)系到天氣預(yù)報(bào)，如果出現(xiàn)差錯(cuò)的話就可能造成天氣預(yù)報(bào)報(bào)不準(zhǔn)甚至無法預(yù)報(bào)；再譬如氣象信息綜合分析處理系統(tǒng)(micaps)一旦出現(xiàn)問題，將直接影響到對(duì)全省天氣數(shù)據(jù)的分析，由于全省的天氣數(shù)據(jù)非常龐大，如果沒有分析處理系統(tǒng)，光靠預(yù)報(bào)員進(jìn)行手工計(jì)算將無法在規(guī)定的時(shí)間里獲得最新最準(zhǔn)確的天氣預(yù)報(bào).可能早一分鐘發(fā)布天氣預(yù)警就可能減少很多人民群眾生命財(cái)產(chǎn)的損失.

因此，對(duì)這些核心的業(yè)務(wù)系統(tǒng)，必須強(qiáng)化安全防范措施，首先要?jiǎng)澐智宄W(wǎng)絡(luò)的安全邊界，保證每個(gè)系統(tǒng)只有一個(gè)接口對(duì)外進(jìn)行信息交換，然后再根據(jù)每個(gè)系統(tǒng)的不同特點(diǎn)對(duì)網(wǎng)絡(luò)接口采取相應(yīng)的技術(shù)措施.例如對(duì)于天氣信息查詢系統(tǒng)，我們可以規(guī)定信息只能向外讀，外界的信息不能向內(nèi)寫，同時(shí)還要規(guī)定數(shù)據(jù)只能按照規(guī)定的路徑流動(dòng)，另外還進(jìn)行流量的監(jiān)控，一旦出現(xiàn)異常就可發(fā)出警報(bào).通過采取多種措施，可以很大地提高核心系統(tǒng)的安全性.

3.4 實(shí)現(xiàn)內(nèi)外網(wǎng)的動(dòng)態(tài)隔離

在社會(huì)信息化程度越來越高的情況下，實(shí)現(xiàn)內(nèi)網(wǎng)和互聯(lián)網(wǎng)的連通是必然的趨勢.雖然物理隔離能提高系統(tǒng)的安全性，但是也極大地阻礙了信息資源的充分利用[3].

要實(shí)現(xiàn)內(nèi)網(wǎng)和互聯(lián)網(wǎng)的互通，必須有一個(gè)安全可靠的技術(shù)方案來保證，否則管理者很難做出正確的決策.

在實(shí)現(xiàn)和互聯(lián)網(wǎng)的連接中可以考慮采用動(dòng)態(tài)隔離的技術(shù)[4].首先是建立一個(gè)網(wǎng)絡(luò)訪問接待區(qū)，互聯(lián)網(wǎng)的用戶只能到達(dá)接待區(qū)，其訪問請(qǐng)求均由接待區(qū)進(jìn)行代理和轉(zhuǎn)發(fā)后，再訪問辦公網(wǎng)，同時(shí)還規(guī)定互聯(lián)網(wǎng)用戶的數(shù)據(jù)訪問路徑，即只能訪問辦公網(wǎng)，不能訪問業(yè)務(wù)網(wǎng)，同時(shí)對(duì)接待區(qū)進(jìn)行流量監(jiān)控.系統(tǒng)內(nèi)的用戶要訪問互聯(lián)網(wǎng)也必須通過接待區(qū)完成權(quán)限檢查和地址轉(zhuǎn)換.

通過動(dòng)態(tài)隔離技術(shù)和物理隔離的互補(bǔ)，可以有效地加強(qiáng)內(nèi)網(wǎng)網(wǎng)絡(luò)安全.

3.5 建立防病毒網(wǎng)關(guān)，防止病毒的攻擊

病毒和木馬層出不窮，對(duì)信息系統(tǒng)的安全構(gòu)成了很大的威脅，病毒的防范也成為信息安全的一個(gè)重要內(nèi)容.

具體的防病毒措施就是建立防病毒的網(wǎng)關(guān)來實(shí)現(xiàn)對(duì)病毒的查殺[5].具體的做法就是在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的連接外建立防病毒網(wǎng)關(guān)，在重要的應(yīng)用系統(tǒng)的出口也加裝防病毒網(wǎng)關(guān)，對(duì)流入的數(shù)據(jù)進(jìn)行分析和監(jiān)控，及時(shí)查殺病毒.

3.6 加強(qiáng)人員管理，健全網(wǎng)絡(luò)安全管理規(guī)范

網(wǎng)絡(luò)安全問題將一直存在于網(wǎng)絡(luò)信息系統(tǒng)內(nèi)，所以沒有絕對(duì)的網(wǎng)絡(luò)安全.網(wǎng)絡(luò)安全系統(tǒng)建立的目的是通過電子信息技術(shù)和管理手段的綜合運(yùn)用，在用戶的理解和配合下，實(shí)現(xiàn)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng)運(yùn)行.在技術(shù)保障的前提下，不斷加強(qiáng)人員管理是提高網(wǎng)絡(luò)安全的有效途徑之一.因此，健全相應(yīng)的管理規(guī)范是必不可少的內(nèi)容.

網(wǎng)絡(luò)安全管理規(guī)范是各級(jí)系統(tǒng)管理人員管理、維護(hù)和建設(shè)信息網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)和依據(jù)，也是管理各級(jí)用戶的有效手段.

4 結(jié)束語

通過以上措施，可以說初步建立了內(nèi)網(wǎng)的安全防護(hù)體系，使內(nèi)網(wǎng)的安全性得到了很大的提高，尤其是這些措施整體使用，其安全防護(hù)效果更加明顯.

當(dāng)然，網(wǎng)絡(luò)安全系統(tǒng)的建立，也不意味著萬事無憂.例如有可能會(huì)有用戶私自開通互聯(lián)網(wǎng)上網(wǎng)，這樣就使內(nèi)部網(wǎng)絡(luò)有很多出口，也使得采取的技術(shù)防范措施毫無作用，會(huì)造成極大的安全隱患.針對(duì)這種情況可以考慮統(tǒng)一部署桌面安全系統(tǒng)，收集用戶數(shù)據(jù)流中的IP地址情況，發(fā)現(xiàn)非法IP地址時(shí)及時(shí)報(bào)警，這樣就可以很容易發(fā)現(xiàn)問題，及時(shí)采取措施果斷處理.

應(yīng)該說內(nèi)網(wǎng)網(wǎng)絡(luò)安全不僅僅要靠技術(shù)防范，更需要加強(qiáng)安全管理，只有兩者相輔相成，才能保證網(wǎng)絡(luò)更加安全可靠.

[1]鄒呂新.計(jì)算機(jī)網(wǎng)絡(luò)安全及防范[J].電腦知識(shí)與技術(shù),2011(25).

[2]徐強(qiáng).局域網(wǎng)絡(luò)安全應(yīng)對(duì)策略[J].軟件導(dǎo)刊,2011(7).

[3]李大光.當(dāng)今各國的網(wǎng)絡(luò)安全[J].百科知識(shí),2011(15).

[4]龐凱.綜述企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全[J].價(jià)值工程,2011(21).

[5]李東升.關(guān)于防火墻技術(shù)與網(wǎng)絡(luò)安全問題研究[J].經(jīng)營管理者,2011(13).

(責(zé)任編輯 周 璇)

2014-09-16

楊 銘,男，江蘇南京人，南京大學(xué)金陵學(xué)院助理工程師.

TP309.5

A

1671-1696(2014)11-0057-03