◆林 濤

（福建省海警第三支隊司令部 福建 361026）

內(nèi)部網(wǎng)絡(luò)安全策略的制定與管理研究

◆林 濤

（福建省海警第三支隊司令部 福建 361026）

本文以福建省某公安的系統(tǒng)內(nèi)部網(wǎng)信息安全管理為例，分析了Internet 快速發(fā)展趨勢下，內(nèi)部網(wǎng)絡(luò)系統(tǒng)存在的各種安全隱患，并探究了內(nèi)部網(wǎng)網(wǎng)絡(luò)信息安全策略的制定與管理技術(shù)，為內(nèi)部網(wǎng)絡(luò)安全管理提供有力的參考。

內(nèi)部網(wǎng)；網(wǎng)絡(luò)；安全策略制定；安全管理

0 引言

隨著計算機技術(shù)的發(fā)展，網(wǎng)絡(luò)信息化逐漸得到普及，越來越多的高等院校、政府機關(guān)、商業(yè)機構(gòu)、金融公司等也建立起自己的內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)是指采用Internet技術(shù)建立的企業(yè)內(nèi)部數(shù)據(jù)交換和業(yè)務(wù)運行的專用網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)的信息化管理和網(wǎng)上辦公加強了企業(yè)內(nèi)部之間以及與外單位之間的信息流動和運行效率。同時，內(nèi)部網(wǎng)的安全問題也日益突出，安全管理不當(dāng)會導(dǎo)致嚴(yán)重的內(nèi)部網(wǎng)安全問題。內(nèi)部網(wǎng)存在的威脅一般來源于內(nèi)部人員泄密、內(nèi)部網(wǎng)絡(luò)管理漏洞、網(wǎng)絡(luò)病毒入侵、電路安全隱患、網(wǎng)絡(luò)窺探等問題。由于內(nèi)部網(wǎng)不一定要和Internet連接在一起，它完全可以自成一體作為一個獨立的網(wǎng)絡(luò)[1]。許多機構(gòu)往往很重視外部網(wǎng)的安全，在外來入侵防范和檢測中分配大量的人力和財力，而忽視了內(nèi)部網(wǎng)的安全。相關(guān)安全研究機構(gòu)的分析表明，機構(gòu)內(nèi)部的安全威脅很常見但也非常危險，其破壞性遠(yuǎn)大于外部威脅。如何有效地維持并保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)信息的安全是企業(yè)內(nèi)部不容忽視且急需解決的嚴(yán)峻問題。

1 內(nèi)部網(wǎng)網(wǎng)絡(luò)信息面臨的安全威脅

人們?yōu)榱私鉀Q資源的共享而建立了網(wǎng)絡(luò)，然而全世界的計算機聯(lián)成一個網(wǎng)絡(luò)整體，安全卻成了問題。

1.1 網(wǎng)絡(luò)邊界安全威脅

把不同安全級別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界。防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。一般來說網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個方面：

（1）信息泄密。網(wǎng)絡(luò)資源有共享型和非共享型，非授權(quán)用戶通過多種渠道獲取到不屬于他的資源導(dǎo)致信息泄露。（2）入侵者攻擊，通過互聯(lián)網(wǎng)進(jìn)入內(nèi)部網(wǎng)絡(luò)，破壞或盜取數(shù)據(jù)導(dǎo)致業(yè)務(wù)的混亂。（3）網(wǎng)絡(luò)病毒。人為的特制程序，具有自我復(fù)制能力，很強的感染性和破壞性，可以隨之繁殖、感染、破壞。（4）木馬入侵。網(wǎng)絡(luò)邊界最常受到的攻擊方式主要包括黑客入侵，病毒入侵和網(wǎng)絡(luò)攻擊等。

1.2 內(nèi)部網(wǎng)安全威脅

計算機內(nèi)網(wǎng)，即內(nèi)部網(wǎng)絡(luò)、內(nèi)部局域網(wǎng)絡(luò)，指在統(tǒng)一的網(wǎng)絡(luò)管理范圍，無需通過路由等技術(shù)手段就可實現(xiàn)網(wǎng)絡(luò)內(nèi)信息互聯(lián)互享的計算機網(wǎng)絡(luò)。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。內(nèi)網(wǎng)安全的問題主要表現(xiàn)為：

（1）內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備其地域分布較分散，其用戶水平高低不平，掌管的業(yè)務(wù)及安全需求各不相同，由此決定了內(nèi)網(wǎng)安全管理的復(fù)雜性和多樣性。（2）網(wǎng)絡(luò)資源濫用，流量濫用，IP地址濫用，甚至工作時間游戲、聊天、瘋狂下載、登錄色情網(wǎng)站等行為影響工作效率，影響網(wǎng)絡(luò)正常使用。（3）蠕蟲泛濫，業(yè)務(wù)癱瘓，由于補丁不及時、網(wǎng)絡(luò)濫用、非法接入等因素導(dǎo)致網(wǎng)絡(luò)阻塞、數(shù)據(jù)損壞丟失，為正常業(yè)務(wù)帶來災(zāi)難性的持續(xù)影響。（4）系統(tǒng)漏洞導(dǎo)致重要信息泄密，病毒入侵、非法接入等各種原因與管理不善導(dǎo)致系統(tǒng)內(nèi)部重要信息泄露或丟失，造成嚴(yán)重?fù)p失。（5）內(nèi)網(wǎng)用戶監(jiān)督機制不完善，內(nèi)網(wǎng)用戶通過無線網(wǎng)卡、雙網(wǎng)卡等設(shè)備違規(guī)撥號上網(wǎng)或違規(guī)將專網(wǎng)專用計算機連入到其他網(wǎng)絡(luò)，導(dǎo)致內(nèi)部機密和隱私泄露[2]。

2 內(nèi)部網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全維護(hù)的目的是通過網(wǎng)絡(luò)交換和傳遞的數(shù)據(jù)不會遇到增添、修減、泄露和損失等問題，因此，貫徹落實必要的防范措施和安全策略對計算機網(wǎng)絡(luò)安全至關(guān)重要。應(yīng)從物理安全、系統(tǒng)安全、技術(shù)安全以及管理安全等多個方面制定安全策略：

2.1 物理安全策略

是指避免計算機設(shè)備及其他多媒體遭受水、火、地震等自然因素的破壞，避免因人為失誤、錯誤操作以及計算機犯罪導(dǎo)致網(wǎng)絡(luò)破壞。

2.2 系統(tǒng)安全策略

網(wǎng)絡(luò)系統(tǒng)安全包括網(wǎng)絡(luò)運行系統(tǒng)安全、網(wǎng)絡(luò)系統(tǒng)信息安全、網(wǎng)絡(luò)信息傳播影響的安全、網(wǎng)絡(luò)信息內(nèi)容的安全。系統(tǒng)安全策略即保護(hù)網(wǎng)絡(luò)系統(tǒng)的軟硬件，維持系統(tǒng)正常持續(xù)地運行且網(wǎng)絡(luò)服務(wù)不被中斷，保證系統(tǒng)中信息傳播的積極影響，保護(hù)系統(tǒng)數(shù)據(jù)不被各種原因破壞、泄露或丟失。

2.3 技術(shù)安全策略

主要包括：（1）密碼技術(shù)即通過信息的變換或編碼，將機密數(shù)據(jù)轉(zhuǎn)變?yōu)閬y碼型文字，因此保護(hù)數(shù)據(jù)不被黑客截獲或泄露。目前網(wǎng)絡(luò)加密方式主要有三種：鏈路加密方式、端對端加密方式和節(jié)點對點加密方式。（2）防火墻技術(shù)，防火墻可有效地隔離內(nèi)外網(wǎng)絡(luò)的直接連接，限制內(nèi)外網(wǎng)之間信息的流入和流出，隱蔽內(nèi)部網(wǎng)的組成情況，對訪問的用戶進(jìn)行身份識別，可防止源路由、IP地址欺騙、拒絕服務(wù)等多種攻擊，能自動發(fā)現(xiàn)類似ISS進(jìn)行的掃描，提出安全警告，可以進(jìn)行安全的遠(yuǎn)程數(shù)據(jù)傳送。防火墻在網(wǎng)絡(luò)之間形成訪問控制策略系統(tǒng)，從而保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_[3]。只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道時才能全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。（3）網(wǎng)絡(luò)病毒防范技術(shù)，企業(yè)網(wǎng)絡(luò)中計算機病毒一旦感染了其中的一臺計算機，將會很快地蔓延到整個網(wǎng)絡(luò)，而且不容易一下子將網(wǎng)絡(luò)中傳播的計算機病毒徹底清除。所以對于企業(yè)網(wǎng)絡(luò)的計算機病毒防治必須要全面，預(yù)防計算機病毒在網(wǎng)絡(luò)中的傳播、擴散和破壞，客戶端和服務(wù)器端必須要同時考慮。Station Lock 法是目前網(wǎng)絡(luò)環(huán)境較為有效的防病毒方法。一般病毒必須執(zhí)行特定量的程序后，才會導(dǎo)致感染，Station Lock 利用這一特點，對可能的病毒攻擊進(jìn)行辨別，并在病毒未發(fā)生感染前進(jìn)行攔截。（4）其他安全技術(shù)，數(shù)據(jù)庫是計算機內(nèi)電子化的大量數(shù)據(jù)集合，其信息價值遠(yuǎn)大于系統(tǒng)本身的價值，為保證數(shù)據(jù)庫的完整性和機密性，數(shù)據(jù)庫管理系統(tǒng)要嚴(yán)格鑒別用戶身份，采取適當(dāng)?shù)脑L問控制機制；同時應(yīng)定期備份數(shù)據(jù)庫的所有文件的維護(hù)系統(tǒng)的完整性；及時糾正數(shù)據(jù)庫數(shù)據(jù)錯誤[4]。

3 公安系統(tǒng)內(nèi)部網(wǎng)安全管理的實現(xiàn)

網(wǎng)絡(luò)安全的保障和維護(hù)，關(guān)鍵是靠使用、管理、技術(shù)三者的有效結(jié)合。下面主要從物理環(huán)境、網(wǎng)絡(luò)安全和系統(tǒng)安全三方面進(jìn)行介紹福建省某公安系統(tǒng)網(wǎng)絡(luò)安全的實現(xiàn)。

3.1 物理環(huán)境的安全

機房建設(shè)在供配電系統(tǒng)、空調(diào)系統(tǒng)、消防系統(tǒng)等方面達(dá)到《中華人民共和國國家標(biāo)準(zhǔn)電子計算機機房設(shè)計規(guī)范》中的A級要求。設(shè)備環(huán)境考慮到防盜、防竊聽、防電磁輻射及電源保護(hù)等，設(shè)備冗余備份。用戶禁止私自拆卸、更改設(shè)備的配件。

3.2 網(wǎng)絡(luò)安全的實現(xiàn)

網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊網(wǎng)絡(luò)屢屢得手的重要因素，必須配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡(luò)中存在的安全漏洞，并采用相應(yīng)的措施修補系統(tǒng)漏洞。采取入網(wǎng)訪問控制、資源訪問控制，使用實名認(rèn)證、授權(quán)訪問包括身份識別等，并在端口設(shè)置防火墻維護(hù)端口安全保證連接的安全性；定期進(jìn)行網(wǎng)絡(luò)監(jiān)測和控制；加強病毒防范和動態(tài)安全管理。

3.3 系統(tǒng)安全的實現(xiàn)

首先，要保證操作系統(tǒng)的安全，充分利用操作系統(tǒng)的安全功能，并及時升級操作系統(tǒng)的補丁程序，防范網(wǎng)絡(luò)入侵。將數(shù)據(jù)庫系統(tǒng)更換為安全級別較高的系統(tǒng)，對數(shù)據(jù)庫進(jìn)行加密設(shè)置，同時保護(hù)數(shù)據(jù)庫不被泄露、更改等。加強用戶管理，設(shè)置用戶身份認(rèn)證，避免非法用戶的入侵。在數(shù)據(jù)傳輸中進(jìn)行加密傳輸保證數(shù)據(jù)傳遞的安全性。

4 討論

計算機技術(shù)的迅速發(fā)展促進(jìn)了社會經(jīng)濟的進(jìn)步。隨著網(wǎng)絡(luò)的全球化，網(wǎng)絡(luò)安全問題也日益突出。為了創(chuàng)造一個安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境，保證企業(yè)內(nèi)部網(wǎng)的安全性、完整性，維護(hù)各行業(yè)業(yè)務(wù)的正常運行和信息安全，網(wǎng)絡(luò)安全管理至關(guān)重要。這要求用戶要從多方面進(jìn)行管理和維護(hù)，只有不斷加強網(wǎng)絡(luò)信息安全的管理，才能更好地運用互聯(lián)網(wǎng)。

[1]黃愛玉，鄭繼玲.企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理與防范措施[J].現(xiàn)代經(jīng)濟信息，2009.

[2]陳榮.內(nèi)部網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息安全管理分析[J].電子制作，2014.

[3]張智，袁慶霓.內(nèi)部網(wǎng)絡(luò)安全風(fēng)險管理探索[J].計算機時代，2011.

[4]陸偉杰.內(nèi)部網(wǎng)絡(luò)信息安全管理探析[J].技術(shù)與市場，2013.