林寬勝

摘要：文章對(duì)我國(guó)企事業(yè)單位內(nèi)部網(wǎng)絡(luò)安全防范方案進(jìn)行設(shè)計(jì)，以期促進(jìn)網(wǎng)絡(luò)技術(shù)更好地服務(wù)于企業(yè)生產(chǎn)工作。

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；安全防范；方案設(shè)計(jì)

對(duì)于很多企業(yè)而言，網(wǎng)絡(luò)辦公已經(jīng)成為其日常生產(chǎn)工作中必不可少的輔助工具，而內(nèi)部網(wǎng)絡(luò)也成了企業(yè)工作人員內(nèi)部通信交流的有效方式之一。通常企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)指的是依托于互聯(lián)網(wǎng)技術(shù)，在企業(yè)內(nèi)部建立的專用網(wǎng)絡(luò)系統(tǒng)，其通信協(xié)議采用的是TCP/IP技術(shù)，同時(shí)利用互聯(lián)網(wǎng)絡(luò)模型作為信息處理平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)傳送。當(dāng)前多數(shù)企業(yè)在使用內(nèi)部網(wǎng)絡(luò)時(shí)，認(rèn)為自身并沒(méi)有與外界網(wǎng)絡(luò)接觸，并不會(huì)受到惡意攻擊，因此一旦出現(xiàn)網(wǎng)絡(luò)安全事故，企業(yè)往往蒙受巨大的經(jīng)濟(jì)損失。對(duì)此，必須針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)制定相應(yīng)的安全防范方案，以避免重要信息的泄露。

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀

目前，我國(guó)大部分企業(yè)已經(jīng)實(shí)現(xiàn)了網(wǎng)絡(luò)覆蓋，但是諸多企業(yè)單位對(duì)于網(wǎng)絡(luò)安全問(wèn)題重視程度還不夠。作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的重要組成部分，內(nèi)部網(wǎng)絡(luò)的安全管理主要是針對(duì)網(wǎng)絡(luò)病毒以及系統(tǒng)漏洞等進(jìn)行檢測(cè)和修復(fù)，一般的安全防范措施都設(shè)在內(nèi)部網(wǎng)絡(luò)與外部的接口處，雖然在很大程度上減少了外部病毒以及黑客的入侵，但是對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)的監(jiān)控和防范措施力度仍然不夠，這使得企業(yè)內(nèi)部潛在的安全問(wèn)題得不到妥善的解決。就目前網(wǎng)絡(luò)安全而言，企業(yè)內(nèi)部的網(wǎng)絡(luò)安全犯罪及泄密案件遠(yuǎn)遠(yuǎn)多于外部網(wǎng)絡(luò)，多數(shù)企業(yè)的技術(shù)人員對(duì)于內(nèi)部網(wǎng)絡(luò)安全并不重視，且將多數(shù)精力投入于外網(wǎng)的安全防范工作中，因此導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)案件頻發(fā)。近幾年，國(guó)內(nèi)大量新聞報(bào)道了內(nèi)部網(wǎng)絡(luò)出現(xiàn)機(jī)密泄露以及服務(wù)器癱瘓等安全問(wèn)題，導(dǎo)致諸多企業(yè)遭受巨大經(jīng)濟(jì)損失的事件，因此對(duì)于企業(yè)單位來(lái)說(shuō)，必須增強(qiáng)自身的內(nèi)部網(wǎng)絡(luò)安全防范意識(shí)，并找到切實(shí)可行的方案。

2 企業(yè)內(nèi)部網(wǎng)絡(luò)安全遭受的威脅

2.1 內(nèi)部網(wǎng)絡(luò)安全措施薄弱

隨著信息化時(shí)代的迅速發(fā)展，企業(yè)的內(nèi)部網(wǎng)絡(luò)遭遇到越來(lái)越多的威脅，因此網(wǎng)絡(luò)安全防范問(wèn)題已經(jīng)成為國(guó)內(nèi)諸多企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)過(guò)程中的重要課題之一。通常企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅是病毒和黑客的攻擊，采用的主要修復(fù)方式為修補(bǔ)安全漏洞，建立防火墻等，但是由于企業(yè)的部分技術(shù)人員對(duì)于內(nèi)部網(wǎng)絡(luò)的安全防范意識(shí)不夠，因此往往是在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞問(wèn)題之后才采取措施，導(dǎo)致“亡羊補(bǔ)牢”，部分損失無(wú)法挽回。

2.2 企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的使用權(quán)限不同

在企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，用戶權(quán)限的統(tǒng)一管理很難做到，每個(gè)工作人員都會(huì)擁有不同的權(quán)限，這使得內(nèi)部網(wǎng)絡(luò)中的軟件很容易在用戶使用時(shí)被黑客肆意攻擊甚至修改密碼。同時(shí)，企業(yè)相關(guān)部門(mén)對(duì)于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位，更增加了黑客攻擊系統(tǒng)的幾率。

2.3 企業(yè)內(nèi)部網(wǎng)絡(luò)機(jī)密信息分散

目前，部分企業(yè)將內(nèi)部機(jī)密信息的相關(guān)數(shù)據(jù)存儲(chǔ)于不同的服務(wù)器終端中，并沒(méi)有將這些相關(guān)信息統(tǒng)一放置在同一個(gè)服務(wù)器中，對(duì)于這些機(jī)密文件缺乏統(tǒng)一、科學(xué)的管理體系，并且通常不會(huì)進(jìn)行加密處理，加上企業(yè)內(nèi)部安全部門(mén)疏于管理等，導(dǎo)致信息在內(nèi)部網(wǎng)絡(luò)中隨意流通，進(jìn)而為黑客提供了盜取企業(yè)內(nèi)部機(jī)密文件和信息數(shù)據(jù)的機(jī)會(huì)。

2.4 USB使用的問(wèn)題

USB是計(jì)算機(jī)感染病毒最常見(jiàn)的途徑之一。由于USB接口對(duì)文件傳輸效率高、便捷，因此，當(dāng)前人們對(duì)其使用頻率非常高，多數(shù)企業(yè)也會(huì)利用USB進(jìn)行文件拷貝等方面的處理。但是USB存在特殊性，而人們對(duì)其的安全防范意識(shí)較為不足。許多員工會(huì)互相借U盤(pán)拷貝文件，因此讓計(jì)算機(jī)之間的病毒相互感染，并且部分員工并沒(méi)有對(duì)U盤(pán)進(jìn)行殺毒的習(xí)慣，導(dǎo)致很多企業(yè)中的計(jì)算機(jī)基本上被交叉感染了病毒。為了最大程度地減少SB病毒的感染，可以將USB的封口完全堵死，或者利用相關(guān)的平臺(tái)和軟件進(jìn)行安全管理。

2.5 惡意代碼、黑客攻擊等影響

目前，很多企業(yè)將自身的內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)進(jìn)行資源共享，因此部分重要信息很容易被不法分子得知。另外，惡意代碼以及黑客的攻擊在很大程度上也嚴(yán)重影響到了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

3 內(nèi)部網(wǎng)絡(luò)安全防范方案的設(shè)計(jì)思路與策略

3.1 內(nèi)部網(wǎng)絡(luò)安全防范方案的整體設(shè)計(jì)與安全模型建立

為了能夠及時(shí)、有效地解決企業(yè)內(nèi)部網(wǎng)絡(luò)中存在的大量安全漏洞，保障網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，企業(yè)內(nèi)部的網(wǎng)絡(luò)安全防范方案設(shè)計(jì)如圖1所示。

該方案的上半部分屬于企業(yè)下級(jí)機(jī)構(gòu)，而下半部分屬于企業(yè)上級(jí)機(jī)構(gòu)。通常來(lái)說(shuō)，企業(yè)下級(jí)機(jī)構(gòu)與上級(jí)機(jī)構(gòu)的連接是通過(guò)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)的。在企業(yè)內(nèi)部網(wǎng)絡(luò)安全方案設(shè)計(jì)當(dāng)中，企業(yè)下級(jí)機(jī)構(gòu)不能直接與互聯(lián)網(wǎng)接通，只能通過(guò)企業(yè)上級(jí)機(jī)構(gòu)的外網(wǎng)與外界數(shù)據(jù)信息進(jìn)行傳輸交流。同時(shí)，下級(jí)機(jī)構(gòu)傳輸?shù)臄?shù)據(jù)信息必須經(jīng)過(guò)防火墻以及黑客入侵安全檢測(cè)系統(tǒng)的安全過(guò)濾。然而即便這樣，也難以保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全的萬(wàn)無(wú)一失，因此，筆者認(rèn)為在企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)方案中，必須加強(qiáng)硬件加密的部署以及數(shù)據(jù)通信的加密工作，以進(jìn)一步保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

3.2 內(nèi)部網(wǎng)絡(luò)安全防范的相關(guān)策略

3.2.1 保證內(nèi)部網(wǎng)絡(luò)中操作系統(tǒng)的安全

內(nèi)部操作系統(tǒng)的安全與否，直接影響到整個(gè)企業(yè)網(wǎng)絡(luò)的安全與穩(wěn)定。對(duì)于計(jì)算機(jī)操作系統(tǒng)而言，首先要保證內(nèi)部網(wǎng)絡(luò)中所有的用戶程序以及應(yīng)用服務(wù)等軟件在各種操作系統(tǒng)中的正常運(yùn)行。在進(jìn)行操作系統(tǒng)建設(shè)時(shí)，除了要加強(qiáng)安全補(bǔ)丁等基本操作之外，還要經(jīng)常進(jìn)行口令驗(yàn)證以及設(shè)置外網(wǎng)的訪問(wèn)權(quán)限等，以保證內(nèi)部網(wǎng)絡(luò)的絕對(duì)安全。

3.2.2 進(jìn)行網(wǎng)絡(luò)邊界安全防范，建立內(nèi)網(wǎng)型的邊界防護(hù)

國(guó)內(nèi)多數(shù)企業(yè)的內(nèi)部網(wǎng)絡(luò)在邊界安全防護(hù)方面做得并不到位。企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界應(yīng)當(dāng)對(duì)相關(guān)工作人員的資源訪問(wèn)設(shè)置權(quán)限。然而筆者通過(guò)調(diào)查發(fā)現(xiàn)，國(guó)內(nèi)很多企業(yè)的技術(shù)人員并沒(méi)有對(duì)其進(jìn)行設(shè)置，使得內(nèi)網(wǎng)的上下級(jí)機(jī)構(gòu)可隨意互連與訪問(wèn)，以及對(duì)內(nèi)部資源進(jìn)行上傳、下載，增加了傳播病毒以及木馬入侵等的危險(xiǎn)系數(shù)。所以，考慮到系統(tǒng)防護(hù)不能完全控制內(nèi)部員工的訪問(wèn)活動(dòng)，就需要為企業(yè)的各個(gè)部門(mén)建立一個(gè)相對(duì)安全的局域區(qū)，在這個(gè)區(qū)域內(nèi)可共享企業(yè)員工所需要的資源（不含任何機(jī)密文件），從而將危險(xiǎn)系數(shù)降到最低。

3.2.3 做好計(jì)算機(jī)網(wǎng)絡(luò)的日常維護(hù)工作

計(jì)算機(jī)網(wǎng)絡(luò)要加強(qiáng)日常的維護(hù)工作，主要做到2點(diǎn)：第一，在企業(yè)內(nèi)部的網(wǎng)絡(luò)建設(shè)中，要定期進(jìn)行安全方面的測(cè)試和修復(fù)，特別需要注意的是，要對(duì)網(wǎng)絡(luò)中的單個(gè)用戶定期進(jìn)行安全維護(hù)工作，并對(duì)網(wǎng)絡(luò)系統(tǒng)的每一個(gè)環(huán)節(jié)進(jìn)行檢查。如果網(wǎng)絡(luò)中某臺(tái)設(shè)備出現(xiàn)溫度過(guò)高等現(xiàn)象，要及時(shí)進(jìn)行診斷和處理。某臺(tái)設(shè)備出現(xiàn)問(wèn)題的頻率較高，還需對(duì)該設(shè)備進(jìn)行重點(diǎn)檢查，且要及時(shí)更換。第二，網(wǎng)速快慢關(guān)系到企業(yè)的生產(chǎn)效率，因此對(duì)網(wǎng)速的維護(hù)工作是企業(yè)通信系統(tǒng)維護(hù)的重要環(huán)節(jié)之_。通常在用網(wǎng)高峰期時(shí)，企業(yè)網(wǎng)絡(luò)速度較慢，這嚴(yán)重影響了企業(yè)員工的用網(wǎng)舒適度。對(duì)此，技術(shù)人員要經(jīng)常檢查交換機(jī)的使用情況，觀察燈的閃爍情況，進(jìn)而保證網(wǎng)絡(luò)傳輸?shù)耐〞承浴?/p>

3.2.4 加強(qiáng)口令密碼的安全性，對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行密鑰治理

企業(yè)內(nèi)部網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生，很多時(shí)候是由于使用者在使用計(jì)算機(jī)的過(guò)程中缺乏安全意識(shí)，從而導(dǎo)致網(wǎng)絡(luò)安全存在很大的漏洞。尤其是各個(gè)部門(mén)的人員通常沒(méi)有對(duì)機(jī)密文件設(shè)置密碼的習(xí)慣，對(duì)登錄口令也不會(huì)經(jīng)常修改以及檢查，這樣做不僅會(huì)使得重要文件丟失，也增加了黑客攻擊網(wǎng)絡(luò)的幾率。為了進(jìn)一步防范網(wǎng)絡(luò)入侵與惡意攻擊，技術(shù)人員要在目標(biāo)網(wǎng)絡(luò)中設(shè)置口令以及相關(guān)的入侵文件夾，企業(yè)員工可以用特殊的加密算法進(jìn)行口令解密。如果使用者在操作時(shí)將共享文件夾啟用，那么黑客就可以通過(guò)遠(yuǎn)程操作進(jìn)行攻擊。對(duì)此，企業(yè)內(nèi)部網(wǎng)絡(luò)管理員應(yīng)該定期修改口令，同時(shí)用口令驗(yàn)證存放的文件是否能夠正常打開(kāi)，以檢測(cè)存放口令的安全性，從而保證企業(yè)文件不被盜取。

4 設(shè)置內(nèi)部網(wǎng)絡(luò)的防火墻，部署內(nèi)部網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

企業(yè)內(nèi)部網(wǎng)絡(luò)主要依靠操作系統(tǒng)的穩(wěn)定性實(shí)現(xiàn)安全、順暢運(yùn)行，因此在日常維護(hù)工作中必須加強(qiáng)網(wǎng)絡(luò)操作系統(tǒng)的建設(shè)。眾所周知，企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)傳輸主要依靠路由器等設(shè)備來(lái)實(shí)現(xiàn)，在數(shù)據(jù)傳輸過(guò)程中要做好積極的防護(hù)措施，如分段進(jìn)行數(shù)據(jù)運(yùn)輸?shù)?。?dāng)前，企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅主要來(lái)自拒絕服務(wù)的黑客攻擊，為了使內(nèi)部網(wǎng)絡(luò)受到最大程度的安全保護(hù)，必須提升內(nèi)部網(wǎng)絡(luò)防火墻的安全性能，部署內(nèi)部網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以及合理設(shè)置網(wǎng)絡(luò)防火墻，使得傳輸?shù)臄?shù)據(jù)能夠被過(guò)濾和實(shí)時(shí)攔截，即時(shí)監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，及時(shí)發(fā)現(xiàn)與修補(bǔ)病毒以及攔截黑客的多種入侵，及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)存留的病毒以及系統(tǒng)漏洞等。通過(guò)進(jìn)行處理和修復(fù)，以進(jìn)一步加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全與穩(wěn)定性，從而在很大程度上保障企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。

5 結(jié)語(yǔ)

綜上所述，內(nèi)部網(wǎng)絡(luò)安全是當(dāng)前信息化時(shí)代業(yè)內(nèi)人士討論的熱點(diǎn)問(wèn)題。隨著大數(shù)據(jù)以及各種軟件應(yīng)用的快速發(fā)展及不斷演變，傳統(tǒng)的網(wǎng)絡(luò)防范手段已經(jīng)難以完全解決一些安全漏洞問(wèn)題，因此要把內(nèi)部網(wǎng)絡(luò)安全作為企業(yè)網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)來(lái)開(kāi)展工作。對(duì)此，筆者在文中結(jié)合自身工作經(jīng)驗(yàn)，提出了相關(guān)的內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案，能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題，具有一定的實(shí)踐應(yīng)用價(jià)值。