張佳瑩

(上海電氣集團(tuán)上海電機(jī)廠有限公司，上海　200240)

企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全研究分析

張佳瑩

(上海電氣集團(tuán)上海電機(jī)廠有限公司，上海200240)

摘要：現(xiàn)今企業(yè)信息傳遞越來越依賴于計(jì)算機(jī)和網(wǎng)絡(luò)，雖然提供了良好的工作效率和便捷性，但由于惡意攻擊、安全管理和內(nèi)部泄密等造成的信息安全問題層出不窮。企業(yè)遭遇越來越嚴(yán)重的威脅，都迫切地希望解決信息安全問題，構(gòu)建一個(gè)符合自身發(fā)展的信息安全系統(tǒng)。文章分析了企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全的威脅，針對(duì)這些威脅著重探討了解決方法和技術(shù)措施，最后介紹了企業(yè)內(nèi)部網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)。

關(guān)鍵詞：信息安全；內(nèi)部網(wǎng)絡(luò)；安全威脅；發(fā)展趨勢(shì)

0引言

信息安全在國(guó)際標(biāo)準(zhǔn)化委員會(huì)的定義為“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞(可用性)、更改(完整性)、顯露(機(jī)密性)?！毖芯亢头治銎髽I(yè)內(nèi)部網(wǎng)絡(luò)信息安全可有效地防范重要信息被竊取、篡改、破壞而導(dǎo)致的泄密，確保內(nèi)部網(wǎng)絡(luò)完整性、保密性、可用性、不可否認(rèn)性、可控性，可有效減少企業(yè)損失。[1]

1企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全隱患

企業(yè)內(nèi)網(wǎng)從信息安全作用點(diǎn)來看，一般分為三個(gè)層次：物理(硬件)安全、運(yùn)行(系統(tǒng))安全和數(shù)據(jù)(信息)安全。

1.1內(nèi)網(wǎng)中物理安全隱患

物理安全是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護(hù)。[2]內(nèi)網(wǎng)中的計(jì)算機(jī)和服務(wù)器等基礎(chǔ)設(shè)施容易被病毒感染導(dǎo)致竊密、失密、泄密的安全隱患;各類移動(dòng)存儲(chǔ)介質(zhì)和光盤刻錄等，由于其方便小巧，存儲(chǔ)量大，易攜帶等特點(diǎn)，可能會(huì)被人為利用泄密；自然災(zāi)害、設(shè)備故障和計(jì)算機(jī)丟失等因素，又可能導(dǎo)致數(shù)據(jù)的大量丟失和損壞。

1.2內(nèi)網(wǎng)中的系統(tǒng)安全漏洞隱患

黑客會(huì)利用計(jì)算機(jī)的系統(tǒng)漏洞進(jìn)行攻擊，竊取用戶數(shù)據(jù)或者進(jìn)行破壞，或者利用系統(tǒng)中的郵件和應(yīng)用漏洞來達(dá)到目的。索尼影視公司被黑客攻擊盜取了大量的商業(yè)機(jī)密和未上映的電影數(shù)字文件，對(duì)公司造成了不可挽回的損失，就是由于黑客利用了“零日漏洞”。

1.3內(nèi)網(wǎng)的數(shù)據(jù)安全隱患

企業(yè)內(nèi)部網(wǎng)絡(luò)信息傳遞過程中，企業(yè)內(nèi)部用戶通過外發(fā)郵件附件或者互聯(lián)網(wǎng)中FTP上傳，故意、無意泄密和失密；非企業(yè)用戶接入內(nèi)部網(wǎng)絡(luò)后通過內(nèi)網(wǎng)的資源共享完成盜密；企業(yè)分支合作伙伴或者移動(dòng)辦公用戶在與企業(yè)內(nèi)部用戶進(jìn)行數(shù)據(jù)傳輸時(shí)失密。

2企業(yè)內(nèi)網(wǎng)信息安全解決方法

2.1身份認(rèn)證技術(shù)

企業(yè)計(jì)算機(jī)用戶可通過加入同一個(gè)工作組或者同個(gè)域的方式，給企業(yè)計(jì)算機(jī)用戶一個(gè)合法身份并防止該身份信息被竊取。還可建立虛擬安全域，將用戶組織架構(gòu)劃分為幾個(gè)邏輯虛擬安全域，將其作為系統(tǒng)管理單元，域內(nèi)可正常通信，不同域間不可通信，以此來保證信息數(shù)據(jù)傳輸安全。

2.2內(nèi)網(wǎng)信息備份和恢復(fù)

備份與恢復(fù)既保護(hù)了信息數(shù)據(jù)的安全，也使數(shù)據(jù)在任何情況下都具有可使用性。常用的備份策略主要包括：完全備份、增量備份和差分備份。使用備份軟件和ORACLE，SQL等工具進(jìn)行物理備份和邏輯備份，也可定期將重要系統(tǒng)和用戶信息數(shù)據(jù)光盤刻錄進(jìn)行備份存儲(chǔ)。

2.3數(shù)據(jù)加密技術(shù)

在計(jì)算機(jī)網(wǎng)絡(luò)中，加密技術(shù)是公司主要安全保密措施，為提高公司內(nèi)網(wǎng)信息的安全性和保密性，防止重要機(jī)密數(shù)據(jù)泄密、失密所采用的最常用的安全保密手段。其原理是利用技術(shù)手段把重要的數(shù)據(jù)加密傳送，通過網(wǎng)絡(luò)傳輸后再用技術(shù)手段解密成明文(圖1)。

圖1　數(shù)據(jù)加密技術(shù)原理

1)企業(yè)內(nèi)部可進(jìn)行郵件加密。對(duì)Webmail端和HTTPS方式發(fā)送的郵件及其附件進(jìn)行加密，在同一個(gè)內(nèi)網(wǎng)或虛擬安全域下，收信時(shí)自動(dòng)解密。而發(fā)往外網(wǎng)或非公司計(jì)算機(jī)的郵件則被加密不能被查看。這樣可以使公司用戶在內(nèi)網(wǎng)或虛擬安全域下自由收發(fā)郵件交流信息，而在非企業(yè)內(nèi)網(wǎng)下除非經(jīng)過企業(yè)指定人員審計(jì)授權(quán)，利用解密才可以發(fā)送明文郵件，否則不能發(fā)送加密文件(圖2)。

圖2　加密解密策略

2)企業(yè)對(duì)用戶在互聯(lián)網(wǎng)上傳的文件進(jìn)行加密，經(jīng)過企業(yè)指定人員審計(jì)授權(quán)，才可解密發(fā)送明文，并記錄所有用戶上傳和下載至互聯(lián)網(wǎng)的文件。

3)利用SSL VPN保證移動(dòng)辦公用戶與企業(yè)內(nèi)部的數(shù)據(jù)傳輸安全。

4)對(duì)用戶使用的計(jì)算機(jī)硬盤進(jìn)行數(shù)據(jù)加密，防止數(shù)據(jù)被竊取和丟失。

2.4網(wǎng)絡(luò)監(jiān)控和授權(quán)

1)通過安裝防病毒軟件，實(shí)時(shí)監(jiān)控計(jì)算機(jī)被病毒或黑客攻擊的情況，根據(jù)企業(yè)IT管理員設(shè)置的刪除或隔離命令，對(duì)內(nèi)部攻擊、外部攻擊提供實(shí)時(shí)保護(hù)，提高信息安全性。

2)實(shí)時(shí)遠(yuǎn)程監(jiān)視和控制企業(yè)計(jì)算機(jī)，包括安裝應(yīng)用程序、服務(wù)、驅(qū)動(dòng)及他們的運(yùn)行狀態(tài)，當(dāng)前網(wǎng)絡(luò)連接狀態(tài)、打開的窗口、運(yùn)行的進(jìn)程、系統(tǒng)的用戶和用戶組、共享目錄、當(dāng)前的屏幕截圖等信息，并可以實(shí)時(shí)遠(yuǎn)程控制企業(yè)計(jì)算機(jī)的所有操作，對(duì)企業(yè)計(jì)算機(jī)的操作進(jìn)行干預(yù)。

3)企業(yè)IT管理員通過用黑白名單的方式監(jiān)控計(jì)算機(jī)用戶訪問的互聯(lián)網(wǎng)網(wǎng)址范圍，同時(shí)還可以進(jìn)行審計(jì)和記錄。

4)企業(yè)IT管理員對(duì)內(nèi)網(wǎng)中計(jì)算機(jī)的外設(shè)端口如藍(lán)牙、紅外、1394口和打印機(jī)端口等部署其禁用還是啟用狀態(tài)，還可設(shè)置USB移動(dòng)存儲(chǔ)設(shè)備的禁用和加密等。

5)阻止公司內(nèi)網(wǎng)中不符合規(guī)定的計(jì)算機(jī)接入企業(yè)內(nèi)部網(wǎng)絡(luò)，阻隔病毒感染和信息泄露。

6)企業(yè)IT管理員通過監(jiān)控郵件方式管理企業(yè)內(nèi)部用戶發(fā)送的郵件及其附件。企業(yè)用戶通過允許使用的郵件服務(wù)器和地址才可發(fā)送郵件，并詳細(xì)記錄企業(yè)內(nèi)網(wǎng)用戶發(fā)送和接收的郵件內(nèi)容和時(shí)間。

2.5防火墻

防火墻是指一個(gè)由軟件和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。集中管理和控制的客戶端防火墻，其策略由管理員指定，可以根據(jù)IP地址、網(wǎng)絡(luò)端口和數(shù)據(jù)流向等設(shè)定客戶端計(jì)算機(jī)或者用戶訪問的權(quán)限，以白名單或者黑名單的方式工作。[3]例如發(fā)現(xiàn)蠕蟲病毒，可及時(shí)全網(wǎng)統(tǒng)一封鎖相應(yīng)的傳播端口，從而有效控制該類型病毒的破壞程度。

2.6漏洞管理

對(duì)計(jì)算機(jī)或服務(wù)器系統(tǒng)定期進(jìn)行漏洞掃描和配置核查，如有補(bǔ)丁及時(shí)更新避免黑客利用漏洞進(jìn)行攻擊。

3企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全技術(shù)發(fā)展趨勢(shì)

3.1云安全 Cloud Security

出于降本增效方面考慮，企業(yè)建立自己私有云的越來越多，通過各種云服務(wù)，也使得用戶可以著手處理以往無法處理的、大規(guī)模的數(shù)據(jù)。云安全是指融合并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過計(jì)算機(jī)對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取木馬、惡意程序的最新信息，傳送到服務(wù)端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)計(jì)算機(jī)下，使計(jì)算機(jī)受到保護(hù)。[4]

3.2移動(dòng)客戶端安全

在這個(gè)移動(dòng)互聯(lián)網(wǎng)的大時(shí)代背景下，智能手機(jī)系統(tǒng)、平板電腦等移動(dòng)客戶端的出現(xiàn)讓各類信息能更為快速便捷的傳遞，也使得信息安全尤為重要。除了在移動(dòng)客戶端中安裝殺毒軟件、手機(jī)防盜等，高端企業(yè)用戶可專門定制移動(dòng)端，開發(fā)針對(duì)企業(yè)內(nèi)部用戶的加密模塊及遠(yuǎn)程鎖定、遠(yuǎn)程數(shù)據(jù)擦除、數(shù)據(jù)備份和恢復(fù)、GPS定位、自動(dòng)報(bào)警等反盜竊防丟失功能，防止內(nèi)部泄密和黑客攻擊。

4結(jié)語(yǔ)

企業(yè)越來越重視自身內(nèi)部網(wǎng)絡(luò)的安全性，而現(xiàn)今社會(huì)網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，決定了信息安全必須依靠企業(yè)人員管理和網(wǎng)絡(luò)安全技術(shù)才能更好的進(jìn)行防護(hù)。本文通過對(duì)企業(yè)內(nèi)部信息安全所面臨的幾大重要問題進(jìn)行有的放矢的分析，有針對(duì)的提出了加密、監(jiān)控、通過各種安全支持技術(shù)的解決方案。

參考文獻(xiàn)

[1] 楊向明.論數(shù)字信息資源的網(wǎng)絡(luò)安全[J].中國(guó)圖書館學(xué)報(bào),2004(2)：68-70．

[2] 周為民.網(wǎng)絡(luò)信息安全技術(shù)綜述[J].甘肅科技,2009(17)：226-229．

[3] 呂佳.防火墻技術(shù)及在圖書館局域網(wǎng)中的應(yīng)用[J].內(nèi)蒙古科技與經(jīng)濟(jì),2010(4)：140-141.

[4] 蔣國(guó)松，高永梅，吳功才，等. Web2.0時(shí)代計(jì)算機(jī)病毒防御策略研究[J].計(jì)算機(jī)安全,2010(5)：9-13.