林志達，張華兵，曹小明，盧偉開

（1.中國南方電網有限責任公司數字化部，廣東廣州 510700；2.南方電網數字電網研究院有限公司平臺安全分公司，廣東 廣州 510700）

隨著互聯(lián)網技術的飛速發(fā)展，網絡在各個行業(yè)中發(fā)揮著重要的作用，企業(yè)信息的日常維護、安全生產、人事管理等越來越依賴互聯(lián)網，給企業(yè)帶來經濟效益的同時也帶來了更多的網絡安全問題，如果網絡出現安全風險，企業(yè)信息將會遭到泄露，其生產和辦公將無法正常運行[1]。

目前，企業(yè)網絡出現的安全問題包括：企業(yè)網絡受到黑客、病毒、拒絕服務攻擊，黑客以非法手段獲取企業(yè)操作系統(tǒng)的口令[2]，強行闖入企業(yè)網絡系統(tǒng)，以此竊取企業(yè)信息，而病毒則將非法數據寫入到企業(yè)的操作系統(tǒng)中，從而拷貝企業(yè)網絡系統(tǒng)中磁盤上的企業(yè)信息。除此之外，企業(yè)網絡自身存在安全漏洞，安全漏洞來源于企業(yè)的操作系統(tǒng)、網絡協(xié)議與網絡服務[3]。面對這些安全風險，企業(yè)把優(yōu)勢資源只投入到安全漏洞方面，關注保護性控制，不重視對企業(yè)信息網絡安全的日常防護，從而不能有效防護來自企業(yè)內部網絡系統(tǒng)與外部網絡的共同威脅[4]。

基于此，該文構建了一種基于堡壘機技術的企業(yè)信息網絡安全防護模型，在企業(yè)網絡系統(tǒng)和外部網絡之間設置堡壘機，將企業(yè)信息網絡安全防護方案與風險因素進行整合，從而得出針對企業(yè)信息網絡安全的防護流程，最后通過實驗驗證該文設計的基于堡壘機技術的企業(yè)信息網絡安全防護模型的網絡安全防護能力。

1 安全防護模型結構

針對企業(yè)網絡目前存在的一些安全風險，結合堡壘機技術[5]，得到企業(yè)信息網絡安全防護模型結構，如圖1 所示。

圖1 企業(yè)信息網絡安全防護模型結構

防火墻將網絡系統(tǒng)中企業(yè)信息數據進行打包操作，并按照網絡安全協(xié)議進行過濾，可以保障企業(yè)內部網絡和堡壘機免受外界入侵。企業(yè)內部網絡在其與互聯(lián)網連通的端口處安裝防火墻[6]，企業(yè)內部網絡內所有的原始信息和企業(yè)計算機發(fā)送的信息都要經過防火墻，它可以幫助企業(yè)內部網絡過濾所有進、出網絡的信息數據，能夠阻止黑客對企業(yè)網絡系統(tǒng)進行攻擊，可以有效控制進、出企業(yè)網絡系統(tǒng)的訪問次數，并管理其訪問行為。如果互聯(lián)網存在對企業(yè)信息不利的業(yè)務，防火墻可以對其進行封堵，禁止其訪問企業(yè)內部網絡[7]。除此之外，防火墻可以實時記錄進、出企業(yè)內部網絡系統(tǒng)的信息內容和訪問地址，通過與堡壘機技術有機結合，對外界攻擊進行實時監(jiān)測并發(fā)出入侵報警，關閉互聯(lián)網和企業(yè)內部網絡連接的端口，以便進行網絡安全防護工作。信息網絡收集邏輯架構如圖2 所示。

圖2 信息網絡收集邏輯架構

信息網絡收集邏輯架構中的VPN 也叫作虛擬專用網絡，是一種先進的網絡技術，采用堡壘機技術在互聯(lián)網上構建企業(yè)網絡，通過身份認證方式對企業(yè)信息進行加密，并對網絡客戶端進行密碼檢查。VPN 可以在堡壘機與堡壘機或服務器之間，對向企業(yè)網絡發(fā)送的信息內容進行身份認證。通過虛擬傳輸接口，讓兩個處于不同客戶端的用戶感覺是在同一個客戶端上，安全、沒有限制地進行網絡信息傳輸，企業(yè)的合作伙伴、員工、領導等可以安全地登錄企業(yè)局域網，瀏覽企業(yè)信息[8]。采集的數據類型與數量如表1 所示。

表1 采集的數據類型與數量

為保護企業(yè)信息中的私有信息不遭到泄密，在企業(yè)局域網內設有專門的內部信息子網，其包含企業(yè)的公共信息和私有信息，采用網絡安全協(xié)議和防護策略，在內部信息子網的登錄處設置了訪問端口，對訪問用戶進行嚴格的控制[9]。當有緊急情況發(fā)生時，內部信息子網可以與企業(yè)網絡和公共網絡完全隔離，公共網絡查看企業(yè)私有信息只能通過堡壘機技術查看。

企業(yè)內、外部資源訪問內部信息子網需要進行嚴格的控制，內部訪問資源可以使用較為薄弱的防護策略，對外部網絡提供服務，對訪問用戶進行多種控制。外部訪問控制是企業(yè)內的一種信息資源控制，企業(yè)外部用戶訪問企業(yè)內部資源時，可以對其進行身份認證[10]。如果遠端用戶想要訪問企業(yè)信息，需要由企業(yè)外部資源控制驗證其身份，檢查訪問權限，查看訪問級別，才可允許訪問。

2 安全防護基本流程

基于堡壘機技術的企業(yè)信息網絡安全防護的關鍵是將堡壘機技術和網絡安全防護策略進行結合，在身份認證、控制檢查、訪問內容、訪問級別、管理權限、構建、測試環(huán)節(jié)[11]融入安全風險與防護方法。企業(yè)信息網絡安全防護方法如圖3 所示。

圖3 企業(yè)信息網絡安全防護方法

堡壘機技術下的企業(yè)信息網絡安全防護方法被利用在防護流程中，安全風險發(fā)現階段始于身份認證階段，訪問內容在遠端用戶訪問企業(yè)內部信息子網時獲得，并在測試階段反映給控制系統(tǒng)[12]。根據以上給出的網絡安全防護方法，基于堡壘機技術的企業(yè)信息網絡安全防護的基本流程如圖4 所示。

圖4 企業(yè)信息網絡安全防護基本流程

企業(yè)信息網絡安全防護過程從企業(yè)信息分類開始，在企業(yè)信息分類過程中，建立企業(yè)信息模型并對其進行分析，信息分類階段會產生信息分類列表、分類列表的網絡安全級別、訪問控制向量，為基于堡壘機技術的企業(yè)信息建模提供基礎[13]。信息分類階段可以是使用級、網絡級、企業(yè)級或者信息級，該階段會擴展信息訪問功能，以此獲得遠端用戶訪問企業(yè)內部信息子網的效果矩陣，訪問權限控制功能會建立企業(yè)級的防護措施，防護措施通過訪問權限矩陣得出的結果返回到企業(yè)信息分類列表中，顯示訪問的信息內容，生成訪問級別，并記錄堡壘機與企業(yè)局域網、企業(yè)網絡和公共網絡之間出現的安全風險。遠端用戶訪問企業(yè)網絡而形成的控制矩陣會產生以下三種結果：

1）企業(yè)網絡控制系統(tǒng)。利用控制矩陣對堡壘機技術下的信息訪問效果進行評估，需要企業(yè)網絡控制系統(tǒng)提供當前影響訪問效果的因素，以此識別出企業(yè)網絡控制系統(tǒng)的運行狀態(tài)，從而確認系統(tǒng)是否需要觸發(fā)更新[14]。采用企業(yè)網絡的內部控制資源輸出控制效果，通過網絡安全授權控制器記錄控制結果，該控制結果可以更清晰地顯示非法入侵者攻擊企業(yè)網絡使用的攻擊手段。

2）網絡安全防護結構圖。對控制矩陣進行定量分析，利用分析結果可形成企業(yè)信息網絡安全防護結構圖，并形成可視化的訪問架構，企業(yè)信息分類列表的大小可間接反映控制矩陣的規(guī)模[15]。得到的企業(yè)信息安全態(tài)勢模型如圖5 所示。

圖5 企業(yè)信息安全態(tài)勢模型

3）企業(yè)信息訪問記錄。該記錄可直觀顯示外界對企業(yè)內部網絡攻擊的情況，攻擊的目的是訪問企業(yè)信息，獲取企業(yè)公共信息和私有信息，并粘貼和復制自身數據。企業(yè)信息訪問記錄與網絡安全防護結構圖中使用的數據集合相同，基于堡壘機技術的企業(yè)信息網絡安全防護流程的最后階段是產生或輸出。網絡安全防護結構圖也是一種防御工具[16]，可以有效阻止來自企業(yè)內部網絡和外部網絡的攻擊，與企業(yè)信息訪問記錄聯(lián)合，成為企業(yè)信息網絡安全防護控制的模范記錄。

3 實驗研究

為了驗證該文建立的基于堡壘機技術的企業(yè)信息網絡安全防護模型的防護效果，通過實驗與其他網絡安全防護模型進行對比。該文建立的網絡安全防護模型從訪問控制、訪問權限、安全風險分析和預處理4 個方面進行分析，采用堡壘機技術下的網絡安全防護方法，分析企業(yè)內部網絡存在的安全隱患以及安全隱患的來源。

該文建立的網絡安全防護模型能夠很好地應對企業(yè)網絡內部出現的安全隱患，遠端用戶訪問企業(yè)內部信息子網的行為可由網絡安全授權控制器控制，減少遠端用戶對企業(yè)內部網絡造成的威脅，保證企業(yè)網絡安全、穩(wěn)定運行，對企業(yè)漏洞防護數據、企業(yè)信息保密數據、企業(yè)內部資源數據進行大數據分析，能夠更快速地篩選出對企業(yè)網絡安全造成威脅的數據，與其他網絡安全防護模型相比[17-18]，篩選效率更高，準確性更好。與此同時，企業(yè)外部資源數據庫采集海量的原始信息輸入、輸出潛在威脅參數，并優(yōu)先對這些潛在的威脅參數進行可行化分析和處理。

面對企業(yè)網站遭受攻擊量大、安全漏洞多、攻擊強度大等問題，其他的網絡安全模型只分析攻擊類型和尋找網絡安全隱患，不能有效解決攻擊量和漏洞量大的問題。設攻擊漏洞為25 個，為了有效減少漏洞量，降低外界攻擊強度，綜合分析時間維度訪問量、攻擊量、信息業(yè)務訪問量、空間維度訪問量，得出企業(yè)網絡系統(tǒng)漏洞防護分析實驗結果，如表2 所示。

表2 系統(tǒng)漏洞防護分析實驗結果

由表2 可知，基于該文建立的網絡安全防護模型，漏洞量非常小，遠遠小于其他企業(yè)網站的漏洞量，說明該文設計的網絡安全防護模型防護等級高，有效阻止了外界的攻擊和入侵，提高了企業(yè)內部網絡安全防護能力，有效整合了各類企業(yè)信息系統(tǒng)，擴展了網絡安全分析的維度，增強了對大量威脅事件的檢測能力、取證能力和處理能力。產生這一結果的原因在于該文建立的基于堡壘機技術的企業(yè)信息網絡安全防護模型具有較強的網絡安全防護能力，其防護效果均優(yōu)于其他網絡安全防護模型，能夠有效減少漏洞量，阻止外界攻擊企業(yè)內部網絡，具有更高的有效性和可行性。

4 結束語

該文針對企業(yè)安全漏洞多、網絡安全防護能力差等問題，建立了基于堡壘機技術的企業(yè)信息網絡安全防護模型，實驗結果表明，該模型提升了防護效果和應對安全事件的主動性，具有較高的有效性和可行性。