構(gòu)建計(jì)算機(jī)單位安全防范體系

田貴軍 楊挺 申屠斌帥 盧立海 李清

摘 要：本文在網(wǎng)絡(luò)信息安全等級(jí)保護(hù)理念下，將單位尤其是使用計(jì)算機(jī)頻率大的單位內(nèi)部網(wǎng)絡(luò)的安全防護(hù)的有效性作為最終目標(biāo)，對(duì)單位網(wǎng)絡(luò)信息安全存在的風(fēng)險(xiǎn)進(jìn)行深入分析，結(jié)合單位實(shí)際情況，提出了單位計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)方案，保障了單位總部內(nèi)部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)之間數(shù)據(jù)傳輸通信的安全性和可靠性。

關(guān)鍵詞：構(gòu)建 計(jì)算機(jī) 安全防范 體系

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-8882（2014）10-126-01

一、隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ詈凸ぷ髦胁豢扇鄙俚耐ㄐ殴ぞ撸W(wǎng)絡(luò)技術(shù)在社會(huì)各個(gè)領(lǐng)域中的應(yīng)用日益深入，由此，單位對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全性能的要求也逐漸提高。本文基于以上背景，在分析了單位網(wǎng)絡(luò)存在的威脅問題基礎(chǔ)單位上，提出了單位總部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)之間的安全構(gòu)建方案，具有較強(qiáng)的實(shí)際應(yīng)用價(jià)值。目前，我國大中型信息化建設(shè)中的關(guān)鍵部分就是信息安全建設(shè)，解決信息安全問題有利于企業(yè)信息化建設(shè)工作的全面推進(jìn)。單位信息安全建設(shè)的最終目的是要真正做到“防患于未然”，信息安全的有效性建設(shè)能夠控制企業(yè)信息化建設(shè)的總體成本，為單位節(jié)約大量資金，實(shí)現(xiàn)資源優(yōu)化配置。單位計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)工作要始終堅(jiān)持等級(jí)保護(hù)理念，才能促進(jìn)單位信息安全建設(shè)工作的穩(wěn)步實(shí)施，保證單位信息管理系統(tǒng)的建設(shè)符合行業(yè)標(biāo)準(zhǔn)和政策規(guī)定，全面提升單位在激烈的市場競爭中的競爭力。信息安全弱點(diǎn)與企業(yè)信息資源密切相關(guān)，信息安全弱點(diǎn)的暴露很有可能導(dǎo)致企業(yè)資產(chǎn)的嚴(yán)重?fù)p失。但是，信息安全弱點(diǎn)本身并不會(huì)為企業(yè)帶來損失，只是在特定的環(huán)境下被非法者利用后才會(huì)造成企業(yè)資產(chǎn)損失，例如，企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題，管理員的管理措施問題等，這些信息安全弱點(diǎn)都為非法攻擊者提供了非法入侵的可能。信息安全威脅指的是對(duì)企業(yè)資產(chǎn)構(gòu)成潛在性的破壞因素，信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素。信息安全威脅可能是偶然發(fā)生的事件，也有可能是人為蓄意制造的時(shí)間，包括信息泄露、信息篡改等，這些事件都會(huì)導(dǎo)致企業(yè)信息的可用性、完整性和保密性遭到破壞，屬于對(duì)企業(yè)信息的惡意攻擊。由于網(wǎng)絡(luò)特有的開放性特點(diǎn)，造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發(fā)生，信息安全領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全的研究也日益重視。根據(jù)大量網(wǎng)絡(luò)安全事件分析來看，企業(yè)信息管理系統(tǒng)的應(yīng)用設(shè)計(jì)存在著諸多缺陷和弊端，給情報(bào)機(jī)構(gòu)的非法入侵提供了極大的可能性。由此，內(nèi)容分級(jí)制度、脆弱性檢測(cè)技術(shù)、智能分析技術(shù)已經(jīng)廣泛應(yīng)用于企業(yè)信息系統(tǒng)開發(fā)過程中。通常單位計(jì)算機(jī)網(wǎng)絡(luò)安全存在的主要問題主要有以下幾點(diǎn)：首先是單位分部采用寬帶撥號(hào)上網(wǎng)的方式與企業(yè)總部實(shí)現(xiàn)通信傳輸，這種落后的網(wǎng)絡(luò)通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩?。企業(yè)信息安全級(jí)別較高的部門通過互聯(lián)網(wǎng)實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中，沒有采取任何數(shù)據(jù)加密措施，非常容易造成數(shù)據(jù)信息的泄露和篡改，同時(shí)，企業(yè)信息管理系統(tǒng)的操作應(yīng)用沒有設(shè)置明確的管理人員，導(dǎo)致其他非法用戶也可以入侵到企業(yè)內(nèi)部網(wǎng)絡(luò)中，對(duì)服務(wù)器數(shù)據(jù)進(jìn)行竊取和篡改。以上兩種網(wǎng)絡(luò)安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露，甚至給企業(yè)帶來不看估計(jì)的損失。

二、單位計(jì)算機(jī)網(wǎng)絡(luò)安全方案的構(gòu)建。在部署上網(wǎng)行為管理設(shè)備（SINFOR M5X00-AC）時(shí)，應(yīng)該開啟VPN功能，在企業(yè)總部內(nèi)部網(wǎng)絡(luò)的邊界防火墻設(shè)備中進(jìn)行端口映射，同時(shí)在企業(yè)分部網(wǎng)絡(luò)中安裝上網(wǎng)行為管理設(shè)備，并且與企業(yè)總部的上網(wǎng)行為管理設(shè)備共同利用VPN技術(shù)建立虛擬專用網(wǎng)絡(luò)，在對(duì)數(shù)據(jù)信息進(jìn)行加密后在互聯(lián)網(wǎng)上傳輸。企業(yè)在構(gòu)建虛擬專用網(wǎng)絡(luò)時(shí)，只要在任何一端的連接管理設(shè)置中輸入對(duì)方網(wǎng)絡(luò)地址，VPN設(shè)備就可以自動(dòng)進(jìn)行虛擬局域網(wǎng)組建，網(wǎng)絡(luò)中的任何計(jì)算機(jī)終端都可以通過虛擬專用網(wǎng)實(shí)現(xiàn)數(shù)據(jù)傳輸與共享。如果還有其他分部需要加入到虛擬局域網(wǎng)中，則可以通過輸入加密的訪問WAN扣地址實(shí)現(xiàn)。需要注意的是，已將連通的虛擬局域網(wǎng)的內(nèi)網(wǎng)網(wǎng)段不能完全相同。在部署上網(wǎng)行為管理設(shè)備時(shí)，由于訪問控制策略是信息安全策略的核心部分，也是對(duì)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)年P(guān)鍵保護(hù)措施，由此，需要對(duì)接入企業(yè)總部網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證，根據(jù)不同用戶的身份授予不同權(quán)限，再利用配置邏輯隔離服務(wù)器實(shí)現(xiàn)不同用戶身份對(duì)不同應(yīng)用服務(wù)器的接入，從而對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)信息管理系統(tǒng)進(jìn)行訪問和使用。同時(shí)，安全級(jí)別為五級(jí)的QoS安全機(jī)制能夠?yàn)槠髽I(yè)不同信息系統(tǒng)提供相應(yīng)的安全服務(wù)保障，并且可以按照業(yè)務(wù)類別劃分優(yōu)先級(jí)別，重要的數(shù)據(jù)信息將會(huì)獲得優(yōu)先傳輸?shù)臋?quán)限。

結(jié)語：計(jì)算機(jī)網(wǎng)絡(luò)飛速的發(fā)展以及Internet廣泛的應(yīng)用，在加快快單位及社會(huì)信息化進(jìn)程的同時(shí)，也帶來了很多的網(wǎng)絡(luò)安全問題。目前以Internet作為代表的信息網(wǎng)絡(luò)技術(shù)應(yīng)用，正在單位之中得到廣泛的普及，而Internet在單位中應(yīng)用的領(lǐng)域也在逐漸的變大與擴(kuò)展。但網(wǎng)絡(luò)安全已經(jīng)成了影響網(wǎng)絡(luò)效能重要的問題，而又因?yàn)镮nternet本身的自由行、國際性、開放性使得單位網(wǎng)絡(luò)的安全很難以得到保障。網(wǎng)絡(luò)安全是一個(gè)極為復(fù)雜的系統(tǒng)，作為一個(gè)單位必須通過多種防范策略的相互配合，建立健全多層次、全方位安全防范體系，才能夠在整體上提高單位網(wǎng)絡(luò)安全性。

參考文獻(xiàn)：

[1]李正忠.電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則與實(shí)踐[J].中國新通信，2013，09：25-27.

[2]王迅.電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析[J].科技傳播，2013，07：217+209.

[3]陳瑋.企業(yè)無線網(wǎng)絡(luò)移動(dòng)辦公的安全接入問題分析[J].信息通信，2013，03：239.

作者簡介：田貴軍（1991-），男，土家族，本科，研究方向：計(jì)算機(jī)相關(guān)專業(yè)；楊挺（1989-），男，土族，本科，研究方向：計(jì)算機(jī)相關(guān)專業(yè)；申屠斌帥（1993-），男，漢族，本科，研究方向：計(jì)算機(jī)相關(guān)專業(yè)；盧立海（1992-），男，壯族，本科，研究方向：計(jì)算機(jī)相關(guān)專業(yè)；李清（1992-），男，白族，本科，研究方向：計(jì)算機(jī)相關(guān)專業(yè)。