企事業(yè)單位辦公內(nèi)網(wǎng) 安全建設需求探究及實施措施

康明

摘 要：本文思路為：背景描述、內(nèi)網(wǎng)信息安全現(xiàn)狀、原因探究、內(nèi)網(wǎng)安全需求、內(nèi)網(wǎng)安全建設具體實施措施。

關鍵詞：信息安全；內(nèi)網(wǎng)安全；防控意識

中圖分類號：U698 文獻標識碼：A 文章編號：1006—7973（2018）8-0026-02

1 內(nèi)網(wǎng)安全需求探究

1.1 內(nèi)網(wǎng)安全現(xiàn)狀及原因

隨著網(wǎng)絡技術的普及、社會網(wǎng)絡信息化深入和企事業(yè)單位無紙化辦公進程的加快，一般單位內(nèi)的日?；A工作都需要網(wǎng)絡提供支持和服務。出于內(nèi)部辦公安全需要，內(nèi)網(wǎng)系統(tǒng)已經(jīng)成為很多單位信息和辦公平臺的主要載體。如內(nèi)部交流通訊、郵件傳輸、打印機共享、FTP文件共享、內(nèi)部視頻會議、內(nèi)部信息發(fā)布等。隨著內(nèi)網(wǎng)中服務器、終端、辦公軟件、辦公人員的增多，系統(tǒng)承載信息量的增大以及對核心信息安全保護要求的提高，內(nèi)網(wǎng)系統(tǒng)承載著巨大的單位安全辦公壓力。一個小小的疏忽或是失誤都可能帶來網(wǎng)絡無法正常工作，甚至是整個系統(tǒng)的癱瘓；一個小小的木馬和員工有意無意的信息泄密，則會給個人和單位帶來無法挽回的經(jīng)濟損失。因此，辦公內(nèi)網(wǎng)安全已經(jīng)成為每個單位不得不面臨的問題。

目前企事業(yè)單位的辦公內(nèi)網(wǎng)安全現(xiàn)狀主要呈現(xiàn)如下幾個特點：

1.1. 1領導層對內(nèi)網(wǎng)安全缺乏認識

很多企事業(yè)單位只把單位業(yè)務發(fā)展看成是頭等大事，只要日常工作還能在網(wǎng)絡辦公系統(tǒng)上正常開展，即使是系統(tǒng)面臨崩潰勉強運轉，高層領導都容易忽視網(wǎng)絡安全問題。他們的意識還沒有與信息時代同步，對網(wǎng)絡的認識和重視不夠，缺乏網(wǎng)絡安全危機感，等到真正出了問題才焦頭爛額填補空當、解決難題。

1.1.2內(nèi)部工作人員的安全意識亟待提高

單位內(nèi)部的普通員工不注意安全操作，隨意安裝軟件或者將外來設備帶入內(nèi)網(wǎng)，內(nèi)網(wǎng)電腦隨意接入外部網(wǎng)絡，辦公專用U盤不注意區(qū)別隔離在內(nèi)外網(wǎng)上任意使用等等行為，都會給單位辦公內(nèi)網(wǎng)帶來嚴重的安全隱患。據(jù)不完全統(tǒng)計，80%的信息安全事件來自內(nèi)部員工的違規(guī)操作。

1.1.3缺乏有效的終端監(jiān)管體系

內(nèi)網(wǎng)安全辦公涉及到大量的計算機終端、操作用戶和軟件系統(tǒng)。使用環(huán)境的復雜性決定了內(nèi)網(wǎng)辦公系統(tǒng)必須進行安全有效的集中管理和監(jiān)控，同時對全網(wǎng)的操作進行詳細的日志記錄，以便出現(xiàn)違法違規(guī)操作時進行溯源追責，幫助網(wǎng)管人員提升對內(nèi)網(wǎng)辦公系統(tǒng)的維護效率，降低安全隱患和風險。避免網(wǎng)管人員成為臨時救火員，平時無人維護，出現(xiàn)問題再去抓壯丁，應該形成主動防范、積極應對的機制。

1.2 內(nèi)網(wǎng)安全需求

企事業(yè)單位內(nèi)網(wǎng)安全辦公，一般需要達到如下要求：

（1）要求內(nèi)外網(wǎng)終端進行嚴格的物理隔離，禁止涉密機器接入互聯(lián)網(wǎng)。

（2）要求對辦公終端進行集中管理和統(tǒng)計，對于各種操作能追根溯源。

（3）要求終端使用固定的內(nèi)部IP，并匹配MAC地址，杜絕IP沖突。

（4）要求對網(wǎng)絡行為進行實時控制，實時記錄并保存相關各類日志。

（5）要求對網(wǎng)絡上的潛在安全威脅做到事前預防，事中記錄，事后追蹤。

（6）要求對各廠家的不同網(wǎng)絡設備能做到統(tǒng)一監(jiān)控管理。

（7）要求對網(wǎng)絡中出現(xiàn)的故障、違規(guī)操作行為及時報警。

（8）要求內(nèi)部網(wǎng)絡呈現(xiàn)可視化，清晰化，易于管控的網(wǎng)絡結構。

（9）要求對各類存儲介質進行嚴格管理，做好加密措施避免信息泄露。

（10）要求對內(nèi)網(wǎng)的計算機終端能做到統(tǒng)一的系統(tǒng)補丁更新。

2 內(nèi)網(wǎng)安全建設規(guī)劃

根據(jù)內(nèi)網(wǎng)建設安全需求，對內(nèi)網(wǎng)功能建設進行如下規(guī)劃：

2.1非法外聯(lián)控制

實現(xiàn)內(nèi)網(wǎng)終端的固定IP與MAC綁定，未經(jīng)授權的終端無法通過如撥號上網(wǎng)、3G無線網(wǎng)卡上網(wǎng)、無線網(wǎng)卡接入等各種方式訪問外部互聯(lián)網(wǎng)，杜絕內(nèi)部信息泄密風險和外網(wǎng)病毒入侵風險。同時，需要對不同部門的計算機進行邏輯分域管理（不僅僅是網(wǎng)絡VLAN的劃分），并且根據(jù)計算機的使用性質，設置不同等級的保護策略，從而避免秘密信息的隨意傳播和泄密。

2.2非法接入控制

單位辦公內(nèi)網(wǎng)一般規(guī)模較大，懷有惡意的外部人員會通過將自己的計算機接入內(nèi)部的涉密網(wǎng)絡，這就可能導致信息泄密，及其他威脅信息安全的事件發(fā)生。因此，必須隔離本單位以外的計算機終端，實現(xiàn)禁止外部計算機終端在未經(jīng)任何授權的情況下通過網(wǎng)絡接口連接接入辦公內(nèi)網(wǎng)。對于各種違規(guī)接入行為通過密碼進行權限限制，并主動記錄訪問行為和路徑，以便有據(jù)可查。

2.3身份認證管理

單位內(nèi)部辦公人員數(shù)量多，所屬部門的職責和權限各不相同，如果某個工作人員訪問了其權限之外的信息和文件，如涉密計算機、數(shù)據(jù)庫服務器等，將會對內(nèi)網(wǎng)的信息安全構成非常重大的威脅。因此，必須擁有一套完善的用戶身份認證體系，對單位內(nèi)部辦公人員進行認證和授權。每個人只能訪問權限范圍以內(nèi)的計算機、文件和網(wǎng)絡資源等。為了確保進入內(nèi)網(wǎng)的操作人員安全可信，可以對操作人員統(tǒng)一分配獨立賬戶并指定操作權限，對進入內(nèi)網(wǎng)的操作行為進行記錄備查。

2.4共享文件管理

實現(xiàn)單位內(nèi)部文件的安全共享，通過密碼機制允許指定人員訪問操作數(shù)據(jù)，防止共享文件違規(guī)外流造成的信息泄密。同時對單位內(nèi)指定設備進行共享，提高辦公效率，節(jié)約辦公成本，避免外部終端接入進行惡意操作。

2.5移動介質管理

移動存儲設備是另一個主要的信息傳遞通道。根據(jù)單位辦公工作需要，經(jīng)常會通過U盤、移動硬盤等移動存儲設備交換數(shù)據(jù)，這就大大增加了信息泄露的可能性。因此，必須對在內(nèi)網(wǎng)中使用的移動存儲設備進行統(tǒng)一授權管理，禁止不受信設備接入內(nèi)網(wǎng)，對受信設備明確使用范圍，使其可以在內(nèi)網(wǎng)中正常使用，在未經(jīng)授權時不能將數(shù)據(jù)帶出內(nèi)網(wǎng)。同時，要求能夠實現(xiàn)內(nèi)部移動存儲設備在外網(wǎng)中使用時，主動防護病毒侵害。在遺失后，通過密碼保護措施防止信息泄露。

2.6應用軟件管理

對內(nèi)網(wǎng)用戶的計算機非法軟件使用行為進行監(jiān)控，防止用戶在上班時間使用游戲軟件、炒股軟件等，通過黑白名單對大部分應用程序進行行為管理。

2.7文件主動分發(fā)與日志管理

通過服務端管理平臺，實現(xiàn)內(nèi)網(wǎng)自動分發(fā)軟件到各終端PC，以備單位辦公軟件的推廣使用。內(nèi)網(wǎng)網(wǎng)絡管理員可以在服務端隨時查看網(wǎng)絡日志，以便對網(wǎng)絡上存在的安全風險及時管控。

3 實施措施

單位內(nèi)網(wǎng)安全建設，主要靠網(wǎng)絡設備進行硬件物理隔離，和定制化的應用軟件進行全局信息管理來實現(xiàn)。

3.1 網(wǎng)絡物理隔離

（1）獨立建網(wǎng)。建設獨立的、與單位外網(wǎng)毫無連接的辦公內(nèi)網(wǎng)，應嚴格執(zhí)行國家保密標準文件中有關物理隔離的相關規(guī)定。

（2）在辦公內(nèi)網(wǎng)終端安裝外聯(lián)監(jiān)控軟件。辦公內(nèi)網(wǎng)與外網(wǎng)實行物理隔離后，如果有終端用戶通過撥號上網(wǎng)、3G無線網(wǎng)卡、無線網(wǎng)卡等方式違規(guī)接入互聯(lián)網(wǎng)，就破壞了整個辦公內(nèi)網(wǎng)的封閉環(huán)境，使辦公內(nèi)網(wǎng)極易遭受來自外網(wǎng)的攻擊和滲透。在單位內(nèi)網(wǎng)終端上強制安裝外聯(lián)監(jiān)控軟件，采取技術手段進行外聯(lián)阻斷，可以有效確保辦公內(nèi)網(wǎng)的安全。

（3）嚴格管理。建立健全辦公內(nèi)網(wǎng)保密管理制度，將相應的設備、介質、人員實施集中管理。通過嚴格檢查和完善的制度約束，杜絕內(nèi)部違規(guī)操作引起的信息安全事故，有效確保辦公內(nèi)網(wǎng)的物理隔離，確保辦公內(nèi)網(wǎng)信息的安全。

3.2 定制化應用軟件

通過在辦公網(wǎng)絡的各個終端上安裝高度集成統(tǒng)一的內(nèi)網(wǎng)安全管控軟件實現(xiàn)網(wǎng)絡安全管理。定制的應用軟件主要包含如下幾個模塊：

（1）網(wǎng)絡認證系統(tǒng)，主要實現(xiàn)辦公終端用戶身份的集中式認證，并進行操作權限規(guī)范。

（2）網(wǎng)絡保密系統(tǒng)，通過對通信網(wǎng)絡和硬盤加密，實現(xiàn)禁止終端非法聯(lián)入、聯(lián)出，規(guī)范數(shù)據(jù)登記，防止重要辦公信息外泄。

（3）移動存儲介質管理系統(tǒng)，通過配置終端與移動存儲設備之間的對應關系和屬性，實現(xiàn)保護移動存儲介質數(shù)據(jù)安全的目的，防止私用U盤外帶數(shù)據(jù)，管控公用U盤使用狀況。

（4）數(shù)據(jù)管理系統(tǒng)，實現(xiàn)辦公內(nèi)網(wǎng)上各種數(shù)據(jù)信息的分級分類，規(guī)范信息交流、共享下載等行為。

（5）網(wǎng)絡監(jiān)控系統(tǒng)，主要實現(xiàn)對終端計算機的操作行為進行有效的控制與監(jiān)管并生成相應的日志記錄以備審計，對非法操作進行警報。

最后，辦公內(nèi)網(wǎng)在企事業(yè)單位的業(yè)務發(fā)展和日常工作中起著越來越重要的作用，但網(wǎng)絡本身又是脆弱的。只有切實加強網(wǎng)絡安全建設，保障網(wǎng)絡的安全穩(wěn)定運行，也才能從根本上保障企事業(yè)單位的發(fā)展和穩(wěn)定。