企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實(shí)現(xiàn)分析

◆付萍華 周紅艷 姚利俠

企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實(shí)現(xiàn)分析

◆付萍華 周紅艷 姚利俠

（浙江乾冠信息安全研究院有限公司 浙江 310000）

計算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)應(yīng)用日益廣泛，為企業(yè)的生產(chǎn)經(jīng)營提供了極大的便利，但同時也增加了網(wǎng)絡(luò)環(huán)境中的潛在風(fēng)險，企業(yè)為實(shí)現(xiàn)持續(xù)、健康發(fā)展，需要重視信息網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建問題。本文通過研究發(fā)現(xiàn)以往技術(shù)應(yīng)用已不適用于當(dāng)前企業(yè)網(wǎng)絡(luò)安全管理需求。因此，需要針對當(dāng)前網(wǎng)絡(luò)環(huán)境中存在的威脅因素，加強(qiáng)對新型安全技術(shù)的融合應(yīng)用，提升安全性，保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行和數(shù)據(jù)信息安全性。

信息網(wǎng)絡(luò)；安全系統(tǒng)；設(shè)計

本文以信息網(wǎng)絡(luò)安全系統(tǒng)為主要研究對象，對現(xiàn)階段網(wǎng)絡(luò)環(huán)境中潛在威脅因素進(jìn)行簡要闡述，然后簡要分析企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)設(shè)計模塊，最后總結(jié)企業(yè)設(shè)計經(jīng)驗(yàn)提出企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)設(shè)計和實(shí)現(xiàn)思路，為企業(yè)提供參考。

1 網(wǎng)絡(luò)環(huán)境中存在威脅因素

網(wǎng)絡(luò)技術(shù)逐漸發(fā)展，目前計算機(jī)已成為不受控制、完全開放的系統(tǒng)?，F(xiàn)階段，網(wǎng)絡(luò)環(huán)境中的威脅因素有很多，有事件也有隱患，安全事件里也分有害程序事件、網(wǎng)絡(luò)攻擊事件、系統(tǒng)入侵事件、數(shù)據(jù)破壞事件。其中，有害程序包括病毒、蠕蟲、馬、僵尸網(wǎng)絡(luò)惡意代碼、惡意程序等；網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊域名解析異常、WiFi劫持、路由劫持、廣播欺詐等；系統(tǒng)入侵事件包括后門入侵、域名仿冒、身份仿冒、APT攻擊等；數(shù)據(jù)破壞事件包括數(shù)據(jù)篡改、數(shù)據(jù)泄露、數(shù)據(jù)竊取、服務(wù)異常、流量異常等。針對事件的攻擊或入侵手段不同，所采用的策略和管理方式也存在差異性。企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用中存在的安全隱患里包含了系統(tǒng)漏洞、配置錯誤、惡意行為等，其中系統(tǒng)漏洞也分了SQL注入、跨站腳本、敏感信息泄露、硬盤固件漏洞、網(wǎng)卡固件漏洞、任意文件上傳、下載等類型；配置錯誤包括配置錯誤、系統(tǒng)弱口令、敏感信息披露等；惡意行為包括掃描探測、隱患利用、域名仿冒、釣魚郵件、暴力破解、短信/郵件轟炸等。針對不同安全隱患所采用處理方式也不盡相同。

現(xiàn)對部分威脅因素和安全隱患的簡要分析。在網(wǎng)絡(luò)環(huán)境中經(jīng)常存在不法分子入侵網(wǎng)絡(luò)系統(tǒng)，竊取、損壞、惡意篡改數(shù)據(jù)和機(jī)密文件，導(dǎo)致計算機(jī)系統(tǒng)癱瘓。而拒絕服務(wù)攻擊屬于毀滅性破壞方式，如郵件炸彈，向計算機(jī)用戶發(fā)送大量郵件，對系統(tǒng)運(yùn)行產(chǎn)生嚴(yán)重影響，致使系統(tǒng)無法運(yùn)行，甚至造成網(wǎng)絡(luò)系統(tǒng)癱瘓。對企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行實(shí)際情況進(jìn)行分析，存在安全威脅包括：首先，病毒攻擊。蠕蟲類型網(wǎng)絡(luò)病毒將對網(wǎng)絡(luò)用戶產(chǎn)生巨大損失?，F(xiàn)階段，隨著我國網(wǎng)絡(luò)技術(shù)不斷發(fā)展，病毒類型和傳播范圍、速度迅速提升，病毒能夠通過郵件、文件方式傳播，對網(wǎng)絡(luò)用戶信息安全性造成威脅。病毒傳播不僅將造成系統(tǒng)癱瘓，還將導(dǎo)致重要文件、數(shù)據(jù)丟失、被惡意篡改，最終導(dǎo)致系統(tǒng)癱瘓。其次，外部入侵。企業(yè)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接，雖然部署了防火墻，但因?yàn)槿鄙倨渌踩夹g(shù)，依然易受到黑客攻擊。借助補(bǔ)丁可以升級操作系統(tǒng)中系統(tǒng)服務(wù)、驅(qū)動程序，達(dá)到動態(tài)連接，但同時也為黑客攻擊提供了便利[1]。同時，黑客能夠應(yīng)用操作系統(tǒng)遠(yuǎn)程服務(wù)、無密碼入口入侵。最后，內(nèi)部人員潛在威脅。網(wǎng)絡(luò)系統(tǒng)需要專業(yè)人員進(jìn)行控制管理，網(wǎng)絡(luò)安全內(nèi)部人員威脅包括部分員工對企業(yè)網(wǎng)絡(luò)惡意破壞，尤其是部分具有一定權(quán)限管理人員，能夠接觸核心服務(wù)器，對企業(yè)的內(nèi)部網(wǎng)絡(luò)造成破壞，同時也存在部分員工操作規(guī)范性不足，增加網(wǎng)絡(luò)系統(tǒng)潛在威脅和隱患。

2 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)設(shè)計模塊

為保護(hù)網(wǎng)絡(luò)信息系統(tǒng)軟件、硬件和相關(guān)數(shù)據(jù)信息，確保網(wǎng)絡(luò)持續(xù)服務(wù)，系統(tǒng)穩(wěn)定運(yùn)行，需要結(jié)合企業(yè)具體需求，對系統(tǒng)網(wǎng)絡(luò)環(huán)境、物理環(huán)境、應(yīng)用以及數(shù)據(jù)庫信息安全進(jìn)行精細(xì)化管理。信息網(wǎng)絡(luò)安全系統(tǒng)包括安全技術(shù)和安全管理兩部分，各部分又包括多個模塊，不同模塊起到不同作用。

2.1 安全管理

安全管理模塊主要由四個模塊組成：組織機(jī)構(gòu)、安全策略、員工管理和操作管理。第一，組織機(jī)構(gòu)。該模塊的主要作用是滿足企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建相關(guān)需求，構(gòu)建可以確保組織有效、正常運(yùn)行的機(jī)構(gòu)，實(shí)現(xiàn)組織功能[2]。第二，安全策略。該模塊作用是由政策層面、宏觀層面分析，建立健全安全管理相關(guān)體系和制度。第三，員工管理。該模塊作用是對企業(yè)內(nèi)部員工進(jìn)行管理避免，提升人員業(yè)務(wù)能力和綜合素養(yǎng)，培養(yǎng)其安全意識，確保各項(xiàng)工作順利開展。第四，操作管理。該模塊由微觀層面分析，工作時各個環(huán)節(jié)均需要根據(jù)相關(guān)制度操作，確保系統(tǒng)操作的可行性、安全性。第四，在展開安全管理工作時，需要對系統(tǒng)的硬件、軟件、組件、防火墻、數(shù)據(jù)庫方面全面考慮，并結(jié)合自身具體情況應(yīng)用加密算法等安全技術(shù)，建立健全管理機(jī)制，確保企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)功能完善性。

圖1 信息網(wǎng)絡(luò)安全體系圖

2.2 安全技術(shù)

就企業(yè)業(yè)務(wù)層面分析，將信息網(wǎng)絡(luò)安全技術(shù)劃分為五個模塊：安全控制、漏洞管理、應(yīng)答管理、資產(chǎn)管理與風(fēng)險管理。各個模塊的應(yīng)用由不同功能組成。第一，安全控制，功能模塊主要作用是抵御攻擊，包括防拒絕訪問、反垃圾、防火墻和防病毒組成。第二，漏洞管理。主要作用是為信息網(wǎng)絡(luò)安全系統(tǒng)存在漏洞進(jìn)行檢查分析，并對入侵病毒進(jìn)行監(jiān)測，保護(hù)系統(tǒng)安全。包括網(wǎng)絡(luò)監(jiān)察、安全審計、漏洞監(jiān)測和入侵檢查。第三，應(yīng)答管理。包括人員應(yīng)答、產(chǎn)品應(yīng)答和管理平臺。第四，資產(chǎn)管理，主要是對系統(tǒng)相關(guān)設(shè)施進(jìn)行安全管理。包括應(yīng)用系統(tǒng)、用戶終端、服務(wù)器、網(wǎng)絡(luò)設(shè)施和物理環(huán)境等。第五，風(fēng)險管理，主要是對系統(tǒng)和企業(yè)業(yè)務(wù)經(jīng)營信息潛在安全隱患進(jìn)行管控，并采取相應(yīng)措施規(guī)避風(fēng)險。包括風(fēng)險辨別、管控、規(guī)避、轉(zhuǎn)移、評價等內(nèi)容。

3 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)設(shè)計和實(shí)現(xiàn)

企業(yè)的內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)連接，企業(yè)需要對網(wǎng)絡(luò)安全問題加以重點(diǎn)關(guān)注。為確保企業(yè)網(wǎng)絡(luò)安全性，需要積極應(yīng)用安全技術(shù)抵御外部攻擊，同時防范內(nèi)部用戶非法服務(wù)，需要采用相關(guān)安全策略，避免非法行為利用網(wǎng)絡(luò)資源。因此，企業(yè)需要全面調(diào)整網(wǎng)絡(luò)信息安全體制，對安全設(shè)施進(jìn)行重新的部署，構(gòu)建信息網(wǎng)絡(luò)安全系統(tǒng)，制定行之有效的控制策略。企業(yè)在部署信息網(wǎng)絡(luò)安全系統(tǒng)時需要對相關(guān)問題加以著重解決。首先，網(wǎng)絡(luò)安全訪問，借助防火墻物理隔離系統(tǒng)中機(jī)密數(shù)據(jù)。例如，用戶登錄網(wǎng)絡(luò)系統(tǒng)時，需要在過濾數(shù)據(jù)由外部的防火墻映射至網(wǎng)絡(luò)系統(tǒng)前，用戶需要通過網(wǎng)絡(luò)方可過濾數(shù)據(jù)，之后將數(shù)據(jù)傳輸至外部的防火墻。其次，防火墻抵御控制。為確保VPN至端口數(shù)據(jù)信息安全傳輸，需要將內(nèi)部防火墻和外部防火墻有效結(jié)合，確保數(shù)據(jù)信息安全傳輸，另外，需確保防火墻的設(shè)置構(gòu)建于隔離區(qū)內(nèi)，單向控制設(shè)置，但需要對隔離區(qū)數(shù)據(jù)信息嚴(yán)格過濾。再次，入侵檢測。應(yīng)用IDS技術(shù)檢測到可疑行為，能夠?qū)θ肭中袨樽詣幼钄?，第一時間通知管理人員應(yīng)用IDS技術(shù)進(jìn)行檢測，可以保護(hù)網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全，并為系統(tǒng)提供技術(shù)支撐[3]。第四，用戶驗(yàn)證。主域服務(wù)器內(nèi)安裝認(rèn)證系統(tǒng)，設(shè)置用戶訪問與密碼權(quán)限，對訪問用戶名和密碼進(jìn)行檢測，識別其身份，確保撥號與VPN安全連接。另外，對連接用戶構(gòu)建訪問數(shù)據(jù)庫，對用戶IP、身份信息、登錄時間詳細(xì)記錄，為網(wǎng)絡(luò)系統(tǒng)管理管控提供參考依據(jù)。

3.1 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)框架

對實(shí)際運(yùn)需求分析，通常為確保網(wǎng)絡(luò)系統(tǒng)軟件、硬件、相關(guān)數(shù)據(jù)能夠得到有效保護(hù)，網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行，企業(yè)需要加強(qiáng)管理。首先對企業(yè)信息網(wǎng)絡(luò)安全具體情況進(jìn)行分析，對安全系統(tǒng)的框架設(shè)計進(jìn)行調(diào)整，對子模塊、相應(yīng)功能進(jìn)行重新劃分。在調(diào)整前，需要研究、分析框架調(diào)整原則。經(jīng)過對大量實(shí)踐經(jīng)驗(yàn)進(jìn)行總結(jié)，調(diào)整原則主要包括：第一，穩(wěn)定性和高性能。保證信息安全系統(tǒng)優(yōu)化調(diào)整后可以應(yīng)用較少資源對網(wǎng)絡(luò)進(jìn)行安全保護(hù)。例如提升入侵行為發(fā)現(xiàn)和處理速度和維護(hù)能力，確保系統(tǒng)穩(wěn)定運(yùn)行，不會因?yàn)橥话l(fā)事件出現(xiàn)系統(tǒng)故障、系統(tǒng)崩潰情況。第二擴(kuò)展性和維護(hù)性。保證進(jìn)行日常、突發(fā)事件維護(hù)時，便于管理人員進(jìn)行維護(hù)工作，不需配置特殊資源，系統(tǒng)軟件、硬件具備擴(kuò)展性。第三，時效性和經(jīng)濟(jì)性。對系統(tǒng)調(diào)整優(yōu)化后，在優(yōu)化時投入資金較少，為減低優(yōu)化成本，需要盡量應(yīng)用原硬件、軟件資源，對日后硬件、軟件維護(hù)費(fèi)用、升級費(fèi)用加以全面考慮。第四，保密性和安全性。對系統(tǒng)優(yōu)化后確保數(shù)據(jù)信息具有足夠的安全性，并確保數(shù)據(jù)信息不會被非法用戶操作。

3.2 劃分安全區(qū)域

劃分安全區(qū)域能夠降低信息網(wǎng)絡(luò)安全系統(tǒng)潛在風(fēng)險，控制網(wǎng)絡(luò)風(fēng)險；更有效應(yīng)用安全設(shè)備，提升安全措施應(yīng)用效率；大局入手，為系統(tǒng)安全規(guī)劃、設(shè)計提供參考意見；提供檢查參考，結(jié)合實(shí)際情況指導(dǎo)制定安全措施，減小維護(hù)階段存在運(yùn)行風(fēng)險。對區(qū)域劃分原則加以確定時，需要從業(yè)務(wù)層面出發(fā)，之后考慮區(qū)域劃分安全性。該過程中需要參考網(wǎng)絡(luò)結(jié)構(gòu)、管理分工原有情況，減小劃分安全區(qū)域時付出代價，確保網(wǎng)絡(luò)系統(tǒng)安全性。對企業(yè)一般業(yè)務(wù)需求進(jìn)行總結(jié)歸納，劃分安全區(qū)域需要分析業(yè)務(wù)屬性和功能特征；業(yè)務(wù)間存在邏輯關(guān)系和互相之間存在的關(guān)聯(lián)性；系統(tǒng)對外的緊密度；安全特性相關(guān)要求；安全要求和安全威脅相似度；對非重要/重要資產(chǎn)進(jìn)行區(qū)分[4]。設(shè)計時，對企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)框架確定后，按照現(xiàn)有管理模式、業(yè)務(wù)模式，對安全區(qū)域進(jìn)行重新劃分，把企業(yè)安全區(qū)域劃分為生產(chǎn)服務(wù)、運(yùn)行管理、辦公服務(wù)、用戶接入和外聯(lián)五個區(qū)域，并對安全邊界進(jìn)行調(diào)整，提高安全級別。首先，生產(chǎn)服務(wù)，主要作用是生產(chǎn)、加工處理信息數(shù)據(jù)，包括信息接入和信息分布兩個層面。其次，運(yùn)行管理主要作用是確保系統(tǒng)穩(wěn)定運(yùn)行，并提供系統(tǒng)狀況報告，包括AAA服務(wù)器和ACL。辦公服務(wù)主要作用是為日常事務(wù)辦公提供服務(wù)。再次，用戶接入，服務(wù)對象包括運(yùn)行維護(hù)、業(yè)務(wù)用戶、辦公用戶。最后，外聯(lián)區(qū)域，包括Extranet區(qū)與Internet區(qū)，兩個區(qū)域中設(shè)置有防火墻，對接入?yún)^(qū)、DMZ區(qū)進(jìn)行劃分，層層劃分，其DMZ只能夠供相應(yīng)區(qū)域訪問。

3.3 安全系統(tǒng)部署設(shè)計

首先，對防火墻的部署設(shè)計。該部分指的是應(yīng)用訪問列表、防火墻管理各個安全區(qū)域和網(wǎng)絡(luò)核心間的訪問行為。部署方案為：生產(chǎn)服務(wù)依然選用Cisco交換機(jī)內(nèi)模塊。把ACL控制技術(shù)使用于運(yùn)行管理。把防火墻設(shè)置在辦公區(qū)域，并在外聯(lián)區(qū)配置新防火墻。其次，對審計系統(tǒng)、集中認(rèn)證系統(tǒng)進(jìn)行部署設(shè)計，信息網(wǎng)絡(luò)安全系統(tǒng)內(nèi)設(shè)置AAA系統(tǒng)。再次，部署設(shè)計集中告警。在設(shè)計中，硬件選用安全運(yùn)行區(qū)域中檢測系統(tǒng)控制主機(jī)，軟件選用收集系統(tǒng)，借助收集系統(tǒng)集中管理分散系統(tǒng)。例如防火墻、Windows域、防病毒、VPN等系統(tǒng)和系統(tǒng)設(shè)備，并把安全設(shè)備運(yùn)行報告?zhèn)鬏斨粮婢到y(tǒng)中。

4 總結(jié)

綜上所述，通過大量調(diào)查，企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建中硬件搭建、網(wǎng)絡(luò)布置以及相關(guān)軟件的應(yīng)用均存在安全隱患。對安全技術(shù)應(yīng)用分析，存在區(qū)域劃分合理性不足情況，用戶認(rèn)證和管理存在漏洞，同時，物理安全、系統(tǒng)安全得不到切實(shí)保護(hù)。因此需要對企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)重新規(guī)劃，更改劃分網(wǎng)絡(luò)布局和網(wǎng)絡(luò)區(qū)域，加設(shè)認(rèn)證系統(tǒng)，改善原有管理機(jī)制，降低變動幅度，節(jié)約成本。另外，對于信息網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建需要結(jié)合企業(yè)的實(shí)際情況，保證系統(tǒng)有效和高效。

[1]林森.計算機(jī)網(wǎng)絡(luò)與信息安全的主要隱患及其管理措施[J].科技與創(chuàng)新，2021（12）：129-130.

[2]吳海威.企業(yè)計算機(jī)應(yīng)用技術(shù)和信息網(wǎng)絡(luò)技術(shù)研究[J].無線互聯(lián)科技，2021（09）：84-85.

[3]王春林.大數(shù)據(jù)時代的計算機(jī)網(wǎng)絡(luò)安全及防范措施探析[J].信息記錄材料，2019，20（05）：71-72.

[4]吳雙，杜飛.基于企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實(shí)現(xiàn)探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（04）：112-113.