內(nèi)部網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)安全問題分析

樂文城

（北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司福州分公司 福建省福州市 350000）

隨著我國(guó)科學(xué)技術(shù)的不斷進(jìn)步，信息智能化技術(shù)在單位生產(chǎn)、辦公中的優(yōu)勢(shì)不斷凸顯。因此，為了提高生產(chǎn)效率，提高網(wǎng)絡(luò)、數(shù)據(jù)安全性，不少單位基于計(jì)算機(jī)技術(shù)將各自重要業(yè)務(wù)信息系統(tǒng)部署在內(nèi)部網(wǎng)絡(luò)環(huán)境中。但網(wǎng)絡(luò)安全建設(shè)的滯后現(xiàn)象，導(dǎo)致當(dāng)前我國(guó)單位的內(nèi)部網(wǎng)絡(luò)環(huán)境潛在安全問題較多，諸如個(gè)人隱私、單位重要業(yè)務(wù)信息泄露等網(wǎng)絡(luò)安全問題層出不窮，對(duì)辦公環(huán)境構(gòu)成了網(wǎng)絡(luò)內(nèi)部威脅。只有通過加強(qiáng)單位自身內(nèi)網(wǎng)的安全保護(hù)等級(jí)，通過構(gòu)建安全體系的方式來提高單位對(duì)網(wǎng)絡(luò)安全的防御能力，對(duì)單位內(nèi)網(wǎng)予以安全保護(hù)，方能營(yíng)造出安全的網(wǎng)絡(luò)辦公環(huán)境，為單位的發(fā)展奠定一個(gè)良好的基礎(chǔ)。

1 當(dāng)前我國(guó)單位內(nèi)部網(wǎng)絡(luò)環(huán)境中存在的安全問題

對(duì)于網(wǎng)絡(luò)安全，由于大眾的印象多為外部互聯(lián)網(wǎng)絡(luò)中病毒、黑客攻擊等，因此常規(guī)安全防御理念限制在網(wǎng)絡(luò)級(jí)別和網(wǎng)關(guān)范圍等網(wǎng)絡(luò)外部的防御，這使得用戶常常會(huì)忽略內(nèi)部網(wǎng)絡(luò)中所存在的各類安全性問題。對(duì)此，一方面通過增強(qiáng)單位經(jīng)營(yíng)者、管理層的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范意識(shí)，有助于解決單位內(nèi)部網(wǎng)絡(luò)安全方面的問題，同時(shí)采取有效的安全防護(hù)措施有利于從技術(shù)手段提升單位內(nèi)部的網(wǎng)絡(luò)安全監(jiān)督管理能力，降低由于網(wǎng)絡(luò)管理不到位造成的網(wǎng)絡(luò)安全事故發(fā)生概率，進(jìn)而有助于避免單位內(nèi)部網(wǎng)絡(luò)遭受非法侵害，確保單位內(nèi)部網(wǎng)絡(luò)安全。圖1是各機(jī)關(guān)企事業(yè)單位邊界網(wǎng)絡(luò)安全現(xiàn)狀（內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)）的對(duì)比情況。

圖1：邊界網(wǎng)絡(luò)對(duì)比圖

1.1 內(nèi)部網(wǎng)絡(luò)的脆弱

在信息化時(shí)代快速發(fā)展的今天，單位內(nèi)部網(wǎng)絡(luò)同樣難免會(huì)受到安全威脅。因此，國(guó)內(nèi)很多單位在信息化項(xiàng)目建設(shè)過程中重要課題之一就是網(wǎng)絡(luò)安全防范建設(shè)，尤其是內(nèi)部網(wǎng)絡(luò)安全防范能力的提高。安全漏洞問題已成為網(wǎng)絡(luò)安全防范不可回避的問題，一旦被黑客利用攻擊，將使單位的重要信息系統(tǒng)遭受前所未有的災(zāi)難，例如Struts2 漏洞、OpenSSL（心臟出血）、勒索軟件Wannacry 攜“永恒之藍(lán)”等都是黑客利用安全漏洞對(duì)信息系統(tǒng)發(fā)起惡意攻擊行為。

就目前而言，大部分計(jì)算機(jī)終端面臨的系統(tǒng)漏洞問題都是由于部分網(wǎng)絡(luò)管理人員對(duì)單位內(nèi)部網(wǎng)絡(luò)安全防范的管理意識(shí)不強(qiáng)、漏洞檢測(cè)技術(shù)手段的缺失或未對(duì)相關(guān)檢測(cè)技術(shù)手段進(jìn)行及時(shí)更新升級(jí)導(dǎo)致的。另外，隨著大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)發(fā)展與使用，內(nèi)部網(wǎng)絡(luò)應(yīng)用程序的類型、數(shù)量也不斷增長(zhǎng)，應(yīng)用程序使用的編程語(yǔ)言自身缺陷、邏輯缺陷也致信息系統(tǒng)的漏洞風(fēng)險(xiǎn)加劇。不法分子往往擅于利用這些管理上的、防護(hù)措施、技術(shù)上的不足對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊以達(dá)到其非法目的。

1.2 內(nèi)部網(wǎng)絡(luò)用戶使用權(quán)限不同

單位內(nèi)部管理往往很難實(shí)現(xiàn)對(duì)用戶權(quán)限的統(tǒng)一管理。在表面上看每位工作員工有不同的工作權(quán)限是為了員工更方便地使用單位內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)，然而這種做法增加了整個(gè)單位內(nèi)部網(wǎng)絡(luò)安全管理的難度，不法分子也可通過利用這種管理上的不合理性對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行密碼修改獲得權(quán)限或提權(quán)等方式使得內(nèi)部網(wǎng)絡(luò)里的應(yīng)用程序很容易被攻擊。同時(shí)，單位管理人員對(duì)內(nèi)部服務(wù)器的管理往往是不完善的，在這種情況下，內(nèi)部系統(tǒng)被不法分子攻擊的可能性就更大了。

1.3 單位內(nèi)部網(wǎng)絡(luò)信息敏感系數(shù)分散

實(shí)際使用中不少單位會(huì)將工作資料、客戶資料等相關(guān)敏感信息任意存放在不同的服務(wù)器甚至是個(gè)人終端上，這些相關(guān)數(shù)據(jù)并沒有被統(tǒng)一寄存在同一個(gè)服務(wù)器中進(jìn)行統(tǒng)一管理、安全防護(hù)也不符合要求。在網(wǎng)絡(luò)傳輸過程中相關(guān)信息、尤其是敏感信息由于信息本身未采取加密處理、敏感文件缺乏科學(xué)管理手段，將進(jìn)一步導(dǎo)致不法分子更加容易竊取單位內(nèi)部數(shù)據(jù)和機(jī)密文件，例如棱鏡門、CSDN 密碼泄漏、如家開房信息泄漏、Sony 個(gè)人信息泄漏等事件都是由于對(duì)單位中涉及的重要業(yè)務(wù)數(shù)據(jù)重要性及敏感性認(rèn)識(shí)不足、安全防護(hù)措施不到位而導(dǎo)致的，這些事件對(duì)組織造成重大的甚至無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失與聲譽(yù)損失。

1.4 USB閃存盤的使用問題

計(jì)算機(jī)終端是用戶與信息系統(tǒng)進(jìn)行交互的窗口，用戶訪問信息系統(tǒng)中的各種資源都是通過計(jì)算機(jī)終端實(shí)現(xiàn)的。由于內(nèi)部網(wǎng)絡(luò)相對(duì)獨(dú)立性的特性，實(shí)現(xiàn)外部數(shù)據(jù)導(dǎo)入內(nèi)部網(wǎng)絡(luò)或內(nèi)部計(jì)算機(jī)終端間進(jìn)行數(shù)據(jù)交互常用的方式就是使用USB閃存，然而計(jì)算機(jī)感染病毒常見的方法之一就是USB 閃存盤（U 盤）感染，如伊朗核電站的震網(wǎng)病毒事件等。USB閃存盤由于其文件傳輸效率高、攜帶方便等優(yōu)勢(shì)在日常生活、辦公中人們對(duì)它的使用頻率很高，大部分單位也會(huì)通過USB 閃存盤進(jìn)行文件拷貝等方面的處理。但是人們并沒有注意到USB 閃存盤的特殊性，也并沒有對(duì)USB 閃存盤的安全風(fēng)險(xiǎn)提高戒備。由于內(nèi)部員工之間、甚至外部人員之間相互拷貝文件都需要用到U 盤，使得計(jì)算機(jī)之間的病毒相互感染。通常在使用U 盤時(shí)，使用者并沒有對(duì)U 盤進(jìn)行病毒查殺的習(xí)慣，這樣加大了單位內(nèi)部計(jì)算機(jī)病毒交叉感染的概率。通過合理的方式（如終端管控軟件、特殊的USB 接口設(shè)計(jì)等）加強(qiáng)USB 端口的使用管理，可以有效解決由于U盤交叉使用導(dǎo)致病毒交叉感染帶來的風(fēng)險(xiǎn)。

1.5 惡意代碼、黑客攻擊等的影響

現(xiàn)在有很多的單位為圖使用方便，把自身的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)直接打通來實(shí)現(xiàn)所謂的資源共享，這種做法也給了很多不法分子提供了獲悉內(nèi)部重要信息便利途徑。并且單位內(nèi)部的安全性也更容易直接被來自互聯(lián)網(wǎng)的惡意代碼和黑客嚴(yán)重沖擊，進(jìn)而影響了單位內(nèi)部網(wǎng)絡(luò)整體的安全性。

2 解決內(nèi)部網(wǎng)絡(luò)安全問題的對(duì)策

網(wǎng)絡(luò)安全問題作為數(shù)字化建設(shè)里的重要組成部分也愈發(fā)受到重視。內(nèi)部網(wǎng)絡(luò)安全問題已成為當(dāng)前很多政府機(jī)構(gòu)和企事業(yè)單位網(wǎng)絡(luò)信息化系統(tǒng)建設(shè)的核心問題。在實(shí)踐中，很多方法可以有效保障內(nèi)部網(wǎng)絡(luò)安全，以下列舉一些解決這些問題的常用做法，并且對(duì)其進(jìn)一步進(jìn)行探討。

2.1 內(nèi)部網(wǎng)絡(luò)操作系統(tǒng)的安全

終端用戶的程序和服務(wù)器中的應(yīng)用程序等均可運(yùn)行在操作系統(tǒng)上，因而保護(hù)各個(gè)操作系統(tǒng)的安全是維持各終端及服務(wù)器中所有應(yīng)用程序安全運(yùn)行的基礎(chǔ)。對(duì)此技術(shù)上我們通常采用漏洞掃描及安全配置類檢測(cè)工具去模擬黑客攻擊以測(cè)試系統(tǒng)的防御能力，通過對(duì)主機(jī)進(jìn)行存活判斷、端口掃描、服務(wù)識(shí)別、操作系統(tǒng)識(shí)別，調(diào)用系統(tǒng)漏洞插件掃描目標(biāo)主機(jī)，發(fā)現(xiàn)主機(jī)（通常包括各類常見數(shù)據(jù)庫(kù)、國(guó)產(chǎn)數(shù)據(jù)庫(kù)、移動(dòng)設(shè)備、網(wǎng)絡(luò)設(shè)備、互聯(lián)網(wǎng)應(yīng)用、中間件、系統(tǒng)應(yīng)用、惡意程序、大數(shù)據(jù)組件等）上不同應(yīng)用對(duì)象的弱點(diǎn)和漏洞，進(jìn)而為修復(fù)漏洞、整改主機(jī)系統(tǒng)、應(yīng)用程序以及相關(guān)數(shù)據(jù)庫(kù)等的安全缺陷提供依據(jù)；同時(shí)制定合理的信息系統(tǒng)日常管理制度（如規(guī)定每半個(gè)月或一個(gè)月由專人對(duì)相關(guān)信息系統(tǒng)進(jìn)行漏洞安全掃描、發(fā)現(xiàn)漏洞按規(guī)定的規(guī)劃程序進(jìn)行打補(bǔ)丁、驗(yàn)證等）、加強(qiáng)運(yùn)維人員安全防護(hù)意思培養(yǎng)、提升運(yùn)維人員綜合能力。

2.2 使用安全的網(wǎng)絡(luò)內(nèi)部交換機(jī)

交換機(jī)（路由器）是內(nèi)部網(wǎng)絡(luò)中所有信息傳輸?shù)谋亟?jīng)場(chǎng)所，而且都用到了廣播技術(shù)。在沒有配置安全策略的情況下，數(shù)據(jù)包使用廣播技術(shù)傳輸很容易被監(jiān)聽、不法截獲，因此為了加強(qiáng)網(wǎng)絡(luò)內(nèi)部安全，需要采用交換機(jī)和虛擬網(wǎng)段相結(jié)合的方法實(shí)現(xiàn)從物理上隔絕網(wǎng)絡(luò)資源，以達(dá)到數(shù)據(jù)包的安全傳輸目的。同時(shí)，可利用好交換機(jī)對(duì)全網(wǎng)絡(luò)進(jìn)行邏輯隔離域的劃分，根據(jù)各部門實(shí)際訪問需求設(shè)置訪問權(quán)限，如為單位各個(gè)部門網(wǎng)絡(luò)創(chuàng)建非軍事區(qū)，各網(wǎng)絡(luò)非軍事區(qū)按實(shí)際需求分配需要訪問的資源權(quán)限，同時(shí)禁止隨意訪問內(nèi)部網(wǎng)絡(luò)的其他資源，避免權(quán)限過大、權(quán)限不清造成過度訪問、非法交叉訪問等情況。

2.3 USB閃存盤等外設(shè)安全防范

合理的管理USB 閃存盤等外設(shè)使用是現(xiàn)階段防范USB閃存盤等給內(nèi)部網(wǎng)絡(luò)安全帶來潛在風(fēng)險(xiǎn)最為有效也是成本最低的辦法。具體說來就是，通過部署一套終端管控軟件對(duì)移動(dòng)存儲(chǔ)、終端行為、終端設(shè)備監(jiān)控等進(jìn)行統(tǒng)一安全管控，實(shí)現(xiàn)對(duì)所有計(jì)算機(jī)終端的有效保護(hù)。

終端管控軟件可通過統(tǒng)一編制、下發(fā)安全策略并監(jiān)控執(zhí)行實(shí)現(xiàn)對(duì)計(jì)算機(jī)外設(shè)如光驅(qū)、打印機(jī)、調(diào)制解調(diào)器、網(wǎng)絡(luò)適配器、圖形圖像設(shè)備、通訊端口、紅外設(shè)備、藍(lán)牙設(shè)備、1394 控制器、PCMCIA 卡、USB 設(shè)備進(jìn)行控制，對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行標(biāo)簽化管理，區(qū)分內(nèi)部介質(zhì)和外部介質(zhì)、對(duì)移動(dòng)存儲(chǔ)介質(zhì)讀寫權(quán)限進(jìn)行限定，實(shí)時(shí)檢測(cè)內(nèi)部網(wǎng)絡(luò)（包括物理隔離和邏輯隔離網(wǎng)絡(luò)）用戶通過調(diào)制解調(diào)器、ADSL、雙網(wǎng)卡等設(shè)備非法外聯(lián)互聯(lián)網(wǎng)行為并執(zhí)行報(bào)警、斷開網(wǎng)絡(luò)、自動(dòng)重啟等管控措施等。終端管控軟件通過這樣的方式，可很好的管理終端USB 閃存盤等外設(shè)使用，避免USB 閃存盤等外設(shè)使用的不合理使用給終端帶來諸如病毒感染、木馬植入等潛在風(fēng)險(xiǎn)。

2.4 基于攻擊設(shè)置內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)

雖然單位內(nèi)部網(wǎng)絡(luò)相對(duì)獨(dú)立于互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，但這并不代表它就可以免受拒絕服務(wù)（Dos）、病毒、僵木蠕等惡意程序的攻擊，對(duì)此我們依然需要建立一套完整可行的網(wǎng)絡(luò)安全防范設(shè)計(jì)。

網(wǎng)絡(luò)區(qū)域邊界作為數(shù)據(jù)交換的關(guān)鍵節(jié)點(diǎn)，不僅應(yīng)能對(duì)網(wǎng)絡(luò)訪問控制規(guī)則進(jìn)行控制，還應(yīng)能夠有效的防御網(wǎng)絡(luò)攻擊行為、對(duì)惡意代碼進(jìn)行檢測(cè)和清除。因此需在安全防護(hù)區(qū)部署下一代防火墻，并啟用入侵防御及病毒過濾網(wǎng)關(guān)模塊，以滿足合規(guī)性、安全性要求。下一代防火墻基于傳統(tǒng)五元組、用戶、應(yīng)用、內(nèi)容、時(shí)間等多元組一體化訪問控制，同時(shí)默認(rèn)規(guī)則禁止所有跨邊界的數(shù)據(jù)訪問，依據(jù)實(shí)際需求開放業(yè)務(wù)端口，將能夠有效防止對(duì)單位內(nèi)部的非法訪問。下一代防火墻內(nèi)置異常流量清洗ADS 引擎能夠檢測(cè)與防御流量型DDOS攻擊（如UDP Flood、TCP SYN Flood 等）、應(yīng)用型DDOS攻擊（如CC、DNS Flood、慢速連接耗盡等）、DOS 攻擊（如Land、Teardrop、Smurf 等）、非法協(xié)議攻擊（如IP 流、TCP 無(wú)標(biāo)記、無(wú)確認(rèn)FIN、圣誕樹等）四大類拒絕服務(wù)攻擊，實(shí)現(xiàn)精準(zhǔn)、快速地阻斷攻擊流量，保障單位內(nèi)部網(wǎng)絡(luò)通暢。通過下一代防火墻上的入侵防御模塊，對(duì)網(wǎng)絡(luò)的流量進(jìn)行檢測(cè)，防止從外部和內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；入侵防御能夠?qū)崟r(shí)檢測(cè)和阻斷實(shí)時(shí)檢測(cè)來自不法分子利用網(wǎng)絡(luò)和系統(tǒng)自身薄弱點(diǎn)進(jìn)行的非法入侵和攻擊、產(chǎn)生大量異常訪問導(dǎo)致服務(wù)器資源耗盡DoS 攻擊、DDOS 攻擊（如ARP、DHCP 異常包及DHCP Flood、ARP Flood 攻擊防御等），以及非法操作的木馬、蠕蟲等惡意程序，并對(duì)檢測(cè)到的非法流量進(jìn)行積極阻斷，包括溢出攻擊、RPC 攻擊、WEBCGI 攻擊、拒絕服務(wù)、木馬、蠕蟲、系統(tǒng)漏洞等在內(nèi)的網(wǎng)絡(luò)攻擊行為，有效保護(hù)用戶網(wǎng)絡(luò)IT 服務(wù)資源，使其免受各種外部攻擊侵?jǐn)_。下一代防火墻上的病毒網(wǎng)關(guān)模塊基于內(nèi)置的病毒檢測(cè)引擎，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層面的惡意代碼（如普通病毒，電子郵件病毒、蠕蟲病毒、特洛伊木馬等）查殺，對(duì)不同協(xié)議數(shù)據(jù)流的檢測(cè)方向可選雙向、上傳、下載以便靈活對(duì)網(wǎng)絡(luò)病毒進(jìn)行查殺，通過病毒過濾網(wǎng)關(guān)在病毒未進(jìn)入內(nèi)部網(wǎng)絡(luò)造成損失之前進(jìn)行阻斷攔截，有效避免了病毒給用戶帶來的損失與影響。

同時(shí)，對(duì)于用戶終端病毒防范，可通過部署終端防病毒系統(tǒng)對(duì)終端主機(jī)進(jìn)行病毒查殺，實(shí)現(xiàn)基于系統(tǒng)層面的病毒防范，有效保障用戶終端免受各類病毒攻擊。

3 在內(nèi)部網(wǎng)絡(luò)環(huán)境下重點(diǎn)對(duì)單位業(yè)務(wù)數(shù)據(jù)的安全保密設(shè)計(jì)

單位業(yè)務(wù)數(shù)據(jù)作為單位最重要的信息資源，直接涉及到單位發(fā)展的核心機(jī)密，如果發(fā)生業(yè)務(wù)數(shù)據(jù)信息泄露輕則容易造成不良影響，嚴(yán)重的將會(huì)影響到單位正常運(yùn)營(yíng)。因此，在進(jìn)行單位內(nèi)部網(wǎng)絡(luò)信息安全保護(hù)時(shí)，應(yīng)把重點(diǎn)放在單位業(yè)務(wù)數(shù)據(jù)的安全保密設(shè)計(jì)上，以期防止單位業(yè)務(wù)數(shù)據(jù)的外泄。

3.1 運(yùn)用PDR技術(shù)對(duì)單位內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)

PDR 技術(shù)可以有效對(duì)單位內(nèi)部的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)系統(tǒng)漏洞進(jìn)行檢測(cè)、及時(shí)提供防護(hù)方案，確保單位業(yè)務(wù)數(shù)據(jù)系統(tǒng)能夠正常運(yùn)行。同時(shí)，PDR 技術(shù)也可以有效地阻止外部網(wǎng)絡(luò)環(huán)境對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的入侵，PDR 技術(shù)通過加大外界病毒入侵難度、延長(zhǎng)入侵所需的時(shí)間為管理員贏得更多的系統(tǒng)修復(fù)時(shí)間，PDR 技術(shù)以這樣的方式來減少病毒等對(duì)內(nèi)部網(wǎng)絡(luò)環(huán)境的侵害，提高單位內(nèi)部業(yè)務(wù)系統(tǒng)的安全等級(jí)。另外，PDR 作為一項(xiàng)可循環(huán)技術(shù)，會(huì)在一定的固定時(shí)間周期內(nèi)循環(huán)進(jìn)行，并通過實(shí)驗(yàn)計(jì)算出系統(tǒng)是否達(dá)到了單位信息安全保護(hù)的要求等級(jí)，只要入侵所需時(shí)間大于系統(tǒng)循環(huán)時(shí)間的最小值，系統(tǒng)就會(huì)處于相對(duì)安全狀態(tài)。因此，技術(shù)人員可以運(yùn)用PDR 技術(shù)對(duì)單位內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)系統(tǒng)來進(jìn)行系統(tǒng)安全保護(hù)，以提高單位內(nèi)部網(wǎng)絡(luò)的安全性。

3.2 通過網(wǎng)絡(luò)技術(shù)聯(lián)機(jī)操作來實(shí)現(xiàn)對(duì)單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)

隨著我國(guó)計(jì)算機(jī)技術(shù)的進(jìn)步，部門間的協(xié)助更加密切、跨部門數(shù)據(jù)交互更加容易、頻繁，但隨之產(chǎn)生的使用上追求便利與管理上則要求安全的沖突和矛盾也不斷凸顯，這在某種程度上阻礙了單位健康、穩(wěn)定、快速發(fā)展。網(wǎng)絡(luò)技術(shù)的出現(xiàn)給解決這些矛盾帶來了轉(zhuǎn)機(jī)。通過網(wǎng)絡(luò)技術(shù)的合理使用，可以在保障內(nèi)部網(wǎng)絡(luò)安全的前提下為單位各部門打造一個(gè)交互便捷的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)各部門之間的信息及時(shí)傳遞與資源的協(xié)同，對(duì)業(yè)務(wù)信息及資源進(jìn)行了集中化、自動(dòng)化的管理。

通常單位內(nèi)部網(wǎng)絡(luò)環(huán)境中各應(yīng)用系統(tǒng)中存儲(chǔ)的數(shù)據(jù)具有一定的相互獨(dú)立性，正是由于這種獨(dú)立性才保障了各應(yīng)用系統(tǒng)的數(shù)據(jù)安全。事實(shí)上，這種獨(dú)立也存在于單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，其信息的交換、傳輸也存在一定的相互獨(dú)立和一定的保密性。在規(guī)劃單位網(wǎng)絡(luò)時(shí)，應(yīng)充分利用這種獨(dú)立，加強(qiáng)對(duì)單位內(nèi)部網(wǎng)絡(luò)安全進(jìn)行嚴(yán)格的把控，在內(nèi)網(wǎng)與外網(wǎng)之間建設(shè)牢固的安全防線，對(duì)外部危險(xiǎn)信息進(jìn)行安全識(shí)別，對(duì)病毒侵入進(jìn)行及時(shí)的處理，來確保內(nèi)部網(wǎng)絡(luò)環(huán)境的安全。

在實(shí)際使用中內(nèi)部網(wǎng)絡(luò)經(jīng)常需要同外部網(wǎng)絡(luò)進(jìn)行信息交互，尤其是外部網(wǎng)絡(luò)經(jīng)常需要將信息報(bào)送至內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)實(shí)現(xiàn)跨網(wǎng)通信可大大節(jié)省信息網(wǎng)絡(luò)維護(hù)投入的人力物力，但同時(shí)也給內(nèi)部網(wǎng)絡(luò)安全帶來了新的安全問題。對(duì)此，我們可以在內(nèi)、外部網(wǎng)絡(luò)間通過信息單向傳輸模式來實(shí)現(xiàn)跨網(wǎng)的數(shù)據(jù)的安全傳輸。通過單向網(wǎng)閘技術(shù)實(shí)現(xiàn)數(shù)據(jù)安全單向傳輸?shù)倪B接模式，單位可以實(shí)現(xiàn)安全接收、發(fā)送不同計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)間數(shù)據(jù)的安全交互，可以利用單向網(wǎng)閘接收、發(fā)送外部網(wǎng)中的業(yè)務(wù)信息，并通過交換機(jī)傳輸?shù)絾挝粌?nèi)部網(wǎng)絡(luò)系統(tǒng)當(dāng)中。這種通過單向數(shù)據(jù)安全傳輸?shù)哪Ｊ娇梢源蟠筇岣邌挝粌?nèi)部業(yè)務(wù)信息的安全等級(jí)，也可以提高各部門的聯(lián)機(jī)工作效率，降低跨網(wǎng)數(shù)據(jù)交換而導(dǎo)致的單位內(nèi)部網(wǎng)絡(luò)安全事件發(fā)生的概率。

圖2為外部網(wǎng)絡(luò)與單位內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)單向數(shù)據(jù)交互的網(wǎng)絡(luò)架構(gòu)拓?fù)涫疽鈭D。

圖2：外部網(wǎng)絡(luò)與單位內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)單向數(shù)據(jù)交互的網(wǎng)絡(luò)架構(gòu)拓?fù)涫疽鈭D

3.3 對(duì)單位內(nèi)部網(wǎng)安全運(yùn)維進(jìn)行嚴(yán)格的控制

單位內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)中的所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、數(shù)據(jù)庫(kù)等帳號(hào)的管理混亂往往給非法分子有機(jī)可乘，給網(wǎng)絡(luò)信息系統(tǒng)帶來了潛在風(fēng)險(xiǎn)。對(duì)此，可通過部署一套運(yùn)維安全審計(jì)類產(chǎn)品，集中帳號(hào)管理包含所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、數(shù)據(jù)庫(kù)等賬號(hào)信息，為信息系統(tǒng)運(yùn)維提供統(tǒng)一的安全運(yùn)維入口。

運(yùn)維安全審計(jì)系統(tǒng)以單點(diǎn)登錄為核心，通過集中化賬號(hào)管理、高強(qiáng)度認(rèn)證加固、細(xì)粒度授權(quán)控制和多形式審計(jì)記錄，使內(nèi)部人員、第三方人員的操作處于可管、可控、可見、可審的狀態(tài)下，規(guī)范運(yùn)維的操作步驟，避免誤操作和非授權(quán)操作帶來的隱患，有效保障組織機(jī)構(gòu)的服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)等資產(chǎn)的安全運(yùn)行和數(shù)據(jù)的安全使用，規(guī)避了運(yùn)維操作給信息系統(tǒng)帶來的風(fēng)險(xiǎn)。

3.4 加強(qiáng)單位內(nèi)部重要數(shù)據(jù)的識(shí)別能力

信息技術(shù)快速發(fā)展，使得各組織大量的業(yè)務(wù)數(shù)據(jù)不斷地遷移到網(wǎng)絡(luò)環(huán)境中，各單位的業(yè)務(wù)運(yùn)行也慢慢的離不開信息技術(shù)的支撐。業(yè)務(wù)數(shù)據(jù)已然成為各組織的重要資產(chǎn)，業(yè)務(wù)數(shù)據(jù)不僅對(duì)業(yè)務(wù)具體價(jià)值，同時(shí)也是組織作出判斷決策的重要根據(jù)，可以說對(duì)整個(gè)組織戰(zhàn)略規(guī)劃都有著十分重要的意義，數(shù)據(jù)已經(jīng)成為各組織的核心競(jìng)爭(zhēng)力。因此，針對(duì)數(shù)據(jù)易復(fù)制、易流動(dòng)、形態(tài)各異、難管理等特點(diǎn)，需要配置一套完善的重要（敏感）數(shù)據(jù)發(fā)現(xiàn)體系，以便通過數(shù)據(jù)識(shí)別、內(nèi)容感知和事務(wù)安全關(guān)聯(lián)分析技術(shù)手段來識(shí)別、監(jiān)視和保護(hù)靜止的數(shù)據(jù)、移動(dòng)的數(shù)據(jù)以及使用中的數(shù)據(jù)。數(shù)據(jù)識(shí)別、內(nèi)容感知技術(shù)通過關(guān)鍵字檢測(cè)、文件類型檢測(cè)、正則表達(dá)式檢測(cè)、數(shù)據(jù)標(biāo)識(shí)符檢測(cè)、數(shù)字指紋檢測(cè)等方式，可以對(duì)單位文件服務(wù)器、數(shù)據(jù)庫(kù)、協(xié)作辦公平臺(tái)、終端設(shè)備等進(jìn)行掃描檢查并標(biāo)識(shí)含有重要（敏感）數(shù)據(jù)以便單位信息系統(tǒng)維護(hù)人員可以有針對(duì)性的加強(qiáng)對(duì)重要（敏感）數(shù)據(jù)的統(tǒng)一管理，如對(duì)重要（敏感）數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ)、嚴(yán)格控制重要（敏感）數(shù)據(jù)的使用人、嚴(yán)格管控重要（敏感）數(shù)據(jù)管控訪問權(quán)限等，同時(shí)可對(duì)傳輸中的數(shù)據(jù)進(jìn)行重要（敏感）數(shù)據(jù)識(shí)別，發(fā)現(xiàn)非法傳輸、使用重要（敏感）數(shù)據(jù)的行為時(shí)立即作出阻斷傳輸、提示告警等響應(yīng)，并告警通知信息系統(tǒng)維護(hù)人員，以確保重要（敏感）數(shù)據(jù)在存儲(chǔ)、使用、傳輸?shù)冗^程中的可管可控。

4 結(jié)論

總之，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，我國(guó)各單位的信息化水平也越來越高，網(wǎng)絡(luò)安全防護(hù)便成為了各單位重點(diǎn)關(guān)心的問題。對(duì)單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全問題進(jìn)行分析，提出相應(yīng)的解決措施，不僅能確保單位把握住計(jì)算機(jī)技術(shù)發(fā)展所帶來的機(jī)遇，也能充分保護(hù)單位自身的業(yè)務(wù)數(shù)據(jù)安全和信息安全，最終實(shí)現(xiàn)單位的安全、穩(wěn)定、高速發(fā)展。