摘要:目前,网络信息安全防护已经不是简单的防火墙系统、防病毒软件所能控制的,也不再是身份认证系统、入侵检测系统、数据加密系统的堆砌,网络信息安全防护是从应用程序到网络设备的完整体系,本文以某企业内部网络安全防护建设为例,提出了企业涉密网络安全防护体系模型的构建方案。
关键词:涉密网络 网络安全 防火墙设置
一、企业涉密网络安全防护模型的构建意义
随着我国企业的全球化发展,企业内部网络应用越来越广泛,产生了大量办公信息、业务信息和涉密信息等,使企业内部网络承担的数据量越来越大,而且,业务应用系统的开放性使用的特点,对企业网络管理系统的研究日益深入,企业面临着复杂多变的商业信息窃取与反窃取挑战,网络信息安全问题愈加突出,如何能够进一步实施企业网络安全防护策略,防止数据信息遭到恶意窃取,保证企业网络安全稳定运行,是现代企业网络信息安全防护亟待解决的问题。
二、企业涉密网络安全威胁问题分析
(一)网络层信息安全的脆弱性
企业网络通信中采用的TCP/IP传输协议并不十分安全,TCP/IP传输协议不是专门为了网络安全通信设计的协议栈,由此导致了使用该协议的网络设备存在很多安全漏洞威胁。网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息,再利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。
(二)非法访问网络系统资源
非法用户入侵企业内部网络主要采用非法授权访问、独占网络资源的方式,以此对企业内部网络进行非法恶意操作。非法用户的入侵不仅是企业外部人员,还有可能包括企业内部网络的工作人员,他们为了满足好奇心,甚至蓄意利用内部网络进行恶意操作,严重的能够对企业内部网络系统造成损坏,非法入侵者对于网络系统的知识结构非常清楚,包括安防体系架构、网络系统弱点、应用程序漏洞等,这些都非常有利于非法入侵者对企业内部网络进行恶意攻击,以达到窃取商业机密的目的。
(三)病毒程序的恶意侵害
恶意病毒程序和代码包括特洛伊木马、蠕虫病毒、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。企业网络系统最大的安全隐患就是变异速度快、传播方式广的计算机病毒,计算机病毒可以利用多种途径交叉传播,极大地增加了计算机终端感染病毒的几路。目前,在全球化发展背景下,网络中传播的计算机病毒大概包括几十万种,大部分非法入侵者都会利用计算机病毒、恶意代码、黑客程序等对企业网络系统进行破坏。
(四)破坏系统数据的完整性
当非法入侵者以不正当的手段获得系统授权后,可以对企业内部网络的信息资源执行非法操作,包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等,甚至窃取用户的个人隐私信息,阻止合法用户的正常使用,以此获得更多的商业机密信息。
三、企业涉密网络安全防护体系模型设计
(一)企业内外网的物理隔离
企业内外网络采用独立布线的方式,从物理环境来说已经充分实现了隔离。对于企业内部网络涉密计算机来说,采用内网专机和物理隔离结合的方式来防止网络安全威胁发生,企业内部人员每人配备一台专用计算机连接内部网络,只有部分性能配置较低的计算机与外部网络连接,同时,企业部门经理和少数高层领导使用物理隔离卡与外部网络进行连接。企业内、外网物理隔离示意图如图1所示:
企业内、外网实现物理隔离具有以下优势:
(1)内部网络与外部网络完全隔离;
(2)实现企业内部网络的完全控制;
(3)具有硬切换和软切换两种方式;
(4)适应性强,可用于宽带网络、局域网络等;
(5)网络协议、传输协议完全透明;
(6)实现简单,操作方便,不需要专门进行维护和管理。
(二)利用加密机实现传输加密
企业内部网络配置两台加密机,密级均设定为机密级别,计算机用户将数据信息进行加密之后利用网络进行传输,根据不同业务的实际情况采用不同的加密强度,使安全性与网络性能之间可以相互平衡,企业内部网络均使用相同型号的加密机实现数据加密和数据解密。
(三)采用企业网络防病毒方案
企业内部网络部署的是瑞星防病毒软件,由中心服务器进行控制,允许200台计算机终端使用该软件。但是,企业在日常办公过程中不可避免地会使用移动存储设备,容易感染木马病毒和恶意代码,影响企业用户的正常使用,为了能够对移动存储设备进行自动杀毒,企业内部网络的计算机终端都配有木马漏洞扫描程序。
(四)实施网络系统脆弱性检查
对于企业内部网络系统存在的漏洞,信息安全管理人员应该定期对其进行漏洞扫描,及时评价网络系统的安全性能,采用模拟网络攻击、评估安全风险、测试系统漏洞等方式,为企业提供网络安全防护改进措施,帮助企业控制网络安全事故的发生。
(五)建立灾难数据恢复系统
构建完善的灾难数据恢复系统,在其他地区建立企业数据信息备份系统,重新组织企业业务运行,以此保证数据信息的完整性和可用性,一旦企业内部发生网络安全事故,能够在短时间内恢复工作,减少重要数据信息的损失。
综上所述,随着现代网络技术的飞速发展,企业网络面临的安全问题越来越多,对于涉密网络商业机密信息的安全防护问题日益重视,本文结合某企业网络建设的实例,对涉密网络的安全防护建设进行深入探讨,提出了适用于企业涉密网络的信息安全防护模型架构方案,具有一定的现实指导意义。
参考文献:
[1]王浩,陈泽茂.基于可信网络连接的多级涉密网安全接入方案[J].计算机科学,2012(12):65-69.
[2]申永军,谢瑾仁,冯杰.涉密网络内部安全监控管理系统设计[J].软件,2012(12):18-21.
[3]邢柳.网络安全系统在涉密单位的应用研究[J].计算机安全,2011(03):102-104.