如何在現代企業內部構建安全信息化網絡

楊瑤姬

中南空管局氣象中心 廣東 510405

0 前言

現代社會是飛速發展的信息化社會，如何打造一個安全的信息化網絡就顯得至關重要，無論大小企業都面臨著如何構建安全的信息化網絡的難題。下面我們首先對信息化網絡中的幾大大安全因素進行簡要分析。

1 信息化網絡安全性分析

1.1 網絡管理

網絡是互連的計算機系統和設備的集合，允許個人共享資源，比如計算機程序和信息。因為敏感的程序和信息也是通過網絡存儲或傳輸的，因此有效地保證網絡安全對保護計算機資源和數據免受未經授權的訪問，操縱，和使用是必不可少的。如果不安全地配置網絡服務和設備，會使一個系統極容易受到內部或外部威脅，如：

(1) 在一些網絡系統中沒有適當地限制進入系統管理的權利，以及不必要的服務；

(2) 應用軟件本身的一些弱點或者功能上的缺陷，可能導致未經授權的訪問或服務中斷；

(3) 雖然實施了隔離網絡流量的控制，在應用和基礎設施系統中仍然有可能發生外部攻擊者繞過網絡控制，來達到對內部網絡的非法訪問；

(4) 對穿越內部網絡的某些重要設置敏感信息沒有進行加密，反而使用明文傳輸從而導致這些信息很容易被竊聽；

1.2 補丁管理

絕大部分的網絡攻擊都是基于操作系統或應用程序的漏洞進行的。當系統發現漏洞時，攻擊者可能利用他們，從而造成重大損害。這些惡意的行為可能包括利用網站漏洞控制整個系統，從而能夠閱讀，修改，刪除敏感信息；毀壞系統；破壞操作；或發動針對其他系統的攻擊。如果我們能夠根據具體的應用環境，及時發現這些漏洞并采取適當的處理措施進行修補，就可以有效地阻止入侵、蠕蟲等事件的發生。隨著操作系統和各種應用軟件復雜化的增加，其內部存在的安全隱患也越來越多。一旦這些安全隱患被公布，系統和軟件提供商就將推出更新補丁，以彌補安全隱患。這些補丁和軟件更新程序的及時安裝，是保障系統安全性的必要措施。

但是隨著信息化建設步伐的加強，網絡覆蓋范圍越來越大，網絡上運行的服務器、客戶端也越來越多。這種情況下，補丁管理成為對信息化網絡的一個非常關鍵的過程，一個好的補丁管理流程可以幫助減輕許多來自系統安全性反面的挑戰，確保電腦系統的安全。

1.3 用戶賬號和密碼

一個計算機系統必須能夠識別和區分用戶，這樣計算機系統上的活動才能與特定的個人相對應。當一個用戶被分配到惟一的一個特定賬戶時，系統就能把該用戶與其他用戶區別開來，這一過程被稱為識別。該系統還必須通過一些認證手段，來識別用戶身份的正確性，比如密碼，因為密碼通常只有本人知道。身份識別和認證手段相結合，比如說用戶賬戶和密碼，提供了建立個人問責制和訪問控制系統的基礎。相應地，可以通過：

(1) 建立密碼參數，如一些加密的位數，類型，和頻率，用戶根據這些參數來改變他們的密碼，從而增強用來識別用戶身份的密碼強度：

(2) 利用密碼進行加密來防止他們未經授權的個人信息的泄露；

(3) 應用程序來控制用戶賬戶的使用。

來充分控制用戶賬戶和密碼，確保只有經過授權的用戶才能訪問系統。

1.4 用戶權限和文件權限

“最小特權”是一個確保計算機系統和數據安全的基本原則。這意味著只有那些履行自己職責的用戶才能被授予訪問權限和權利。每個用戶只能擁有剛夠完成工作的最小權限。“用戶權利”是能分配給用戶或用戶組的權利。文件和目錄權限是與特定的文件或者目錄綁定在一起的規則以及用戶能夠訪問他們和訪問程度的規范。為了避免用戶無意中不必要的訪問敏感文件和目錄，任何組織都必須認真考慮其權利的轉讓和許可。一個安全的信息化網絡應該考慮只授予用戶能夠執行工作職責所需的最低水平的特權。

2 構造安全的信息化網絡

2.1 充分利用網絡設備提高信息化網絡的安全性

就信息化網絡而言，因為現代企業大部分選擇從物理上對生產網和互聯網進行了分離，因此很大程度上阻止了外界對內部網絡的非法訪問。但是依然存在內部網絡與外部網絡的接入點。如果不能安全地配置這些接入點，將增大敏感信息的泄露和系統被非法修改的風險，甚至引起服務的中斷。

在某種程度上，通過安裝和配置這些接入點的網絡設備，允許授權的網絡服務請求，拒絕未經授權的請求，和限制某些不必要的服務和端口，是可以達到提高整個網絡安全性能的目的。用來確保網絡安全的設備包括：

(1) 防火墻，強化安全策略，有效地記錄Internet上的活動，防止影響一個網段的問題通過整個網絡傳播，使可疑的訪問被拒絕于門外；

(2) 路由器，訪問控制列表，控制和過濾通過路由器的不同接口去往不同方向的信息點；

(3) 交換機，基于交換機端口劃分VLAN，可以有效限制不同工作組間的用戶二層互訪。

2.2 建立完善的補丁管理流程

在建立補丁管理流程之前，首先需要針對網絡環境現狀進行分析，也就是分析系統環境，網絡環境，信息系統重要等級等，以便下一步有針對性地跟蹤系統所需要的補丁和要采取的措施。企業內部同時擁有多個系統，每個系統的重要性等級不同，操作系統及版本號也不同，我們需要在前期對這些系統數據進行收集，然后根據收集的數據制定相應的補丁安裝計劃。

表1 系統信息收集表

2.3 利用分層的密碼管理實現用戶區分

分層密碼管理是指自上而下，系統的重要性越高，用戶的權限越大，密碼就越少人知道。信息化網絡的其中一個特點就是，這個網絡在同時為許多企業用戶服務，同時也有許多技術人員在對這個網絡進行維護。這種情形就需要利用不用的賬戶和密碼來區分不同的用戶。不同的用戶使用不同的賬戶和密碼來登錄同一個系統，用戶能夠使用的功能由用戶的角色來決定。這樣就將維護人員和使用人員區分開來，大大降低了維護難度，從安全性上來講，只有專業的技術人員才能對系統進行增加或限制服務，刪除或安裝程序，極大地保證了系統的可靠性和安全性。

2.4 對用戶權限和文件權限實行“最小特權原則”

最小特權原則要求每個用戶和程序在操作時應當使用盡可能少的特權，而角色允許主體以參與某特定工作所需要的最小特權去簽入(Sign)系統。被授權擁有強力角色(Powerful Roles)的主體，不需要動輒運用到其所有的特權，只有在那些特權有實際需求時，主體才去運用它們。如此一來，將可減少由于不注意的錯誤或是侵入者假裝合法主體所造成的損壞發生，限制了事故、錯誤或攻擊帶來的危害。它還減少了特權程序之間潛在的相互作用，從而使對特權無意的、沒必要的或不適當的使用不太可能發生。這種想法還可以引伸到程序內部：只有程序中需要那些特權的最小部分才擁有特權。

在現代信息化網絡中貫徹“最小特權原則”有利于防止，當入侵者取得系統管理員權限后欲訪問一個高安全級別的文件，則很有可能被拒絕。因為用戶(包括系統管理員)在登錄后默認的安全級別是最低的，他無法訪問高級別的文件，而安全級別的調整只有通過安全管理員才能完成。因此，安全管理員只要對敏感文件配置了合理的安全標記，系統管理員就無法訪問這些文件。由此可知，安全管理員對系統管理員的權限進行了有力的限制。

3 結束語

本文從應用的角度出發，從網絡設備，補丁管理，密碼管理，用戶權限和文件權限管理四個方面闡述了如何增強信息化網絡的安全性。構建安全的信息化網絡是一個長期并艱巨的過程，只要我們根據網絡環境具體分析，制定了相應的安全方案，就一定能夠逐步實現。

[1] INFORMATION SECURITY Progress Made, but Federal Aviation Administration Needs to Improve Controls over Air Traffic Control Systems.

[2] 張琳,黃仙姣.淺談網絡安全技術[J].電腦知識與技術.2010.

[3] 盧云燕.網絡安全及其防范措施[J].科技情報開發與經濟.2011.