軍工企業信息網絡系統安全的研究和解決方案

1 信息網絡安全定義

網絡安全是一個涉及計算機科學、網絡技術、通信技術、密碼學、信息安全技術、應用數學、數字理論、信息理論等學科綜合學科的學科。信息網絡安全是指對數據網絡系統的硬件、軟件和系統的保護，不受意外或惡意破壞的原因、變更、泄露、持續、可靠的系統的正常運行，網絡服務不中斷。

2 信息網絡安全本質及含義

信息網絡安全是網絡信息安全的本質。從廣泛意義上講，所有相關的網絡機密性、完整性、可用性、真實性和控制相關的信息技術和理論研究領域都是網絡安全。

信息網絡安全的具體含義將與“視角”的變化一起變。例：從使用者個人的觀點，他們希望在網絡傳輸過程中的機密性的個人隱私或商業利益相關的信息，得到完整性和真實性的保護，避免其他對手竊聽，或者使用偽造、篡改，違反了利益和用戶的隱私性的其他手段。

3 軍工企業信息網絡的現狀及存在的問題

隨著信息技術的成熟，網絡應用所帶來的好處已經深入社會每個角落。軍工先進技術產業作為國家的代表，當然，也不例外的快速實施信息技術。越來越多的單位建立一個局域網或廣域網建立一個快速、方便的工作環境。與此同時，信息安全處境（外部攻擊和內部安全）在整個外部的問題已經引起高度的注意。

軍事工業企業負責國家軍備生產任務，他們的網絡上的數據必須是高度保密的，尤其需要加強網絡安全和數據安全。網絡系統要防止未經授權的訪問或遭受破壞和非法的入侵，在機密數據安全下要防止敏感數據盜竊或被非法復制、使用等等。如何構建一個安全的網絡體系結構，禁止登錄入侵者，以防止內部信息泄漏，這是軍事企業網絡建設必須解決的問題。

3.1 網絡系統的安全

（1）將局域網劃分為內網和外網，存儲重要信息數據的設備與互聯網物理隔離，在很大程度上排除了來自互聯網的直接威脅。

（2）在 Internert和企業網絡系統之間設立了邊界防火墻，外來用戶只能訪問到網內特定服務器的特定服務，有效防范來自Internert的攻擊。

（3）在網絡管理中心設置入侵檢測軟件，監視對重要應用服務器的訪問請求，及時發現并阻斷攻擊企圖。

（4）在Internet和計算中心接口設置防毒網關，在網絡入口處清除網絡病毒的傳播。

（5）防病毒系統。在網絡環境中，通過層層防御，阻塞各種可能擴散病毒的方法。對重要的服務器，獨立的殺毒軟件的配置。由于應用系統多樣性和復雜性，除了必要的病毒防護軟件改善，保護網絡信息安全人員意識也是不能忽略的重要內容。通過教育學習，使員工意識到僅僅依靠殺毒的想法是不現實的，我們必須嚴格執行相關規章制度，才能提高信息的安全性。

3.2 軍工企業信息網絡系統目前存在的安全隱患

（1）來自局域網的安全隱患

接入局域網客戶端安全是最重要的，但也需要集中在大多數情況下，不需要使用一個非法操作人員控制將導致絕對的信息安全風險。用戶可以自由取代靜態 IP地址，客戶的未經授權的訪問，系統弱口令，任何開放的共享目錄，操作系統漏洞、病毒攻擊，硬盤數據拷貝等其他行為。因此，信息安全是一個嚴重的威脅，當泄漏發生時，檢查人員無法判斷其手段和痕跡。局域網用戶通過非法訪問為自己研發搞到技術，在安全意識逐漸冷漠的今天并不困難。內部用戶免費安全軟件分類網絡運行，可能帶來病毒或木馬，此外，與分類網絡內部用戶電腦玩游戲和看電影，還影響正常工作。

（2）其他因素的安全隱患

內部員工不熟悉計算機專業和電子信息的保密意識不強，導致秘密泄露的事件。有些人因為事情離開并沒有關閉計算機或鎖定措施使各種輸入和輸出信號信息接口開放；如果有些人不設置系統密碼或弱密碼設置系統就暴露了出來。

規章制度不完善或違反信息披露規則和條例。操作人員對涉密信息與非涉密信息沒有分開存儲，或者所有的文件被放置在公共目錄，也不加密或訪問控制，所以，機密信息處于危險狀態。

主動性質的泄密。因為電子信息文檔不像傳統的文檔，直觀，很容易被復制。內部員工徇私枉法，泄漏計算機系統安全措施，密碼、口令，它會使罪犯侵入計算機網絡，數據庫中的文件系統并竊取重要信息。

因此，信息網絡安全和軍事企業不能坐下來放松一下，因為內部員工為內部組織結構、人員部署，機構設置許多與外部人員熟悉導致信息泄漏事件。經常在嚴重的情況下，造成巨大的損失。確保信息安全必須首先從內部網絡內人員入手，加強對內部用戶的監管措施進行有效的監測，使內部的信息不被泄露。

4 軍工企業信息網絡系統安全的建設原則

4.1 重點保護的原則

根據分類保護的原則，“積極預防、集中思考”，充分考慮整個系統安全設計的合理性的重要信息資源，達到增強保護。同時，確保安全的前提下做好安全機制，以減少規模的大小和復雜性，因此，避免了過于復雜，難以實現的可操作性安全措施的結果。

4.2 技術手段與制度體系、流程管理相結合的原則

軍工企業信息網絡系統是一個復雜的信息系統，人為因素、技術、運營等問題涉及的技術本身不能單獨實施或管理。在安全系統中必須設計與各種安全技術和運行管理機制、人員和思想教育技術培訓、安全管理的規章制度和安全管理相結合的安全措施，以保證技術手段的實施。隱私安全管理人要實現的主要安全政策應以綜合系統為主，合理的標準工作流程，結合技術，以防止手段實現。保密政策主要要完全建立在技術手段上。

4.3 安全產品選用的原則

軍工企業網絡系統涉及國家機密，不能成為新技術的試驗地，因此應優先考慮安全政策的保密性證明的安全技術產品。結合上述原則和軍工企業在技術上，以防止秘密網絡系統的要求，建議采取技術措施，以控制分級知道加密存儲組合與保護機密信息的機密文件檔案，特別是。國內設備應選擇使用在產品安全和保密原則上有保障的企業。檢測產品的安全性和保密性，應經國家有關部門批準，對產品的安全性和保密性進行評估。

4.4 公眾產品與涉密產品相結合的原則

保密系統首先要建立一個相對安全的網絡基礎設施，網絡安全和非核心部分的基礎要充分成熟的公共產品，如備份和恢復系統，網絡病毒系統。再使用專用的秘密安全產品，如認證，入侵檢測，加密和其他信息的關鍵部分。

5 安全補丁與軟件分發系統

軟件分發系統在軍工企業內網安全管理系統中是一個重要的輔助功能，主要用于對內網主機、服務器等設備統一進行軟件及安全補丁安裝部署，極大的減輕管理員工作量，節省人力，財力。同時，避免內部工作人員因疏忽大意或對計算機操作不熟悉，不能及時、正確安裝系統補丁、安全軟件所造成的安全隱患。

（1）軟件查詢：在分發軟件之前，代理端程序在接到服務器指令后會首先對主機系統進行查詢，分析其系統是否曾安裝該軟件，以及己安裝軟件的版本號等信息，同時檢測其系統是否支持該軟件安裝運行，以及其硬盤是否有足夠可用空間，然后將這些信息反饋回服務器端，再由服務器端發送到瀏覽器上供管理員參考，作為下一步分發工作的依據。

（2）軟件分發：顧名思義，軟件分發是本系統的核心功能模塊，其中管理端負責分發軟件，代理端則負責接收并安裝軟件。本系統采用推式分發模式，并加入基于優先級策略與基于帶寬策略供管理員選擇。

（3）軟件卸載：在某些時候，管理員需要遠程統一卸載內網中全部或部分主機的某些軟件，可以通過軟件卸載模塊發出指令，并由代理端負責執行。

（4）軟件分發日志：在軟件分發卸載完成后自動生成分發日志，便于管理員后續維護工作。

（5）病毒和木馬常常利用主機系統漏洞破壞系統或盜取內網信息，極大的危害了內網系統和內網信息的安全。及時下載和安裝新的補丁和己裝軟件的新版本，可以有效的減少漏洞帶來的危害。

6 結論

軍工企業信息網絡安全不是一個孤立的靜態概念，而是一個多層次、多因素、綜合、動態的過程，不是一勞永逸的，不可改變的。根據企業的實際需求建立和完善安全體系，引入相應的控制措施，并結合風險分析，隨著企業環境的變化、業務發展和信息技術提高而不斷改進。