內部網絡安全策略的制定與管理研究

◆林 濤

（福建省海警第三支隊司令部 福建 361026）

內部網絡安全策略的制定與管理研究

◆林 濤

（福建省海警第三支隊司令部 福建 361026）

本文以福建省某公安的系統內部網信息安全管理為例，分析了Internet 快速發展趨勢下，內部網絡系統存在的各種安全隱患，并探究了內部網網絡信息安全策略的制定與管理技術，為內部網絡安全管理提供有力的參考。

內部網；網絡；安全策略制定；安全管理

0 引言

隨著計算機技術的發展，網絡信息化逐漸得到普及，越來越多的高等院校、政府機關、商業機構、金融公司等也建立起自己的內部網絡。內部網是指采用Internet技術建立的企業內部數據交換和業務運行的專用網絡。內部網絡的信息化管理和網上辦公加強了企業內部之間以及與外單位之間的信息流動和運行效率。同時，內部網的安全問題也日益突出，安全管理不當會導致嚴重的內部網安全問題。內部網存在的威脅一般來源于內部人員泄密、內部網絡管理漏洞、網絡病毒入侵、電路安全隱患、網絡窺探等問題。由于內部網不一定要和Internet連接在一起，它完全可以自成一體作為一個獨立的網絡[1]。許多機構往往很重視外部網的安全，在外來入侵防范和檢測中分配大量的人力和財力，而忽視了內部網的安全。相關安全研究機構的分析表明，機構內部的安全威脅很常見但也非常危險，其破壞性遠大于外部威脅。如何有效地維持并保證系統內部網絡信息的安全是企業內部不容忽視且急需解決的嚴峻問題。

1 內部網網絡信息面臨的安全威脅

人們為了解決資源的共享而建立了網絡，然而全世界的計算機聯成一個網絡整體，安全卻成了問題。

1.1 網絡邊界安全威脅

把不同安全級別的網絡相連接，就產生了網絡邊界。防止來自網絡外界的入侵就要在網絡邊界上建立可靠的安全防御措施。一般來說網絡邊界上的安全問題主要有下面幾個方面：

（1）信息泄密。網絡資源有共享型和非共享型，非授權用戶通過多種渠道獲取到不屬于他的資源導致信息泄露。（2）入侵者攻擊，通過互聯網進入內部網絡，破壞或盜取數據導致業務的混亂。（3）網絡病毒。人為的特制程序，具有自我復制能力，很強的感染性和破壞性，可以隨之繁殖、感染、破壞。（4）木馬入侵。網絡邊界最常受到的攻擊方式主要包括黑客入侵，病毒入侵和網絡攻擊等。

1.2 內部網安全威脅

計算機內網，即內部網絡、內部局域網絡，指在統一的網絡管理范圍，無需通過路由等技術手段就可實現網絡內信息互聯互享的計算機網絡。來自網絡內部的安全，人員是可控的，可以通過認證、授權、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。內網安全的問題主要表現為：

（1）內網的網絡設備其地域分布較分散，其用戶水平高低不平，掌管的業務及安全需求各不相同，由此決定了內網安全管理的復雜性和多樣性。（2）網絡資源濫用，流量濫用，IP地址濫用，甚至工作時間游戲、聊天、瘋狂下載、登錄色情網站等行為影響工作效率，影響網絡正常使用。（3）蠕蟲泛濫，業務癱瘓，由于補丁不及時、網絡濫用、非法接入等因素導致網絡阻塞、數據損壞丟失，為正常業務帶來災難性的持續影響。（4）系統漏洞導致重要信息泄密，病毒入侵、非法接入等各種原因與管理不善導致系統內部重要信息泄露或丟失，造成嚴重損失。（5）內網用戶監督機制不完善，內網用戶通過無線網卡、雙網卡等設備違規撥號上網或違規將專網專用計算機連入到其他網絡，導致內部機密和隱私泄露[2]。

2 內部網絡安全技術

網絡安全維護的目的是通過網絡交換和傳遞的數據不會遇到增添、修減、泄露和損失等問題，因此，貫徹落實必要的防范措施和安全策略對計算機網絡安全至關重要。應從物理安全、系統安全、技術安全以及管理安全等多個方面制定安全策略：

2.1 物理安全策略

是指避免計算機設備及其他多媒體遭受水、火、地震等自然因素的破壞，避免因人為失誤、錯誤操作以及計算機犯罪導致網絡破壞。

2.2 系統安全策略

網絡系統安全包括網絡運行系統安全、網絡系統信息安全、網絡信息傳播影響的安全、網絡信息內容的安全。系統安全策略即保護網絡系統的軟硬件，維持系統正常持續地運行且網絡服務不被中斷，保證系統中信息傳播的積極影響，保護系統數據不被各種原因破壞、泄露或丟失。

2.3 技術安全策略

主要包括：（1）密碼技術即通過信息的變換或編碼，將機密數據轉變為亂碼型文字，因此保護數據不被黑客截獲或泄露。目前網絡加密方式主要有三種：鏈路加密方式、端對端加密方式和節點對點加密方式。（2）防火墻技術，防火墻可有效地隔離內外網絡的直接連接，限制內外網之間信息的流入和流出，隱蔽內部網的組成情況，對訪問的用戶進行身份識別，可防止源路由、IP地址欺騙、拒絕服務等多種攻擊，能自動發現類似ISS進行的掃描，提出安全警告，可以進行安全的遠程數據傳送。防火墻在網絡之間形成訪問控制策略系統，從而保護網絡不被他人侵擾[3]。只有當防火墻是內、外部網絡之間通信的唯一通道時才能全面、有效地保護企業網內部網絡不受侵害。（3）網絡病毒防范技術，企業網絡中計算機病毒一旦感染了其中的一臺計算機，將會很快地蔓延到整個網絡，而且不容易一下子將網絡中傳播的計算機病毒徹底清除。所以對于企業網絡的計算機病毒防治必須要全面，預防計算機病毒在網絡中的傳播、擴散和破壞，客戶端和服務器端必須要同時考慮。Station Lock 法是目前網絡環境較為有效的防病毒方法。一般病毒必須執行特定量的程序后，才會導致感染，Station Lock 利用這一特點，對可能的病毒攻擊進行辨別，并在病毒未發生感染前進行攔截。（4）其他安全技術，數據庫是計算機內電子化的大量數據集合，其信息價值遠大于系統本身的價值，為保證數據庫的完整性和機密性，數據庫管理系統要嚴格鑒別用戶身份，采取適當的訪問控制機制；同時應定期備份數據庫的所有文件的維護系統的完整性；及時糾正數據庫數據錯誤[4]。

3 公安系統內部網安全管理的實現

網絡安全的保障和維護，關鍵是靠使用、管理、技術三者的有效結合。下面主要從物理環境、網絡安全和系統安全三方面進行介紹福建省某公安系統網絡安全的實現。

3.1 物理環境的安全

機房建設在供配電系統、空調系統、消防系統等方面達到《中華人民共和國國家標準電子計算機機房設計規范》中的A級要求。設備環境考慮到防盜、防竊聽、防電磁輻射及電源保護等，設備冗余備份。用戶禁止私自拆卸、更改設備的配件。

3.2 網絡安全的實現

網絡系統存在安全漏洞（如安全配置不嚴密等）和操作系統安全漏洞等是黑客等入侵者攻擊網絡屢屢得手的重要因素，必須配備網絡安全掃描系統和系統安全掃描系統檢測網絡中存在的安全漏洞，并采用相應的措施修補系統漏洞。采取入網訪問控制、資源訪問控制，使用實名認證、授權訪問包括身份識別等，并在端口設置防火墻維護端口安全保證連接的安全性；定期進行網絡監測和控制；加強病毒防范和動態安全管理。

3.3 系統安全的實現

首先，要保證操作系統的安全，充分利用操作系統的安全功能，并及時升級操作系統的補丁程序，防范網絡入侵。將數據庫系統更換為安全級別較高的系統，對數據庫進行加密設置，同時保護數據庫不被泄露、更改等。加強用戶管理，設置用戶身份認證，避免非法用戶的入侵。在數據傳輸中進行加密傳輸保證數據傳遞的安全性。

4 討論

計算機技術的迅速發展促進了社會經濟的進步。隨著網絡的全球化，網絡安全問題也日益突出。為了創造一個安全穩定的網絡環境，保證企業內部網的安全性、完整性，維護各行業業務的正常運行和信息安全，網絡安全管理至關重要。這要求用戶要從多方面進行管理和維護，只有不斷加強網絡信息安全的管理，才能更好地運用互聯網。

[1]黃愛玉，鄭繼玲.企業內部網絡的安全管理與防范措施[J].現代經濟信息，2009.

[2]陳榮.內部網系統的網絡信息安全管理分析[J].電子制作，2014.

[3]張智，袁慶霓.內部網絡安全風險管理探索[J].計算機時代，2011.

[4]陸偉杰.內部網絡信息安全管理探析[J].技術與市場，2013.