跨國企業網絡與信息安全防護淺析

◆王 朋

(中國中車股份有限公司 北京 100000)

跨國企業網絡與信息安全防護淺析

◆王 朋

(中國中車股份有限公司 北京 100000)

隨著企業發展和海外業務不斷增加，對網絡與信息安全也提出了新的要求。因跨國信息傳輸、防護環境有其特殊性，故信息安全防護與國內也有所區別。本文從技術、管理兩方面針對跨國網絡與信息安全防護進行研究，提出幾點見解。

網絡安全；數據安全

0 引言

隨著“一帶一路”戰略構想的提出，企業都在加速推進國際化戰略，企業實現走出去的目標，需要國際化 IT的支撐。隨著不斷走出去和業務的擴展，企業網絡與信息安全也面臨更大的風險，保護企業核心商秘和敏感信息是迫切需要解決的重要問題。

1 網絡安全

企業要走出去，在海外設立公司，IT支撐勢必需要利用國際網絡環境進行海外組網，建設支撐海外公司的網絡環境，需租用其他國家的物理鏈路，從而帶來信息安全風險。

1.1 物理鏈路風險

隨著針對光纖信號竊聽技術的日益成熟，對光纖網絡中傳輸的企業數據威脅也越來越嚴重。通過光纖竊聽技術[1]，不法分子很容易竊取光纖鏈路中傳輸的數據信息，且竊聽成本越來越低、隱蔽性越來越強。對企業的商業秘密和敏感信息造成了極大地威脅。

1.2 建設國際專線，保護企業商業秘密

企業可通過虛擬專用網（Virtual Private Network）技術建設國際專線，實現與海外公司的互聯。VPN是指通過在一個公用網絡（如Internet、ATM等）上臨時建立的專用邏輯網絡，通過加密進行通信。VPN通過加密技術，對建立的邏輯隧道中傳輸的數據進行加密，保證企業數據在傳輸中的安全[2]。VPN的安全性包括隧道與加密、數據驗證、用戶驗證、防火墻與攻擊檢測等。

1.3 部署網絡加密機，保障網絡傳輸安全

在國際專線兩端部署網絡加密機，對網絡傳輸數據進行加解密操作，校驗數據的合法性，并且對網絡傳輸數據中的敏感信息進行加解密處理[3]，防止信息泄露，防御非法數據攻擊的風險。網絡加密機須是國家密碼管理局指定的商用加密產品，須遵循國家密碼管理局相關技術標準和規范。

1.4 設置海外業務傳輸前置區，保障內網業務安全

在企業業務內網前端設置海外業務傳輸前置區，通過網閘與內網互聯，同時部署邊界安全設備，保護內網安全。

通過網閘中斷內網與互聯網的直接連接，終止所有網絡協議，禁止任何 TCP/IP協議穿透網閘，剝離網絡協議并將其還原成原始數據。在兩個主機系統之間采用自有協議，進行應用層數據的擺渡，從而實現內網安全。

通過在海外業務傳輸前置區部署防火墻、IPS、防毒墻等邊界安全防護設備，對交互數據進行檢測，防止內網遭受攻擊和病毒侵入，實現內網安全。

圖1 網站工作原理

圖2 網絡拓撲圖

2 數據安全

2.1 部署圖文檔加密系統

為防止企業敏感信息泄露，對接入企業辦公內網的所有終端實施敏捷圖文檔加密，保障文件在全生命周期（包括在新建、瀏覽、編輯、更改等操作文件的時候）都處于圖文檔加密系統的保護之下。在保護環境內文檔能正常操作，如果被非法帶出保護環境，打開文件后以亂碼呈現，無法看到文件真實內容，從而在源頭上保證了企業商業秘密的安全。

2.2 部署移動存儲介質管理系統

移動存儲介質管理系統，對移動存儲介質（主要為移動硬盤、U盤）內數據經過高強度加密算法處理，并通過安全控制策略使其具有較高安全性能的移動存儲介質。移動存儲介質管理系統將存儲介質和指定的內網計算機進行信息綁定，在同一安全策略的控制下，這些被綁定的計算機就構成了同一個信任域。只有屬于同一信任域的內網計算機能夠使用注冊過的存儲介質進行信息交換。保密移動存儲介質管理系統實行單一安全控制策略，即保密區策略。存儲介質只允許設置數據加密的保密區，只有屬于同一信任域的內網計算機能夠正常讀寫保密區數據。

移動存儲介質的管理，遵循“即領即用、編號管理、即時查殺、妥善保管”的原則，嚴格控制發放范圍，切實保護企業商業秘密和核心數據。

2.3 配備跨境專用筆記本電腦和移動存儲介質

統一購置專門用于跨境出國的筆記本電腦和移動存儲介質。一是對電腦的操作系統、辦公軟件等進行正版化，避免在境外引起不必要的糾紛。二是對電腦內存儲的資料進行審查，使用專業清除工具清除商業秘密和內部資料。三是安裝圖文檔加密系統和移動存儲介質管理系統，對數據資料進行加密，對移動存儲介質進行管控，防止失泄密發生。

圖3 移動存儲介質管理系統拓撲圖

3 人員安全

一是加強員工特別是涉外員工的保密培訓和教育，每年不少于兩次培訓和教育。二是加強網絡與信息安全防護技術培訓，提高員工網絡與信息安全意識和技術防護水平。三是加強對員工保密和網絡與信息安全知識與技術考核，考核成績納入員工年度工作績效考核。

4 結束語

網絡與信息安全防護是一項長期的工作，既要采取技術手段加以防護，又要通過制度對資產和人員加強管理。本文從網絡安全、數據安全和人員安全對網絡與信息防護進行闡述，提出了幾點防護見解，加強企業與海外公司網絡與信息安全防護，切實保護企業商業秘密和敏感信息。

[1]張 睿 汭.光纖通信網絡竊聽方法及防御措施[J].電信科學，2012.

[2]馮運波，藺新華，楊義先.虛擬專用網技術[J].電子商務，1998.

[3]黃金雪.淺析加密機在網絡安全中的應用[J].網絡與信息，2010.