論企業(yè)內(nèi)部網(wǎng)絡安全管理系統(tǒng)的搭建

◆姚望

論企業(yè)內(nèi)部網(wǎng)絡安全管理系統(tǒng)的搭建

◆姚望

（廈門華廈學院 福建 361000）

隨著市場經(jīng)濟的可持續(xù)發(fā)展，企業(yè)信息量在持續(xù)性的增多，企業(yè)就需要將計算機的主機和服務器作為其存儲信息的基本工具，信息流通越來越重要，這也使得企業(yè)的內(nèi)部網(wǎng)絡安全性成為焦點。本文對企業(yè)內(nèi)部網(wǎng)絡安全管理系統(tǒng)的合理搭建進行分析，希望可以滿足企業(yè)內(nèi)部網(wǎng)絡安全管理的要求，保證信息的安全性。

企業(yè)；內(nèi)部網(wǎng)絡；安全；系統(tǒng)

網(wǎng)絡正在不斷普及，人們的生活與辦公需要網(wǎng)絡的支持，企業(yè)內(nèi)部也是如此。但是隨著網(wǎng)絡安全問題的出現(xiàn)，導致企業(yè)內(nèi)部網(wǎng)絡的正常運行受到影響，采取合理有效的網(wǎng)絡安全管理措施顯得至關重要。

1 企業(yè)內(nèi)部網(wǎng)絡安全管理系統(tǒng)特征分析

針對企業(yè)內(nèi)部網(wǎng)絡安全管理系統(tǒng)而言，終端管理功能是其最為明顯的特征，這樣就可以合理的規(guī)避違法違規(guī)操作行為。其主要包含：

第一，不能針對終端網(wǎng)絡屬性隨意做出更改。針對內(nèi)部的網(wǎng)絡安全管理，則需要選擇通過軟硬件介入禁止的一種方式，這樣就可以杜絕網(wǎng)絡設施出現(xiàn)更改的問題。第二，能夠直接運行終端計算機的終止特殊程序，通過在實際的運行程序控制中，也可以選擇直接使用外部的USB來處理。針對企業(yè)內(nèi)部的網(wǎng)絡安全管理平臺，可以利用既定規(guī)則的設置，從而針對運行違規(guī)程序加以阻止。同時，如果使用了違規(guī)硬件設備，也會出現(xiàn)屏蔽或者警報信號。第三，完善屏幕快照的監(jiān)視功能。基于其安全管理系統(tǒng)進行分析研究，利用預先設定的特殊程序或者事件，通過用戶終端屏幕的實時抓拍，最終直接在服務器之中做好拍攝內(nèi)容的存儲處理，這樣就可以審核其對應操作的合理性與合法性。第四，對于變更軟硬件的日志進行記錄分析。無論是選擇使用哪一種方式，都會存在痕跡于日志之中。一旦發(fā)現(xiàn)日志出現(xiàn)了變化，就需要將操作的時間與程序明確，并且將其作為數(shù)據(jù)信息統(tǒng)計的主要依據(jù)[1]。

2 企業(yè)內(nèi)部網(wǎng)絡安全管理系統(tǒng)設計原則及安全防范措施

2.1 設計原則

企業(yè)內(nèi)部網(wǎng)絡安全系統(tǒng)的設計需要注重以下基本原則：

第一，信息保密。企業(yè)內(nèi)部網(wǎng)絡安全系統(tǒng)會拒絕非企業(yè)合作用戶、非授權用戶的訪問申請。并且，實現(xiàn)資金投入力度方面的進一步加強，做好內(nèi)部員工的合理培訓，以此來提升員工的責任意識和安全防范意識，從而杜絕機密信息外泄的情況出現(xiàn)。第二，數(shù)據(jù)本身的可控性和可用性。針對授權賬戶，直接登錄其對應的賬戶，更新數(shù)據(jù)，但是在實際的傳輸與調(diào)用環(huán)節(jié)，還應該確保數(shù)據(jù)信息的準確性和完整性。第三，信息完整性。企業(yè)基于相關標準和要求，實現(xiàn)存儲數(shù)據(jù)信息的錄入，并且還可以讓空間與時間保持一致性的要求，防范出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象。

2.2 安全防范措施

隨著科學技術的不斷發(fā)展，網(wǎng)絡安全問題不斷出現(xiàn)，為了有效防范網(wǎng)絡安全風險，入侵檢測IDS系統(tǒng)、防火墻系統(tǒng)、網(wǎng)頁安全檢測系統(tǒng)等出現(xiàn)在我們的視野之內(nèi)。

（1）入侵檢測IDS系統(tǒng)

作為網(wǎng)絡實時監(jiān)測系統(tǒng)，無論是在任何終端計算機設備上，任何一個時間段出現(xiàn)網(wǎng)絡信息安全問題都會第一時間警報，并且提示維護技術人員和安全管理人員，要求其采取合理有效的措施，避免出現(xiàn)黑客侵入或者病毒攻擊的問題。通過這一系統(tǒng)，能夠合理彌補靜態(tài)防護墻之中存在的缺陷，讓網(wǎng)絡安全屏障變得更加的完整和靈敏，同時對數(shù)據(jù)信息進行實時記錄，從而提供參考依據(jù)，服務于安全管理。入侵檢測IDS系統(tǒng)的主要構成見圖1所示。

（2）防火墻系統(tǒng)

在內(nèi)部網(wǎng)絡安全系統(tǒng)中，使用防火墻系統(tǒng)，就可以將違法用戶和非授權用戶帶來的威脅直接消除。安裝在內(nèi)外部網(wǎng)絡之間的防火墻，可以滿足其內(nèi)部網(wǎng)絡流量計算的同時做好對不良信息的篩選工作。

圖1 入侵檢測IDS系統(tǒng)

（3）網(wǎng)頁安全檢測系統(tǒng)

網(wǎng)頁安全檢測將互聯(lián)網(wǎng)黑客入侵風險消除，確保其網(wǎng)絡的安全性。網(wǎng)頁安全系統(tǒng)核心在于合理的運用服務器嵌入技術，這樣就可以避免惡意篡改靜態(tài)網(wǎng)頁腳本的情況出現(xiàn)，防范網(wǎng)絡攻擊[2]。

3 企業(yè)內(nèi)部網(wǎng)絡安全管理系統(tǒng)的搭建

基于上述的分析，基于防火墻作為其搭建內(nèi)部網(wǎng)絡安全管理系統(tǒng)的案例，希望可以滿足企業(yè)內(nèi)部網(wǎng)絡安全管理的要求。

3.1 安全系統(tǒng)設計

對企業(yè)網(wǎng)絡而言，其威脅主要來源于木馬、病毒等的惡意入侵，也包含了網(wǎng)絡黑客的攻擊，關鍵部門信息外泄，數(shù)據(jù)備份、存儲媒體出現(xiàn)丟失或者損壞的情況。針對這部分安全隱患，就需要考慮到安全策略的合理使用。如，在外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間設置一道安全屏障，再配合上網(wǎng)絡監(jiān)控、IPS、IDS的利用，設置網(wǎng)絡安全隔離系統(tǒng)，就可以滿足對外部網(wǎng)絡和內(nèi)部網(wǎng)絡的有效隔離；同時，做好用戶對應的權限設置，針對敏感性的數(shù)據(jù)設置加密保護。企業(yè)還要分析其實際的需求，提出合理的解決方案，做好對應的安全系統(tǒng)規(guī)劃處理工作。

3.2 防火墻配置

防火墻通過軟硬件的基本組合，就可以形成一道保護屏障，致力于內(nèi)外部網(wǎng)絡之間，在Internet與Internet之間實現(xiàn)安全網(wǎng)關的構建，這樣就可以滿足對于內(nèi)部網(wǎng)絡的保護，同時也能夠?qū)崿F(xiàn)對非法用戶入侵的有效隔絕。

（1）開啟路由協(xié)議

在底層利用OSPF路由協(xié)議，實現(xiàn)網(wǎng)絡之間的相互連接。通過OSPF設置，其進程號為65535.由于設備的原因，所以需要在單區(qū)域之中加以模擬，其區(qū)域號為0。通過BGP路由協(xié)議來實現(xiàn)對于上層協(xié)議的處理，并且這樣可以達成對于MPLLS VPN操作承載的實現(xiàn)。首先，通過BGP路由協(xié)議的啟動，就可以直接將對應的鄰居關設置好，然后實現(xiàn)BGP的合理配置[3]。

（2）劃分與配置虛擬局域網(wǎng)（VLAN）

針對VlAN的劃分，主要是針對廣播域的分割，其不僅可以節(jié)約帶寬，同時能保持安全性。

（3）綁定Mac地址

針對Mac地址綁定，直接進入到指定的接口模式interface interface-type，之后，就可以直接在指定端口上將對應的MAC地址以及IP地址直接的綁定，具體而言： am user-bind mac-addr mac-address ip-addr ip-address。

（4）設置攻擊防范

所謂攻擊防范就是通過各種方式防止黑客的入侵，杜絕信息泄露，防范系統(tǒng)癱瘓等情況的出現(xiàn)。當然，需要對每一個攻擊防范點進行細心合理的配置。

3.3 系統(tǒng)測試

對于系統(tǒng)的安全性測試，其對應的測試圖見圖2所示。其中，在路由模式之下外部網(wǎng)絡地址和內(nèi)部網(wǎng)絡地址分別為172.16.3.x和192.168.1.x，針對DMZ網(wǎng)絡地址，主要表示為192.168.2.x。如果其本身在透明的模式之下，那么就是92.168.1.x。

圖2 防火墻測試環(huán)境

針對防火墻的配置而言，主要是將防火墻的SMTP過濾以及包過濾打開、將bridge和bridge 1的防火墻統(tǒng)計以及對應的防火墻統(tǒng)計系統(tǒng)打開，并且要明確，究竟在交換機底基層設置其用戶與密碼。然后，針對aspf策略1主要是在tcp上直接作用、aspf策略2則是在udp與http之上直接作用、aspf策略3在rtsp與sntp上以及目標地址的lan級別上直接的作用。利用這樣的方式之后，就可以自動化配置端口，同時也可以實現(xiàn)對于地址與端口橋接的配置處理，再配合不信任區(qū)間合理的處理方式，通過防火墻的配置來阻止攻擊，并且做好用戶權限的基本設置工作。

（1）端口掃描

利用端口掃描，就是將目標機上的共享資源列出來，并且進行模擬化的攻擊：選取正確的攻擊目標、掃描端口、列出共享資源、復制攻擊工具、映射網(wǎng)絡硬盤、保留對應的訪問權限等。在共享資源列出來之后找到對應的目標計算機，然后針對共享資源列表進行查詢[4]。

（2）ping of death 攻擊

在防火墻將ping of death開啟之后，則不能讓ping通丟包。

4 結語

考慮到企業(yè)內(nèi)部網(wǎng)絡直接關聯(lián)到企業(yè)的各個部門，所以利用內(nèi)部網(wǎng)絡可以滿足溝通的要求，在工作效率提升的同時，也可以保持良好的經(jīng)濟效益，這才是網(wǎng)絡時代發(fā)展對于企業(yè)提出的全新發(fā)展機遇。當然，這一系列功能的實現(xiàn)都離不開網(wǎng)絡安全可靠運行的支持，否則會帶來較大的損失，對于企業(yè)的正常運營產(chǎn)生影響，造成難以彌補的后果。所以企業(yè)需要加強內(nèi)部網(wǎng)絡安全管理系統(tǒng)的搭建和完善，進而在日常的經(jīng)營管理之中融入網(wǎng)絡技術，切實做好企業(yè)內(nèi)部網(wǎng)絡的安全管理工作，以此服務于企業(yè)當下的運作和未來的發(fā)展。

[1]方欣欣.企業(yè)網(wǎng)絡運維管理優(yōu)化研究[J].信息系統(tǒng)工程，2020（05）：155-156.

[2]郭文哥.企業(yè)內(nèi)部信息網(wǎng)絡安全存在的問題及解決途徑[J].計算機產(chǎn)品與流通，2018（04）：139.

[3]曹琦.企業(yè)內(nèi)部計算機網(wǎng)絡安全策略[J].電腦迷，2018（03）：67-68.

[4]文勃.虛擬網(wǎng)絡技術與企業(yè)內(nèi)部網(wǎng)絡應用[J].電子技術與軟件工程，2018（03）：10.