跨国企业网络与信息安全防护浅析

2017-07-24◆王朋

网络安全技术与应用 2017年7期

关键词：存储介质内网商业秘密

◆王朋

(中国中车股份有限公司北京 100000)

跨国企业网络与信息安全防护浅析

◆王朋

(中国中车股份有限公司北京 100000)

随着企业发展和海外业务不断增加，对网络与信息安全也提出了新的要求。因跨国信息传输、防护环境有其特殊性，故信息安全防护与国内也有所区别。本文从技术、管理两方面针对跨国网络与信息安全防护进行研究，提出几点见解。

网络安全；数据安全

0 引言

随着“一带一路”战略构想的提出，企业都在加速推进国际化战略，企业实现走出去的目标，需要国际化 IT的支撑。随着不断走出去和业务的扩展，企业网络与信息安全也面临更大的风险，保护企业核心商秘和敏感信息是迫切需要解决的重要问题。

1 网络安全

企业要走出去，在海外设立公司，IT支撑势必需要利用国际网络环境进行海外组网，建设支撑海外公司的网络环境，需租用其他国家的物理链路，从而带来信息安全风险。

1.1 物理链路风险

随着针对光纤信号窃听技术的日益成熟，对光纤网络中传输的企业数据威胁也越来越严重。通过光纤窃听技术[1]，不法分子很容易窃取光纤链路中传输的数据信息，且窃听成本越来越低、隐蔽性越来越强。对企业的商业秘密和敏感信息造成了极大地威胁。

1.2 建设国际专线，保护企业商业秘密

企业可通过虚拟专用网（Virtual Private Network）技术建设国际专线，实现与海外公司的互联。VPN是指通过在一个公用网络（如Internet、ATM等）上临时建立的专用逻辑网络，通过加密进行通信。VPN通过加密技术，对建立的逻辑隧道中传输的数据进行加密，保证企业数据在传输中的安全[2]。VPN的安全性包括隧道与加密、数据验证、用户验证、防火墙与攻击检测等。

1.3 部署网络加密机，保障网络传输安全

在国际专线两端部署网络加密机，对网络传输数据进行加解密操作，校验数据的合法性，并且对网络传输数据中的敏感信息进行加解密处理[3]，防止信息泄露，防御非法数据攻击的风险。网络加密机须是国家密码管理局指定的商用加密产品，须遵循国家密码管理局相关技术标准和规范。

1.4 设置海外业务传输前置区，保障内网业务安全

在企业业务内网前端设置海外业务传输前置区，通过网闸与内网互联，同时部署边界安全设备，保护内网安全。

通过网闸中断内网与互联网的直接连接，终止所有网络协议，禁止任何 TCP/IP协议穿透网闸，剥离网络协议并将其还原成原始数据。在两个主机系统之间采用自有协议，进行应用层数据的摆渡，从而实现内网安全。

通过在海外业务传输前置区部署防火墙、IPS、防毒墙等边界安全防护设备，对交互数据进行检测，防止内网遭受攻击和病毒侵入，实现内网安全。

图1 网站工作原理

图2 网络拓扑图

2 数据安全

2.1 部署图文档加密系统

为防止企业敏感信息泄露，对接入企业办公内网的所有终端实施敏捷图文档加密，保障文件在全生命周期（包括在新建、浏览、编辑、更改等操作文件的时候）都处于图文档加密系统的保护之下。在保护环境内文档能正常操作，如果被非法带出保护环境，打开文件后以乱码呈现，无法看到文件真实内容，从而在源头上保证了企业商业秘密的安全。

2.2 部署移动存储介质管理系统

移动存储介质管理系统，对移动存储介质（主要为移动硬盘、U盘）内数据经过高强度加密算法处理，并通过安全控制策略使其具有较高安全性能的移动存储介质。移动存储介质管理系统将存储介质和指定的内网计算机进行信息绑定，在同一安全策略的控制下，这些被绑定的计算机就构成了同一个信任域。只有属于同一信任域的内网计算机能够使用注册过的存储介质进行信息交换。保密移动存储介质管理系统实行单一安全控制策略，即保密区策略。存储介质只允许设置数据加密的保密区，只有属于同一信任域的内网计算机能够正常读写保密区数据。

移动存储介质的管理，遵循“即领即用、编号管理、即时查杀、妥善保管”的原则，严格控制发放范围，切实保护企业商业秘密和核心数据。

2.3 配备跨境专用笔记本电脑和移动存储介质

统一购置专门用于跨境出国的笔记本电脑和移动存储介质。一是对电脑的操作系统、办公软件等进行正版化，避免在境外引起不必要的纠纷。二是对电脑内存储的资料进行审查，使用专业清除工具清除商业秘密和内部资料。三是安装图文档加密系统和移动存储介质管理系统，对数据资料进行加密，对移动存储介质进行管控，防止失泄密发生。