基于内部网络安全防范方案的设计
2021-06-08宋剑
宋剑
【摘要】 本文对当前内部网络面对的威胁进行分析,主要包括内网脆弱、用户权限不同、涉密信息分散等方面,并提出内网安全防范的有效措施。以期通过合理选择关键网络安全设备、创建内网安全体系模型、完善一体化内网安全体系、引入OA系统安全设计等方式,有效防止非法访问与数据丢失等情况发生,使内部网络与数据资源安全得到切实保障。
【关键词】 网络安全 防范方案 设计措施
引言:
当前计算机技术不断更新换代,网络成为日常生活学习不可缺少的内容,网络办公已经成为职业发展的主流趋势。但因网络具有开放性特点,难免有许多不安全因素混杂其中,为办公环境带来网络内部威胁,主要为内网脆弱、用户权限不同、涉密信息分散等等,需要通过构建安全体系的方式,加强内网安全保护,从而加强网络安全控制力度,营造安全和谐的办公环境。
一、内部网络面对的威胁
内网是在IP协议基础上,依靠Web计算机核心技术创建的便于信息交换的平台,属于独立网络,无需与互联网相连。在内部网络的基础上,计算机技术可对多媒体、图形等信息进行统一化管理,促进工作效率提升,可见内网在企业中的作用不容忽视,可为电子政务发展提供强有力的技术支持。网络在为人们带来诸多便利的同时,安全威胁也接踵而至。当前人们对网络安全的认知只停留于表层,即黑客与网络外部构成的威胁,却忽视了源于内部网络的安全威胁。据统计,有超过50%的企业面临着内网威胁,具体如下。
1.1内网脆弱
在企业发展中,因内网安全防范存在漏洞,部分网络管理员对此缺乏重视,监管力度不足、未能及时更新防护措施,导致内网常常受到攻击,大部分计算机终端的系统漏洞越来越大,加上内网中应用程序数量不断增加,也使得终端系统漏洞越发严重。
1.2用户权限不一
在企业内网中用户的使用权限不尽相同,需要对用户权限进行统一管控,否则将会导致不同应用程序被越权使用。正因设置权限不同,导致内网需要多次识别身份认证,对于身份认证较弱的用户,很容易成为黑客攻击的对象,一旦非法份子通过基层身份进入内网,便会实施越权操作;许多企业信息安全部门忽视服务器管理,为黑客入侵提供了可乘之机。
1.3涉密信息分散
对于部分企业来说,内网涉密设局常常分散存储在多个计算机终端中,并非全部存储在服务器中,这就要求制定严格的监管制度,才可使涉密数据得到统一有效的管理,不会为窃密者制造更多入侵机会;部分企业将机密信息存储在中高层管理者计算机中,内网对于此类信息没有整合,这说明企业机密掌握在几名管理者手中,但此类主体的信息保护程度较弱,达不到专业化水平,同样容易导致丢失、受损等现象发生[1]。
二、内部网络安全防范的设计
在内部网络中具有诸多安全因素,为提高内网安全程度,应制定切实可行的内网安全防范方案,做好设计前准备工作,结合系统现实需求进行总体设计,创建科学完善的安全体系,并注重OA系统开发研究,以此提高企业信息化水平,实现稳健长久发展。
2.1设计前准备
在内网安全方案制定之前,应了解内网安全设备的相关性能,为日后方案的科学应用提供基础。在防火墙方面,该设备属于网络之间的有效防御系统,可对企业内网中的各类应用起到保护作用,可根据实际需要选择屏蔽路由器型、屏蔽主机网管型与子网型。在入侵检测方面,防火墙具有被动防御特点,但入侵属于主动行为,可采用入侵检测系统进行安全防护,可及时准确的检测是否存在内网入侵行为,并判断该行为的合法性;在硬件加密机方面,该设备与主机间的协议进行通信,具有数据通信、安全保密等功能,可有效规避网络诈骗行为产生。
2.2总体设计
为了更为直观的表明内网安全防范的总体设计思路,以某企业内网设计项目为例,该企业整体结构均是借助内网实现信息交流与共享,在方案设计中,下层机构难以与互联网直接相连,需要经过上级外网路由器数据交换才可实现,具体设计内容与方法如下。
1、关键网络安全设备配置。
针对当前企业在连接方面存在的问题,需要选择恰当的安全设备来解决。在服务器选择时,针对上级机构采用Windows2010操作系统,确保内网计算机能够安全访问,并强化该系统的安全设置,如禁止非法攻击、断开远程恢复系统状态等等。一些入侵者会创建多个远程连接手段消耗服务器空间,达到服务器崩溃的目标。因服务器中空间有限,如若创建多个系统势必会增加服务器运行负荷,影响运行正常性。对此,可通过强制断开远程系统与服务器连接的方式来确保系统正常运行。在防火墙选择中,选择的是包过滤防火墙,其价值在于信息传输中无需占用网络带宽,可满足下级对上级访问的要求;在入侵检测系统选择中,上对下采用网络入侵检测系统,下对上采用主机入侵检测系统,使整体内网安全得到有效保障[2]。
2、增强型内网安全设计。
尽管上述方案与企业内网安全需求相符合,但部分企业对安全信息的要求十分严格,该方案与预期目标仍然有所出入。对此,应制定增强型安全设计方案,将蜜网技术引入上级机构中,使主机、操作系统、网络服务有机融合起来,在高度可控的状态下挖掘内网中的安全威胁,使网络安全性得到显著提升。通过蜜网的应用,可使黑客在瞄准蜜网中某一目标时,入侵檢测模块便会立即分析该行为,及时发出报警信息,系统自动进入欺诈模块,干扰和抵御入侵行为。此外,管理者还可以密切关注入侵行为,启动日志系统记录黑客信息,在此基础上制定针对性防范措施,促进系统安全性全面提升。
2.3安全体系构建
在设计内网安全防范方案后,虽可在技术层面缓解企业内网安全问题,降低内网中面对各类安全威胁时造成的损失。但是,单纯技术设计难以显著增强内网应用中的防范能力,还应创建内网安全体系,与内网实际情况相结合,对各项安全管理因素综合考虑,才可实现更高层次的内网安全保护目标。一方面,创建内网安全体系模型,主要分为安全管理、技术、产品与制度等方面,属于分层结构。从水平层面上看,包括安全技术、管理与产品三项内容,属于支配与被支配的关系;从垂直层面上看,以安全制度为主,可对水平层的各项因素安全行为进行规范。另一方面,完善一体化内网安全体系,主要包括授权管理、身份认证、监控审计与数据保密等内容,上述模块相辅相成,共同构建出安全可靠的内部网络。
其中,身份认证作为内网安全管理的基本内容,需要对参与者身份进行综合分析和确定,如用户、客户端、服务端等等,尤其是用户与客户端,二者的数量较多、环境安全性不高、因素变化较大,对其身份认证十分必要;在身份认证完毕后便可进行授权管理,针对内网中各类信息资源进行授权,明确不同类型主体在终端中获取的资源与权限。信息资源包括服务器、终端应用权、网络资源等等。数据保密作为整体内网安全的核心所在,从本质上看是对内网数据流、信息流实施全生命周期的高效管理,营造安全的信息交换与存储环境,使内网中核心数据与知识产权得到切实保护;监控审计作为整体内网安全中不可或缺的内容,其作用在于对整体内网安全状态的全天候监管,提交监管评估报告,待发生网络安全事故后,可及时准备的取证和处理[3]。
2.4 OA系统安全设计
根据上文研究可知,当前数据信息与系统安全受到极大威胁,急需创建一套切实可行的安全措施保证系统安全。当前OA系统日益普及,应加强对系统安全设计的重视程度,有效预防非法访问与数据丢失情况发生。因OA系统所处网络中含有诸多关键部门,且部门间的联系紧密,信息资源传输的保密性较强,在安全设计中应根据系统所处环境,与实际情况相结合,为制定科学有效防范措施提供有利依据。同时,采取分层保护措施,使物理层、应用层与网络层得到全面保护,依靠专业防护设备,提高系统整体安全性。一般情况下,OA系统安全设计体现在两个方面,即防止非法访问与数据丢失,具体措施如下。
1、防止数据丢失。
对于电源故障,可采用当前应用较为普遍的不间断电源,与双机耦合容错结构相结合,此举可使主机与辅机同时共享磁盘阵列信息,自动诊断错误,互相备份,使系统信息时刻处于安全状态;利用磁盘阵列为关键数据备份,使网络中关键设备自身容错能力得到显著提升;利用磁带机对文件服务器中的系数信息根据录入时间先后进行备份。
2、防止非法访问。
当前企业OA系统中大多安装了防火墙,在非法访问抑制时可采取以下措施:一是数据加密,对系统中各个通信节点设置防火墙软件,每个节点都定义为一个加密域,形成避免非法访问的专用网络;二是在登录服务器时,设置登录密码,为不同用户设置相应的访问权限,针对文件系统的不同操作设置访问许可证;三是地址设置,由管理者决定哪些IP被屏蔽,无法接入网络;哪些IP属于有效地址,经过映射后可接入网络;四是授权控制,针对特定群体在固定时段内的应用进行控制,将标准进程替换为防火墙专用的Telbet进程,只有通过授权后才可实现通信。因HTTP认证服务在防火墙中运行,管理者可设定用户的授权规则,决定哪些服务器可被用户访问;
3、完善访问控制机制。
在避免上述两种情況发生的同时,还应以角色访问为基础完善访问控制机制,将权限与角色相联系,为不同岗位设置相应角色,根据用户责任与岗位工作给予合适角色,用户可通过给予的角色获取相应权限,由此实现对文件或网页的访问[4]。
三、结论
综上所述,当前国内办公自动化水平不断提升,内网系统安全维护显得十分关键。为了避免数据丢失、损坏与非法访问,应积极通过合理选择关键网络安全设备、创建内网安全体系模型、完善一体化内网安全体系、引入OA系统安全设计等方式,从根本上保证内网安全,使系统运行更加稳定可靠。
参 考 文 献
[1]徐署华.基于多层防护的某监狱管理局网络安全解决方案[J].科学技术与工程,2019,6(016):2568-2570.
[2]刘佛祥,刘东阳.企业内部网络安全防护系统的方案设计[J].江西冶金,2018,038(003):41-44.
[3]齐天杰,郭铮.内部网络安全防范方案设计浅析[J].网络安全技术与应用,2019,000(003):103-103.
[4]苏向颖,王喃喃.企业内部网络安全防范的方案设计及信息技术[J].中小企业管理与科技,2019(03):012-014.
