企業信息網絡安全系統的設計和實現

前言：尋找寫作靈感？中文期刊網用心挑選的企業信息網絡安全系統的設計和實現，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：計算機技術及網絡技術應用日益廣泛，為企業的生產經營提供了極大的便利，但同時也增加了網絡環境中的潛在風險，企業為實現持續、健康發展，需要重視信息網絡安全系統構建問題。本文通過研究發現以往技術應用已不適用于當前企業網絡安全管理需求。因此，需要針對當前網絡環境中存在的威脅因素，加強對新型安全技術的融合應用，提升安全性，保證網絡系統穩定運行和數據信息安全性。

關鍵詞：信息網絡；安全系統；設計

本文以信息網絡安全系統為主要研究對象，對現階段網絡環境中潛在威脅因素進行簡要闡述，然后簡要分析企業信息網絡安全系統設計模塊，最后總結企業設計經驗提出企業信息網絡安全系統設計和實現思路，為企業提供參考。

1網絡環境中存在威脅因素

網絡技術逐漸發展，目前計算機已成為不受控制、完全開放的系統。現階段，網絡環境中的威脅因素有很多，有事件也有隱患，安全事件里也分有害程序事件、網絡攻擊事件、系統入侵事件、數據破壞事件。其中，有害程序包括病毒、蠕蟲、馬、僵尸網絡惡意代碼、惡意程序等；網絡攻擊事件包括拒絕服務攻擊域名解析異常、WiFi劫持、路由劫持、廣播欺詐等；系統入侵事件包括后門入侵、域名仿冒、身份仿冒、APT攻擊等；數據破壞事件包括數據篡改、數據泄露、數據竊取、服務異常、流量異常等。針對事件的攻擊或入侵手段不同，所采用的策略和管理方式也存在差異性。企業信息網絡安全系統應用中存在的安全隱患里包含了系統漏洞、配置錯誤、惡意行為等，其中系統漏洞也分了SQL注入、跨站腳本、敏感信息泄露、硬盤固件漏洞、網卡固件漏洞、任意文件上傳、下載等類型；配置錯誤包括配置錯誤、系統弱口令、敏感信息披露等；惡意行為包括掃描探測、隱患利用、域名仿冒、釣魚郵件、暴力破解、短信/郵件轟炸等。針對不同安全隱患所采用處理方式也不盡相同?，F對部分威脅因素和安全隱患的簡要分析。在網絡環境中經常存在不法分子入侵網絡系統，竊取、損壞、惡意篡改數據和機密文件，導致計算機系統癱瘓。而拒絕服務攻擊屬于毀滅性破壞方式，如郵件炸彈，向計算機用戶發送大量郵件，對系統運行產生嚴重影響，致使系統無法運行，甚至造成網絡系統癱瘓。對企業信息網絡安全系統運行實際情況進行分析，存在安全威脅包括：首先，病毒攻擊。蠕蟲類型網絡病毒將對網絡用戶產生巨大損失。現階段，隨著我國網絡技術不斷發展，病毒類型和傳播范圍、速度迅速提升，病毒能夠通過郵件、文件方式傳播，對網絡用戶信息安全性造成威脅。病毒傳播不僅將造成系統癱瘓，還將導致重要文件、數據丟失、被惡意篡改，最終導致系統癱瘓。其次，外部入侵。企業內部網絡和互聯網連接，雖然部署了防火墻，但因為缺少其他安全技術，依然易受到黑客攻擊。借助補丁可以升級操作系統中系統服務、驅動程序，達到動態連接，但同時也為黑客攻擊提供了便利[1]。同時，黑客能夠應用操作系統遠程服務、無密碼入口入侵。最后，內部人員潛在威脅。網絡系統需要專業人員進行控制管理，網絡安全內部人員威脅包括部分員工對企業網絡惡意破壞，尤其是部分具有一定權限管理人員，能夠接觸核心服務器，對企業的內部網絡造成破壞，同時也存在部分員工操作規范性不足，增加網絡系統潛在威脅和隱患。

2企業信息網絡安全系統設計模塊

為保護網絡信息系統軟件、硬件和相關數據信息，確保網絡持續服務，系統穩定運行，需要結合企業具體需求，對系統網絡環境、物理環境、應用以及數據庫信息安全進行精細化管理。信息網絡安全系統包括安全技術和安全管理兩部分，各部分又包括多個模塊，不同模塊起到不同作用。

2.1安全管理安全管理模塊

主要由四個模塊組成：組織機構、安全策略、員工管理和操作管理。第一，組織機構。該模塊的主要作用是滿足企業信息網絡安全系統構建相關需求，構建可以確保組織有效、正常運行的機構，實現組織功能[2]。第二，安全策略。該模塊作用是由政策層面、宏觀層面分析，建立健全安全管理相關體系和制度。第三，員工管理。該模塊作用是對企業內部員工進行管理避免，提升人員業務能力和綜合素養，培養其安全意識，確保各項工作順利開展。第四，操作管理。該模塊由微觀層面分析，工作時各個環節均需要根據相關制度操作，確保系統操作的可行性、安全性。第四，在展開安全管理工作時，需要對系統的硬件、軟件、組件、防火墻、數據庫方面全面考慮，并結合自身具體情況應用加密算法等安全技術，建立健全管理機制，確保企業信息網絡安全系統功能完善性。

2.2安全技術就企業業務層面

分析，將信息網絡安全技術劃分為五個模塊：安全控制、漏洞管理、應答管理、資產管理與風險管理。各個模塊的應用由不同功能組成。第一，安全控制，功能模塊主要作用是抵御攻擊，包括防拒絕訪問、反垃圾、防火墻和防病毒組成。第二，漏洞管理。主要作用是為信息網絡安全系統存在漏洞進行檢查分析，并對入侵病毒進行監測，保護系統安全。包括網絡監察、安全審計、漏洞監測和入侵檢查。第三，應答管理。包括人員應答、產品應答和管理平臺。第四，資產管理，主要是對系統相關設施進行安全管理。包括應用系統、用戶終端、服務器、網絡設施和物理環境等。第五，風險管理，主要是對系統和企業業務經營信息潛在安全隱患進行管控，并采取相應措施規避風險。包括風險辨別、管控、規避、轉移、評價等內容。

3企業信息網絡安全系統設計和實現

企業的內部網絡與外部互聯網連接，企業需要對網絡安全問題加以重點關注。為確保企業網絡安全性，需要積極應用安全技術抵御外部攻擊，同時防范內部用戶非法服務，需要采用相關安全策略，避免非法行為利用網絡資源。因此，企業需要全面調整網絡信息安全體制，對安全設施進行重新的部署，構建信息網絡安全系統，制定行之有效的控制策略。企業在部署信息網絡安全系統時需要對相關問題加以著重解決。首先，網絡安全訪問，借助防火墻物理隔離系統中機密數據。例如，用戶登錄網絡系統時，需要在過濾數據由外部的防火墻映射至網絡系統前，用戶需要通過網絡方可過濾數據，之后將數據傳輸至外部的防火墻。其次，防火墻抵御控制。為確保VPN至端口數據信息安全傳輸，需要將內部防火墻和外部防火墻有效結合，確保數據信息安全傳輸，另外，需確保防火墻的設置構建于隔離區內，單向控制設置，但需要對隔離區數據信息嚴格過濾。再次，入侵檢測。應用IDS技術檢測到可疑行為，能夠對入侵行為自動阻斷，第一時間通知管理人員應用IDS技術進行檢測，可以保護網絡系統運行安全，并為系統提供技術支撐[3]。第四，用戶驗證。主域服務器內安裝認證系統，設置用戶訪問與密碼權限，對訪問用戶名和密碼進行檢測，識別其身份，確保撥號與VPN安全連接。另外，對連接用戶構建訪問數據庫，對用戶IP、身份信息、登錄時間詳細記錄，為網絡系統管理管控提供參考依據。

3.1企業信息網絡安全系統框架

對實際運需求分析，通常為確保網絡系統軟件、硬件、相關數據能夠得到有效保護，網絡系統穩定運行，企業需要加強管理。首先對企業信息網絡安全具體情況進行分析，對安全系統的框架設計進行調整，對子模塊、相應功能進行重新劃分。在調整前，需要研究、分析框架調整原則。經過對大量實踐經驗進行總結，調整原則主要包括：第一，穩定性和高性能。保證信息安全系統優化調整后可以應用較少資源對網絡進行安全保護。例如提升入侵行為發現和處理速度和維護能力，確保系統穩定運行，不會因為突發事件出現系統故障、系統崩潰情況。第二擴展性和維護性。保證進行日常、突發事件維護時，便于管理人員進行維護工作，不需配置特殊資源，系統軟件、硬件具備擴展性。第三，時效性和經濟性。對系統調整優化后，在優化時投入資金較少，為減低優化成本，需要盡量應用原硬件、軟件資源，對日后硬件、軟件維護費用、升級費用加以全面考慮。第四，保密性和安全性。對系統優化后確保數據信息具有足夠的安全性，并確保數據信息不會被非法用戶操作。

3.2劃分安全區域

劃分安全區域能夠降低信息網絡安全系統潛在風險，控制網絡風險；更有效應用安全設備，提升安全措施應用效率；大局入手，為系統安全規劃、設計提供參考意見；提供檢查參考，結合實際情況指導制定安全措施，減小維護階段存在運行風險。對區域劃分原則加以確定時，需要從業務層面出發，之后考慮區域劃分安全性。該過程中需要參考網絡結構、管理分工原有情況，減小劃分安全區域時付出代價，確保網絡系統安全性。對企業一般業務需求進行總結歸納，劃分安全區域需要分析業務屬性和功能特征；業務間存在邏輯關系和互相之間存在的關聯性；系統對外的緊密度；安全特性相關要求；安全要求和安全威脅相似度；對非重要/重要資產進行區分[4]。設計時，對企業信息網絡安全系統框架確定后，按照現有管理模式、業務模式，對安全區域進行重新劃分，把企業安全區域劃分為生產服務、運行管理、辦公服務、用戶接入和外聯五個區域，并對安全邊界進行調整，提高安全級別。首先，生產服務，主要作用是生產、加工處理信息數據，包括信息接入和信息分布兩個層面。其次，運行管理主要作用是確保系統穩定運行，并提供系統狀況報告，包括AAA服務器和ACL。辦公服務主要作用是為日常事務辦公提供服務。再次，用戶接入，服務對象包括運行維護、業務用戶、辦公用戶。最后，外聯區域，包括Extranet區與Internet區，兩個區域中設置有防火墻，對接入區、DMZ區進行劃分，層層劃分，其DMZ只能夠供相應區域訪問。

3.3安全系統部署設計

首先，對防火墻的部署設計。該部分指的是應用訪問列表、防火墻管理各個安全區域和網絡核心間的訪問行為。部署方案為：生產服務依然選用Cisco交換機內模塊。把ACL控制技術使用于運行管理。把防火墻設置在辦公區域，并在外聯區配置新防火墻。其次，對審計系統、集中認證系統進行部署設計，信息網絡安全系統內設置AAA系統。再次，部署設計集中告警。在設計中，硬件選用安全運行區域中檢測系統控制主機，軟件選用收集系統，借助收集系統集中管理分散系統。例如防火墻、Windows域、防病毒、VPN等系統和系統設備，并把安全設備運行報告傳輸至告警系統中。

4總結

綜上所述，通過大量調查，企業信息網絡安全系統構建中硬件搭建、網絡布置以及相關軟件的應用均存在安全隱患。對安全技術應用分析，存在區域劃分合理性不足情況，用戶認證和管理存在漏洞，同時，物理安全、系統安全得不到切實保護。因此需要對企業信息網絡安全系統重新規劃，更改劃分網絡布局和網絡區域，加設認證系統，改善原有管理機制，降低變動幅度，節約成本。另外，對于信息網絡安全系統構建需要結合企業的實際情況，保證系統有效和高效。

作者：付萍華 周紅艷 姚利俠  單位：浙江乾冠信息安全研究院有限公司