內(nèi)部網(wǎng)信息安全的建設(shè)策略

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了內(nèi)部網(wǎng)信息安全的建設(shè)策略范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

【摘要】當(dāng)前企業(yè)的信息傳遞越來(lái)越依賴于計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)企業(yè)在享受計(jì)算機(jī)網(wǎng)絡(luò)與系統(tǒng)便利的同時(shí)，也需要意識(shí)到可能出現(xiàn)的安全隱患，尤其是某些重要信息泄露所帶來(lái)的直接損失。因此，安全防護(hù)措施與終端網(wǎng)絡(luò)安全防控工作就顯得至關(guān)重要，其目的也在于為企業(yè)內(nèi)網(wǎng)中的數(shù)據(jù)信息提供有效可靠的管理方案。

【關(guān)鍵詞】內(nèi)部網(wǎng)信息安全；建設(shè)策略；防范對(duì)策

引言

當(dāng)前信息安全產(chǎn)生的主要原因在于系統(tǒng)存在的不穩(wěn)定因素、以數(shù)據(jù)信號(hào)存儲(chǔ)在計(jì)算機(jī)中的數(shù)據(jù)信息非常容易傳播并獲取。網(wǎng)絡(luò)應(yīng)用發(fā)展至今，惡意泄露、竊取、破壞信息的情況普遍存在，威脅信息安全的因素也隨之出現(xiàn)。信息系統(tǒng)面臨的主動(dòng)攻擊與被動(dòng)攻擊需要同時(shí)得到控制，減少信息數(shù)據(jù)損失的可能性。

1內(nèi)部網(wǎng)信息安全系統(tǒng)要求

在互聯(lián)網(wǎng)信息時(shí)代，科技飛速發(fā)展，隨著時(shí)間的推移，大多數(shù)的企業(yè)辦公都已經(jīng)全部實(shí)現(xiàn)了網(wǎng)絡(luò)化，任何企業(yè)都建立自己的內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)存儲(chǔ)中心，如何進(jìn)行企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全建設(shè)成為了企業(yè)日常運(yùn)營(yíng)的重點(diǎn)。

1.1結(jié)構(gòu)與性能

為了充分保障系統(tǒng)的安全防護(hù)與監(jiān)督作用，需要了解系統(tǒng)運(yùn)行時(shí)的基礎(chǔ)狀況，以便于讓系統(tǒng)客戶端成功開(kāi)啟保護(hù)模式，嵌入計(jì)算機(jī)啟動(dòng)配置文件當(dāng)中。另外，系統(tǒng)為了能持續(xù)發(fā)揮作用，應(yīng)該具備穩(wěn)定性與容錯(cuò)功能，且具備系統(tǒng)維護(hù)與二次開(kāi)發(fā)的能力，可以采用模塊化的功能設(shè)計(jì)方案來(lái)提升系統(tǒng)的擴(kuò)展性。

1.2系統(tǒng)工作原理

完善的安全系統(tǒng)應(yīng)該包含客戶端、服務(wù)器、控制端三個(gè)區(qū)域，信息管理人員能夠結(jié)合實(shí)際的信息需求將其安裝在內(nèi)網(wǎng)的不同設(shè)備之上，如果條件允許的情況下可以將控制端單獨(dú)安裝在一臺(tái)服務(wù)器之上，以便于保障分析效率的提升[1]。系統(tǒng)運(yùn)作過(guò)程中，首先會(huì)進(jìn)行數(shù)據(jù)源統(tǒng)計(jì)，包括軟件、硬件信息和數(shù)據(jù)信息，此外服務(wù)器端會(huì)對(duì)統(tǒng)計(jì)的數(shù)據(jù)進(jìn)行收集，然后按照信息類型的不同進(jìn)行劃分，存儲(chǔ)在自身的數(shù)據(jù)庫(kù)當(dāng)中。例如在網(wǎng)絡(luò)設(shè)備的改造需求方面，采用了一臺(tái)三層可網(wǎng)管交換機(jī)替換電力療養(yǎng)院現(xiàn)有匯聚HUB；同時(shí)拆除機(jī)柜內(nèi)2個(gè)至樓層光纖收發(fā)器，采用尾纖與匯聚交換機(jī)直接互聯(lián)的方案，在保持原有結(jié)構(gòu)系統(tǒng)的同時(shí)，提升了防火墻的使用價(jià)值。

1.3系統(tǒng)運(yùn)行環(huán)境分析

為了進(jìn)一步保障系統(tǒng)數(shù)據(jù)使用過(guò)程中的傳輸速率與安全性，就需要使用操作系統(tǒng)輔助安全系統(tǒng)的各個(gè)模塊。例如可以選擇MSAccess作為系統(tǒng)數(shù)據(jù)存儲(chǔ)平臺(tái)，不僅系統(tǒng)資源占用較少，且處理效率相對(duì)較高，操作簡(jiǎn)單，與系統(tǒng)之間不存在兼容性問(wèn)題。從硬件環(huán)境要求來(lái)看，服務(wù)器端與控制端安裝在企業(yè)內(nèi)網(wǎng)的服務(wù)器之上，客戶端可以直接安裝在內(nèi)網(wǎng)中的任一計(jì)算機(jī)之上。目前的技術(shù)水平下計(jì)算機(jī)配置相對(duì)較高，客戶端也可以快速運(yùn)行，服務(wù)器端在CPU于內(nèi)存上具有一定的要求。

2系統(tǒng)具體實(shí)現(xiàn)方案

2.1網(wǎng)絡(luò)監(jiān)測(cè)模塊

通常情況下管理人員可以進(jìn)行網(wǎng)絡(luò)監(jiān)測(cè)來(lái)獲取相關(guān)數(shù)據(jù)，從網(wǎng)絡(luò)信息中截取其中的可疑流量。在這些可疑的流量之內(nèi)包含通信協(xié)議、通信時(shí)間等重要的信息，然后通過(guò)信息分析來(lái)判斷是哪一層的協(xié)議或計(jì)算機(jī)設(shè)備出現(xiàn)問(wèn)題，以便于更好地為管理人員對(duì)網(wǎng)絡(luò)問(wèn)題進(jìn)行判斷。按照不同的網(wǎng)絡(luò)協(xié)議，管理人員可以以此為基礎(chǔ)分析不同的數(shù)據(jù)信息。例如對(duì)最常見(jiàn)的TCP/IP協(xié)議進(jìn)行分析，就可以獲取設(shè)備終端地址、名稱等[2]。此時(shí)，當(dāng)非法終端進(jìn)入監(jiān)聽(tīng)設(shè)備所在環(huán)境中時(shí)，管理人員能夠立即發(fā)現(xiàn)并組織其與網(wǎng)絡(luò)連接，從而實(shí)現(xiàn)內(nèi)網(wǎng)信息安全保障，信息安全建設(shè)策略也可以通過(guò)這一模式來(lái)更好地判斷存在的網(wǎng)絡(luò)問(wèn)題。安全監(jiān)測(cè)策略中的模塊可以被劃分為3個(gè)部分，即設(shè)備驅(qū)動(dòng)部分、動(dòng)態(tài)鏈接庫(kù)部分與應(yīng)用程序部分，這也是應(yīng)用層的重要內(nèi)容。

2.2設(shè)備訪問(wèn)控制防護(hù)策略

當(dāng)用戶需要對(duì)計(jì)算機(jī)中的文件進(jìn)行讀寫(xiě)操作時(shí)，管理器會(huì)為其提供相應(yīng)的請(qǐng)求。I/O管理器會(huì)對(duì)驅(qū)動(dòng)設(shè)備對(duì)象進(jìn)行檢查，了解附著在文件系統(tǒng)驅(qū)動(dòng)上的內(nèi)容后再發(fā)送請(qǐng)求。如果發(fā)現(xiàn)有程序附著在設(shè)備對(duì)象棧上層，管理器會(huì)將請(qǐng)求發(fā)送給過(guò)濾驅(qū)動(dòng)程序，并以此為基礎(chǔ)阻斷非授權(quán)用戶對(duì)于文件的有效訪問(wèn)。從過(guò)濾程序要求來(lái)看，應(yīng)該先構(gòu)造過(guò)濾設(shè)備對(duì)象，并設(shè)計(jì)好分派程序。針對(duì)不同的請(qǐng)求也需要設(shè)置不同的分派程序，按照實(shí)際要求傳遞給相應(yīng)的目的對(duì)象。而過(guò)濾驅(qū)動(dòng)程序也需要向下層驅(qū)動(dòng)程序進(jìn)行傳遞并獲得正確的返回。在文件系統(tǒng)訪問(wèn)控制方面，文件過(guò)濾驅(qū)動(dòng)程序處在上層驅(qū)動(dòng)程序之上，能夠?qū)λ形募牟僮髡?qǐng)求進(jìn)行截獲，從而對(duì)文件系統(tǒng)的訪問(wèn)進(jìn)行合理控制，避免非法用戶對(duì)企業(yè)機(jī)密文件的管理。所以，信息安全系統(tǒng)的管理過(guò)程中會(huì)涉及到狀態(tài)設(shè)置命令，以便于對(duì)移動(dòng)設(shè)備存儲(chǔ)的連接狀態(tài)進(jìn)行調(diào)整[3]。

3模塊建設(shè)策略與防范

3.1加密模塊

在系統(tǒng)進(jìn)行加密的過(guò)程中，數(shù)據(jù)在傳輸環(huán)節(jié)以XML的消息形式存在，而加密模塊的作用也根據(jù)XML的加密規(guī)范對(duì)部分?jǐn)?shù)據(jù)信息進(jìn)行保密處理，為了防止信息內(nèi)網(wǎng)終端與外網(wǎng)終端的誤連接，導(dǎo)致數(shù)據(jù)信息的泄露，通過(guò)內(nèi)網(wǎng)終端設(shè)備與外網(wǎng)控制阻斷模塊的連接來(lái)實(shí)現(xiàn)了數(shù)據(jù)安全性，不再被輕易獲取，采用XML消息元素加密方案，數(shù)據(jù)可以得到穩(wěn)定保障，避免信息被非法用戶利用。根據(jù)所接收到的加密XML信息，先提取元素<Signature>中的內(nèi)容后再進(jìn)行數(shù)字簽名驗(yàn)證，確定消息發(fā)送者的合法身份后，再提取子元素的內(nèi)容，解密獲取數(shù)據(jù)的加密密鑰，最終根據(jù)元素中的消息摘要算法來(lái)生成新的摘要，以保障數(shù)據(jù)的完整性。

3.2密鑰規(guī)劃

在內(nèi)網(wǎng)信息加密的過(guò)程中，可以進(jìn)行的算法包含兩種類型，即對(duì)稱加密算法與非對(duì)稱加密算法。此時(shí)需要結(jié)合電力市場(chǎng)中的數(shù)據(jù)傳輸要求，綜合分析不同算法的特征，以此為基礎(chǔ)獲取最合理的算法要求?？紤]到企業(yè)對(duì)于實(shí)時(shí)數(shù)據(jù)信息的要求較高，所以可以采用序列加密算法，在進(jìn)行信息保護(hù)的同時(shí)滿足實(shí)時(shí)性的要求。以目前的技術(shù)要求來(lái)看，使用對(duì)稱加密算法在解密速度上也要比非對(duì)稱加密算法的速度更快，換言之，對(duì)稱加密算法適用于對(duì)大量數(shù)據(jù)的解密和加密，非對(duì)稱加密算法更適用于對(duì)少量數(shù)據(jù)的解密加密[4]。

4結(jié)語(yǔ)

本研究針對(duì)內(nèi)網(wǎng)信息安全性的要求進(jìn)行了系統(tǒng)設(shè)計(jì)與分析，主要針對(duì)當(dāng)前內(nèi)網(wǎng)信息可能存在的漏洞進(jìn)行了有效管控。但目前的信息安全管理體系還相對(duì)復(fù)雜，涉及到多個(gè)技術(shù)層面的內(nèi)容與功能模塊，系統(tǒng)也需要在不影響計(jì)算機(jī)性能的前提下實(shí)現(xiàn)運(yùn)行，對(duì)于信息安全建設(shè)與防范對(duì)策的安全性與隱秘性有著更高的技術(shù)要求。在未來(lái)的工作當(dāng)中，還應(yīng)該優(yōu)化網(wǎng)絡(luò)訪問(wèn)控制與系統(tǒng)兼容性，結(jié)合實(shí)際需求添加部分功能模塊，包括進(jìn)程管理、帶寬控制等，進(jìn)一步保障數(shù)據(jù)信息的安全。

參考文獻(xiàn)

[1]陳曉東，馬冉.網(wǎng)絡(luò)信息安全的威脅及對(duì)策———黨校局域網(wǎng)建設(shè)的體會(huì)與應(yīng)對(duì)[J].中共濟(jì)南市委黨校學(xué)報(bào)，2011（2）：102~104.

[2]北信源公司.北信源內(nèi)部網(wǎng)絡(luò)安全防護(hù)技術(shù)方案———北信源內(nèi)網(wǎng)安全管理系統(tǒng)[J].信息安全與通信保密，2010（2）：40~41.

作者：劉昆 范恭園 黎源 陳祥立 徐波 單位：安徽皖電招標(biāo)有限公司