一、企業涉密網絡安全防護模型的構建意義
隨著我國企業的全球化發展。企業內部網絡應用越來越廣泛。產生了大量辦公信息、業務信息和涉密信息等。使企業內部網絡承擔的數據量越來越大,而且,業務應用系統的開放性使用的特點。對企業網絡管理系統的研究日益深入。企業面臨著復雜多變的商業信息竊取與反竊取挑戰。網絡信息安全問題愈加突出。如何能夠進一步實施企業網絡安全防護策略,防止數據信息遭到惡意竊取。保證企業網絡安全穩定運行。是現代企業網絡信息安全防護亟待解決的問題。
二、企業涉密網絡安全威脅問題分析
(一)網絡層信息安全的脆弱性
企業網絡通信中采用的TCP/IP傳輸協議并不十分安全。TCP/IP傳輸協議不是專門為了網絡安全通信設計的協議棧。由此導致了使用該協議的網絡設備存在很多安全漏洞威脅。網絡非法入侵者可以采用監聽數據、嗅探數據、截取數據等方式收集信息。再利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。
(二)非法訪問網絡系統資源
非法用戶入侵企業內部網絡主要采用非法授權訪問、獨占網絡資源的方式。以此對企業內部網絡進行非法惡意操作。非法用戶的入侵不僅是企業外部人員。還有可能包括企業內部網絡的工作人員。他們為了滿足好奇心。甚至蓄意利用內部網絡進行惡意操作。嚴重的能夠對企業內部網絡系統造成損壞。非法入侵者對于網絡系統的知識結構非常清楚,包括安防體系架構、網絡系統弱點、應用程序漏洞等這些都非常有利于非法入侵者對企業內部網絡進行惡意攻擊,以達到竊取商業機密的目的。
(三)病毒程序的惡意侵害
惡意病毒程序和代碼包括特洛伊木馬、蠕蟲病毒、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統。企業網絡系統最大的安全隱患就是變異速度快、傳播方式廣的計算機病毒。計算機病毒可以利用多種途徑交叉傳播。極大地增加了計算機終端感染病毒的幾路。目前。在全球化發展背景下,網絡中傳播的計算機病毒大概包括幾十萬種,大部分非法入侵者都會利用計算機病毒、惡意代碼、黑客程序等對企業網絡系統進行破壞。
(四)破壞系統數據的完整性
當非法入侵者以不正當的手段獲得系統授權后。可以對企業內部網絡的信息資源執行非法操作,包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等,甚至竊取用戶的個人隱私信息,阻止合法用戶的正常使用。以此獲得更多的商業機密信息。
三、企業涉密網絡安全防護體系模型設計
(一)企業內外網的物理隔離
企業內外網絡采用獨立布線的方式。從物理環境來說已經充分實現了隔離。對于企業內部網絡涉密計算機來說,采用內網專機和物理隔離結合的方式來防止網絡安全威脅發生。企業內部人員每人配備一臺專用計算機連接內部網絡。只有部分性能配置較低的計算機與外部網絡連接,同時,企業部門經理和少數高層領導使用物理隔離卡與外部網絡進行連接。企業內、外網物理隔離示意圖如圖1所示:
企業內、外網實現物理隔離具有以下優勢:
(1)內部網絡與外部網絡完全隔離;
(2)實現企業內部網絡的完全控制;
(3)具有硬切換和軟切換兩種方式;
(4)適應性強,可用于寬帶網絡、局域網絡等;
(5)網絡協議、傳輸協議完全透明;
(6)實現簡單,操作方便,不需要專門進行維護和管理。
(二)利用加密機實現傳輸加密
企業內部網絡配置兩臺加密機,密級均設定為機密級別。計算機用戶將數據信息進行加密之后利用網絡進行傳輸。根據不同業務的實際情況采用不同的加密強度。使安全性與網絡性能之間可以相互平衡,企業內部網絡均使用相同型號的加密機實現數據加密和數據解密。
(三)采用企業網絡防病毒方案
企業內部網絡部署的是瑞星防病毒軟件。由中心服務器進行控制。允許200臺計算機終端使用該軟件。但是,企業在日常辦公過程中不可避免地會使用移動存儲設備,容易感染木馬病毒和惡意代碼,影響企業用戶的正常使用。為了能夠對移動存儲設備進行自動殺毒,企業內部網絡的計算機終端都配有木馬漏洞掃描程序。
(四)實施網絡系統脆弱性檢查
對于企業內部網絡系統存在的漏洞。信息安全管理人員應該定期對其進行漏洞掃描,及時評價網絡系統的安全性能,采用模擬網絡攻擊、評估安全風險、測試系統漏洞等方式。為企業提供網絡安全防護改進措施,幫助企業控制網絡安全事故的發生。
(五)建立災難數據恢復系統
構建完善的災難數據恢復系統。在其他地區建立企業數據信息備份系統,重新組織企業業務運行。以此保證數據信息的完整性和可用性,一旦企業內部發生網絡安全事故。能夠在短時間內恢復工作,減少重要數據信息的損失。
綜上所述,隨著現代網絡技術的飛速發展。企業網絡面臨的安全問題越來越多,對于涉密網絡商業機密信息的安全防護問題日益重視,本文結合某企業網絡建設的實例。對涉密網絡的安全防護建設進行深入探討。提出了適用于企業涉密網絡的信息安全防護模型架構方案,具有一定的現實指導意義。
京公網安備 11010502049343號