企业内部网络信息安全研究分析

张佳莹

(上海电气集团上海电机厂有限公司，上海　200240)

企业内部网络信息安全研究分析

张佳莹

(上海电气集团上海电机厂有限公司，上海200240)

摘要：现今企业信息传递越来越依赖于计算机和网络，虽然提供了良好的工作效率和便捷性，但由于恶意攻击、安全管理和内部泄密等造成的信息安全问题层出不穷。企业遭遇越来越严重的威胁，都迫切地希望解决信息安全问题，构建一个符合自身发展的信息安全系统。文章分析了企业内部网络信息安全的威胁，针对这些威胁着重探讨了解决方法和技术措施，最后介绍了企业内部网络安全技术的发展趋势。

关键词：信息安全；内部网络；安全威胁；发展趋势

0引言

信息安全在国际标准化委员会的定义为“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏(可用性)、更改(完整性)、显露(机密性)。”研究和分析企业内部网络信息安全可有效地防范重要信息被窃取、篡改、破坏而导致的泄密，确保内部网络完整性、保密性、可用性、不可否认性、可控性，可有效减少企业损失。[1]

1企业内部网络信息安全隐患

企业内网从信息安全作用点来看，一般分为三个层次：物理(硬件)安全、运行(系统)安全和数据(信息)安全。

1.1内网中物理安全隐患

物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。[2]内网中的计算机和服务器等基础设施容易被病毒感染导致窃密、失密、泄密的安全隐患;各类移动存储介质和光盘刻录等，由于其方便小巧，存储量大，易携带等特点，可能会被人为利用泄密；自然灾害、设备故障和计算机丢失等因素，又可能导致数据的大量丢失和损坏。

1.2内网中的系统安全漏洞隐患

黑客会利用计算机的系统漏洞进行攻击，窃取用户数据或者进行破坏，或者利用系统中的邮件和应用漏洞来达到目的。索尼影视公司被黑客攻击盗取了大量的商业机密和未上映的电影数字文件，对公司造成了不可挽回的损失，就是由于黑客利用了“零日漏洞”。

1.3内网的数据安全隐患

企业内部网络信息传递过程中，企业内部用户通过外发邮件附件或者互联网中FTP上传，故意、无意泄密和失密；非企业用户接入内部网络后通过内网的资源共享完成盗密；企业分支合作伙伴或者移动办公用户在与企业内部用户进行数据传输时失密。

2企业内网信息安全解决方法

2.1身份认证技术

企业计算机用户可通过加入同一个工作组或者同个域的方式，给企业计算机用户一个合法身份并防止该身份信息被窃取。还可建立虚拟安全域，将用户组织架构划分为几个逻辑虚拟安全域，将其作为系统管理单元，域内可正常通信，不同域间不可通信，以此来保证信息数据传输安全。

2.2内网信息备份和恢复

备份与恢复既保护了信息数据的安全，也使数据在任何情况下都具有可使用性。常用的备份策略主要包括：完全备份、增量备份和差分备份。使用备份软件和ORACLE，SQL等工具进行物理备份和逻辑备份，也可定期将重要系统和用户信息数据光盘刻录进行备份存储。

2.3数据加密技术

在计算机网络中，加密技术是公司主要安全保密措施，为提高公司内网信息的安全性和保密性，防止重要机密数据泄密、失密所采用的最常用的安全保密手段。其原理是利用技术手段把重要的数据加密传送，通过网络传输后再用技术手段解密成明文(图1)。

图1　数据加密技术原理

1)企业内部可进行邮件加密。对Webmail端和HTTPS方式发送的邮件及其附件进行加密，在同一个内网或虚拟安全域下，收信时自动解密。而发往外网或非公司计算机的邮件则被加密不能被查看。这样可以使公司用户在内网或虚拟安全域下自由收发邮件交流信息，而在非企业内网下除非经过企业指定人员审计授权，利用解密才可以发送明文邮件，否则不能发送加密文件(图2)。

图2　加密解密策略

2)企业对用户在互联网上传的文件进行加密，经过企业指定人员审计授权，才可解密发送明文，并记录所有用户上传和下载至互联网的文件。

3)利用SSL VPN保证移动办公用户与企业内部的数据传输安全。

4)对用户使用的计算机硬盘进行数据加密，防止数据被窃取和丢失。

2.4网络监控和授权

1)通过安装防病毒软件，实时监控计算机被病毒或黑客攻击的情况，根据企业IT管理员设置的删除或隔离命令，对内部攻击、外部攻击提供实时保护，提高信息安全性。

2)实时远程监视和控制企业计算机，包括安装应用程序、服务、驱动及他们的运行状态，当前网络连接状态、打开的窗口、运行的进程、系统的用户和用户组、共享目录、当前的屏幕截图等信息，并可以实时远程控制企业计算机的所有操作，对企业计算机的操作进行干预。

3)企业IT管理员通过用黑白名单的方式监控计算机用户访问的互联网网址范围，同时还可以进行审计和记录。

4)企业IT管理员对内网中计算机的外设端口如蓝牙、红外、1394口和打印机端口等部署其禁用还是启用状态，还可设置USB移动存储设备的禁用和加密等。

5)阻止公司内网中不符合规定的计算机接入企业内部网络，阻隔病毒感染和信息泄露。

6)企业IT管理员通过监控邮件方式管理企业内部用户发送的邮件及其附件。企业用户通过允许使用的邮件服务器和地址才可发送邮件，并详细记录企业内网用户发送和接收的邮件内容和时间。

2.5防火墙

防火墙是指一个由软件和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。集中管理和控制的客户端防火墙，其策略由管理员指定，可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限，以白名单或者黑名单的方式工作。[3]例如发现蠕虫病毒，可及时全网统一封锁相应的传播端口，从而有效控制该类型病毒的破坏程度。

2.6漏洞管理

对计算机或服务器系统定期进行漏洞扫描和配置核查，如有补丁及时更新避免黑客利用漏洞进行攻击。

3企业内部网络信息安全技术发展趋势

3.1云安全 Cloud Security

出于降本增效方面考虑，企业建立自己私有云的越来越多，通过各种云服务，也使得用户可以着手处理以往无法处理的、大规模的数据。云安全是指融合并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过计算机对网络中软件行为的异常监测，获取木马、恶意程序的最新信息，传送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个计算机下，使计算机受到保护。[4]

3.2移动客户端安全

在这个移动互联网的大时代背景下，智能手机系统、平板电脑等移动客户端的出现让各类信息能更为快速便捷的传递，也使得信息安全尤为重要。除了在移动客户端中安装杀毒软件、手机防盗等，高端企业用户可专门定制移动端，开发针对企业内部用户的加密模块及远程锁定、远程数据擦除、数据备份和恢复、GPS定位、自动报警等反盗窃防丢失功能，防止内部泄密和黑客攻击。

4结语

企业越来越重视自身内部网络的安全性，而现今社会网络环境的复杂性、多变性，决定了信息安全必须依靠企业人员管理和网络安全技术才能更好的进行防护。本文通过对企业内部信息安全所面临的几大重要问题进行有的放矢的分析，有针对的提出了加密、监控、通过各种安全支持技术的解决方案。

参考文献

[1] 杨向明.论数字信息资源的网络安全[J].中国图书馆学报,2004(2)：68-70．

[2] 周为民.网络信息安全技术综述[J].甘肃科技,2009(17)：226-229．

[3] 吕佳.防火墙技术及在图书馆局域网中的应用[J].内蒙古科技与经济,2010(4)：140-141.

[4] 蒋国松，高永梅，吴功才，等. Web2.0时代计算机病毒防御策略研究[J].计算机安全,2010(5)：9-13.