经济全球化和信息全球化是必然趋势,因此加快信息化建设是各国家以及企业的重要工作。每天都有大量的信息通过网络进行传输,就以全球新冠肺炎造成的全球经济生活停滞为例,虽然这次灾难造成了前所未有的经济损失,但是也同样给互联网经济带来了空前的发展机遇。从个人信息数据的采集与分析,以及各地区生产和生活中进行的信息交互,使网络信息产生了爆发性的增长。但是巨量的信息冲次在网络上,也给这些信息带来了风险,比如非法者会通过病毒、入侵以及人为破坏的方式来获得大量有用信息,从而进行诈骗、窍取、非法谋利等行为,给社会造成了不良的影响和直接损失。GT公司是一家大型集团公司,其对于信息安全较为重视,但是由于企业发展以及信息化的推广,使得企业的网络信息安全受到了考验,因此需要对公司网络信息系统进行安全性进行重新设计,从而提升网络安全。
一、常见的威胁网络信息安全表现形式
1.1网络软件的漏洞和“后门”
软件的特性决定了其无法彻底解决的缺陷或者漏洞,所以众多黑客会通过寻找软件中的漏洞来进行非法活动,从而获得其目的,这类事件在生活中较为常见。此外对于网络软件影响较大的或者是危害较大的是“后门”,该手段是软件设计者通过给自我设计一个漏洞的方式,进行有目的性的操作,以获得某种利益。不论是无意间设计的漏洞还是故意设计的漏洞都会对网络安全造成直接影响。
1.2黑客的威胁和攻击
黑客是神秘的职业,同时也是当前计算机信息安全面临的较大的问题,相对于利用漏洞的方式进行的破坏行为与主动采取攻击行动的黑客来说,黑客的危险性要更加突然且目的性更加明确。黑客通常是采取非破坏性和破坏性两种手段来对计算机信息安全产生直接危害,其主要的目的是通过专门设计的程序或者技术来入侵目的地,为了获得其期望的作息。一般是采取特洛伊木马、邮件攻击等手段来达到目的。
1.3垃圾邮件和间谍软件
垃圾邮件是商务活动中会经常遇到的一种危害,非法者会通过在正常邮件中插入垃圾邮件的方式来使邮箱用户强行接收垃圾邮件,从而获得其商业目的。此外还有利用捆绑安装的方式,将间谍软件与正常商业软件绑在一起,当用户下载需要的商业软件时,会将间谍软件一并下载和安装,从而成为黑客或者非法者的“肉鸡”用来作为网络攻击的资源或者直接窃取个人信息。
1.4计算机病毒
计算机病毒是大家谈之色变的东西,破坏性的病毒可以使我们的计算机失去运算能力,甚至直接产生破坏硬件的损害。而计算机病毒的传播速度是非常惊人的,通常都是在人们不知不觉便完成了传播动作,从而造成数据被窃取或者被破坏的结果。
二、GT公司网络信息安全方案设计
通过结合相关信息安全技术对体系结构进行深入研究,从而提出本次关于网络信息安全的方案。本次方案依据GT公司的业务结构以及组织架构,分别从广域网传输、网络边界、信息安全管理以及内部环境安全防护四个方面提出改进。
2.1广域网传输安全防护
GT公司业务涉及大量的与客户以及供应商的商业数据,因此设计了基于各子公司局域网和广域网之间的IP保密机,从而保障公司的信息不直接暴露在外网,并且防止恶意截取等行为,同时又可以保障集团总部与各子公司的信息互爱。
2.2网络边界安全防护
为了进一步加强网络信息安全的主动性,GT公司增加了网络边界安全防护子系统,该系统包含了防火墙设备以及入侵检测机制,通过防火墙来控制外部非法访问等行为,通过入侵检测则是通过安全机制检索的方式来识别非法访问等行为,采取积极的措施。
2.3信息安全管理节点
受GT公司在集团的组织结构影响,其是隶属于集团下的子公司,由于网络安全授权服务器位于集团总部,因此GT公司只能归类为二级信息安全管理节点。二级信息安全管理节点的特征是,需要建立与集团总部的联系并获得相关授权,在对内的网络信息安全管理方面则是为对部客户提供安全管理服务,包括安全管理平台建立、身份认证、病毒预警以及防病毒、安全审计、主机管控等主动信息安全管理机制。
2.4内部计算环境安全防护
建立在GT公司内部的计算环境安全防护是由核心交换机在完成的,包括了病毒预警以及安全审计两类探针,由于部署在公司机房因此可以快速的对广域网的数据进行全面的镜像审查,从而主动发现潜在的非法入侵和探测,从而提升广域网的信息安全性。在该系统中,包含了身份认证USBKey,用于病毒防控的软件以及主动审计的管控主机。通过网络安全记录的分析与审计来实现主动风险识别,其主要目的是为了实现对非法外联、访问、拷贝、病毒传播等的有效控制。
三、设备选型和技术分析
3.1防病毒和病毒预警系统
随着GT公司网络信息系统计算机终端数量的增加,病毒感染事件层出不穷,防病毒形势非常严峻,传统防病毒软件已经无法满足要求,所以需要一套基于先进模型的病毒防护产品。本次选用安天公司的私有云安全系统和病毒预警系统。该系统可以通过对终端的检测和监控,并结合针对网络中病毒传输行为的预警系统,将这些数据在内部云服务器进行整体汇总,并自动分析和识别威胁,再把相应的处置方案分发到每一个终端节点。从而及时的在入侵、传播扩散、破坏等多个环节对抗威胁,提供全面的阻止、监测、追溯能力,有效的提升了企业整体的威胁防御效果和安全管控能力。
3.2身份认证系统
本方案的身份认证系统采用中国电科30所的产品,并依据GT公司网络信息安全的要求进行了部署。主要解决GT公司对于多层次身份要求的需求,实现身份证认证和数字签名两种形式,从而提升了更广阔的用户选择机会。具体体系结构组成如下。(1)CA证书管理系统。这个系统采用分层管理的体制结构,结构呈树状分层。签发中心(CA)是该体系的基础,负责审核并受理下级注册中心的建立申请,为下级注册中心签发数字证书。(2)身份认证卡。身份认证卡(USBKey)用于存储使用者的数字证书信息,从而可以通过基于数字证书技术的USBKey标识用户身份,代替传统的用户名/口令的用户身份鉴别方式。(3)准入控制系统。准入控制系统为主机/设备/用户提供了基于802.1x方式的网络接入强制认证机制,并利用PKI机制(证书)来完成认证过程。
3.3防火墙设备
作为一般企业常用的防护设备,防火墙仍然是当前性价比较高的网络信息安全防护方式。本次方案选择了天融信公司的产品,其原因是稳定、高效且经过市场的充分检验,可以满足GT公司的需求。本次方案在防火墙上应用了透明模式、路由模式、混合模式三种,从而解决GT公司在不同网络应用下的网络信息安全防护。防火墙透明模式是应用在局域网内部,防火墙主要是起到交换接口的作用,并不对WLAN的数据包进行处理。路由模式则是应用在需要进行授权管理的网络环境中,起到了IP管理的功能。混合模式则是应用在需要进行交换接口的网络环境中。防火墙设备主要功能如下:(1)网络安全保障是防火墙的基础功能之一。其起到的是过滤来自外部的恶意攻击,从而减少对内部网络的侵害。防火墙是通过建立在信息过滤规则的基础上来对可能对内部网络造成影响和损害的访问进行拒绝,从而保障内部网络的信息安全性。(2)通过防火墙可以起到对网络访问和存取行为进行审计的作用。网络日志审计是当前较为常用的主动防控手段,通过对网络安全设备的访问日志来进行分析和识别,从而找到隐藏在日常访问记录中的风险记录,从而建立新的审计规划,从而拒绝这些存在风险性的访问行为,提升网络信息安全性。(3)通过对内部信息的控制来起到信息泄漏的效果。防火墙不仅可以防御外部的入侵访问,还可以通过内部发送规则的建立来防止内部网络的信息发出,当防火墙识别到符合规则的信息时即采取拒绝动作,从而减少内部信息泄漏。
3.4入侵检测系统
入侵检测系统是当前网络信息安全管理方面主动防御效果较好的设备,本方案选择了启明星品牌的TGA004-1型千兆网络检测预警系统。该系统的部署与集团总部的部署保持一致,从而可以借助多级安全节点的系统智能更新,来提升主动防御的水平,此外该设备性能也较为稳定可靠,适合在集团架构的企业进行应用。系统的部署包含了在PC服务器上的管理软件和数据库以及安装在核心交换机处的检测传感器硬件设备,通过软硬结合的方式来完成庞大的外部数据的检测和分析以及风险的处理,是通过与服务直连的方式来实现高效性。
四、结语
本文从常见的威胁网络信息安全的形式出发,通过对安全机制及相关技术分析,确定了该方案拟采用的相关安全技术,包括:防病毒、主机管控、身份认证、防火墙、入侵检测等的防护方案设计,并对实现这些功能的设备的选型进行介绍,从而保障防护机制可以获得有效的实现。通过本方案的实施,可以增强GT公司网络信息安全的防护能力,提升企业计算机信息安全的管理能力,减少企业的损失同时,提升信息化水平。
参考文献
[1]杭州华三通信技术有限公司.新一代网络建设理论与实践[M].北京:电子工业出版社,2013,269-305.
[2]石志国.计算机网络安全教程[M].北京:清华大学出版社,2014,23-36.
[3]高永强.网络安全技术与应用[M].北京:人民邮电出版社,2013,69-75.
[4]冯元.计算机网络安全基础[M].北京:科学出版社,2013,13-32.
《计算机信息安全技术网络安全建设》来源:《中国新通信》,作者:郭子炜
