潘登科

(武漢鐵路職業(yè)技術學院 湖北 武漢 430205)

0 引言

信息技術的進步為網(wǎng)絡的建設發(fā)展提供了推動力,給人們?nèi)粘５墓ぷ魃钜约捌髽I(yè)的生產(chǎn)經(jīng)營活動帶來了巨大改變,但以網(wǎng)絡為載體的安全問題日益嚴重,尤其是計算機網(wǎng)絡技術的發(fā)展應用使得安全問題呈現(xiàn)出多元化特征,互聯(lián)網(wǎng)信息的價值屬性隨著大數(shù)據(jù)時代的到來得以充分展現(xiàn)。基于網(wǎng)絡信息安全所造成的威脅具有隱蔽性、專業(yè)性等特征,而企業(yè)網(wǎng)絡是網(wǎng)絡空間中的重要組成部分,因此需以計算機網(wǎng)絡技術為重點對企業(yè)網(wǎng)絡信息安全防護體系進行完善,以此降低多元化網(wǎng)絡信息安全的威脅性,為企業(yè)網(wǎng)絡和信息系統(tǒng)安全提供切實保障,進而為企業(yè)網(wǎng)絡信息和應用程序防護能力的增強奠定基礎。

1 網(wǎng)絡信息安全的特征

計算機網(wǎng)絡技術是集系統(tǒng)化、開放性、實時性等為一體的綜合信息化技術,而企業(yè)在利用計算機網(wǎng)絡技術進行生產(chǎn)經(jīng)營時自身的網(wǎng)絡安全風險系數(shù)也隨之增加,因此,企業(yè)著力于對網(wǎng)絡信息安全防護體系進行更為可靠構建的同時,還需更加深入了解并掌握網(wǎng)絡信息安全的以下4個特征。

(1)完整性。網(wǎng)絡空間信息存儲方式采用的是二進制結構,其在進行信息傳輸、處理、存儲的機制雖較為復雜,但對網(wǎng)絡信息的完整性較為有利,而網(wǎng)絡信息的完整性一旦被破壞,其優(yōu)勢也會逐漸被削弱,可見,網(wǎng)絡信息安全的完整性必不可少。

(2)隱私性?；ヂ?lián)網(wǎng)的開放性使企業(yè)信息遭受惡意攻擊、竊取等的風險大幅增加,為確保企業(yè)信息安全需對互聯(lián)網(wǎng)中的一些特定信息進行規(guī)范管理,非授權范圍內(nèi)的處置行為才能夠有效規(guī)避,所以隱私性作為網(wǎng)絡信息安全的重要特征更需要企業(yè)加以重視。

(3)唯一性?；ヂ?lián)網(wǎng)信息在進行交互時通信雙方的身份必須是唯一的,不法分子在篡改網(wǎng)絡信息時,信息原有的身份屬性會主動發(fā)生改變,進而為網(wǎng)絡信息安全主體辨識度的提升提供行為依據(jù),也促使互聯(lián)網(wǎng)在信息來源方面常見的取證難等問題從根本上得以解決。

(4)可控性。網(wǎng)絡信息是在一定準則的規(guī)范下進行交互的,不同類型的網(wǎng)絡信息可通過計算機網(wǎng)絡技術實現(xiàn)有效監(jiān)管,若網(wǎng)絡信息出現(xiàn)異常情況對其進行控制時所采取的手段也更為多樣,大幅縮減了互聯(lián)網(wǎng)因異常信息所造成的影響范圍,同時通過信息溯源實現(xiàn)對網(wǎng)絡信息安全的源頭管控[1]。

2 企業(yè)網(wǎng)絡信息安全風險分析

隨著計算機網(wǎng)絡技術在各個領域的廣泛應用,網(wǎng)絡信息安全形勢日趨復雜多變,新型網(wǎng)絡攻擊不斷涌現(xiàn),使得企業(yè)大量網(wǎng)絡設備運維的統(tǒng)一性遭到破壞,企業(yè)各種日志報表統(tǒng)計分析的準確性受到影響,具體風險可概括為以下三點。

(1)針對新型變種病毒防范難度大,企業(yè)員工在日常辦公、瀏覽網(wǎng)頁時無意中接觸到不良網(wǎng)站或掛馬網(wǎng)站的可能性較大,這也給了惡意軟件或病毒可乘之機并侵入企業(yè)內(nèi)網(wǎng)。隨著安全威脅的不斷升級,大量高級持續(xù)性威脅(advanced persistent threat,APT)在社會工程學攻擊方式的協(xié)助下,將含有惡意程序或惡意指向站點的郵件或程序精準發(fā)送至指定目標人員,使企業(yè)內(nèi)網(wǎng)的安全性面臨著嚴峻挑戰(zhàn);若對單一受害者無權限限制,惡意程序會以最快的速度擴散至企業(yè)網(wǎng)絡的各個角落,進而對內(nèi)網(wǎng)安全的影響范圍會更大、更嚴重[2]。

(2)針對攻擊入侵無法有效應對,內(nèi)部用戶訪問互聯(lián)網(wǎng)的統(tǒng)一出口和對外信息服務的入口的載體均來自網(wǎng)絡區(qū)域出口,其面對的安全威脅更多也更直接,因此設置的安全防護手段要與該區(qū)域承受的安全威脅相匹配。同時,作為核心樞紐的數(shù)據(jù)中心為數(shù)據(jù)的收集和處理提供了配套的網(wǎng)絡系統(tǒng),其安全建設不僅要對各區(qū)域如internet、intranet等的安全風險進行全面的安全隔離,以促使訪問控制能夠實現(xiàn)網(wǎng)絡級,而且還要對僵尸網(wǎng)絡、信息泄露、Web應用威脅等惡意攻擊和非法入侵進行有效防范。

(3)數(shù)據(jù)庫審計管理平臺尚未建立,企業(yè)重要的數(shù)據(jù)資產(chǎn)都通過數(shù)據(jù)庫進行存放,企業(yè)對數(shù)據(jù)庫的安全性也更加重視,同時企業(yè)的核心業(yè)務數(shù)據(jù)也儲存在數(shù)據(jù)庫中,這些信息若遭到篡改或泄露,企業(yè)將會承擔一定的經(jīng)濟損失,嚴重時甚至給企業(yè)形象及社會公共安全帶來負面影響。隨著企業(yè)信息化的發(fā)展建設,網(wǎng)絡規(guī)模和設備數(shù)量隨之不斷擴大增多,而IT系統(tǒng)、安全問題日趨復雜,同時相應的數(shù)據(jù)庫審計管理平臺尚未建立,使得企業(yè)數(shù)據(jù)庫管理面臨的潛在安全風險相對較大。

3 企業(yè)網(wǎng)絡信息安全需求分析

企業(yè)的網(wǎng)絡等級可以安全性為依據(jù)進行區(qū)域劃分,主要包括:(1)敏感數(shù)據(jù)保護區(qū)。該區(qū)域所包含的服務器群和數(shù)據(jù)庫是企業(yè)內(nèi)部的重要應用程序,網(wǎng)絡設備和用戶等數(shù)據(jù)中心是企業(yè)的重要管理內(nèi)容。(2)隔離區(qū)。該區(qū)域作為業(yè)務窗口主要是面向客戶,如電話、信息門戶查詢、視頻監(jiān)控網(wǎng)絡等。(3)普通區(qū)域。除上述兩種區(qū)域以外的用戶和網(wǎng)絡設備。(4)外部接入?yún)^(qū)域。該區(qū)域是企業(yè)與internet端口接入、許可訪問的部分,也是分公司與總部兩者的共享網(wǎng)絡部分[3]。而網(wǎng)絡信息安全問題日益嚴峻,使得企業(yè)對網(wǎng)絡整體安全性的需求提出了新的、更高要求,其安全需求主要體現(xiàn)在網(wǎng)絡安全責任主體是否明確、重要數(shù)據(jù)是否具備可用性和可恢復性、面向客戶服務的暢通性是否滿足以及內(nèi)部網(wǎng)絡行為是否規(guī)范四個方面。

4 關鍵性技術分析

4.1 虛擬專用網(wǎng)絡技術

虛擬專用網(wǎng)絡(virtual private network,VPN)可為信息安全提供必需的技術保障,并確保計算機網(wǎng)絡運行過程中信息的安全性。該技術是在專用網(wǎng)絡的基礎上進行了延伸,其公共網(wǎng)絡鏈接可與Internet實現(xiàn)共享,對兩點之間的鏈路進行模擬時,通過數(shù)據(jù)壓縮處理可將數(shù)據(jù)在相對安全的環(huán)境中傳送至目的地。專用鏈接是模擬公用網(wǎng)絡形成的,專用網(wǎng)絡建設后還需對其進行加密處理,要想對數(shù)據(jù)進行解壓并閱讀必須掌握密鑰才能夠實現(xiàn),對網(wǎng)絡信息安全的保護有較高的強化效果。在網(wǎng)絡數(shù)據(jù)傳輸中,VPN對敏感數(shù)據(jù)采取的隔離機制為物理性的,有權限的用戶與VPN建立起連接后可允許對敏感數(shù)據(jù)進行訪問,該技術與防火墻技術、入侵檢測技術等相結合可提高網(wǎng)絡信息安全的防范作用[4]。與傳統(tǒng)的計算機網(wǎng)絡安全技術相比,VPN的優(yōu)勢更明顯如應用便捷、任務量簡化等,還可大量縮減企業(yè)在網(wǎng)絡信息安全方面的資金投入,技術人員所耗費的精力較少,鋪設問題通過內(nèi)部線路即可解決,有助于線路鋪設效率及質量的顯著提升。

4.2 防火墻技術

防火墻技術是網(wǎng)絡信息安全防范體系中應用最廣泛的計算機網(wǎng)絡技術,但傳統(tǒng)防火墻技術在使用時有一定的局限性,如信息傳遞慢、審計功能弱、內(nèi)部風險防范能力差等,因此可通過對混合型防火墻系統(tǒng)進行優(yōu)化設計,以此對傳統(tǒng)防火墻技術存在的弊端進行有效彌補?；旌闲头阑饓Y構可分為4部分,即堡壘主機、基站主機服務器、內(nèi)部及外部防火墻,企業(yè)內(nèi)外網(wǎng)之間可通過內(nèi)外防火墻進行安全子網(wǎng)的構建,而安全子網(wǎng)對公用服務器有著良好的屏蔽效果[5]。防火墻在運行過程中,堡壘主機服務器可對通信協(xié)議進行逐層分析,到達主機的數(shù)據(jù)包可采用過濾管理模式來過濾,并對安全信息進行提取,之后將其送至接收基站主服務器,而過濾信息再通過服務器實現(xiàn)回傳。若在內(nèi)部網(wǎng)絡中進行非法操作,防火墻可對訪問行為進行快速隔離,阻斷數(shù)據(jù)包傳輸,并將數(shù)據(jù)包中的信息提取出來,由基站主機服務器中的安全數(shù)據(jù)庫對該非法操作行為進行一系列的對比分析,以此制定針對性的過濾措施來降低因非法操作帶來的網(wǎng)絡信息安全風險。

4.3 入侵檢測技術

入侵檢測技術(intrusion detection systems,IDS)是網(wǎng)絡信息安全防范最有效的網(wǎng)絡技術,其根據(jù)入侵檢測行為可分為異常檢測和誤用檢測兩種模式。前者是以系統(tǒng)訪問的正常行為來建立模型,訪問者行為若與該模型不符即視為入侵,有助于合法用戶的冒充檢測行為進行有效檢測,但對正常行為輪廓和異常行為輪廓的建立和確定閾值難以界定;后者是對所有可能發(fā)生的不利的或不可接受的行為進行歸納,并以此為基礎建立模型,而訪問者行為與該模型相符即視為入侵,可對防范方法加以提示,但針對內(nèi)部人員越權行為的檢測較為困難。

5 企業(yè)網(wǎng)絡信息安全防護方案

5.1 統(tǒng)一收集安全情報與威脅告警信息

基于上述計算機網(wǎng)絡技術企業(yè)對網(wǎng)絡信息安全防護技術進行了場景應用,企業(yè)內(nèi)部的資源共享、信息發(fā)布、技術交流、生產(chǎn)組織等均可通過企業(yè)內(nèi)網(wǎng)來實現(xiàn),同時互聯(lián)網(wǎng)出口直接連接外網(wǎng),使企業(yè)內(nèi)外部信息的雙向交互更為便捷,且外網(wǎng)造成的安全威脅和安全攻擊也得以有效阻斷,進而有助于企業(yè)內(nèi)部統(tǒng)一安全管控平臺的構建,并基于該平臺實現(xiàn)自動化安全防護方案[6]。該平臺的安全情報一方面是通過上級指揮調度平臺或安全情報中心進行外部收集,另一方面來自IDS、態(tài)勢感知等的內(nèi)部監(jiān)測,而基于計算機網(wǎng)絡技術有助于企業(yè)各級安全情報和威脅監(jiān)測系統(tǒng)的有效收集,針對傳統(tǒng)安全情報收集成本高、效率低等問題也得以有效解決(見圖1)。該平臺包括5個模塊,即定時任務管理、后臺應用程序接口(application program interface,API)調用、Web-driver、文字識別(optical character recognition,OCR)、數(shù)據(jù)處理與存儲,其中定時任務管理模塊是將各平臺的情報收集任務進行統(tǒng)一調度管理,安全管理員可在此基礎上對任務的執(zhí)行策略進行定制化調整;各平臺情報數(shù)據(jù)通過Web API進行收集,情報收集速度在API請求的加持下也更快,若使用API調用獲取數(shù)據(jù)遭到限制,可使用備選方案Web-driver,與API調用相比,Web-driver的情報收集速度雖然較低,但幾乎不受技術限制;OCR可智能識別出情報獲取過程中的驗證碼[7];情報信息收集完成后,還要分析、整合、存儲威脅告警信息,以便為企業(yè)網(wǎng)絡安全防護的后續(xù)工作奠定情報信息基礎。

圖1 基于計算機網(wǎng)絡技術的企業(yè)網(wǎng)絡安全情報收集示意圖

5.2 執(zhí)行安全防御處置

相比人工處置,計算機網(wǎng)絡技術的引入大幅提高了企業(yè)安全防御處置效率,人為出錯的可能性也大幅減少,同時安全防御處置在應用過程中可通過安全管控平臺對威脅IP進行封堵,具體應用場景如圖2所示:步驟1,安全管控平臺對IP封堵處置工單接收成功后,將其存儲至數(shù)據(jù)庫中;步驟2,通過定時任務定時啟動封堵處置調度器,待封堵IP列表在數(shù)據(jù)庫中即可加載;步驟3,公司通過對各地防火墻進行依次登錄,并對IP封堵進行操作執(zhí)行;步驟4,成功封堵后,也要對數(shù)據(jù)庫進行同步修改,之后向企業(yè)安全管理人員推送消息;步驟5,若封堵失敗,需對異常日志信息做好記錄后方可向安全管理人員推送,再由人工介入對失敗原因進行排查,線下修復完成后再次執(zhí)行封堵操作,直至封堵成功。

圖2 基于計算機網(wǎng)絡技術的企業(yè)安全威脅IP封堵示意圖

6 應用效果

基于計算機網(wǎng)絡技術的企業(yè)網(wǎng)絡信息安全防護方案,經(jīng)在實際場景應用過程中對企業(yè)的安全防護效果進行了專項驗證,其優(yōu)勢得以充分展現(xiàn)。一方面,企業(yè)對日常網(wǎng)絡信息安全防護投入的人力、物力等顯著縮減,防護效率也得以有效提升,使技術人員能夠對安全方案研究更加深入,進而有助于企業(yè)在安全情報收集與安全防御處置執(zhí)行等過程的自動化實現(xiàn);另一方面,加快了企業(yè)的安全事件響應和處置速度,提高了安全防護的可靠性,因人為操作出錯的安全事故發(fā)生風險得以有效規(guī)避,有助于網(wǎng)絡信息安全防護體系的優(yōu)先級調整,網(wǎng)絡信息傳輸保護實現(xiàn)了進一步強化,其防護機制將網(wǎng)絡數(shù)據(jù)流量動態(tài)感知、自動化管理、IDS等進行了融合協(xié)同,進而有助于企業(yè)網(wǎng)絡信息安全防護系統(tǒng)通過計算機網(wǎng)絡技術實現(xiàn)逆向管理。

7 結語

綜上所述,隨著信息技術和計算機網(wǎng)絡技術的發(fā)展應用,企業(yè)在網(wǎng)絡空間中面臨的安全威脅和安全攻擊日益嚴峻,本文通過對網(wǎng)絡信息安全的特征進行了簡單闡述,并對企業(yè)網(wǎng)絡信息安全風險和關鍵技術進行了深入分析,在此基礎上提出相應的安全防護方案,該方案為企業(yè)的網(wǎng)絡信息安全防護體系系統(tǒng)化、智能化的實現(xiàn)提供了技術支持,對企業(yè)安全管理成本的降低和安全管理可靠性的提升有積極影響,但企業(yè)的安全防護人員仍需對防護策略和技術手段進行不斷的改進,為企業(yè)網(wǎng)絡信息安全防線的筑牢奠定基礎。