內部網信息安全的建設策略
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了內部網信息安全的建設策略范文,希望能給你帶來靈感和參考,敬請閱讀。
【摘要】當前企業的信息傳遞越來越依賴于計算機網絡,當企業在享受計算機網絡與系統便利的同時,也需要意識到可能出現的安全隱患,尤其是某些重要信息泄露所帶來的直接損失。因此,安全防護措施與終端網絡安全防控工作就顯得至關重要,其目的也在于為企業內網中的數據信息提供有效可靠的管理方案。
引言
當前信息安全產生的主要原因在于系統存在的不穩定因素、以數據信號存儲在計算機中的數據信息非常容易傳播并獲取。網絡應用發展至今,惡意泄露、竊取、破壞信息的情況普遍存在,威脅信息安全的因素也隨之出現。信息系統面臨的主動攻擊與被動攻擊需要同時得到控制,減少信息數據損失的可能性。
1內部網信息安全系統要求
在互聯網信息時代,科技飛速發展,隨著時間的推移,大多數的企業辦公都已經全部實現了網絡化,任何企業都建立自己的內部網絡和數據存儲中心,如何進行企業內網數據安全建設成為了企業日常運營的重點。
1.1結構與性能
為了充分保障系統的安全防護與監督作用,需要了解系統運行時的基礎狀況,以便于讓系統客戶端成功開啟保護模式,嵌入計算機啟動配置文件當中。另外,系統為了能持續發揮作用,應該具備穩定性與容錯功能,且具備系統維護與二次開發的能力,可以采用模塊化的功能設計方案來提升系統的擴展性。
1.2系統工作原理
完善的安全系統應該包含客戶端、服務器、控制端三個區域,信息管理人員能夠結合實際的信息需求將其安裝在內網的不同設備之上,如果條件允許的情況下可以將控制端單獨安裝在一臺服務器之上,以便于保障分析效率的提升[1]。系統運作過程中,首先會進行數據源統計,包括軟件、硬件信息和數據信息,此外服務器端會對統計的數據進行收集,然后按照信息類型的不同進行劃分,存儲在自身的數據庫當中。例如在網絡設備的改造需求方面,采用了一臺三層可網管交換機替換電力療養院現有匯聚HUB;同時拆除機柜內2個至樓層光纖收發器,采用尾纖與匯聚交換機直接互聯的方案,在保持原有結構系統的同時,提升了防火墻的使用價值。
1.3系統運行環境分析
為了進一步保障系統數據使用過程中的傳輸速率與安全性,就需要使用操作系統輔助安全系統的各個模塊。例如可以選擇MSAccess作為系統數據存儲平臺,不僅系統資源占用較少,且處理效率相對較高,操作簡單,與系統之間不存在兼容性問題。從硬件環境要求來看,服務器端與控制端安裝在企業內網的服務器之上,客戶端可以直接安裝在內網中的任一計算機之上。目前的技術水平下計算機配置相對較高,客戶端也可以快速運行,服務器端在CPU于內存上具有一定的要求。
2系統具體實現方案
2.1網絡監測模塊
通常情況下管理人員可以進行網絡監測來獲取相關數據,從網絡信息中截取其中的可疑流量。在這些可疑的流量之內包含通信協議、通信時間等重要的信息,然后通過信息分析來判斷是哪一層的協議或計算機設備出現問題,以便于更好地為管理人員對網絡問題進行判斷。按照不同的網絡協議,管理人員可以以此為基礎分析不同的數據信息。例如對最常見的TCP/IP協議進行分析,就可以獲取設備終端地址、名稱等[2]。此時,當非法終端進入監聽設備所在環境中時,管理人員能夠立即發現并組織其與網絡連接,從而實現內網信息安全保障,信息安全建設策略也可以通過這一模式來更好地判斷存在的網絡問題。安全監測策略中的模塊可以被劃分為3個部分,即設備驅動部分、動態鏈接庫部分與應用程序部分,這也是應用層的重要內容。
2.2設備訪問控制防護策略
當用戶需要對計算機中的文件進行讀寫操作時,管理器會為其提供相應的請求。I/O管理器會對驅動設備對象進行檢查,了解附著在文件系統驅動上的內容后再發送請求。如果發現有程序附著在設備對象棧上層,管理器會將請求發送給過濾驅動程序,并以此為基礎阻斷非授權用戶對于文件的有效訪問。從過濾程序要求來看,應該先構造過濾設備對象,并設計好分派程序。針對不同的請求也需要設置不同的分派程序,按照實際要求傳遞給相應的目的對象。而過濾驅動程序也需要向下層驅動程序進行傳遞并獲得正確的返回。在文件系統訪問控制方面,文件過濾驅動程序處在上層驅動程序之上,能夠對所有文件的操作請求進行截獲,從而對文件系統的訪問進行合理控制,避免非法用戶對企業機密文件的管理。所以,信息安全系統的管理過程中會涉及到狀態設置命令,以便于對移動設備存儲的連接狀態進行調整[3]。
3模塊建設策略與防范
3.1加密模塊
在系統進行加密的過程中,數據在傳輸環節以XML的消息形式存在,而加密模塊的作用也根據XML的加密規范對部分數據信息進行保密處理,為了防止信息內網終端與外網終端的誤連接,導致數據信息的泄露,通過內網終端設備與外網控制阻斷模塊的連接來實現了數據安全性,不再被輕易獲取,采用XML消息元素加密方案,數據可以得到穩定保障,避免信息被非法用戶利用。根據所接收到的加密XML信息,先提取元素<Signature>中的內容后再進行數字簽名驗證,確定消息發送者的合法身份后,再提取子元素的內容,解密獲取數據的加密密鑰,最終根據元素中的消息摘要算法來生成新的摘要,以保障數據的完整性。
3.2密鑰規劃
在內網信息加密的過程中,可以進行的算法包含兩種類型,即對稱加密算法與非對稱加密算法。此時需要結合電力市場中的數據傳輸要求,綜合分析不同算法的特征,以此為基礎獲取最合理的算法要求。考慮到企業對于實時數據信息的要求較高,所以可以采用序列加密算法,在進行信息保護的同時滿足實時性的要求。以目前的技術要求來看,使用對稱加密算法在解密速度上也要比非對稱加密算法的速度更快,換言之,對稱加密算法適用于對大量數據的解密和加密,非對稱加密算法更適用于對少量數據的解密加密[4]。
4結語
本研究針對內網信息安全性的要求進行了系統設計與分析,主要針對當前內網信息可能存在的漏洞進行了有效管控。但目前的信息安全管理體系還相對復雜,涉及到多個技術層面的內容與功能模塊,系統也需要在不影響計算機性能的前提下實現運行,對于信息安全建設與防范對策的安全性與隱秘性有著更高的技術要求。在未來的工作當中,還應該優化網絡訪問控制與系統兼容性,結合實際需求添加部分功能模塊,包括進程管理、帶寬控制等,進一步保障數據信息的安全。
參考文獻
[1]陳曉東,馬冉.網絡信息安全的威脅及對策———黨校局域網建設的體會與應對[J].中共濟南市委黨校學報,2011(2):102~104.
[2]北信源公司.北信源內部網絡安全防護技術方案———北信源內網安全管理系統[J].信息安全與通信保密,2010(2):40~41.
作者:劉昆 范恭園 黎源 陳祥立 徐波 單位:安徽皖電招標有限公司