简析内部网系统的网络信息安全管理.docVIP

简析内部网系统的网络信息安全管理 　　摘要：随着信息化的不断发展，内网在各单位中的应用越来越广泛，由此也就带来了内网系统的网络信息安全问题。本文结合某内部网系统网络信息安全管理，简要探讨了Internet快速发展下内网网络信息面临的安全威胁，并由此而提出了一系列加强内部网网络信息安全管理策略，以期能为所需者提供借鉴。 　　关键词：内部网系统网络信息安全安全管理 　　中图分类号：TU714文献标识码： A 文章编号： 　　大企业集团的内部网络往往结构复杂、覆盖面大、节点众多，怎样才能做好系统的网络信息安全工作也就成为了各数据中心急需解决的问题。本文以某网络信息安全为例，简要论述了Internet 快速发展下内网系统的网络信息安全管理。 　　一、内部网系统计算机网络信息面临的安全威胁 　　1、网络边界的安全威胁 　　计算机网络边界包括：远程用户 VPN 隧道、Internet 链路、专用WAN链路、PSTN 拨号、电子商务网络、外部网连接。如果内部系统在此类区域没用一定安全防护，那么其网络系统就很可能会受到入侵者的攻击。比如通过 Sniffer 等嗅探程序探测扫描网络及操作系统安全漏洞，如应用操作系统类型、网络 IP 地址、开放哪些TCP端口号、系统保存的用户名和口令等安全信息文件，并针对不同的漏洞采取相应的攻击程序进行网络攻击。入侵者通过网络监听等获得内部网用户用户名、口令等假冒内部合法身份非法登录，窃取内网重要信息。又比如说恶意攻击，入侵者发送大量 PING 包对内网服务器进行攻击，造成服务器超负荷工作甚至是拒绝服务造成系统瘫痪。 　　2、内部网安全威胁 　　 内网设备较为分散，而其中的用户水平也是参差不齐，不同的承载业务，迥异的安全需求，这些都造成了内网安全建设的多元化和复杂性；移动办公用户、远程拨号用户、VPN 用户、合作伙伴、分支机构、供应商、无线局域网等扩展了网络边界，这让边界保护更为困难；蠕虫病毒大肆泛滥、新病毒不断涌现，这些让内网用户受到损失，同时，网络在病毒、蠕虫攻击后，不能及时隔离、阻断；内网安全防范较为脆弱，抵御不了内外部的入侵和攻击，安全策略无法及时分发执行，造成安全策略形同虚设；内部网通过 Modem、非法主机接入、无线网卡非法外联等安全防范不到位，安全风险引入；缺乏内网用户行为监控，造成隐私和组织机密信息泄漏。 　　 　　二、内部网系统网络信息安全管理的策略 　　1、密码技术 　　密码技术是通过信息的变换或编码，将机密的敏感消息变换成黑客难以读懂的乱码型文字，以此达到不让黑客截获任何有意义的信息且黑客不能伪造信息的目的。采用密码方法可以隐蔽和保护机要消息，使未授权者不能提取信息。目前对网络加密主要有三种方式：链路加密方式、节点对节点加密方式和端对端加密方式。一般网络安全系统主要采取第一种方式，即链路加密方式。 　　2、防火墙技术 　　防火墙是一种保护计算机网络安全的技术型措施，它可以是软件，也可以是硬件，或两者结合。它在两个网络之间执行访问控制策略系统，目的是保护网络不被他人侵扰。通常，防火墙位于内部网或不安全的网络（Internet）之间，它就像一道门槛，通过对内部网和外部网之间的数据流量进行分析、检测、筛选和过滤，控制进出两个方向的通信，以达到保护网络的目的，实质上是一种隔离控制的技术。通常，在单位内部网络和外部网络之间设置一个防火墙是防止非法入侵，确保单位内部网络安全有效的防范措施之一。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。 　　3、网络病毒防范技术 　　威胁计算机网络的病毒多种多样，既有单机上常见的计算机病毒，也有专门攻击计算机网络的网络型病毒。计算机网络一旦染上病毒，其影响要远比单机染毒更大，破坏性也更大。目前，在网络环境下，较为有效的防病毒方法是 Station Lock 方法。通常，防毒概念是建立在“病毒必须执行有限数量的程序后，才会产生感染”的基础之上。Station Lock 方法正是根据这一特点，辨别可能的病毒攻击意图，并在病毒未造成任何破坏之前进行拦截。对付网络病毒应该重点立足于服务器的防毒，其防毒表现形式为集中式扫毒，它能实现实时扫描，而且软件升级也方便。选用可靠的网络防病毒软件也是网络防毒的关键。 　　三、某内部网络信息安全管理设计和实现 　　根据以上对网络信息管理及安全策略研究，设计基于 Web 网络信息管理安全构架，此构架兼顾访问控制和安全监测两方面。为有效管理此类信息，利用 LDAP 目录服务来解决网络信息管理中冗余问题以满足查询需求。该系统主要由管理服务器、目录服务器、证书