經(jīng)濟(jì)全球化和信息全球化是必然趨勢(shì)，因此加快信息化建設(shè)是各國(guó)家以及企業(yè)的重要工作。每天都有大量的信息通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，就以全球新冠肺炎造成的全球經(jīng)濟(jì)生活停滯為例，雖然這次災(zāi)難造成了前所未有的經(jīng)濟(jì)損失，但是也同樣給互聯(lián)網(wǎng)經(jīng)濟(jì)帶來(lái)了空前的發(fā)展機(jī)遇。從個(gè)人信息數(shù)據(jù)的采集與分析，以及各地區(qū)生產(chǎn)和生活中進(jìn)行的信息交互，使網(wǎng)絡(luò)信息產(chǎn)生了爆發(fā)性的增長(zhǎng)。但是巨量的信息沖次在網(wǎng)絡(luò)上，也給這些信息帶來(lái)了風(fēng)險(xiǎn)，比如非法者會(huì)通過(guò)病毒、入侵以及人為破壞的方式來(lái)獲得大量有用信息，從而進(jìn)行詐騙、竅取、非法謀利等行為，給社會(huì)造成了不良的影響和直接損失。GT公司是一家大型集團(tuán)公司，其對(duì)于信息安全較為重視，但是由于企業(yè)發(fā)展以及信息化的推廣，使得企業(yè)的網(wǎng)絡(luò)信息安全受到了考驗(yàn)，因此需要對(duì)公司網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全性進(jìn)行重新設(shè)計(jì)，從而提升網(wǎng)絡(luò)安全。

　　一、常見的威脅網(wǎng)絡(luò)信息安全表現(xiàn)形式

　　1.1網(wǎng)絡(luò)軟件的漏洞和“后門”

　　軟件的特性決定了其無(wú)法徹底解決的缺陷或者漏洞，所以眾多黑客會(huì)通過(guò)尋找軟件中的漏洞來(lái)進(jìn)行非法活動(dòng)，從而獲得其目的，這類事件在生活中較為常見。此外對(duì)于網(wǎng)絡(luò)軟件影響較大的或者是危害較大的是“后門”，該手段是軟件設(shè)計(jì)者通過(guò)給自我設(shè)計(jì)一個(gè)漏洞的方式，進(jìn)行有目的性的操作，以獲得某種利益。不論是無(wú)意間設(shè)計(jì)的漏洞還是故意設(shè)計(jì)的漏洞都會(huì)對(duì)網(wǎng)絡(luò)安全造成直接影響。

　　1.2黑客的威脅和攻擊

　　黑客是神秘的職業(yè)，同時(shí)也是當(dāng)前計(jì)算機(jī)信息安全面臨的較大的問題，相對(duì)于利用漏洞的方式進(jìn)行的破壞行為與主動(dòng)采取攻擊行動(dòng)的黑客來(lái)說(shuō)，黑客的危險(xiǎn)性要更加突然且目的性更加明確。黑客通常是采取非破壞性和破壞性兩種手段來(lái)對(duì)計(jì)算機(jī)信息安全產(chǎn)生直接危害，其主要的目的是通過(guò)專門設(shè)計(jì)的程序或者技術(shù)來(lái)入侵目的地，為了獲得其期望的作息。一般是采取特洛伊木馬、郵件攻擊等手段來(lái)達(dá)到目的。

　　1.3垃圾郵件和間諜軟件

　　垃圾郵件是商務(wù)活動(dòng)中會(huì)經(jīng)常遇到的一種危害，非法者會(huì)通過(guò)在正常郵件中插入垃圾郵件的方式來(lái)使郵箱用戶強(qiáng)行接收垃圾郵件，從而獲得其商業(yè)目的。此外還有利用捆綁安裝的方式，將間諜軟件與正常商業(yè)軟件綁在一起，當(dāng)用戶下載需要的商業(yè)軟件時(shí)，會(huì)將間諜軟件一并下載和安裝，從而成為黑客或者非法者的“肉雞”用來(lái)作為網(wǎng)絡(luò)攻擊的資源或者直接竊取個(gè)人信息。

　　1.4計(jì)算機(jī)病毒

　　計(jì)算機(jī)病毒是大家談之色變的東西，破壞性的病毒可以使我們的計(jì)算機(jī)失去運(yùn)算能力，甚至直接產(chǎn)生破壞硬件的損害。而計(jì)算機(jī)病毒的傳播速度是非常驚人的，通常都是在人們不知不覺便完成了傳播動(dòng)作，從而造成數(shù)據(jù)被竊取或者被破壞的結(jié)果。

　　二、GT公司網(wǎng)絡(luò)信息安全方案設(shè)計(jì)

　　通過(guò)結(jié)合相關(guān)信息安全技術(shù)對(duì)體系結(jié)構(gòu)進(jìn)行深入研究，從而提出本次關(guān)于網(wǎng)絡(luò)信息安全的方案。本次方案依據(jù)GT公司的業(yè)務(wù)結(jié)構(gòu)以及組織架構(gòu)，分別從廣域網(wǎng)傳輸、網(wǎng)絡(luò)邊界、信息安全管理以及內(nèi)部環(huán)境安全防護(hù)四個(gè)方面提出改進(jìn)。

　　2.1廣域網(wǎng)傳輸安全防護(hù)

　　GT公司業(yè)務(wù)涉及大量的與客戶以及供應(yīng)商的商業(yè)數(shù)據(jù)，因此設(shè)計(jì)了基于各子公司局域網(wǎng)和廣域網(wǎng)之間的IP保密機(jī)，從而保障公司的信息不直接暴露在外網(wǎng)，并且防止惡意截取等行為，同時(shí)又可以保障集團(tuán)總部與各子公司的信息互愛。

　　2.2網(wǎng)絡(luò)邊界安全防護(hù)

　　為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息安全的主動(dòng)性，GT公司增加了網(wǎng)絡(luò)邊界安全防護(hù)子系統(tǒng)，該系統(tǒng)包含了防火墻設(shè)備以及入侵檢測(cè)機(jī)制，通過(guò)防火墻來(lái)控制外部非法訪問等行為，通過(guò)入侵檢測(cè)則是通過(guò)安全機(jī)制檢索的方式來(lái)識(shí)別非法訪問等行為，采取積極的措施。

　　2.3信息安全管理節(jié)點(diǎn)

　　受GT公司在集團(tuán)的組織結(jié)構(gòu)影響，其是隸屬于集團(tuán)下的子公司，由于網(wǎng)絡(luò)安全授權(quán)服務(wù)器位于集團(tuán)總部，因此GT公司只能歸類為二級(jí)信息安全管理節(jié)點(diǎn)。二級(jí)信息安全管理節(jié)點(diǎn)的特征是，需要建立與集團(tuán)總部的聯(lián)系并獲得相關(guān)授權(quán)，在對(duì)內(nèi)的網(wǎng)絡(luò)信息安全管理方面則是為對(duì)部客戶提供安全管理服務(wù)，包括安全管理平臺(tái)建立、身份認(rèn)證、病毒預(yù)警以及防病毒、安全審計(jì)、主機(jī)管控等主動(dòng)信息安全管理機(jī)制。

　　2.4內(nèi)部計(jì)算環(huán)境安全防護(hù)

　　建立在GT公司內(nèi)部的計(jì)算環(huán)境安全防護(hù)是由核心交換機(jī)在完成的，包括了病毒預(yù)警以及安全審計(jì)兩類探針，由于部署在公司機(jī)房因此可以快速的對(duì)廣域網(wǎng)的數(shù)據(jù)進(jìn)行全面的鏡像審查，從而主動(dòng)發(fā)現(xiàn)潛在的非法入侵和探測(cè)，從而提升廣域網(wǎng)的信息安全性。在該系統(tǒng)中，包含了身份認(rèn)證USBKey，用于病毒防控的軟件以及主動(dòng)審計(jì)的管控主機(jī)。通過(guò)網(wǎng)絡(luò)安全記錄的分析與審計(jì)來(lái)實(shí)現(xiàn)主動(dòng)風(fēng)險(xiǎn)識(shí)別，其主要目的是為了實(shí)現(xiàn)對(duì)非法外聯(lián)、訪問、拷貝、病毒傳播等的有效控制。

　　三、設(shè)備選型和技術(shù)分析

　　3.1防病毒和病毒預(yù)警系統(tǒng)

　　隨著GT公司網(wǎng)絡(luò)信息系統(tǒng)計(jì)算機(jī)終端數(shù)量的增加，病毒感染事件層出不窮，防病毒形勢(shì)非常嚴(yán)峻，傳統(tǒng)防病毒軟件已經(jīng)無(wú)法滿足要求，所以需要一套基于先進(jìn)模型的病毒防護(hù)產(chǎn)品。本次選用安天公司的私有云安全系統(tǒng)和病毒預(yù)警系統(tǒng)。該系統(tǒng)可以通過(guò)對(duì)終端的檢測(cè)和監(jiān)控，并結(jié)合針對(duì)網(wǎng)絡(luò)中病毒傳輸行為的預(yù)警系統(tǒng)，將這些數(shù)據(jù)在內(nèi)部云服務(wù)器進(jìn)行整體匯總，并自動(dòng)分析和識(shí)別威脅，再把相應(yīng)的處置方案分發(fā)到每一個(gè)終端節(jié)點(diǎn)。從而及時(shí)的在入侵、傳播擴(kuò)散、破壞等多個(gè)環(huán)節(jié)對(duì)抗威脅，提供全面的阻止、監(jiān)測(cè)、追溯能力，有效的提升了企業(yè)整體的威脅防御效果和安全管控能力。

　　3.2身份認(rèn)證系統(tǒng)

　　本方案的身份認(rèn)證系統(tǒng)采用中國(guó)電科30所的產(chǎn)品，并依據(jù)GT公司網(wǎng)絡(luò)信息安全的要求進(jìn)行了部署。主要解決GT公司對(duì)于多層次身份要求的需求，實(shí)現(xiàn)身份證認(rèn)證和數(shù)字簽名兩種形式，從而提升了更廣闊的用戶選擇機(jī)會(huì)。具體體系結(jié)構(gòu)組成如下。(1)CA證書管理系統(tǒng)。這個(gè)系統(tǒng)采用分層管理的體制結(jié)構(gòu),結(jié)構(gòu)呈樹狀分層。簽發(fā)中心(CA)是該體系的基礎(chǔ)，負(fù)責(zé)審核并受理下級(jí)注冊(cè)中心的建立申請(qǐng)，為下級(jí)注冊(cè)中心簽發(fā)數(shù)字證書。(2)身份認(rèn)證卡。身份認(rèn)證卡(USBKey)用于存儲(chǔ)使用者的數(shù)字證書信息，從而可以通過(guò)基于數(shù)字證書技術(shù)的USBKey標(biāo)識(shí)用戶身份，代替?zhèn)鹘y(tǒng)的用戶名/口令的用戶身份鑒別方式。(3)準(zhǔn)入控制系統(tǒng)。準(zhǔn)入控制系統(tǒng)為主機(jī)/設(shè)備/用戶提供了基于802.1x方式的網(wǎng)絡(luò)接入強(qiáng)制認(rèn)證機(jī)制，并利用PKI機(jī)制(證書)來(lái)完成認(rèn)證過(guò)程。

　　3.3防火墻設(shè)備

　　作為一般企業(yè)常用的防護(hù)設(shè)備，防火墻仍然是當(dāng)前性價(jià)比較高的網(wǎng)絡(luò)信息安全防護(hù)方式。本次方案選擇了天融信公司的產(chǎn)品，其原因是穩(wěn)定、高效且經(jīng)過(guò)市場(chǎng)的充分檢驗(yàn)，可以滿足GT公司的需求。本次方案在防火墻上應(yīng)用了透明模式、路由模式、混合模式三種，從而解決GT公司在不同網(wǎng)絡(luò)應(yīng)用下的網(wǎng)絡(luò)信息安全防護(hù)。防火墻透明模式是應(yīng)用在局域網(wǎng)內(nèi)部，防火墻主要是起到交換接口的作用，并不對(duì)WLAN的數(shù)據(jù)包進(jìn)行處理。路由模式則是應(yīng)用在需要進(jìn)行授權(quán)管理的網(wǎng)絡(luò)環(huán)境中，起到了IP管理的功能。混合模式則是應(yīng)用在需要進(jìn)行交換接口的網(wǎng)絡(luò)環(huán)境中。防火墻設(shè)備主要功能如下：(1)網(wǎng)絡(luò)安全保障是防火墻的基礎(chǔ)功能之一。其起到的是過(guò)濾來(lái)自外部的惡意攻擊，從而減少對(duì)內(nèi)部網(wǎng)絡(luò)的侵害。防火墻是通過(guò)建立在信息過(guò)濾規(guī)則的基礎(chǔ)上來(lái)對(duì)可能對(duì)內(nèi)部網(wǎng)絡(luò)造成影響和損害的訪問進(jìn)行拒絕，從而保障內(nèi)部網(wǎng)絡(luò)的信息安全性。(2)通過(guò)防火墻可以起到對(duì)網(wǎng)絡(luò)訪問和存取行為進(jìn)行審計(jì)的作用。網(wǎng)絡(luò)日志審計(jì)是當(dāng)前較為常用的主動(dòng)防控手段，通過(guò)對(duì)網(wǎng)絡(luò)安全設(shè)備的訪問日志來(lái)進(jìn)行分析和識(shí)別，從而找到隱藏在日常訪問記錄中的風(fēng)險(xiǎn)記錄，從而建立新的審計(jì)規(guī)劃，從而拒絕這些存在風(fēng)險(xiǎn)性的訪問行為，提升網(wǎng)絡(luò)信息安全性。(3)通過(guò)對(duì)內(nèi)部信息的控制來(lái)起到信息泄漏的效果。防火墻不僅可以防御外部的入侵訪問，還可以通過(guò)內(nèi)部發(fā)送規(guī)則的建立來(lái)防止內(nèi)部網(wǎng)絡(luò)的信息發(fā)出，當(dāng)防火墻識(shí)別到符合規(guī)則的信息時(shí)即采取拒絕動(dòng)作，從而減少內(nèi)部信息泄漏。

　　3.4入侵檢測(cè)系統(tǒng)

　　入侵檢測(cè)系統(tǒng)是當(dāng)前網(wǎng)絡(luò)信息安全管理方面主動(dòng)防御效果較好的設(shè)備，本方案選擇了啟明星品牌的TGA004-1型千兆網(wǎng)絡(luò)檢測(cè)預(yù)警系統(tǒng)。該系統(tǒng)的部署與集團(tuán)總部的部署保持一致，從而可以借助多級(jí)安全節(jié)點(diǎn)的系統(tǒng)智能更新，來(lái)提升主動(dòng)防御的水平，此外該設(shè)備性能也較為穩(wěn)定可靠，適合在集團(tuán)架構(gòu)的企業(yè)進(jìn)行應(yīng)用。系統(tǒng)的部署包含了在PC服務(wù)器上的管理軟件和數(shù)據(jù)庫(kù)以及安裝在核心交換機(jī)處的檢測(cè)傳感器硬件設(shè)備，通過(guò)軟硬結(jié)合的方式來(lái)完成龐大的外部數(shù)據(jù)的檢測(cè)和分析以及風(fēng)險(xiǎn)的處理，是通過(guò)與服務(wù)直連的方式來(lái)實(shí)現(xiàn)高效性。

　　四、結(jié)語(yǔ)

　　本文從常見的威脅網(wǎng)絡(luò)信息安全的形式出發(fā)，通過(guò)對(duì)安全機(jī)制及相關(guān)技術(shù)分析，確定了該方案擬采用的相關(guān)安全技術(shù)，包括：防病毒、主機(jī)管控、身份認(rèn)證、防火墻、入侵檢測(cè)等的防護(hù)方案設(shè)計(jì)，并對(duì)實(shí)現(xiàn)這些功能的設(shè)備的選型進(jìn)行介紹，從而保障防護(hù)機(jī)制可以獲得有效的實(shí)現(xiàn)。通過(guò)本方案的實(shí)施，可以增強(qiáng)GT公司網(wǎng)絡(luò)信息安全的防護(hù)能力，提升企業(yè)計(jì)算機(jī)信息安全的管理能力，減少企業(yè)的損失同時(shí)，提升信息化水平。

　　參考文獻(xiàn)

　　[1]杭州華三通信技術(shù)有限公司.新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐[M].北京:電子工業(yè)出版社，2013,269-305.

　　[2]石志國(guó).計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社,2014,23-36.

　　[3]高永強(qiáng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2013,69-75.

　　[4]馮元.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:科學(xué)出版社,2013,13-32.

　　《計(jì)算機(jī)信息安全技術(shù)網(wǎng)絡(luò)安全建設(shè)》來(lái)源：《中國(guó)新通信》，作者：郭子煒