内部网信息安全的建设策略

【摘要】当前企业的信息传递越来越依赖于计算机网络，当企业在享受计算机网络与系统便利的同时，也需要意识到可能出现的安全隐患，尤其是某些重要信息泄露所带来的直接损失。因此，安全防护措施与终端网络安全防控工作就显得至关重要，其目的也在于为企业内网中的数据信息提供有效可靠的管理方案。

【关键词】内部网信息安全；建设策略；防范对策

引言

当前信息安全产生的主要原因在于系统存在的不稳定因素、以数据信号存储在计算机中的数据信息非常容易传播并获取。网络应用发展至今，恶意泄露、窃取、破坏信息的情况普遍存在，威胁信息安全的因素也随之出现。信息系统面临的主动攻击与被动攻击需要同时得到控制，减少信息数据损失的可能性。

1内部网信息安全系统要求

在互联网信息时代，科技飞速发展，随着时间的推移，大多数的企业办公都已经全部实现了网络化，任何企业都建立自己的内部网络和数据存储中心，如何进行企业内网数据安全建设成为了企业日常运营的重点。

1.1结构与性能

为了充分保障系统的安全防护与监督作用，需要了解系统运行时的基础状况，以便于让系统客户端成功开启保护模式，嵌入计算机启动配置文件当中。另外，系统为了能持续发挥作用，应该具备稳定性与容错功能，且具备系统维护与二次开发的能力，可以采用模块化的功能设计方案来提升系统的扩展性。

1.2系统工作原理

完善的安全系统应该包含客户端、服务器、控制端三个区域，信息管理人员能够结合实际的信息需求将其安装在内网的不同设备之上，如果条件允许的情况下可以将控制端单独安装在一台服务器之上，以便于保障分析效率的提升[1]。系统运作过程中，首先会进行数据源统计，包括软件、硬件信息和数据信息，此外服务器端会对统计的数据进行收集，然后按照信息类型的不同进行划分，存储在自身的数据库当中。例如在网络设备的改造需求方面，采用了一台三层可网管交换机替换电力疗养院现有汇聚HUB；同时拆除机柜内2个至楼层光纤收发器，采用尾纤与汇聚交换机直接互联的方案，在保持原有结构系统的同时，提升了防火墙的使用价值。

1.3系统运行环境分析

为了进一步保障系统数据使用过程中的传输速率与安全性，就需要使用操作系统辅助安全系统的各个模块。例如可以选择MSAccess作为系统数据存储平台，不仅系统资源占用较少，且处理效率相对较高，操作简单，与系统之间不存在兼容性问题。从硬件环境要求来看，服务器端与控制端安装在企业内网的服务器之上，客户端可以直接安装在内网中的任一计算机之上。目前的技术水平下计算机配置相对较高，客户端也可以快速运行，服务器端在CPU于内存上具有一定的要求。

2系统具体实现方案

2.1网络监测模块

通常情况下管理人员可以进行网络监测来获取相关数据，从网络信息中截取其中的可疑流量。在这些可疑的流量之内包含通信协议、通信时间等重要的信息，然后通过信息分析来判断是哪一层的协议或计算机设备出现问题，以便于更好地为管理人员对网络问题进行判断。按照不同的网络协议，管理人员可以以此为基础分析不同的数据信息。例如对最常见的TCP/IP协议进行分析，就可以获取设备终端地址、名称等[2]。此时，当非法终端进入监听设备所在环境中时，管理人员能够立即发现并组织其与网络连接，从而实现内网信息安全保障，信息安全建设策略也可以通过这一模式来更好地判断存在的网络问题。安全监测策略中的模块可以被划分为3个部分，即设备驱动部分、动态链接库部分与应用程序部分，这也是应用层的重要内容。

2.2设备访问控制防护策略

当用户需要对计算机中的文件进行读写操作时，管理器会为其提供相应的请求。I/O管理器会对驱动设备对象进行检查，了解附着在文件系统驱动上的内容后再发送请求。如果发现有程序附着在设备对象栈上层，管理器会将请求发送给过滤驱动程序，并以此为基础阻断非授权用户对于文件的有效访问。从过滤程序要求来看，应该先构造过滤设备对象，并设计好分派程序。针对不同的请求也需要设置不同的分派程序，按照实际要求传递给相应的目的对象。而过滤驱动程序也需要向下层驱动程序进行传递并获得正确的返回。在文件系统访问控制方面，文件过滤驱动程序处在上层驱动程序之上，能够对所有文件的操作请求进行截获，从而对文件系统的访问进行合理控制，避免非法用户对企业机密文件的管理。所以，信息安全系统的管理过程中会涉及到状态设置命令，以便于对移动设备存储的连接状态进行调整[3]。

3模块建设策略与防范

3.1加密模块

在系统进行加密的过程中，数据在传输环节以XML的消息形式存在，而加密模块的作用也根据XML的加密规范对部分数据信息进行保密处理，为了防止信息内网终端与外网终端的误连接，导致数据信息的泄露，通过内网终端设备与外网控制阻断模块的连接来实现了数据安全性，不再被轻易获取，采用XML消息元素加密方案，数据可以得到稳定保障，避免信息被非法用户利用。根据所接收到的加密XML信息，先提取元素<Signature>中的内容后再进行数字签名验证，确定消息发送者的合法身份后，再提取子元素的内容，解密获取数据的加密密钥，最终根据元素中的消息摘要算法来生成新的摘要，以保障数据的完整性。

3.2密钥规划

在内网信息加密的过程中，可以进行的算法包含两种类型，即对称加密算法与非对称加密算法。此时需要结合电力市场中的数据传输要求，综合分析不同算法的特征，以此为基础获取最合理的算法要求。考虑到企业对于实时数据信息的要求较高，所以可以采用序列加密算法，在进行信息保护的同时满足实时性的要求。以目前的技术要求来看，使用对称加密算法在解密速度上也要比非对称加密算法的速度更快，换言之，对称加密算法适用于对大量数据的解密和加密，非对称加密算法更适用于对少量数据的解密加密[4]。

4结语

本研究针对内网信息安全性的要求进行了系统设计与分析，主要针对当前内网信息可能存在的漏洞进行了有效管控。但目前的信息安全管理体系还相对复杂，涉及到多个技术层面的内容与功能模块，系统也需要在不影响计算机性能的前提下实现运行，对于信息安全建设与防范对策的安全性与隐秘性有着更高的技术要求。在未来的工作当中，还应该优化网络访问控制与系统兼容性，结合实际需求添加部分功能模块，包括进程管理、带宽控制等，进一步保障数据信息的安全。

参考文献

[1]陈晓东，马冉.网络信息安全的威胁及对策———党校局域网建设的体会与应对[J].中共济南市委党校学报，2011（2）：102~104.

[2]北信源公司.北信源内部网络安全防护技术方案———北信源内网安全管理系统[J].信息安全与通信保密，2010（2）：40~41.

作者：刘昆 范恭园 黎源 陈祥立 徐波 单位：安徽皖电招标有限公司