企事业单位办公内网 安全建设需求探究及实施措施

康明
摘 要:本文思路为:背景描述、內网信息安全现状、原因探究、内网安全需求、内网安全建设具体实施措施。
关键词:信息安全;内网安全;防控意识
中图分类号:U698 文献标识码:A 文章编号:1006—7973(2018)8-0026-02
1 内网安全需求探究
1.1 内网安全现状及原因
随着网络技术的普及、社会网络信息化深入和企事业单位无纸化办公进程的加快,一般单位内的日常基础工作都需要网络提供支持和服务。出于内部办公安全需要,内网系统已经成为很多单位信息和办公平台的主要载体。如内部交流通讯、邮件传输、打印机共享、FTP文件共享、内部视频会议、内部信息发布等。随着内网中服务器、终端、办公软件、办公人员的增多,系统承载信息量的增大以及对核心信息安全保护要求的提高,内网系统承载着巨大的单位安全办公压力。一个小小的疏忽或是失误都可能带来网络无法正常工作,甚至是整个系统的瘫痪;一个小小的木马和员工有意无意的信息泄密,则会给个人和单位带来无法挽回的经济损失。因此,办公内网安全已经成为每个单位不得不面临的问题。
目前企事业单位的办公内网安全现状主要呈现如下几个特点:
1.1. 1领导层对内网安全缺乏认识
很多企事业单位只把单位业务发展看成是头等大事,只要日常工作还能在网络办公系统上正常开展,即使是系统面临崩溃勉强运转,高层领导都容易忽视网络安全问题。他们的意识还没有与信息时代同步,对网络的认识和重视不够,缺乏网络安全危机感,等到真正出了问题才焦头烂额填补空当、解决难题。
1.1.2内部工作人员的安全意识亟待提高
单位内部的普通员工不注意安全操作,随意安装软件或者将外来设备带入内网,内网电脑随意接入外部网络,办公专用U盘不注意区别隔离在内外网上任意使用等等行为,都会给单位办公内网带来严重的安全隐患。据不完全统计,80%的信息安全事件来自内部员工的违规操作。
1.1.3缺乏有效的终端监管体系
内网安全办公涉及到大量的计算机终端、操作用户和软件系统。使用环境的复杂性决定了内网办公系统必须进行安全有效的集中管理和监控,同时对全网的操作进行详细的日志记录,以便出现违法违规操作时进行溯源追责,帮助网管人员提升对内网办公系统的维护效率,降低安全隐患和风险。避免网管人员成为临时救火员,平时无人维护,出现问题再去抓壮丁,应该形成主动防范、积极应对的机制。
1.2 内网安全需求
企事业单位内网安全办公,一般需要达到如下要求:
(1)要求内外网终端进行严格的物理隔离,禁止涉密机器接入互联网。
(2)要求对办公终端进行集中管理和统计,对于各种操作能追根溯源。
(3)要求终端使用固定的内部IP,并匹配MAC地址,杜绝IP冲突。
(4)要求对网络行为进行实时控制,实时记录并保存相关各类日志。
(5)要求对网络上的潜在安全威胁做到事前预防,事中记录,事后追踪。
(6)要求对各厂家的不同网络设备能做到统一监控管理。
(7)要求对网络中出现的故障、违规操作行为及时报警。
(8)要求内部网络呈现可视化,清晰化,易于管控的网络结构。
(9)要求对各类存储介质进行严格管理,做好加密措施避免信息泄露。
(10)要求对内网的计算机终端能做到统一的系统补丁更新。
2 内网安全建设规划
根据内网建设安全需求,对内网功能建设进行如下规划:
2.1非法外联控制
实现内网终端的固定IP与MAC绑定,未经授权的终端无法通过如拨号上网、3G无线网卡上网、无线网卡接入等各种方式访问外部互联网,杜绝内部信息泄密风险和外网病毒入侵风险。同时,需要对不同部门的计算机进行逻辑分域管理(不仅仅是网络VLAN的划分),并且根据计算机的使用性质,设置不同等级的保护策略,从而避免秘密信息的随意传播和泄密。
2.2非法接入控制
单位办公内网一般规模较大,怀有恶意的外部人员会通过将自己的计算机接入内部的涉密网络,这就可能导致信息泄密,及其他威胁信息安全的事件发生。因此,必须隔离本单位以外的计算机终端,实现禁止外部计算机终端在未经任何授权的情况下通过网络接口连接接入办公内网。对于各种违规接入行为通过密码进行权限限制,并主动记录访问行为和路径,以便有据可查。
2.3身份认证管理
单位内部办公人员数量多,所属部门的职责和权限各不相同,如果某个工作人员访问了其权限之外的信息和文件,如涉密计算机、数据库服务器等,将会对内网的信息安全构成非常重大的威胁。因此,必须拥有一套完善的用户身份认证体系,对单位内部办公人员进行认证和授权。每个人只能访问权限范围以内的计算机、文件和网络资源等。为了确保进入内网的操作人员安全可信,可以对操作人员统一分配独立账户并指定操作权限,对进入内网的操作行为进行记录备查。
2.4共享文件管理
实现单位内部文件的安全共享,通过密码机制允许指定人员访问操作数据,防止共享文件违规外流造成的信息泄密。同时对单位内指定设备进行共享,提高办公效率,节约办公成本,避免外部终端接入进行恶意操作。
2.5移动介质管理
移动存储设备是另一个主要的信息传递通道。根据单位办公工作需要,经常会通过U盘、移动硬盘等移动存储设备交换数据,这就大大增加了信息泄露的可能性。因此,必须对在内网中使用的移动存储设备进行统一授权管理,禁止不受信设备接入内网,对受信设备明确使用范围,使其可以在内网中正常使用,在未经授权时不能将数据带出内网。同时,要求能够实现内部移动存储设备在外网中使用时,主动防护病毒侵害。在遗失后,通过密码保护措施防止信息泄露。
2.6应用软件管理
对内网用户的计算机非法软件使用行为进行监控,防止用户在上班时间使用游戏软件、炒股软件等,通过黑白名单对大部分应用程序进行行为管理。
2.7文件主动分发与日志管理
通过服务端管理平台,实现内网自动分发软件到各终端PC,以备单位办公软件的推广使用。内网网络管理员可以在服务端随时查看网络日志,以便对网络上存在的安全风险及时管控。
3 实施措施
单位内网安全建设,主要靠网络设备进行硬件物理隔离,和定制化的应用软件进行全局信息管理来实现。
3.1 网络物理隔离
(1)独立建网。建设独立的、与单位外网毫无连接的办公内网,应严格执行国家保密标准文件中有关物理隔离的相关规定。
(2)在办公内网终端安装外联监控软件。办公内网与外网实行物理隔离后,如果有终端用户通过拨号上网、3G无线网卡、无线网卡等方式违规接入互联网,就破坏了整个办公内网的封闭环境,使办公内网极易遭受来自外网的攻击和渗透。在单位内网终端上强制安装外联监控软件,采取技术手段进行外联阻断,可以有效确保办公内网的安全。
(3)严格管理。建立健全办公内网保密管理制度,将相应的设备、介质、人员实施集中管理。通过严格检查和完善的制度约束,杜绝内部违规操作引起的信息安全事故,有效确保办公内网的物理隔离,确保办公内网信息的安全。
3.2 定制化应用软件
通过在办公网络的各个终端上安装高度集成统一的内网安全管控软件实现网络安全管理。定制的应用软件主要包含如下几个模块:
(1)网络认证系统,主要实现办公终端用戶身份的集中式认证,并进行操作权限规范。
(2)网络保密系统,通过对通信网络和硬盘加密,实现禁止终端非法联入、联出,规范数据登记,防止重要办公信息外泄。
(3)移动存储介质管理系统,通过配置终端与移动存储设备之间的对应关系和属性,实现保护移动存储介质数据安全的目的,防止私用U盘外带数据,管控公用U盘使用状况。
(4)数据管理系统,实现办公内网上各种数据信息的分级分类,规范信息交流、共享下载等行为。
(5)网络监控系统,主要实现对终端计算机的操作行为进行有效的控制与监管并生成相应的日志记录以备审计,对非法操作进行警报。
最后,办公内网在企事业单位的业务发展和日常工作中起着越来越重要的作用,但网络本身又是脆弱的。只有切实加强网络安全建设,保障网络的安全稳定运行,也才能从根本上保障企事业单位的发展和稳定。