一、企業(yè)涉密網(wǎng)絡(luò)安全防護(hù)模型的構(gòu)建意義

隨著我國(guó)企業(yè)的全球化發(fā)展。企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛。產(chǎn)生了大量辦公信息、業(yè)務(wù)信息和涉密信息等。使企業(yè)內(nèi)部網(wǎng)絡(luò)承擔(dān)的數(shù)據(jù)量越來(lái)越大，而且，業(yè)務(wù)應(yīng)用系統(tǒng)的開(kāi)放性使用的特點(diǎn)。對(duì)企業(yè)網(wǎng)絡(luò)管理系統(tǒng)的研究日益深入。企業(yè)面臨著復(fù)雜多變的商業(yè)信息竊取與反竊取挑戰(zhàn)。網(wǎng)絡(luò)信息安全問(wèn)題愈加突出。如何能夠進(jìn)一步實(shí)施企業(yè)網(wǎng)絡(luò)安全防護(hù)策略，防止數(shù)據(jù)信息遭到惡意竊取。保證企業(yè)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。是現(xiàn)代企業(yè)網(wǎng)絡(luò)信息安全防護(hù)亟待解決的問(wèn)題。

二、企業(yè)涉密網(wǎng)絡(luò)安全威脅問(wèn)題分析

(一)網(wǎng)絡(luò)層信息安全的脆弱性

企業(yè)網(wǎng)絡(luò)通信中采用的TCP/IP傳輸協(xié)議并不十分安全。TCP/IP傳輸協(xié)議不是專(zhuān)門(mén)為了網(wǎng)絡(luò)安全通信設(shè)計(jì)的協(xié)議棧。由此導(dǎo)致了使用該協(xié)議的網(wǎng)絡(luò)設(shè)備存在很多安全漏洞威脅。網(wǎng)絡(luò)非法入侵者可以采用監(jiān)聽(tīng)數(shù)據(jù)、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息。再利用拒絕服務(wù)攻擊、篡改數(shù)據(jù)信息等方式對(duì)合法用戶(hù)進(jìn)行攻擊。

(二)非法訪問(wèn)網(wǎng)絡(luò)系統(tǒng)資源

非法用戶(hù)入侵企業(yè)內(nèi)部網(wǎng)絡(luò)主要采用非法授權(quán)訪問(wèn)、獨(dú)占網(wǎng)絡(luò)資源的方式。以此對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行非法惡意操作。非法用戶(hù)的入侵不僅是企業(yè)外部人員。還有可能包括企業(yè)內(nèi)部網(wǎng)絡(luò)的工作人員。他們?yōu)榱藵M足好奇心。甚至蓄意利用內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作。嚴(yán)重的能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)造成損壞。非法入侵者對(duì)于網(wǎng)絡(luò)系統(tǒng)的知識(shí)結(jié)構(gòu)非常清楚，包括安防體系架構(gòu)、網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)、應(yīng)用程序漏洞等這些都非常有利于非法入侵者對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意攻擊，以達(dá)到竊取商業(yè)機(jī)密的目的。

(三)病毒程序的惡意侵害

惡意病毒程序和代碼包括特洛伊木馬、蠕蟲(chóng)病毒、邏輯復(fù)制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)。企業(yè)網(wǎng)絡(luò)系統(tǒng)最大的安全隱患就是變異速度快、傳播方式廣的計(jì)算機(jī)病毒。計(jì)算機(jī)病毒可以利用多種途徑交叉?zhèn)鞑ァO大地增加了計(jì)算機(jī)終端感染病毒的幾路。目前。在全球化發(fā)展背景下，網(wǎng)絡(luò)中傳播的計(jì)算機(jī)病毒大概包括幾十萬(wàn)種，大部分非法入侵者都會(huì)利用計(jì)算機(jī)病毒、惡意代碼、黑客程序等對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。

(四)破壞系統(tǒng)數(shù)據(jù)的完整性

當(dāng)非法入侵者以不正當(dāng)?shù)氖侄潍@得系統(tǒng)授權(quán)后。可以對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的信息資源執(zhí)行非法操作，包括篡改數(shù)據(jù)信息、復(fù)制數(shù)據(jù)信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶(hù)的個(gè)人隱私信息，阻止合法用戶(hù)的正常使用。以此獲得更多的商業(yè)機(jī)密信息。

三、企業(yè)涉密網(wǎng)絡(luò)安全防護(hù)體系模型設(shè)計(jì)

(一)企業(yè)內(nèi)外網(wǎng)的物理隔離

企業(yè)內(nèi)外網(wǎng)絡(luò)采用獨(dú)立布線的方式。從物理環(huán)境來(lái)說(shuō)已經(jīng)充分實(shí)現(xiàn)了隔離。對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)涉密計(jì)算機(jī)來(lái)說(shuō)，采用內(nèi)網(wǎng)專(zhuān)機(jī)和物理隔離結(jié)合的方式來(lái)防止網(wǎng)絡(luò)安全威脅發(fā)生。企業(yè)內(nèi)部人員每人配備一臺(tái)專(zhuān)用計(jì)算機(jī)連接內(nèi)部網(wǎng)絡(luò)。只有部分性能配置較低的計(jì)算機(jī)與外部網(wǎng)絡(luò)連接，同時(shí)，企業(yè)部門(mén)經(jīng)理和少數(shù)高層領(lǐng)導(dǎo)使用物理隔離卡與外部網(wǎng)絡(luò)進(jìn)行連接。企業(yè)內(nèi)、外網(wǎng)物理隔離示意圖如圖1所示：

企業(yè)內(nèi)、外網(wǎng)實(shí)現(xiàn)物理隔離具有以下優(yōu)勢(shì)：

(1)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)完全隔離;

(2)實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的完全控制;

(3)具有硬切換和軟切換兩種方式;

(4)適應(yīng)性強(qiáng)，可用于寬帶網(wǎng)絡(luò)、局域網(wǎng)絡(luò)等;

(5)網(wǎng)絡(luò)協(xié)議、傳輸協(xié)議完全透明;

(6)實(shí)現(xiàn)簡(jiǎn)單，操作方便，不需要專(zhuān)門(mén)進(jìn)行維護(hù)和管理。

(二)利用加密機(jī)實(shí)現(xiàn)傳輸加密

企業(yè)內(nèi)部網(wǎng)絡(luò)配置兩臺(tái)加密機(jī)，密級(jí)均設(shè)定為機(jī)密級(jí)別。計(jì)算機(jī)用戶(hù)將數(shù)據(jù)信息進(jìn)行加密之后利用網(wǎng)絡(luò)進(jìn)行傳輸。根據(jù)不同業(yè)務(wù)的實(shí)際情況采用不同的加密強(qiáng)度。使安全性與網(wǎng)絡(luò)性能之間可以相互平衡，企業(yè)內(nèi)部網(wǎng)絡(luò)均使用相同型號(hào)的加密機(jī)實(shí)現(xiàn)數(shù)據(jù)加密和數(shù)據(jù)解密。

(三)采用企業(yè)網(wǎng)絡(luò)防病毒方案

企業(yè)內(nèi)部網(wǎng)絡(luò)部署的是瑞星防病毒軟件。由中心服務(wù)器進(jìn)行控制。允許200臺(tái)計(jì)算機(jī)終端使用該軟件。但是，企業(yè)在日常辦公過(guò)程中不可避免地會(huì)使用移動(dòng)存儲(chǔ)設(shè)備，容易感染木馬病毒和惡意代碼，影響企業(yè)用戶(hù)的正常使用。為了能夠?qū)σ苿?dòng)存儲(chǔ)設(shè)備進(jìn)行自動(dòng)殺毒，企業(yè)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)終端都配有木馬漏洞掃描程序。

(四)實(shí)施網(wǎng)絡(luò)系統(tǒng)脆弱性檢查

對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)存在的漏洞。信息安全管理人員應(yīng)該定期對(duì)其進(jìn)行漏洞掃描，及時(shí)評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的安全性能，采用模擬網(wǎng)絡(luò)攻擊、評(píng)估安全風(fēng)險(xiǎn)、測(cè)試系統(tǒng)漏洞等方式。為企業(yè)提供網(wǎng)絡(luò)安全防護(hù)改進(jìn)措施，幫助企業(yè)控制網(wǎng)絡(luò)安全事故的發(fā)生。

(五)建立災(zāi)難數(shù)據(jù)恢復(fù)系統(tǒng)

構(gòu)建完善的災(zāi)難數(shù)據(jù)恢復(fù)系統(tǒng)。在其他地區(qū)建立企業(yè)數(shù)據(jù)信息備份系統(tǒng)，重新組織企業(yè)業(yè)務(wù)運(yùn)行。以此保證數(shù)據(jù)信息的完整性和可用性，一旦企業(yè)內(nèi)部發(fā)生網(wǎng)絡(luò)安全事故。能夠在短時(shí)間內(nèi)恢復(fù)工作，減少重要數(shù)據(jù)信息的損失。

綜上所述，隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的飛速發(fā)展。企業(yè)網(wǎng)絡(luò)面臨的安全問(wèn)題越來(lái)越多，對(duì)于涉密網(wǎng)絡(luò)商業(yè)機(jī)密信息的安全防護(hù)問(wèn)題日益重視，本文結(jié)合某企業(yè)網(wǎng)絡(luò)建設(shè)的實(shí)例。對(duì)涉密網(wǎng)絡(luò)的安全防護(hù)建設(shè)進(jìn)行深入探討。提出了適用于企業(yè)涉密網(wǎng)絡(luò)的信息安全防護(hù)模型架構(gòu)方案，具有一定的現(xiàn)實(shí)指導(dǎo)意義。