經濟全球化和信息全球化是必然趨勢，因此加快信息化建設是各國家以及企業的重要工作。每天都有大量的信息通過網絡進行傳輸，就以全球新冠肺炎造成的全球經濟生活停滯為例，雖然這次災難造成了前所未有的經濟損失，但是也同樣給互聯網經濟帶來了空前的發展機遇。從個人信息數據的采集與分析，以及各地區生產和生活中進行的信息交互，使網絡信息產生了爆發性的增長。但是巨量的信息沖次在網絡上，也給這些信息帶來了風險，比如非法者會通過病毒、入侵以及人為破壞的方式來獲得大量有用信息，從而進行詐騙、竅取、非法謀利等行為，給社會造成了不良的影響和直接損失。GT公司是一家大型集團公司，其對于信息安全較為重視，但是由于企業發展以及信息化的推廣，使得企業的網絡信息安全受到了考驗，因此需要對公司網絡信息系統進行安全性進行重新設計，從而提升網絡安全。

　　一、常見的威脅網絡信息安全表現形式

　　1.1網絡軟件的漏洞和“后門”

　　軟件的特性決定了其無法徹底解決的缺陷或者漏洞，所以眾多黑客會通過尋找軟件中的漏洞來進行非法活動，從而獲得其目的，這類事件在生活中較為常見。此外對于網絡軟件影響較大的或者是危害較大的是“后門”，該手段是軟件設計者通過給自我設計一個漏洞的方式，進行有目的性的操作，以獲得某種利益。不論是無意間設計的漏洞還是故意設計的漏洞都會對網絡安全造成直接影響。

　　1.2黑客的威脅和攻擊

　　黑客是神秘的職業，同時也是當前計算機信息安全面臨的較大的問題，相對于利用漏洞的方式進行的破壞行為與主動采取攻擊行動的黑客來說，黑客的危險性要更加突然且目的性更加明確。黑客通常是采取非破壞性和破壞性兩種手段來對計算機信息安全產生直接危害，其主要的目的是通過專門設計的程序或者技術來入侵目的地，為了獲得其期望的作息。一般是采取特洛伊木馬、郵件攻擊等手段來達到目的。

　　1.3垃圾郵件和間諜軟件

　　垃圾郵件是商務活動中會經常遇到的一種危害，非法者會通過在正常郵件中插入垃圾郵件的方式來使郵箱用戶強行接收垃圾郵件，從而獲得其商業目的。此外還有利用捆綁安裝的方式，將間諜軟件與正常商業軟件綁在一起，當用戶下載需要的商業軟件時，會將間諜軟件一并下載和安裝，從而成為黑客或者非法者的“肉雞”用來作為網絡攻擊的資源或者直接竊取個人信息。

　　1.4計算機病毒

　　計算機病毒是大家談之色變的東西，破壞性的病毒可以使我們的計算機失去運算能力，甚至直接產生破壞硬件的損害。而計算機病毒的傳播速度是非常驚人的，通常都是在人們不知不覺便完成了傳播動作，從而造成數據被竊取或者被破壞的結果。

　　二、GT公司網絡信息安全方案設計

　　通過結合相關信息安全技術對體系結構進行深入研究，從而提出本次關于網絡信息安全的方案。本次方案依據GT公司的業務結構以及組織架構，分別從廣域網傳輸、網絡邊界、信息安全管理以及內部環境安全防護四個方面提出改進。

　　2.1廣域網傳輸安全防護

　　GT公司業務涉及大量的與客戶以及供應商的商業數據，因此設計了基于各子公司局域網和廣域網之間的IP保密機，從而保障公司的信息不直接暴露在外網，并且防止惡意截取等行為，同時又可以保障集團總部與各子公司的信息互愛。

　　2.2網絡邊界安全防護

　　為了進一步加強網絡信息安全的主動性，GT公司增加了網絡邊界安全防護子系統，該系統包含了防火墻設備以及入侵檢測機制，通過防火墻來控制外部非法訪問等行為，通過入侵檢測則是通過安全機制檢索的方式來識別非法訪問等行為，采取積極的措施。

　　2.3信息安全管理節點

　　受GT公司在集團的組織結構影響，其是隸屬于集團下的子公司，由于網絡安全授權服務器位于集團總部，因此GT公司只能歸類為二級信息安全管理節點。二級信息安全管理節點的特征是，需要建立與集團總部的聯系并獲得相關授權，在對內的網絡信息安全管理方面則是為對部客戶提供安全管理服務，包括安全管理平臺建立、身份認證、病毒預警以及防病毒、安全審計、主機管控等主動信息安全管理機制。

　　2.4內部計算環境安全防護

　　建立在GT公司內部的計算環境安全防護是由核心交換機在完成的，包括了病毒預警以及安全審計兩類探針，由于部署在公司機房因此可以快速的對廣域網的數據進行全面的鏡像審查，從而主動發現潛在的非法入侵和探測，從而提升廣域網的信息安全性。在該系統中，包含了身份認證USBKey，用于病毒防控的軟件以及主動審計的管控主機。通過網絡安全記錄的分析與審計來實現主動風險識別，其主要目的是為了實現對非法外聯、訪問、拷貝、病毒傳播等的有效控制。

　　三、設備選型和技術分析

　　3.1防病毒和病毒預警系統

　　隨著GT公司網絡信息系統計算機終端數量的增加，病毒感染事件層出不窮，防病毒形勢非常嚴峻，傳統防病毒軟件已經無法滿足要求，所以需要一套基于先進模型的病毒防護產品。本次選用安天公司的私有云安全系統和病毒預警系統。該系統可以通過對終端的檢測和監控，并結合針對網絡中病毒傳輸行為的預警系統，將這些數據在內部云服務器進行整體匯總，并自動分析和識別威脅，再把相應的處置方案分發到每一個終端節點。從而及時的在入侵、傳播擴散、破壞等多個環節對抗威脅，提供全面的阻止、監測、追溯能力，有效的提升了企業整體的威脅防御效果和安全管控能力。

　　3.2身份認證系統

　　本方案的身份認證系統采用中國電科30所的產品，并依據GT公司網絡信息安全的要求進行了部署。主要解決GT公司對于多層次身份要求的需求，實現身份證認證和數字簽名兩種形式，從而提升了更廣闊的用戶選擇機會。具體體系結構組成如下。(1)CA證書管理系統。這個系統采用分層管理的體制結構,結構呈樹狀分層。簽發中心(CA)是該體系的基礎，負責審核并受理下級注冊中心的建立申請，為下級注冊中心簽發數字證書。(2)身份認證卡。身份認證卡(USBKey)用于存儲使用者的數字證書信息，從而可以通過基于數字證書技術的USBKey標識用戶身份，代替傳統的用戶名/口令的用戶身份鑒別方式。(3)準入控制系統。準入控制系統為主機/設備/用戶提供了基于802.1x方式的網絡接入強制認證機制，并利用PKI機制(證書)來完成認證過程。

　　3.3防火墻設備

　　作為一般企業常用的防護設備，防火墻仍然是當前性價比較高的網絡信息安全防護方式。本次方案選擇了天融信公司的產品，其原因是穩定、高效且經過市場的充分檢驗，可以滿足GT公司的需求。本次方案在防火墻上應用了透明模式、路由模式、混合模式三種，從而解決GT公司在不同網絡應用下的網絡信息安全防護。防火墻透明模式是應用在局域網內部，防火墻主要是起到交換接口的作用，并不對WLAN的數據包進行處理。路由模式則是應用在需要進行授權管理的網絡環境中，起到了IP管理的功能。混合模式則是應用在需要進行交換接口的網絡環境中。防火墻設備主要功能如下：(1)網絡安全保障是防火墻的基礎功能之一。其起到的是過濾來自外部的惡意攻擊，從而減少對內部網絡的侵害。防火墻是通過建立在信息過濾規則的基礎上來對可能對內部網絡造成影響和損害的訪問進行拒絕，從而保障內部網絡的信息安全性。(2)通過防火墻可以起到對網絡訪問和存取行為進行審計的作用。網絡日志審計是當前較為常用的主動防控手段，通過對網絡安全設備的訪問日志來進行分析和識別，從而找到隱藏在日常訪問記錄中的風險記錄，從而建立新的審計規劃，從而拒絕這些存在風險性的訪問行為，提升網絡信息安全性。(3)通過對內部信息的控制來起到信息泄漏的效果。防火墻不僅可以防御外部的入侵訪問，還可以通過內部發送規則的建立來防止內部網絡的信息發出，當防火墻識別到符合規則的信息時即采取拒絕動作，從而減少內部信息泄漏。

　　3.4入侵檢測系統

　　入侵檢測系統是當前網絡信息安全管理方面主動防御效果較好的設備，本方案選擇了啟明星品牌的TGA004-1型千兆網絡檢測預警系統。該系統的部署與集團總部的部署保持一致，從而可以借助多級安全節點的系統智能更新，來提升主動防御的水平，此外該設備性能也較為穩定可靠，適合在集團架構的企業進行應用。系統的部署包含了在PC服務器上的管理軟件和數據庫以及安裝在核心交換機處的檢測傳感器硬件設備，通過軟硬結合的方式來完成龐大的外部數據的檢測和分析以及風險的處理，是通過與服務直連的方式來實現高效性。

　　四、結語

　　本文從常見的威脅網絡信息安全的形式出發，通過對安全機制及相關技術分析，確定了該方案擬采用的相關安全技術，包括：防病毒、主機管控、身份認證、防火墻、入侵檢測等的防護方案設計，并對實現這些功能的設備的選型進行介紹，從而保障防護機制可以獲得有效的實現。通過本方案的實施，可以增強GT公司網絡信息安全的防護能力，提升企業計算機信息安全的管理能力，減少企業的損失同時，提升信息化水平。

　　參考文獻

　　[1]杭州華三通信技術有限公司.新一代網絡建設理論與實踐[M].北京:電子工業出版社，2013,269-305.

　　[2]石志國.計算機網絡安全教程[M].北京:清華大學出版社,2014,23-36.

　　[3]高永強.網絡安全技術與應用[M].北京:人民郵電出版社,2013,69-75.

　　[4]馮元.計算機網絡安全基礎[M].北京:科學出版社,2013,13-32.

　　《計算機信息安全技術網絡安全建設》來源：《中國新通信》，作者：郭子煒