内网安全防范设计与实现方案李安邦

武汉软件工程职业学院李安邦

随着机构与企事业单位计算机的增多，内部网络安全建设成为当前网络安全研究的新热点。本文首先介绍了目前内［摘要］

网的安全现状，对内部网络的概念进行了简单辨析，依据自身实践经验，设计了内网安全防范方案，并画图予以实现。

［关键词］

内网安全安全防范0、引言

随着网络的高速发展，国内企事业单位网络应用丰富，个人网络应用普及，网络安全问题成为人们日益关注的热点。对于拥有众多网络用户的企事业单位来说，在充分享受网络应用带来的高效、便捷的同时,也时刻面临着各种各样的网络攻击和威胁，稍有不慎就会造成单位数据丢失、非法入侵等等，内网的安全直接关系到整个公司单位的直接利益，因此，如何做好内部网络安全的设计，是目前企事业单位重点建设的信息化内容之一。

1、网络安全现状概述目前，随着计算机应用的增多，网络上充斥着各种安全隐患，根据相关统计，在万维网上，平均10秒左右就会发生一次网络入侵，每年由于网络安全问题造成的经济损失高达数千亿美元甚至更多。各种语言编写的网站，多多少少会存在一些漏洞，随时都有可能被黑客利用，入侵网站，轻则造成网站瘫痪，重则数据丢失；各种DVD、移动硬盘、U盘、网络下载内容都有可能会携带各种木马病毒，造成用户的机器直接被黑客入侵，或被利用当作“肉鸡”。因此,目前的网络环境需要网络管理者们时刻关注安全问题，尤其是内网安全，内网上任何一台机器被利用都会导致整个内部网络信息的泄露，造成内网瘫痪，危险尤为严重。根据美国FBI和CSI对400多家公司和机构进行的网络安全专项调查统计，超过70%的安全威胁来自于内部网络。

2、内部网络概述所谓的内部网络，简称内网，是指采用Internet技术，在企事业单位内部、校园内部、机构之间或者部分小区内部专用的网络，与万维网存在着一个联通端口，可以建立单独的防火墙与万维网分开成网。换句话说,内网可以作为一个完全的网络而存在,内部用户之间可以畅享网络应用，而不需要和万维网联通。每台机器都具有相对的IP、内网可以建站、实现内部电邮、网络打印和管理等多种服务（如图1）。

图1内部网络示意图

3、内网安全防范方案设计与实现对于网络的安全防范，通常都是通过对经过网络设备的数据包进行拆包检测，并对其进行过滤，同时对网络的使用者的用户名和密码、访问权限和行为进行监测与管理等,以此达到保障网络安全稳定运行的目的。

内网的安全防范措施与万维网防范措施本质上都是使用网络安全设备并对其进行动态配置来实现安全防范的目的。一般都是通过防火墙、入侵检测系统、容灾和备份等多层安全配置策略来进行安全防范的。但在内网的安全防范方案中，对设备的使用和安全配置的策略稍有不同。图2是一个通用的多层安全配置策略示意图。

图2多层安全配置策略示意图根据此通用多层安全配置策略，本文对常见的机构或企事业

单位的内部网络进行安全防范性的设计，本方案为通用方案，仅讨论理论上的可实现性，具体到现实网络环境时，要依据实际情况进行修改设计。

首先要对内网中二级及以下网络的安全防范设计的具体实现进行说明,如图3所示。

图3二级以下网络的安全防范设计图

如图3所示，内网中二级及以下网络的所有服务器和工作站均通过内网(InternalNetwork)连接到其上级网络。在内网中，所有设备所发送或接收的数据都要被内网ROUT、Firlwall和入侵检测系统(IDS)进行检测和过滤,当信息检测安全后，再允许其进入上级网络。通过这样设定Firewall策略，采用网络监控、执行拦截和过滤封包等步骤，能够及时、有效地防止个人信息和数据被非法窃取利用；同时为了防止用户对内网设备配置的修改，可以采用策略，非法用户的访问，并设置内网设备访问的权限策略，从根本上确保核心设备的安全;还要随时了解内网相关行为，对内网中违反安全策略的进程进行检查，通常可以设置内网IDS策略,从内网中的各结点汇集信息，检查内网络中的攻击迹象,一旦发现，立刻处理，从而保障内网安全。

为了满足上下级网络之间的信息交互与数据加密需求，建议在二级网络中设置十兆硬件加密机，即通过内网ROUTE、内网Firewall以及内网IDS对下级网络进行实时监控和处理，同时又对上级网络的交互信息数据进行了加密。这样一来，即使违法入侵者获取了数据，也无法解密数据信息，从而保护了内网安全。

由此，单位一级内网的安全防范方案设计的具体实现如图4：

图4一级内网的安全防范设计图

一级内网的所有计算机都是通过内网(InternalNetwork)与下级网络相连接。上下级网络之间所采用的ROUT、Firewall与IDS基本上保持一致，只是在上级网络中，其配置由于计算机较多而相对复杂一些，在类型的选择上、策略文件配置上有所不同。例如，会在上级网络中加入百兆而非十兆加密机，以确保上下级网络间的信息交换与数据加密需求，保障上下级网络间安全地开展各项业务，保障企事业单位的信息化应用安全开展。

4、对内网安全问题的探讨

图5传统内部网络安全体系平台示意图（下转第305页）

—303—

科技信息…i=i+1Loop

Loop

‘显示Excel表

PrivateSubCommand1_Click()newxls.Visible=TrueEndSub

3.3动态给窗体加滚动条

当窗体上的控件超过了窗体的显示范围，或者因为电脑屏幕的大小不一，在一台电脑上可以显示全部控件的窗体换到其它电脑上就会有部分控件不显示，这就使得开发的软件使用起来很不方便，或者有些功能根本无法使用。解决这一问题，可以给窗体加上水平和垂直滚动条，通过移动滚动条的位置来显示隐藏了的控件。

实现过程：在窗体上添加两个图片框PictureBox1和PictureBox2，将PictureBox2放在PictureBox1上。然后将所有添加的控件都放在Pic-tureBox2上，再在窗体上添加一个垂直滚动条VScroll、一个水平滚动条HScroll。用窗体的Form_Load事件设置比例模型，在PictureBox1图片框中调整PictureBox2图片框的大小，水平、垂直滚动条将定位并调整它们的大小。代码如下：

PrivateSubForm_Load()‘设置ScaleMode为像素Form1.ScaleMode=vbPixelsPicture1.ScaleMode=vbPixelsPicture2.AutoSize=TruePicture1.BorderStyle=0Picture2.BorderStyle=0‘初始化两个图片框的位置

Picture1.Move0,0,ScaleWidth-VScroll1.Width,ScaleHeight-HScroll1.Height

Picture2.Move0,0‘将水平滚动条定位

HScroll1.Top=Picture1.HeightHScroll1.Left=0

HScroll1.Width=Picture1.Width‘将垂直滚动条定位VScroll1.Top=0

VScroll1.Left=Picture1.WidthVScroll1.Height=Picture1.Height‘设置滚动条的Max属性

HScroll1.Max=Picture2.Width-Picture1.WidthVScroll1.Max=Picture2.Height-Picture1.Height‘判断PictureBox2图片框是否充满屏幕，若充满，则无需使用滚动条VScroll1.Visible=(Picture1.Height水平和垂直滚动条的Change事件用来在Picture1图片框中上、下、左、右移动Picture2图片框。代码如下：

PrivateSubHScroll1_Change()Picture2.Left=-HScroll1.ValueEndSub

PrivateSubVScroll1_Change()Picture2.Top=-VScroll1.ValueEndSub

在Form_Load中，窗体的初始大小图形的可视大小。在运行时，当用户调整窗体大小时，为了调整图形视口应用程序的大小，可将下列代码添加到窗体的Form_Resize事件过程中：PrivateSubForm_Resize()

（上接第303页）

当前网络信息安全问题已经成为网络应用研究的重中之重，而内网的安全则是网络信息安全讨论的新热点，内网安全的技术及标准也在不断地发展与完善中。随着云计算、移动应用等网络新技术的层出不穷，传统的网络安全防范方案以及安全体系正受到挑战，内网安全的概念也在不断拓展与延伸。机构和企事业单位的传统内部网络安全体系平台示意图,如图5所示。

随着目前云计算、云端运用平台的强大以及各种社交网络的日益繁盛，网络已经完全融入人们的日常生活，而这些新技术、新平台的应用,给和企事业单位内网安全也带来了巨大威胁。云计算的成熟使得存储和计算资源高度整合，在统一了基础网络架构以后，我们将无

‘调整窗体大小时，改变Picture1的尺寸

Picture1.Height=Form1.HeightPicture1.Width=Form1.Width

‘重新初始化图片和滚动条的位置

Picture1.Move0,0,ScaleWidth-VScroll1.Width,ScaleHeight-HScroll1.Height

Picture2.Move0,0

HScroll1.Top=Picture1.HeightHScroll1.Left=0

HScroll1.Width=Picture1.WidthVScroll1.Top=0

VScroll1.Left=Picture1.WidthVScroll1.Height=Picture1.Height

HScroll1.Max=Picture2.Width-Picture1.WidthVScroll1.Max=Picture2.Height-Picture1.Height‘检查是否需要滚动条

VScroll1.Visible=(Picture1.Height3.4打包

编写完成的应用程序相关文件是很分散的，要想让应用程序在其它计算机上正常运行，就需要将相关的文件集中起来。打包就是将这些相关文件集中起来，形成一个Setup.exe安装文件的过程。在打包之前须将工程生成一个工程.exe文件，然后使用VB6.0自带的“Package&Deployment向导”来完成打包，具体步骤参见文献[4]。

本例在打包过程中遇到的问题是：将打包生成的.exe文件安装到其它电脑上运行时，程序无法运行，提示找不到文件，如.mdb表。出现这一问题原因是在编写的程序中，所有的Ado控件连接的Access数据表及Image控件加载的图片的路径采用的均是绝对路径，如Image2.Picture=LoadPicture(\"d:\\软件图片\\图片1\\1.jpg\")，这就导致当把程序安装到其它电脑上时，找不到D盘中的1.jpg，相关链接不起作用，程序就无法正常使用。作者解决这一问题的方法是将所有涉及到绝对路径的语句都改成用相对路径来连接表或加载图片。将所编写的工程和使用的数据表及图片都放在同一个子文件夹下，此时的代码就可以写成：Image2.Picture=LoadPicture(\"1.jpg\")。对于Ado控件，连接Access数据表可通过以下方法实现：右击Ado控件，单击ADODC属性（或者设置右下角属性窗口中的ConnectionString属性），在弹出的对话框中选择“使用连接字符串（C）”，单击“生成”按钮，在“连接”选项卡中的“选择或输入数据库名称（D）”下的文本框中直接输入要连接的数据表的名称，如“气象参数.mdb”,点击“测试连接”按钮，会显示“测试连接成功”，此时连接的数据表就相当于赋值语句中的相对路径，再将程序安装到其它电脑上就不会出现找不到文件的问题了。

4.结语

对于非专业人员，在使用VB语言编程的过程中，多少都会遇到一些问题，小到语法错误，大到逻辑错误，都会影响到编程的进度。以上所述问题均是在使用VB语言编程过程中遇到的问题及解决方法，也许有些方法并不是最理想的解决方式，也希望其他编程人员在软件开发过程中遇到类似的问题时，能够参照文中的方法，获得一些帮助。参考文献

［1］杨本伦等.VisualBasic开发技术大全［M］.北京：清华大学出版社,2010:2-4.

［2］高春艳,刘彬彬.VisualBasic控件参考大全［M］.北京：人民邮电出版社,2006:202-210.

［3］明日科技.VisualBasic开发经验技巧宝典［M］.北京：人民邮电出版社,2007:471-474.

［4］孙秀梅,安剑,刘彬彬.VisualBasic开发技术大全（第二版）［M］.北京：人民邮电出版社,2009:766-767.法参考传统内部网络安全模型，传统网络安全设备的部署边界已经模糊，因此，在新的技术形式下，新网络安全部署模式亟待研究，如何保证机构和企事业单位内网的安全，是一项仍在研究完善的工作。参考文献

［1］叶代亮.内网的安全管理［J］.计算机安全,2005(12):22［2］杨维永,林为民,陈亚东.Linux系统下高性能加密系统框架研究与优化［J］.计算机与现代化,2010(4):77-80

［3］花伟伟.基于内部网络安全防范方案的设计［D］.安徽理工大学硕士学位论文，2012

—305—