摘要：隨著企業(yè)信息化步伐日益加快，其網(wǎng)絡(luò)應(yīng)用的規(guī)模與復(fù)雜度也不斷增加。內(nèi)網(wǎng)安全問題在安全體系中是至關(guān)重要的環(huán)節(jié)，解決內(nèi)網(wǎng)安全問題必須從規(guī)劃內(nèi)網(wǎng)資源、規(guī)范內(nèi)網(wǎng)行為、防止內(nèi)網(wǎng)信息泄露等多方面入手，構(gòu)建有效的安全管理機制，這樣才能真正保證整個網(wǎng)絡(luò)系統(tǒng)的安全。

關(guān)鍵詞：企業(yè)內(nèi)網(wǎng)，安全，管理策略

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)08-1pppp-0c

1 引言

內(nèi)網(wǎng)安全理論的提出是相對于傳統(tǒng)的網(wǎng)絡(luò)安全而言的。在傳統(tǒng)的網(wǎng)絡(luò)安全威脅模型中，假設(shè)內(nèi)網(wǎng)的所有人員和設(shè)備都是安全和可信的，而外部網(wǎng)絡(luò)則是不安全的?；谶@種假設(shè)，產(chǎn)生了防病毒軟件、防火墻、IDS等外網(wǎng)安全解決方案，部署在內(nèi)網(wǎng)和外網(wǎng)之間的邊界，防外為主。這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無任何作用。

但是，隨著各單位信息化程度的提高以及用戶計算機使用水平的提高，安全事件的發(fā)生更多是從內(nèi)網(wǎng)開始，由此引發(fā)了對內(nèi)網(wǎng)安全的關(guān)注。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會有人私自以Modem 撥號方式、手機或無線網(wǎng)卡等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究表明:超過80%的信息安全隱患來自組織內(nèi)部，而大多數(shù)公司都沒有設(shè)置相應(yīng)的工具來監(jiān)視和檢測內(nèi)部資源的使用和濫用。相對于外網(wǎng)安全來自互聯(lián)網(wǎng)的威脅，內(nèi)網(wǎng)安全的重點是數(shù)據(jù)和信息的安全，而這些數(shù)據(jù)和信息，才是企業(yè)真正有價值的資源。

2 企業(yè)內(nèi)網(wǎng)安全隱患分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進(jìn)行交互的窗口，同時也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶—企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。內(nèi)網(wǎng)安全威脅主要包括如下幾個方面：

2.1 網(wǎng)絡(luò)病毒

目前企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到最多的安全威脅來自計算機病毒，病毒的傳播形式越來越復(fù)雜、傳播的速度越來越快，影響范圍越來越大，其造成的損失已不僅限于個人計算機系統(tǒng)，還可以造成服務(wù)器系統(tǒng)癱瘓、主干網(wǎng)絡(luò)擁堵，甚至崩潰。在企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中存在網(wǎng)絡(luò)病毒對郵件服務(wù)器及個人操作系統(tǒng)的破壞，以及網(wǎng)絡(luò)病毒造成的網(wǎng)速變慢，系統(tǒng)無法正常響應(yīng)等情況，并且在病毒發(fā)作時不能及時處理，難以快速發(fā)現(xiàn)被病毒感染機器的IP地址。

2.2 非法入侵

網(wǎng)絡(luò)黑客對內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊隨時都可能發(fā)生。因此，通常首要考慮的問題是如何有效地防范來自外部的攻擊。來自外部的攻擊通常只會影響采用合法IP地址的網(wǎng)絡(luò)設(shè)備及服務(wù)器，或者說它們只對Internet上的可見設(shè)備進(jìn)行攻擊。但是這并非就意味著網(wǎng)絡(luò)內(nèi)部采用保留IP地址的網(wǎng)絡(luò)就不會受到攻擊。企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)用戶較多，安全系統(tǒng)參差不齊，缺乏統(tǒng)一有效的控制手段。因此，在考慮外部入侵的同時，也要考慮來自Intranet內(nèi)部的安全威脅。

2.3 系統(tǒng)安全漏洞、補丁修補不及時

隨著各類網(wǎng)絡(luò)和操作系統(tǒng)軟件的不斷更新和升級，由于邊界處理不善和質(zhì)量控制差等綜合原因，網(wǎng)絡(luò)和系統(tǒng)軟件存在越來越多的缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)和有利條件。網(wǎng)絡(luò)入侵行為的成功大多是利用了網(wǎng)絡(luò)系統(tǒng)的安全漏洞，這些漏洞包括安全管理的漏洞、操作系統(tǒng)的漏洞、數(shù)據(jù)庫系統(tǒng)的漏洞、應(yīng)用系統(tǒng)的漏洞、網(wǎng)絡(luò)管理的漏洞等。如果不及時修補補丁，其相關(guān)的漏洞就可能會被隨之而來的攻擊手段所利用，給整個計算機網(wǎng)絡(luò)的安全性帶來威脅。在實施網(wǎng)絡(luò)安全策略時，很重要的一步就是查清各種漏洞并及時彌補。在上述所有漏洞中，操作系統(tǒng)漏洞及數(shù)據(jù)庫系統(tǒng)漏洞多被外部黑客所利用，而來自內(nèi)部的黑客則可能利用所有的漏洞。

2.4 IP地址管理和非法內(nèi)聯(lián)外聯(lián)問題

企業(yè)內(nèi)部網(wǎng)絡(luò)由于沒有嚴(yán)格的管理策略，IP地址使用存在一定混亂，部分員工隨意設(shè)置IP地址，造成IP地址沖突，甚至導(dǎo)致關(guān)鍵設(shè)備的工作異常。一旦出現(xiàn)惡意盜用、冒用IP地址以謀求非法利益，后果將更為嚴(yán)重。

另外企業(yè)辦公樓層規(guī)?；木W(wǎng)絡(luò)接口方便了員工接入網(wǎng)絡(luò)，同時也方便了外來計算機接入網(wǎng)絡(luò)，接入內(nèi)網(wǎng)的計算機應(yīng)該是專門用于完成業(yè)務(wù)工作且經(jīng)過認(rèn)可的計算機。但是存在著用戶利用這些計算機設(shè)備進(jìn)行其它活動， 或使用未經(jīng)確認(rèn)許可的計算機接入內(nèi)網(wǎng)，管理人員對此類情況難以判定并加以監(jiān)視和控制，造成內(nèi)網(wǎng)安全的極大隱患。

隨著企業(yè)信息化工作的開展和不斷深化，越來越多的企業(yè)信息通過網(wǎng)絡(luò)溝通、共享和保存。這些信息和數(shù)據(jù)既包含業(yè)務(wù)數(shù)據(jù)，也包括財務(wù)憑證、報表以及人事檔案資料、公司內(nèi)部公文，還包括合作伙伴的結(jié)算信息。這些信息有些是供電企業(yè)的行業(yè)機密和商業(yè)機密，有些用于企業(yè)的規(guī)范管理，有些用于輔助決策，它們對企業(yè)的生存和發(fā)展起到至關(guān)重要的作用。因此，管理信息系統(tǒng)的安全保密性成為系統(tǒng)開發(fā)中必須著重考慮的問題。這些機密數(shù)據(jù)和文件的外泄，造成的影響和危害非常嚴(yán)重，由于部分特定行業(yè)的特殊性，其造成的危害往往還涉及到國家的利益，因此嚴(yán)禁涉密網(wǎng)絡(luò)和專有網(wǎng)絡(luò)與Internet互聯(lián)。

2.5缺乏有效監(jiān)控措施

目前一般企業(yè)內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間采用物理隔離的安全措施，在一定程度上保證了內(nèi)部網(wǎng)絡(luò)的安全性，但是各類網(wǎng)絡(luò)基礎(chǔ)信息采集不全。大型計算機網(wǎng)絡(luò)的管理應(yīng)該以基礎(chǔ)信息的管理為核心， 信息管理中心如果對所管轄網(wǎng)絡(luò)的用戶和資源狀況難以掌握， 對整個網(wǎng)絡(luò)的管理工作也就無從談起， 在發(fā)生違規(guī)事件時也很難及時將問題定位到具體的用戶。網(wǎng)絡(luò)安全存在著“木桶”效應(yīng)，整個網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶，單個用戶計算機的安全性不足，時刻威脅著整個計算機網(wǎng)絡(luò)的安全。常見的防火墻、入侵檢測等系統(tǒng)主要針對的是網(wǎng)絡(luò)運行安全，對于終端用戶的監(jiān)控始終是網(wǎng)絡(luò)安全管理中的薄弱環(huán)節(jié)，對網(wǎng)絡(luò)內(nèi)部的安全威脅缺乏防護(hù)、監(jiān)控和審計機制。

3 企業(yè)內(nèi)網(wǎng)安全管理策略

企業(yè)內(nèi)網(wǎng)安全管理策略能夠極好地解決網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全管理問題，通過對終端節(jié)點進(jìn)行嚴(yán)防死守，對網(wǎng)絡(luò)層面進(jìn)行系統(tǒng)聯(lián)動，對內(nèi)網(wǎng)平臺進(jìn)行整合管理，從而為企業(yè)提供一個自防御的內(nèi)網(wǎng)安全管理平臺，為網(wǎng)絡(luò)管理員展現(xiàn)一個安全的、易使用的環(huán)境，幫助企業(yè)解決大量的內(nèi)網(wǎng)安全隱患問題。

3.1 資產(chǎn)管理

資產(chǎn)管理模塊自動收集被管理的計算機全面的軟硬件信息，包括：計算機名、品牌、硬盤型號及大小、CPU、內(nèi)存等配置信息；此外，還能定義包含合同采購保修在內(nèi)的全面資產(chǎn)維護(hù)信息及使用者狀態(tài)，自動收集計算機安裝的各種應(yīng)用軟件，并根據(jù)需要動態(tài)導(dǎo)出管理報表。

3.2 進(jìn)程管理

網(wǎng)絡(luò)聊天軟件、股票軟件、網(wǎng)絡(luò)電影軟件等現(xiàn)象在辦公室蔓延令許多管理者頭痛，通過進(jìn)程管理模塊，能實時監(jiān)控與查殺企業(yè)內(nèi)部任何計算機當(dāng)前運行進(jìn)程，并通過黑白名單功能切實保障非法進(jìn)程無法運行，此外還能對特殊進(jìn)程設(shè)置詳細(xì)說明信息，使計算機只運行指定的應(yīng)用程序，規(guī)范桌面應(yīng)用程序環(huán)境。

3.3 補丁管理及軟件分發(fā)

不同版本的操作系統(tǒng)，不同應(yīng)用軟件專用補丁，龐大的計算機數(shù)量，僅僅依靠著網(wǎng)絡(luò)維護(hù)管理人員手工安裝的解決辦法，只能讓網(wǎng)絡(luò)維護(hù)管理人員疲于奔命。系統(tǒng)補丁自動管理功能為補丁的自動安裝及升級提供了解決方案；此外，通過系統(tǒng)軟件分發(fā)功能，可以定制分發(fā)任務(wù)，從而極大地提高工作效率。

3.4 網(wǎng)絡(luò)訪問管理

網(wǎng)絡(luò)訪問管理可以部署企業(yè)內(nèi)部計算機的網(wǎng)絡(luò)訪問規(guī)則，只允許或禁止某些計算機訪問特定的資源。例如一般員工不能訪問部門領(lǐng)導(dǎo)級的計算機資源、不能訪問內(nèi)部重要數(shù)據(jù)服務(wù)器等；另外，可以限制員工只能使用某些網(wǎng)絡(luò)，或者只允許或禁止某些端口，從而合理地規(guī)劃內(nèi)網(wǎng)計算機的網(wǎng)絡(luò)資源訪問。

3.5 遠(yuǎn)程維護(hù)管理

企業(yè)跨樓層、跨地域的內(nèi)部網(wǎng)絡(luò)使得維護(hù)工作越來越繁瑣。遠(yuǎn)程維護(hù)模塊基于Java組件的實現(xiàn)方式，通過Internet Explorer瀏覽器讓網(wǎng)絡(luò)維護(hù)管理人員對計算機桌面遠(yuǎn)程接管，并且能提供連接時限的設(shè)置和分級授權(quán)等功能讓遠(yuǎn)程維護(hù)管理省時省心。

3.6 外設(shè)管理

針對企業(yè)內(nèi)的一些特殊業(yè)務(wù)要求，網(wǎng)絡(luò)維護(hù)管理人員必須全部或部分禁止外部設(shè)備，相比較于對計算機進(jìn)行硬件拆卸、外設(shè)端口貼封條的傳統(tǒng)方法，內(nèi)網(wǎng)安全管理解決方案的外設(shè)管理功能通過USB存儲設(shè)備的控制策略、USB接口的鍵盤鼠標(biāo)等輸入設(shè)備例外管理策略及各種光驅(qū)、軟驅(qū)等驅(qū)動器的控制策略完美地解決了上述問題。

3.7 桌面設(shè)置管理

由于非法修改IP地址，而造成網(wǎng)絡(luò)沖突和網(wǎng)絡(luò)安全隱患。針對此種情況，桌面設(shè)置功能提供是否允許管理共享控制、開Guest賬號及自動登錄等功能，并通過IP地址與計算機綁定功能，實現(xiàn)IP地址和網(wǎng)卡MAC地址的捆綁，機器就無法再更改IP地址，有效地控制網(wǎng)絡(luò)內(nèi)計算機的網(wǎng)絡(luò)行為。

3.8 系統(tǒng)預(yù)警管理

如何進(jìn)行全方位的系統(tǒng)預(yù)警是企業(yè)信息安全非常重要的一環(huán)。預(yù)警管理功能可以定義異常事件并及時向網(wǎng)絡(luò)維護(hù)管理人員進(jìn)行警告，它提供對一些特殊TCP/UDP端口訪問的告警及非法外聯(lián)警告，讓網(wǎng)絡(luò)維護(hù)管理人員實時地了解每臺計算機的系統(tǒng)狀態(tài)，及時地掌握網(wǎng)絡(luò)數(shù)據(jù)，從而有充分的準(zhǔn)備來應(yīng)付可能的突發(fā)事件。

3.9 接入安全控制

企業(yè)越來越難以在保持網(wǎng)絡(luò)資源可用性的同時確保企業(yè)網(wǎng)絡(luò)的接入安全，接入安全控制功能提供了對非法接入計算機、卸載關(guān)鍵軟件等進(jìn)行了阻斷或重定向等管理手段，使企業(yè)業(yè)務(wù)數(shù)據(jù)不輕易泄露，對私自改變IP地址和安裝非法軟件等安全隱患進(jìn)行更加有效的預(yù)防。

4 結(jié)束語

網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會導(dǎo)致全網(wǎng)的安全問題，我們應(yīng)該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施，必須從網(wǎng)絡(luò)、計算機操作系統(tǒng)、應(yīng)用業(yè)務(wù)系統(tǒng)甚至系統(tǒng)安全管理規(guī)范、使用人員安全意識等各個層面統(tǒng)籌考慮。內(nèi)網(wǎng)安全問題在安全體系中是至關(guān)重要的環(huán)節(jié)，解決內(nèi)網(wǎng)安全問題必須從規(guī)劃內(nèi)網(wǎng)資源、規(guī)范內(nèi)網(wǎng)行為、防止內(nèi)網(wǎng)信息泄露等多方面入手，構(gòu)建有效的企業(yè)內(nèi)網(wǎng)安全管理策略，這樣才能真正保證整個網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻(xiàn)：

[1]葉代亮，孫鈺華.內(nèi)網(wǎng)的安全管理[J].計算機安全，2006.1.

[2]寧潔.內(nèi)網(wǎng)安全建設(shè)的問題分析與解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.10.

[3]宋弘，薛雯波.構(gòu)建內(nèi)網(wǎng)安全體系的幾個要點[J].計算機與網(wǎng)絡(luò)，2005.18.

[4]馬先.信息網(wǎng)絡(luò)安全防護(hù)分析[J].青海電力，2006.3.

[5]王為.內(nèi)部網(wǎng)絡(luò)中客戶端計算機安全策略[J].計算機安全，2006.10.

[6]劉曄，彭宗勤，吳德志.淺論威脅企業(yè)網(wǎng)絡(luò)信息安全的因素及防范對策[J].集團經(jīng)濟研究，2007.5.

[7]王迎新，牛東曉.電力企業(yè)網(wǎng)絡(luò)信息安全管理研究[J].中國管理信息化(綜合版)，2007.3.

[8]張一新.網(wǎng)絡(luò)信息安全風(fēng)險及需求分析[J].水利水電技術(shù)，2007.5.

[9]李亞平.局域網(wǎng)終端用戶病毒特點與防護(hù)策略[J].商場現(xiàn)代化，2007.21.