羅黎明 (長江大學網(wǎng)絡信息中心,湖北荊州434023)

目前,在我國的各個行業(yè)系統(tǒng)中,都有大量的技術和業(yè)務機密數(shù)據(jù)信息存儲在計算機和網(wǎng)絡中。為了有效地保護這些機密數(shù)據(jù)信息,很多企事業(yè)單位采取了相應防范措施,在網(wǎng)絡平臺上建立了內(nèi)部網(wǎng)絡和外部網(wǎng)絡2套網(wǎng)絡體系,其中1套僅用于內(nèi)部員工資源共享,稱為內(nèi)部網(wǎng)絡;另1套則用于連接互聯(lián)網(wǎng)檢索資料,稱為外部網(wǎng)絡,并案按照國家有關規(guī)定實行內(nèi)部網(wǎng)絡和外部網(wǎng)絡的物理隔離。由于內(nèi)部網(wǎng)絡的多應用、涉密信息分散等特點,各種網(wǎng)絡安全產(chǎn)品通常只能解決部分內(nèi)部網(wǎng)絡安全威脅問題,沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。為此,筆者對內(nèi)部網(wǎng)絡安全威脅進行分析,并提出加強內(nèi)部網(wǎng)絡安全的相關措施。

1 內(nèi)部網(wǎng)絡存在的安全威脅

目前,內(nèi)部網(wǎng)絡存在許多安全威脅,具體表現(xiàn)為如下幾點:①為了方便使用,內(nèi)部網(wǎng)絡上傳輸?shù)臄?shù)據(jù)一般是不加密的,用戶直接面對數(shù)據(jù)庫對服務器進行操作,這給別有用心者提供了竊取或破壞機密數(shù)據(jù)的機會。②眾多的使用者擁有不同的權限,導致管理困難,使系統(tǒng)容易遭到口令和越權操作的攻擊。③由于人們對口令不重視,使用諸如生日、姓名等作為口令,因而在內(nèi)部網(wǎng)絡中,黑客的口令破解程序很容易奏效。④內(nèi)部網(wǎng)絡擁有許多不同的系統(tǒng)平臺,因而可能存在許多系統(tǒng)漏洞,由于對內(nèi)部網(wǎng)絡安全不夠重視,導致大量漏洞沒有及時打上補丁。此外,由于涉密信息不僅僅限于服務器,同時也分布于各個工作計算機中,而目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。

2 加強內(nèi)部網(wǎng)絡安全管理的措施

由于存在上述內(nèi)部網(wǎng)絡安全威脅,因而如何保護內(nèi)部網(wǎng)絡成為目前網(wǎng)絡安全研究者的重要課題。筆者根據(jù)多年內(nèi)部網(wǎng)絡安全管理經(jīng)驗,提出如下加強內(nèi)部網(wǎng)絡安全的措施。

2.1 使用性能優(yōu)良的網(wǎng)絡安全產(chǎn)品

網(wǎng)絡安全產(chǎn)品是各種安全策略執(zhí)行載體。對網(wǎng)絡安全產(chǎn)品的選擇應該建立在相關網(wǎng)絡安全產(chǎn)品能夠相互協(xié)同工作的基礎上,即實現(xiàn)防火墻、IDS、病毒防護系統(tǒng)、信息審計系統(tǒng)等的互通與聯(lián)動,以實現(xiàn)最大程度的內(nèi)部網(wǎng)絡安全保證。

2.2 具備完善的內(nèi)部網(wǎng)絡安全技術

內(nèi)部網(wǎng)絡安全技術包括以下3個方面:①攻擊檢測技術。該技術包括不斷地自動監(jiān)視目錄、檢查用戶權限和用戶組帳戶有無變更、監(jiān)視服務器檢查有無可疑的文件活動等。②攻擊防范技術。網(wǎng)絡中使用的一些應用層協(xié)議 (如H TTP、Telnet等),其中的用戶名和密碼的傳遞采用明文傳遞的方式,極易被竊聽和獲取。因而對于機密數(shù)據(jù)安全保護理想方法是在內(nèi)部網(wǎng)絡中采用基于密碼技術的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術,同時采用安全的密鑰分發(fā)技術,這樣既防止用戶對業(yè)務的否認和抵賴,同時又防止數(shù)據(jù)遭到竊聽后被破解,保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。③攻擊后恢復技術。首先是數(shù)據(jù)的安全存儲和備份,在發(fā)現(xiàn)遭受攻擊后可以利用備份進行數(shù)據(jù)快速恢復;針對WWW服務器網(wǎng)頁安全問題,實施對Web文件內(nèi)容的實時監(jiān)控,一旦發(fā)現(xiàn)被非法篡改,可及時報警并自動恢復,同時形成監(jiān)控和恢復日志,并提供友好的用戶界面以便用戶查看使用,從而有效地保證Web文件的完整性和真實性。

2.3 培訓高素質(zhì)的安全管理人員

性能優(yōu)良的網(wǎng)絡安全產(chǎn)品和完善的內(nèi)部網(wǎng)絡安全技術必須由高素質(zhì)的安全管理人員來進行有效使用。高素質(zhì)的安全管理員能夠隨時掌握網(wǎng)絡安全的最新動態(tài)、實時監(jiān)控網(wǎng)絡上的用戶行為、保障網(wǎng)絡設備自身和網(wǎng)上信息的安全、對可能存在的網(wǎng)絡威脅有一定的預見能力并采取相應的應對措施,同時對已經(jīng)發(fā)生的網(wǎng)絡破壞行為能夠在最短的時間內(nèi)作出反應,使企業(yè)損失減少到最低程度。因此,應當重視內(nèi)部網(wǎng)絡安全管理人員的培訓,使之成為高素質(zhì)的網(wǎng)絡安全管理人員。

2.4 建立完善的內(nèi)部網(wǎng)絡安全制度

國際上,以ISO17799/BSI7799為基礎的信息安全管理體系已經(jīng)確立并被廣泛采用,企業(yè)可以此為標準開展內(nèi)部網(wǎng)絡安全制度的建立工作,從而做到有法可依、有據(jù)可查、有功必獎、有過必懲,最大限度地提高員工的內(nèi)部網(wǎng)絡安全意識。應當具體明確企業(yè)領導、安全管理員、財物人員、采購人員、銷售人員和其他辦公人員的內(nèi)部網(wǎng)絡安全職責。內(nèi)部網(wǎng)絡安全管理應當由企業(yè)高層掛帥,由專職的安全管理員負責安全設備的管理與維護。此外,各個單位還應形成定期的內(nèi)部網(wǎng)絡安全評審機制。

3 結(jié) 語

要解除內(nèi)部網(wǎng)絡安全威脅,在做好邊界防護的同時,更要加強內(nèi)部網(wǎng)絡安全管理。所以,應該使用性能優(yōu)良的網(wǎng)絡安全產(chǎn)品,完善內(nèi)部網(wǎng)絡安全技術,培訓高素質(zhì)的安全管理人員,建立完善的內(nèi)部網(wǎng)絡安全制度。只有采取上述措施,才能真正建立完備的內(nèi)部網(wǎng)絡安全體系。