胡智鋒

（武漢商業(yè)服務學院，湖北武漢430056）

淺析內網安全認識上的誤區(qū)※

胡智鋒

（武漢商業(yè)服務學院，湖北武漢430056）

針對內網安全認識上的一些誤區(qū)，做出具體分析，指出其可能帶來的安全隱患，并在此基礎上提出了相應的安全管理對策，降低內網安全威脅，保障穩(wěn)定、安全的內網環(huán)境。

內網、內網安全、網絡管理

一、內網安全問題分析

在網絡安全領域中，始終存在一些認識上的誤區(qū)，而這些誤區(qū)也與層出不窮的安全事件有著直接關聯。

（一）安全觀念上的誤區(qū)

1.認為網絡安全就是防黑客和防病毒

談到網絡安全，大部分人的思維還停留在病毒破壞和黑客攻擊上，習慣于傾向外部入侵的防御，強化邊界安全設備的部署和優(yōu)化等，往往會忽略來自網絡內部的安全隱患，其實內網安全事件所形成危害更大、所造成的損失更嚴重。美國CSI/FBI在《計算機犯罪與安全調查報告》中指出“因內網安全漏洞造成的損失占所有計算機安全事故的一半以上”，從某種意義上來說內網安全比外網安全更加重要。

內網就是內聯網（校園網、企業(yè)內部網、單位辦公網、局域網都屬于此類），它通常建立在一個組織的內部并為其成員提供信息的共享和交流等服務。內網所提供的是一個相對封閉的網絡環(huán)境，它只為內部專有,對于外來人員進入網絡有著嚴格的授權，但在組織內部是分層次開放的，內部有使用權限的人員訪問網絡資源可以不加限制，內網安全威脅正是利用了內網本身存在的安全弱點。

一直以來，常規(guī)的安全防御理念往往基于外網安全理論，局限于網關級別、網絡邊界等方面的防御，重要的安全設施集中于網絡入口處，在防火墻、漏洞掃描、防病毒、入侵檢測等防御系統(tǒng)的嚴密監(jiān)視下，來自網絡外部的安全威脅大大減小。然而，這僅僅解決了信息安全的一個方面，對于內部用戶攻擊和威脅事件則顯得無能為力，一個能進入辦公室打開電腦的普通員工對內網安全的潛在威脅遠遠超過了一個技術一流的網上黑客。近期最典型的例子莫過于2010年維基解密在互聯網上公布了391832份美軍伊拉克機密文件，創(chuàng)造了歷史上最大規(guī)模的泄密事件，據調查，“維基解密”風波的各類機密文件均源自美軍內聯網。來自網絡內部的安全威脅突顯，而內網管理過程中的疏漏更是增加了安全問題的嚴重程度。

2.認為終端管理不重要

根據2010年《內網安全應用趨勢調查報告》顯示，有45%的用戶未使用終端管理軟件，而在使用終端管理軟件的行業(yè)用戶中，基于安全總體方案去采購終端管理產品的僅占30%，而另外70%的用戶多是為了符合上級要求或是因為安全事件觸發(fā)，這一調查結果顯示行業(yè)用戶對終端管理產品的重視程度還相當不夠。

終端安全是內網安全的重中之重，它構成了內網90%以上的組成。IDC的安全統(tǒng)計數據顯示“來自內部終端的安全威脅占整個安全威脅的70%以上”；中國國家計算機網絡應急技術處理協(xié)調中心CNCERT/CC的《全國網絡安全狀況調查報告》指出“終端隱患已成為最大的安全威脅之一”。

通常內網和外網之間是有各種安全設備嚴密保護的，甚至是與外網物理隔絕的。但如果內網終端非法外聯至外網環(huán)境（通過無線等方式），就可以使內網與外網間開出新的連接通道，外部攻擊就能夠繞過邊界防護屏障，順利侵入內部網絡并發(fā)起攻擊，致使內部網絡癱瘓、重要服務器宕機以及破壞和竊取內部的重要數據，造成嚴重的安全事件。另外，內部人員在計算機上濫裝軟件，極易引入各種潛在的安全威脅（病毒、木馬等），降低系統(tǒng)的安全系數，而一些內部人員出于好奇心或者惡意破壞的目的，在計算機上安裝使用一些黑客軟件，從內部發(fā)起攻擊，或是內部人員安全意識淡薄，不安裝指定的防毒軟件，又或者桌面終端用戶使用各種存儲介質將病毒、蠕蟲帶入內部網絡之中等等，這些行為都對內網構成了重大的安全威脅。終端是內網安全事件的產生源、攻擊的發(fā)起點，有效的終端管理是內網安全的重要保障。

3.認為終端管理效果不明顯

《內網安全應用趨勢調查報告》在對終端管理和準入控制等其他功能之間的關系調查中，27%的行業(yè)用戶認為各功能相互獨立，沒有什么關系，23%的行業(yè)用戶認為準入控制使終端管理變的更復雜；表示終端產品滿足現有需求的僅占21%。這一調查結果顯示終端管理產品使用效果并不盡如人意，多數用戶認為內網終端管理的效果并不明顯。

事實上，要實現終端安全管理必先保證終端管理軟件的部署率，即使終端管理軟件的功能再強，如果不能部署在客戶端上，也絲毫不能發(fā)揮作用。部署率是確保終端管理功能發(fā)揮作用的前提，但是想讓最終用戶自行安裝客戶端軟件，顯然難度非常大，而如果不能很好地解決這個問題，終端管理也就成了空談，導致內網終端管理產品的效果不明顯，因此內網終端管理也沒有引起管理者足夠的重視。

使用準入控制技術就能很好地解決客戶端部署的問題，而且必須首先考慮準入控制。準入控制是在終端訪問網絡的必經之處設置檢查點，檢查發(fā)起網絡訪問的終端是否安裝了客戶端軟件，能夠主動監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦隔離、進行修復。可以說，準入控制是終端管理的確定性手段，只有打好了這個基礎，終端管理產品才能保證部署率，才能消除終端管理的盲點，才能真正為單位的內網合規(guī)管理提供可靠的技術支撐。

（二）管理上的誤區(qū)

1.認為安全管理就是購買技術和設備

多年來，人們對保障信息安全的手段偏重于依靠技術，以為花錢買來先進的技術和設備，“即插即用”然后就可以給我們帶來安全。認為內網安全可以靠技術產品解決問題，存在一勞永逸的解決方案，已經成為急待扭轉的誤區(qū)。

由于信息安全事件頻發(fā)，國家對信息安全越來越重視，促使終端安全、桌面管理、數據加密、上網行為管理、審計、移動存儲安全、檢查取證、網絡接入等各式產品與解決方案層出不窮，信息安全項目投資力度逐年加大，安全技術、產品、市場在迅猛發(fā)展。2009年中國企業(yè)級網絡安全產品市場規(guī)模超70億，在2010年突破100億元的規(guī)模，其中增長最快的是內網安全產品，內網安全廠商從2002年不到5家發(fā)展到現在的400多家，預計到2012年，內網安全的市場規(guī)模很可能達到53億元。

內網安全的技術手段，從早期的加密技術、數據備份、防病毒、防火墻到近年來網絡環(huán)境下的安全審計、入侵檢測、身份認證等等。用戶也更加相信安全產品，把僅有的預算也都投入到安全產品的采購上。但是，行業(yè)用戶卻切身感覺到越來越沒有安全感，各類安全事件急劇攀升?！?010年全國信息網絡安全狀況調查》結果顯示，各類網絡安全事件，通過安全產品發(fā)現的僅占27.7%；導致發(fā)生網絡安全事件的原因有70%以上是因為內部安全管理存在漏洞，這與前面所提到的巨大投入形成強烈反差。

嚴峻的現實告訴我們，僅僅依靠技術和產品保障信息安全的愿望往往難盡人意，許多復雜、多變的安全威脅和隱患靠產品是無法消除的，安全是買不來的。僅僅從工具和操作層面去解決信息安全問題是當前最大的問題之一。

2.認為管理就是建立制度

有一個被廣泛關注的案例：曾經負責為移動公司安裝設備的一名工程師，離職數年后仍然可以通過網絡訪問移動公司充值中心，毫無技術含量的盜取了價值380萬元的充值卡密碼，使1.2億元巨資的網絡安全投入形同虛設。移動公司這樣一個擁有最先進的安全技術措施的企業(yè)，但就是因為管理的問題而變得不堪一擊。此案暴露了電信運營商在管理上的多重漏洞：對設備及服務提供商的管理、對密碼的管理、對過期賬號的處理、日常檢查機制等方面都存在缺陷。

信息安全管理不僅僅需要建立制度，更關鍵的是制定出符合內網要求的安全管理方案，并在此基礎上根據時間的推移，結合不同時期的要求和形勢變化作出動態(tài)的更改，并且持續(xù)的進行評估和調整，以適應不斷變化的網絡應用環(huán)境，從而可以不斷加強網絡安全。

二、內網安全管理對策

（一）構建完整的內網安全管理體系

實際工作中，不論哪一個內網安全問題，都是可以歸類到標準的安全產品或解決方案中去的，不同的是某個安全問題只需要一個產品和解決方案，而另一個問題可能需要多個產品或解決方案的結合。圍繞內網安全，各主流廠商理念上各有亮點，技術表現上千差萬別，但其安全產品都僅僅解決了內網安全的部分問題。要真正構建一個可管理、可信任和可控制的內網安全體系，一定要擁有整體的內網安全理念，應該統(tǒng)一規(guī)劃，綜合各種技術的優(yōu)勢，構建一個完整的信息安全保護體系。。

根據上述對內網安全問題的分析，一個完善的內網安全體系實現的技術措施，應該是以身份認證（身份鑒別）為基礎、以數據安全（數據加密）和授權管理（訪問控制）為核心，以監(jiān)控審計（安全審計）為輔助的完整管理體系。如果只是不同產品的簡單堆砌，就難以建立和實現有效的內網安全體系。

（二）建立、健全內網安全管理機制

從技術角度去尋求安全問題解決方案只是解決了問題的一半，更重要的是通過內部健全的內網安全管理制度及措施來保障內網安全。同時還需要建立制度的持續(xù)改進機制、建立體系科學完整的安全管理。

內網安全建設中，安全制度的良好實施和執(zhí)行能從很大程度上保證網絡的安全，同時為網絡的管理和長期監(jiān)控提供有理可依的指導性理論，這就要求建立覆蓋物理、網絡、主機系統(tǒng)、數據、應用和管理等層面的各項安全管理制度，例如，建立完善的機房管理制度、完善的網絡使用制度、責任到人的設備管理制度、安全教育培訓制度、網絡安全應急預案和定期網絡評估制度等。

信息安全管理是一個動態(tài)的過程，需要建立持續(xù)改進的機制，因此還要定期評估有關管理制度文檔和重要操作規(guī)程，分析信息系統(tǒng)管理制度在內容覆蓋上的不全面性和不完善性，從而做到能夠“發(fā)現問題解決問題，發(fā)現新問題解決新問題”，達成善治的信息安全治理境界。

三、結束語

內網安全概念的提出和發(fā)展雖然經歷了很多年，但是目前尚沒有形成統(tǒng)一的認識，其根源很大程度上在于對內網安全認識上仍然存在很大的誤區(qū)。為了更好地解決內網的安全問題，需要有從觀念、管理和技術等方面全面分析安全風險及實施對策，以更為開闊的思路看待內網的安全問題，保障一個穩(wěn)定、安全的內網環(huán)境，這也是是網絡安全管理工作的長期任務。

[1]衛(wèi)徐剛.技術與管理并重提高內網安全[J].網絡與信息,2009(3)

[2]金波，張兵，王志海.內網安全技術分析與標準探討[J].信息安全與通信保密,2007（7）

The Misunderstanding on the Security of the Internal Network

HUZhi-feng
(Wuhan Commercial Service College,Wuhan，Hubei，430056，China)

aiming at the misunderstanding about the security of the internal network,making the specific analysis,pointing out the potential security risks.And putting for ward the corresponding safety measures to reduce security threats,ensuring stability and security of the internal network environment.

internal network；internal network security；network security

G434

A

1009-2277（2011）01-0071-03

本文系武漢商業(yè)服務學院青年科研項目（2010Q014）階段性成果之一。

2011-01-18

胡智鋒，武漢商業(yè)服務學院現代教育技術中心，研究方向：計算機網絡。

責任編校：鄧小妮