人們通常認(rèn)為網(wǎng)絡(luò)信息安全的最大威脅來自外部的侵襲如黑客、病毒以及各種蠕蟲等，因此對內(nèi)部網(wǎng)絡(luò)采取了一系列的防范措施，比如在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間架設(shè)防火墻、入侵檢測等設(shè)備，或者是建立兩套網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，內(nèi)外網(wǎng)物理斷開，其中內(nèi)部網(wǎng)絡(luò)用于員工辦公和資源共享，外部網(wǎng)絡(luò)用于連接互聯(lián)網(wǎng)檢索資料?，F(xiàn)在大部分政府機(jī)關(guān)采用內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)物理隔離的策略，這種策略對于內(nèi)部網(wǎng)絡(luò)來說基本避免了來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，是一種相對安全的防范措施。

但是，即使是物理隔離的內(nèi)部網(wǎng)絡(luò)也是不安全的，原因是來自網(wǎng)絡(luò)內(nèi)部的破壞和非法行為，這樣的網(wǎng)絡(luò)策略也無法保證網(wǎng)絡(luò)資源和信息資源的安全。實(shí)際上80%的網(wǎng)絡(luò)破壞和數(shù)據(jù)失竊是內(nèi)部人員所為。據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。政府因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過病毒破壞和黑客攻擊所造成的損失。

內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

物理隔離是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理隔離的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。使用內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，可以保證內(nèi)部信息網(wǎng)絡(luò)不會直接受到來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。 雖然物理隔離技術(shù)有效杜絕了外來入侵，但網(wǎng)絡(luò)內(nèi)部依然存在很多安全隱患需要我們解決。

(一)病毒、蠕蟲入侵

眾所周知，傳播快、種類多、范圍廣、破壞性大、變化快是病毒和蠕蟲的主要特點(diǎn)，即使再先進(jìn)的防病毒軟件或者入侵檢測技術(shù)也總是相對落后于新病毒和新蠕蟲。而且不管功能多么強(qiáng)大的防護(hù)技術(shù)也無法獨(dú)立有效地完成安全防護(hù)任務(wù)。更何況物理隔離內(nèi)部網(wǎng)絡(luò)的病毒庫升級較之可以即時(shí)升級的外部網(wǎng)絡(luò)來說要延遲一段時(shí)間。

內(nèi)部網(wǎng)絡(luò)用戶的一些危險(xiǎn)行為使內(nèi)網(wǎng)計(jì)算機(jī)更容易感染病毒：不安裝殺毒軟件；安裝殺毒軟件但不及時(shí)升級；內(nèi)部網(wǎng)絡(luò)用戶違反規(guī)定，在未采取任何有效防護(hù)措施的情況下就連接到危險(xiǎn)的網(wǎng)絡(luò)環(huán)境中，特別是互聯(lián)網(wǎng)；移動用戶計(jì)算機(jī)連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒有采取任何防護(hù)措施的情況下又連入內(nèi)部網(wǎng)絡(luò)；桌面用戶在終端使用各種不可靠的移動介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到內(nèi)部網(wǎng)絡(luò)中。

一旦感染病毒，輕者系統(tǒng)運(yùn)行速度變慢，重者會導(dǎo)致用戶電腦癱瘓，以至數(shù)據(jù)文件丟失。

(二)軟件漏洞隱患

信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正向大型、關(guān)鍵性的業(yè)務(wù)系統(tǒng)方向擴(kuò)展。 應(yīng)用的大型化使漏洞層出不窮，并且網(wǎng)絡(luò)管理員也很難對應(yīng)用進(jìn)行準(zhǔn)確的控制。尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，使得系統(tǒng)及軟件漏洞橫生且得不到修復(fù)。

內(nèi)部網(wǎng)絡(luò)無法從外網(wǎng)直接獲得安全漏洞補(bǔ)丁，又缺少客戶端系統(tǒng)漏洞掃描并自動分發(fā)補(bǔ)丁系統(tǒng)。

無論哪一部分的漏洞被利用，都會給網(wǎng)絡(luò)和信息帶來危害，輕者危及個(gè)別設(shè)備，重者成為攻擊整個(gè)企業(yè)網(wǎng)絡(luò)媒介，危及整個(gè)企業(yè)網(wǎng)絡(luò)安全。

(三)內(nèi)部惡意攻擊。

理論上講，在內(nèi)部網(wǎng)絡(luò)中，任意一臺計(jì)算機(jī)都可以訪問其他聯(lián)接在這個(gè)網(wǎng)絡(luò)上正在工作的計(jì)算機(jī)，而且互聯(lián)網(wǎng)上的黑客手段在局域網(wǎng)里同樣有效。這些條件讓內(nèi)部人員非法獲取重要信息、涉密信息變得更輕松、更方便。

(四)脆弱的網(wǎng)絡(luò)接入安全防護(hù)

內(nèi)部人員的一些違規(guī)行為會在外網(wǎng)和內(nèi)網(wǎng)之間建立一個(gè)安全通道，使內(nèi)網(wǎng)變成外網(wǎng)，比如內(nèi)網(wǎng)主機(jī)擅自更換隔離卡的內(nèi)外網(wǎng)口、內(nèi)網(wǎng)計(jì)算機(jī)的撥號上網(wǎng)、網(wǎng)絡(luò)的合法移動用戶在安全防護(hù)較差的外網(wǎng)環(huán)境中使用VPN連接、無線AP、以太網(wǎng)接入等等。使物理隔離完全失去意義，給整個(gè)內(nèi)網(wǎng)帶來嚴(yán)重的安全威脅。

(五)權(quán)限管理上存在很大的問題

由于是物理隔離的內(nèi)部網(wǎng)絡(luò)，往往不重視權(quán)限管理，用戶對自己的賬戶信息保管也不夠負(fù)責(zé)，使系統(tǒng)容易遭到口令和越權(quán)操作的攻擊。眾多的使用者所有的權(quán)限不同，管理比較困難，而且服務(wù)器對使用者的管理也不是很嚴(yán)格，對于那些竊取用戶權(quán)限的黑客工具比較容易得逞。

(六)缺乏針對內(nèi)網(wǎng)安全產(chǎn)品

現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強(qiáng)，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點(diǎn)，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。

(七)安全管理不嚴(yán)密

沒有建立完整的安全管理體系是現(xiàn)在內(nèi)部網(wǎng)絡(luò)信息安全的最大問題。由于管理稀疏，加上內(nèi)部人員的安全意識不強(qiáng)，容易造成信息外泄。比如：內(nèi)外網(wǎng)之間、人和人之間共用有內(nèi)部資料的移動存儲設(shè)備(如：軟盤、U盤、移動硬盤、光盤等)導(dǎo)致內(nèi)部資料外傳；內(nèi)部人員直接在外網(wǎng)編輯和處理內(nèi)部資料或通過電子郵件發(fā)送內(nèi)部資料導(dǎo)致泄密；電腦易手后，硬盤上的資料沒有處理，導(dǎo)致泄密；隨意將文件或文件夾設(shè)成共享，導(dǎo)致非相關(guān)人員獲取資料等等。

內(nèi)部網(wǎng)絡(luò)更易受到攻擊

在嚴(yán)防死守外部侵襲的同時(shí)，我們往往忽略了對網(wǎng)絡(luò)造成破壞的原因，實(shí)際上大多數(shù)都來自網(wǎng)絡(luò)內(nèi)部的安全空隙。我們對內(nèi)部網(wǎng)絡(luò)安全的重視程度還遠(yuǎn)遠(yuǎn)不夠，對黑客入侵所導(dǎo)致的嚴(yán)重后果缺乏清醒的認(rèn)識，思想上麻痹大意。對安全隱患疏于處理，對安全制度、安全硬件、安全人員配備沒有一定的規(guī)劃，系統(tǒng)的安裝還存有大量的漏洞，眾多的應(yīng)用和不同的系統(tǒng)平臺也使得系統(tǒng)中的問題層出不窮。

在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為我們?nèi)粘５氖褂锰峁┝朔奖悖瑫r(shí)也給竊取數(shù)據(jù)者留下了可乘之機(jī)，打開了方便的大門。

由于內(nèi)部網(wǎng)絡(luò)的用戶往往直接對服務(wù)器進(jìn)行操作，利用從互聯(lián)網(wǎng)上獲取的黑客工具，而且內(nèi)部網(wǎng)絡(luò)速率更快，導(dǎo)致內(nèi)部網(wǎng)絡(luò)遭受直接的破壞。

目前，對于個(gè)人硬盤上的機(jī)密信息仍然缺乏有效的控制和監(jiān)督管理辦法，這使得分布于工作計(jì)算機(jī)中的涉密信息無法得到安全保障。

我國在信息安全領(lǐng)域技術(shù)方面和國外發(fā)達(dá)國家還有較大的差距，存在的突出問題是人才稀缺，尤其是擁有先進(jìn)技術(shù)的人才。在具體完成網(wǎng)絡(luò)安全保障的需求時(shí)，我們還缺乏根據(jù)實(shí)際情況，結(jié)合各種要求，合理綜合運(yùn)用多種技術(shù)的能力。

總之，我國的電子政務(wù)在促進(jìn)國民經(jīng)濟(jì)和社會發(fā)展，提高行政質(zhì)量和效率，增強(qiáng)政府監(jiān)管和社會服務(wù)能力的同時(shí)，也帶來了新的安全保密問題。在安全問題層出不窮的情況下，我們的管理制度和防范手段往往處于滯后狀態(tài)。比如：現(xiàn)在，手機(jī)除了讓你給世界各地的人打電話之外還能做更多的事情。智能手機(jī)是功能齊全的計(jì)算機(jī)，配置了WiFi連接、多線程操作系統(tǒng)、大存儲容量、高分辨率攝像頭和大量的應(yīng)用程序支持。與便攜式電腦一樣，智能手機(jī)已經(jīng)在人們的生活中被普遍的使用。它也能夠引起優(yōu)盤和筆記本電腦引起的同樣的威脅。而且，智能手機(jī)有可能避開傳統(tǒng)的數(shù)據(jù)泄漏保護(hù)解決方案。如何阻止一個(gè)擁有智能手機(jī)的人拍攝計(jì)算機(jī)顯示屏的高清照片并且通過手機(jī)的3G網(wǎng)絡(luò)用電子郵件把這個(gè)照片發(fā)出去呢？

我們采用物理隔離的主要原因是要保護(hù)的重要信息比較多，尤其是政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)中儲存了大量的涉密信息。我們不能認(rèn)為物理隔離的內(nèi)部網(wǎng)絡(luò)一定是安全的，它只能解決一方面的問題，不能把它當(dāng)做萬能的。網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，為此，建立有中國特色的網(wǎng)絡(luò)安全體系，必須首先提升我們整體的安全意識和信息安全復(fù)雜性的認(rèn)識，力爭提高網(wǎng)絡(luò)安全質(zhì)量。