劉 穎

（中國(guó)石油大學(xué)勝利學(xué)院 信息與計(jì)算科學(xué)系，山東 東營(yíng)257000）

隨著全球信息化時(shí)代的到來(lái)，越來(lái)越多的信息系統(tǒng)被應(yīng)用到日常工作。為提升企業(yè)的競(jìng)爭(zhēng)實(shí)力，搭建統(tǒng)一便利的信息交換平臺(tái)，方便內(nèi)部員工辦公以及資源的共享，建立企業(yè)內(nèi)網(wǎng)已是形式所趨。然而，大量涉及技術(shù)和業(yè)務(wù)的相關(guān)機(jī)密信息存儲(chǔ)在計(jì)算機(jī)網(wǎng)絡(luò)中，如何有效地保護(hù)這些數(shù)據(jù)信息，成為企業(yè)內(nèi)網(wǎng)急需解決的問(wèn)題［1］。因此，需要對(duì)內(nèi)網(wǎng)的安全性進(jìn)行系統(tǒng)性分析，設(shè)計(jì)一個(gè)管理性強(qiáng)、信任度高、控制性好的內(nèi)網(wǎng)安全體系，進(jìn)而構(gòu)建整體一致的內(nèi)網(wǎng)安全管理平臺(tái)。

1 內(nèi)網(wǎng)安全性的雙向威脅

企業(yè)內(nèi)網(wǎng)的安全性直接影響到信息的保密程度，要做到內(nèi)網(wǎng)的安全防范，必須對(duì)其特點(diǎn)有一個(gè)全面認(rèn)識(shí)。

網(wǎng)絡(luò)安全包括黑客的攻擊和病毒的破壞等，但是這些來(lái)自網(wǎng)絡(luò)外部的威脅，在現(xiàn)有的常規(guī)安全防御理念里已經(jīng)進(jìn)行了嚴(yán)密的監(jiān)控。比如在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，將重要的安全設(shè)施集中于機(jī)房或網(wǎng)絡(luò)入口處，設(shè)置防火墻、入侵檢測(cè)系統(tǒng)和VPN等，這些舉措使得來(lái)自網(wǎng)絡(luò)之外的威脅大大降低了。在外網(wǎng)安全的威脅假設(shè)中內(nèi)部網(wǎng)絡(luò)都是安全可信的，威脅都來(lái)自于外部網(wǎng)絡(luò)，其途徑主要是內(nèi)外網(wǎng)邊界的出口［2］，所以只要將網(wǎng)絡(luò)邊界處的安全控制措施做好，就可以確保整個(gè)網(wǎng)絡(luò)的安全。

內(nèi)網(wǎng)安全的威脅與外網(wǎng)安全的威脅相比，涉及的點(diǎn)面更廣泛，即假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的，威脅既可能來(lái)自外網(wǎng)，也可能來(lái)自內(nèi)網(wǎng)的任何一個(gè)節(jié)點(diǎn)上。所以，在內(nèi)網(wǎng)安全的威脅下，需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致管理，實(shí)現(xiàn)一個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。

因此，在探究?jī)?nèi)網(wǎng)的安全問(wèn)題時(shí)應(yīng)該從兩個(gè)方面入手，一是從外到內(nèi)的（交界、邊界安全），要防范來(lái)自互聯(lián)網(wǎng)的攻擊，防范攻擊者入侵到內(nèi)部網(wǎng)絡(luò)，控制遠(yuǎn)程接入的訪問(wèn)權(quán)限。另一方面是從內(nèi)到外的，要控制從企業(yè)內(nèi)網(wǎng)到外網(wǎng)的訪問(wèn)，內(nèi)部移動(dòng)設(shè)備的接入，分發(fā)管理等［3］。根據(jù)不同來(lái)源的安全問(wèn)題，采取不同的防范措施?？梢?jiàn)，內(nèi)網(wǎng)安全具有一個(gè)雙向交互的管理特點(diǎn)，僅就一方面的安全問(wèn)題來(lái)維護(hù)是不全面的。

2 企業(yè)內(nèi)網(wǎng)安全存在的問(wèn)題

通過(guò)對(duì)近些年來(lái)網(wǎng)絡(luò)安全性事件的分析，發(fā)現(xiàn)有超過(guò)70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的，并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化，這一比例仍有增長(zhǎng)的趨勢(shì)［4］。由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因，內(nèi)網(wǎng)安全也一直是網(wǎng)絡(luò)安全建設(shè)的難點(diǎn)。同時(shí)內(nèi)網(wǎng)安全涵蓋了企業(yè)內(nèi)部的所有信息安全問(wèn)題，終端安全是內(nèi)網(wǎng)安全的有機(jī)組成部分，過(guò)分地強(qiáng)調(diào)終端安全或者其他某一個(gè)領(lǐng)域的內(nèi)網(wǎng)安全問(wèn)題，是欠缺全面性的，將會(huì)導(dǎo)致安全防護(hù)不成體系，各個(gè)安全防護(hù)點(diǎn)、防護(hù)措施之間整合度不夠，無(wú)法良好地協(xié)同［5］。目前，企業(yè)內(nèi)網(wǎng)安全主要存在四類問(wèn)題。

2.1 缺乏自動(dòng)跟蹤安全策略

自動(dòng)執(zhí)行智能實(shí)時(shí)跟蹤這一安全策略是有效實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵手段，它不僅帶來(lái)了商業(yè)活動(dòng)中的一大改革，也極大地提升了手動(dòng)安全策略的功效。企業(yè)內(nèi)網(wǎng)的安全性現(xiàn)狀迫切需要網(wǎng)絡(luò)能利用自動(dòng)檢測(cè)的方法探測(cè)企業(yè)活動(dòng)的各種變更，因此與之匹配的安全策略也必須應(yīng)運(yùn)而生。例如可以通過(guò)實(shí)時(shí)跟蹤網(wǎng)絡(luò)的利用情況，記錄與該機(jī)對(duì)話的文件服務(wù)器，做到確保企業(yè)內(nèi)網(wǎng)中每天的所有活動(dòng)都遵循安全策略。

2.2 缺乏對(duì)重要資源的保護(hù)

大型企業(yè)網(wǎng)絡(luò)擁有成千上萬(wàn)的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的，所以大型企業(yè)網(wǎng)應(yīng)采用擇優(yōu)的方法。在操作上，首先要對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作，找出重要的網(wǎng)絡(luò)服務(wù)器（例如實(shí)時(shí)跟蹤客戶的服務(wù)器）并對(duì)其進(jìn)行限制管理，這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。

2.3 缺乏對(duì)VPN網(wǎng)絡(luò)的安全防護(hù)

對(duì)于VPN網(wǎng)絡(luò)，大多數(shù)企業(yè)認(rèn)為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，員工可以撥號(hào)進(jìn)入系統(tǒng)，而防火墻會(huì)將一切非法請(qǐng)求拒之其外。然而公司的防火墻雖然可以將侵入者隔離在外，但侵入者卻可以通過(guò)一個(gè)被信任的用戶進(jìn)入網(wǎng)絡(luò)。針對(duì)VPN的安全防護(hù)，一般可以采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)來(lái)進(jìn)行安全保證。

2.4 無(wú)線網(wǎng)絡(luò)的使用帶來(lái)高安全風(fēng)險(xiǎn)

無(wú)線網(wǎng)絡(luò)在企業(yè)中已被廣泛使用，無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比，不需要物理上線路的連接，完全采用射頻技術(shù)，借助無(wú)線電磁波進(jìn)行網(wǎng)絡(luò)連接，是一種傳輸?shù)拈_(kāi)放式物理系統(tǒng)，因此無(wú)線網(wǎng)絡(luò)所面臨的威脅也是多方面的。由于無(wú)線網(wǎng)絡(luò)中最重要的設(shè)備之一就是無(wú)線路由器或中繼器，而同一品牌的無(wú)線設(shè)備訪問(wèn)地址、默認(rèn)的用戶名、密碼都是相同的，入侵者可以通過(guò)掃描工具找到這些設(shè)備并進(jìn)入管理界面，獲得設(shè)備的控制權(quán)。另外，可以通過(guò)禁止SSID廣播，阻止入侵者建立連接。對(duì)固定用戶客戶端的環(huán)境，使其手工直接輸入SSID標(biāo)識(shí)符以建立連接即可。通過(guò)過(guò)濾設(shè)置將允許訪問(wèn)的無(wú)線客戶端網(wǎng)卡的MAC地址添加進(jìn)來(lái)，可以增添更高級(jí)的安全性。再者，對(duì)于企業(yè)內(nèi)網(wǎng)中的小規(guī)模的無(wú)線網(wǎng)絡(luò)，還可以手動(dòng)為客戶端分配IP地址。同時(shí)進(jìn)行安全認(rèn)證設(shè)置，設(shè)置密鑰。有條件的企業(yè)還可以選擇帶防Ping的功能無(wú)線路由，來(lái)躲避掃描器主動(dòng)搜索無(wú)線網(wǎng)絡(luò)。

3 構(gòu)建完整的內(nèi)網(wǎng)安全體系

目前市面上出現(xiàn)了很多針對(duì)內(nèi)網(wǎng)安全解決方案的產(chǎn)品，從技術(shù)上可以分成身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)四類，但這些產(chǎn)品都僅解決了內(nèi)網(wǎng)安全的部分問(wèn)題，并因目前技術(shù)的限制，存在各自的不足。要使企業(yè)內(nèi)網(wǎng)真正做到可管理、可信任和可控制，可將以上四類技術(shù)的優(yōu)勢(shì)進(jìn)行融合，構(gòu)建一個(gè)整體的內(nèi)網(wǎng)安全管理平臺(tái)。搭建內(nèi)網(wǎng)安全管理系統(tǒng)，可以從五個(gè)方面出發(fā)。

3.1 對(duì)進(jìn)入企業(yè)內(nèi)網(wǎng)的終端進(jìn)行監(jiān)控與管理

在安全接入管理方面，系統(tǒng)可以通過(guò)監(jiān)聽(tīng)和主動(dòng)探測(cè)等方式檢測(cè)內(nèi)部網(wǎng)絡(luò)中所有在線的主機(jī)，來(lái)判別當(dāng)前在線的主機(jī)是否為可信任主機(jī)，若探測(cè)到非法的可疑主機(jī)，則可以阻止其訪問(wèn)任何網(wǎng)絡(luò)資源，防止非法主機(jī)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊或竊密。在網(wǎng)絡(luò)安全平臺(tái)的設(shè)計(jì)上可以通過(guò)設(shè)置防火墻系統(tǒng)來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的隔離防護(hù)。對(duì)遠(yuǎn)程辦公的人員則可提供IPSec VPN接入，確保數(shù)據(jù)傳輸過(guò)程中的安全，實(shí)現(xiàn)用戶對(duì)服務(wù)器系統(tǒng)的受控訪問(wèn)。同時(shí)也可采用入侵檢測(cè)設(shè)備，作為防火墻的功能互補(bǔ)，用于提供對(duì)監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警與響應(yīng)。

3.2 及時(shí)解決操作系統(tǒng)與應(yīng)用程序的漏洞

漏洞是蠕蟲(chóng)病毒頻繁爆發(fā)的主要原因，要使企業(yè)內(nèi)網(wǎng)免受病毒侵害，就必須將補(bǔ)丁分發(fā)管理工作做到位。內(nèi)網(wǎng)安全管理系統(tǒng)的掃描機(jī)制可分為網(wǎng)絡(luò)掃描與主機(jī)掃描，掃描完成后根據(jù)掃描結(jié)果自動(dòng)對(duì)系統(tǒng)漏洞下發(fā)補(bǔ)丁并警告。補(bǔ)丁分發(fā)管理主要完成客戶端的補(bǔ)丁檢測(cè)和安裝，健壯企業(yè)客戶端的安全性。同時(shí)還可以允許管理員自定義軟件分發(fā)，完成用戶自由系統(tǒng)的補(bǔ)丁管理。利用遠(yuǎn)程進(jìn)行軟件分發(fā)。結(jié)合對(duì)客戶端防病毒程序安裝和運(yùn)行情況的檢測(cè)，為安全接入管理系統(tǒng)提供授權(quán)認(rèn)證的依據(jù)［6］。

3.3 對(duì)企業(yè)內(nèi)網(wǎng)中的用戶上網(wǎng)行為進(jìn)行管理并設(shè)置網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)

內(nèi)網(wǎng)用戶終端的非法上網(wǎng)外聯(lián)行為是企業(yè)網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，所以在系統(tǒng)的管理上要重點(diǎn)檢測(cè)和管理企業(yè)內(nèi)用戶的非法自建通路連接非授權(quán)網(wǎng)絡(luò)的行為，在企業(yè)內(nèi)網(wǎng)中通過(guò)分區(qū)域和分部門地進(jìn)行監(jiān)控上網(wǎng)行為，過(guò)濾網(wǎng)頁(yè)訪問(wèn)，過(guò)濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。另外還可以通過(guò)對(duì)上網(wǎng)權(quán)限審計(jì)控制，對(duì)網(wǎng)絡(luò)行為審計(jì)和郵件外發(fā)審計(jì)等控制行為，可使企業(yè)內(nèi)網(wǎng)終端上網(wǎng)安全性可控［7］。設(shè)置帶寬控制系統(tǒng)，使網(wǎng)絡(luò)管理人員對(duì)實(shí)時(shí)數(shù)據(jù)流量情況能夠清晰掌握，能定位網(wǎng)絡(luò)流量的基線，從而及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)結(jié)構(gòu)

3.4 對(duì)企業(yè)內(nèi)網(wǎng)中的信息訪問(wèn)進(jìn)行控制

企業(yè)內(nèi)網(wǎng)業(yè)務(wù)繁忙，各終端難免隨時(shí)要進(jìn)行各種外接設(shè)備的應(yīng)用，同時(shí)為各種網(wǎng)絡(luò)應(yīng)用需要打開(kāi)系統(tǒng)的多個(gè)接口。比如企業(yè)中使用最廣泛的即插即用設(shè)備，便捷攜帶可以很容易的將大量所需的重要數(shù)據(jù)轉(zhuǎn)移，但同時(shí)U盤木馬也可以輕而易舉地通過(guò)該設(shè)備帶進(jìn)內(nèi)網(wǎng)，這就給內(nèi)網(wǎng)安全埋下了巨大的隱患。所以在內(nèi)網(wǎng)中，要對(duì)終端上的各種外設(shè)和接口進(jìn)行管理。比如禁用系統(tǒng)的外設(shè)和接口，防止用戶非法使用。在外部存儲(chǔ)設(shè)備的禁用方面，在禁止使用通用移動(dòng)存儲(chǔ)設(shè)備的同時(shí)，對(duì)經(jīng)過(guò)認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備允許使用。管理系統(tǒng)還可以對(duì)終端用戶的文8件操作控制，比如通過(guò)文件加密等功能，徹底解決在信息訪問(wèn)過(guò)程中帶來(lái)的安全隱患。

3.5 對(duì)企業(yè)資產(chǎn)進(jìn)行嚴(yán)格控制與管理

隨著企業(yè)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，軟硬件設(shè)備都會(huì)面臨不斷被更新或淘汰。所以對(duì)于硬件資產(chǎn)，要詳細(xì)記錄用戶計(jì)算機(jī)的硬件配置，如內(nèi)存、處理器類型、處理器速度、處理器個(gè)數(shù)、數(shù)學(xué)協(xié)處理器、總線類型等參數(shù)，以方便管理員對(duì)內(nèi)網(wǎng)中計(jì)算機(jī)硬件資產(chǎn)進(jìn)行統(tǒng)計(jì)歸檔。對(duì)于軟件資產(chǎn)，要詳細(xì)記錄用戶計(jì)算機(jī)上安裝的所有軟件，定時(shí)分析終端計(jì)算機(jī)安裝的軟件信息，并通過(guò)多種條件進(jìn)行查詢和統(tǒng)計(jì)。由管理員對(duì)其審核，及時(shí)發(fā)現(xiàn)用戶安裝的不安全軟件，減少內(nèi)網(wǎng)中潛在的安全隱患，避免不必要的法律糾紛。

基于上述研究搭建的內(nèi)網(wǎng)安全體系能夠使企業(yè)內(nèi)網(wǎng)真正做到可管理、可信任和可控制，具有一定的可行性和可操作性，能夠基本解決企業(yè)內(nèi)網(wǎng)存在的四類主要問(wèn)題，能夠滿足當(dāng)前市場(chǎng)需要，具有一定的應(yīng)用前景。

4 結(jié)束語(yǔ)

當(dāng)前，內(nèi)網(wǎng)安全已經(jīng)成為信息安全的焦點(diǎn)問(wèn)題，內(nèi)網(wǎng)安全技術(shù)和標(biāo)準(zhǔn)也在發(fā)展與成熟的過(guò)程中，隨著企業(yè)對(duì)于安全性認(rèn)識(shí)的不斷加深，融合多項(xiàng)技術(shù)方案的內(nèi)網(wǎng)安全解決體系建設(shè)將成為內(nèi)網(wǎng)安全的主要發(fā)展目標(biāo)。

［1］陸英南.企業(yè)內(nèi)網(wǎng)安全管理策略研究［J］.電腦知識(shí)與技術(shù)，2008（8）：23-25.

［2］吳鈺鋒，劉泉，李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用［J］.真空電子技術(shù)，2004（6）：34-36.

［3］ANDREW ST.計(jì)算機(jī)網(wǎng)絡(luò)［M］.4版.潘愛(ài)民，譯.北京：清華大學(xué)出版社，2008：59-63.

［4］李碩.網(wǎng)絡(luò)安全威脅因素及其常見(jiàn)網(wǎng)絡(luò)安全技術(shù)分析［J］.信息與電腦：理論版，2012（8）：15-16.

［5］楊義先，鈕心忻.網(wǎng)絡(luò)安全理論與技術(shù)［M］.北京：人民郵電出版社，2003：76-89.

［6］李海泉，李健.計(jì)算機(jī)系統(tǒng)安全技術(shù)［M］.北京：人民郵電出版社，2001：73-79.

［7］MOHAN A.數(shù)字簽名［M］.賀軍，譯.北京：清華大學(xué)出版社，2003：29-31.