摘 要：隨著信息技術(shù)的不斷發(fā)展和進步，網(wǎng)絡(luò)安全的防護的重點逐漸向內(nèi)網(wǎng)轉(zhuǎn)移。我們只有從企業(yè)信息安全管理的全局出發(fā)，對信息安全進行全方位、多角度的設(shè)計，統(tǒng)籌規(guī)劃、統(tǒng)一安排，全面整合利用準入控制、網(wǎng)絡(luò)監(jiān)控、安全審計、權(quán)限管理、透明加密等多種手段，將管理、技術(shù)、審計、人員進行有機的結(jié)合，在企業(yè)內(nèi)部構(gòu)建一個立體化的整體安全網(wǎng)絡(luò)。

關(guān)鍵詞：中小企業(yè) 網(wǎng)絡(luò)安全 內(nèi)網(wǎng)安全 入侵檢測

1.內(nèi)網(wǎng)安全發(fā)展趨勢

隨著計算機信息，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)所面臨的安全性問題也發(fā)生了很大的變化。安全性威脅在種類上越來越豐富，從早期的病毒到現(xiàn)在非常普遍的惡意代碼，盜號木馬、間諜軟件、網(wǎng)絡(luò)釣魚等出現(xiàn)的網(wǎng)絡(luò)新名詞以及大量的垃圾郵件都給用戶帶來了嚴重的安全隱患。攻擊方式上也日趨千變?nèi)f化。計算機一旦受到攻擊輕者黑屏死機，嚴重的造成經(jīng)濟利益上的損失。

在安全建設(shè)的初級階段，企業(yè)安全防護主要依靠的是傳統(tǒng)的防火墻技術(shù)，入侵檢測技術(shù)以及防病毒技術(shù)等，這些產(chǎn)品在安全防護的初期階段發(fā)揮了積極的作用，但是面對目前所面臨的新問題卻顯得力不從心，不能適應(yīng)新的需求?；谶@些問題，企業(yè)內(nèi)網(wǎng)的安全性建設(shè)也有了一些新的變化。企業(yè)由原來的防火墻、防病毒等安全產(chǎn)品的架設(shè)，逐漸向內(nèi)網(wǎng)安全管理的整體化、系統(tǒng)化發(fā)展；由早期的被動防御向主動防御發(fā)展；由多種安全產(chǎn)品累加、串葫蘆的安全管理方式向集成多種安全防護功能的多維安全體系發(fā)展；安全的重心也逐漸向終端計算機轉(zhuǎn)移。隨著網(wǎng)絡(luò)安全技術(shù)不斷更新，內(nèi)網(wǎng)安全研究不斷深入和嘗試，內(nèi)網(wǎng)安全發(fā)展越來越呈現(xiàn)出一種新的趨勢，被人們普遍認同的主要有：安全策略保障、自動補丁管理、內(nèi)網(wǎng)接入控制、可信移動介質(zhì)、非法操作的遏制等。

2.中小企業(yè)常見內(nèi)網(wǎng)安全問題

圖1中小企業(yè)常用網(wǎng)絡(luò)拓撲圖

圖1為中小企業(yè)常用網(wǎng)絡(luò)拓撲圖，據(jù)以上網(wǎng)絡(luò)拓撲結(jié)構(gòu)可以看出，中小企業(yè)內(nèi)網(wǎng)安全隱患主要反映在以下幾個方面

1）內(nèi)外網(wǎng)邊界的模糊化，造成信息安全隱患。

平時大多企業(yè)非常重視提高企業(yè)網(wǎng)的邊界安全，但往往忽視了企業(yè)員工有意或無意的私自通過雙網(wǎng)卡、代理軟件、無線網(wǎng)絡(luò)、3G或WLAN等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，此時企業(yè)耗費巨資配備的網(wǎng)絡(luò)安全防護措施已失去意義，從而極有可能使得黑客繞過防火墻而在企業(yè)毫不知情的情況下侵入內(nèi)部網(wǎng)絡(luò)，從而造成敏感數(shù)據(jù)泄密、傳播病毒等嚴重后果。

2）軟、硬件設(shè)施不到位，內(nèi)網(wǎng)的安全性問題不能得到很好的保障。

通常一些中小企業(yè)為了節(jié)省開支，往往以次充好、以偏概全，安全設(shè)施不配或者少配，不言而喻在這種基礎(chǔ)上一些好的安全策略、方法如vlan劃分、ip地址綁定、安全日志、安全審計及vpn等等均得不到很好的使用，這種情況下的內(nèi)網(wǎng)安全性成為一紙空談，形同虛設(shè)，根本起不到安全防護的作用。

3）終端用戶非法操作。

這種安全隱患主要表現(xiàn)在非法用戶的非法操作和合法用戶的非法操作。非法用戶的非法操作主要指外來入侵者（如：木馬、病毒、釣魚軟件、竊聽、黑客等）和內(nèi)部非授權(quán)用戶所采用的非正常操作；合法用戶通常有一般合法用戶和超級權(quán)限用戶兩種。在企業(yè)內(nèi)部一般合法用戶利用系統(tǒng)給定的合法權(quán)利在工作時間內(nèi)聊天、游戲、電影下載、登陸色情反動網(wǎng)站等，使內(nèi)網(wǎng)流量負荷增加，影響工作效率及網(wǎng)絡(luò)正常使用，甚至通過合法手段存取的公司機密數(shù)據(jù)非法帶出公司（通過網(wǎng)絡(luò)、拷貝、打印等手段）損害公司和國家利益，違反職業(yè)道德、公司制度、國家法令。超級權(quán)限用戶的非法操作往往會給公司帶來更大的破壞或損失，主要表現(xiàn)在非法使用權(quán)限、越權(quán)使用、濫用系統(tǒng)權(quán)限、不正常使用等問題，造成企業(yè)信息、資料的丟失或破壞。

4）安全管理制度不夠完善，執(zhí)行不到位。

企業(yè)內(nèi)網(wǎng)是一個特殊的網(wǎng)絡(luò)，網(wǎng)絡(luò)的不斷變化及一些新技術(shù)、新產(chǎn)品不斷出現(xiàn)使其更加難以控制。雖然許多企業(yè)已建立了相應(yīng)的內(nèi)部網(wǎng)絡(luò)安全管理制度，但經(jīng)常是不完整或不全面的。通常人們對安全性重視的程度不夠，安全制度的執(zhí)行得不到保障，使制定的安全管理制度發(fā)揮不了預(yù)想的作用，因此不能有效地規(guī)范和約束有些員工的上網(wǎng)行為。

5）安全管理缺乏多維性、全面性。

正是緣于企業(yè)內(nèi)網(wǎng)安全問題的多種多樣，有些企業(yè)安全管理者針對其具體安全需求，不斷的部署安全產(chǎn)品：防毒墻、防火墻、UTM、上網(wǎng)行為管理、殺毒工具、入侵檢測產(chǎn)品等等，殊不知某些單一產(chǎn)品的功能并不單一，重復(fù)的部署不僅會造成企業(yè)成本的增加、資源的耗費，甚至可能面臨諸多產(chǎn)品的兼容難題。這種多種防護產(chǎn)品、防護手段簡單的累加而不是形成全方位多維立體安全防護體系是不能達到安全防護目的的。

6）企業(yè)網(wǎng)絡(luò)安全管理員技能不足。

在思想方面，許多管理員認為只要網(wǎng)絡(luò)不癱瘓，其他都不會有問題；在技術(shù)方面，由于管理員的惰性，遇到問題的處理方式就只是重新安裝系統(tǒng)；在管理方面，管理員只依賴于單一的工具，就是網(wǎng)絡(luò)維護。

安全技術(shù)知識和概念的缺乏使得企業(yè)內(nèi)部網(wǎng)絡(luò)的管理和監(jiān)測計劃缺乏系統(tǒng)監(jiān)管機制，也沒有主動行為，很難形成積極的反饋機制，這將導致企業(yè)網(wǎng)絡(luò)的安全風險不容易被發(fā)現(xiàn)。

7）安全性防護不是發(fā)展變化的，和實際需求相脫節(jié)。

眾所周知系統(tǒng)網(wǎng)絡(luò)技術(shù)的發(fā)展日新月異、千變?nèi)f化，因此面臨的安全問題也會是各式各樣、層出不窮的，如果安全性防護不能根據(jù)實際情況進行實時調(diào)整以適應(yīng)新的安全需求，那么企業(yè)內(nèi)網(wǎng)安全也得不到很好的防護。

由此可見企業(yè)內(nèi)網(wǎng)的安全隱患主要來之企業(yè)內(nèi)部。分析這些內(nèi)部安全威脅沒有得到有效控制的根源，主要是缺少以下因素：沒有嚴格的身份認證體系、外來終端設(shè)備難以判定并加以監(jiān)視和控制、沒有嚴格的系統(tǒng)安全檢驗或檢查、不具備完整的訪問授權(quán)機制，安全規(guī)范制度得不到落實等等。主要包括網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)內(nèi)部安全（人的因素、系統(tǒng)網(wǎng)絡(luò)因素、管理因素等）。

3.內(nèi)網(wǎng)安全管理原則

1）易操作性原則

易操作性原則是建立在能滿足功能需求的前提下提出的，在這里是指采用的安全管理措施在不影響系統(tǒng)正常運行的基礎(chǔ)上，同時應(yīng)便于維護，即強調(diào)操作的簡易性。因為，各種方式方法均需人來實現(xiàn)，如果措施過于復(fù)雜，對人要求過高，在某種意義上講其本身就降低了安全性。

2）安全措施構(gòu)建成本和需求應(yīng)保持一致

這種原則是從信息資產(chǎn)的差異性考慮的，因為不同信息具有的價值不同，要求的安全程度也可能有所不同，這樣需投入的人力、物力也會有所區(qū)別。如：服務(wù)器對安全的要求大大超過普通的pc機，公司商業(yè)機密與普通的公司信息安全等級也不相同?？梢酝ㄟ^管理實現(xiàn)的安全要求，就不需要再做無謂的投資。正是由于這些需求差異性和安全措施多樣性，要求安全措施的制定者要不同問題不同對待。在制定安全性措施時做到有的放矢、成本和需求相一致，不僅可以節(jié)約投資成本，而且制定出的安全性措施也是最能滿足企業(yè)安全需求的。

3）整體性原則

整體性原則也就是人們經(jīng)常說的安全的“木桶原理”。這一點不難理解，網(wǎng)絡(luò)信息的安全性涉及到公司的方方面面的，因此安全性措施的制定需從全局出發(fā)，整體性考慮的。無論任何一處的安全薄弱點被人惡意利用的話，都有可能導致整個安全體系的崩潰，內(nèi)網(wǎng)的安全性也就如同虛設(shè)。

4）動態(tài)發(fā)展的原則

要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。

4.中小企業(yè)內(nèi)網(wǎng)安全實現(xiàn)

中小企業(yè)內(nèi)網(wǎng)安全性問題分析圖

1）保持內(nèi)外網(wǎng)邊界相分離。

解決內(nèi)外網(wǎng)邊界的模糊化，最簡單的方法是內(nèi)、外網(wǎng)連接線路的物理分離。也可以利用一些較高性能網(wǎng)絡(luò)設(shè)備（如路由器、防火墻、可配置交換機等）、管理軟件和其它的技術(shù)手段（如nat方式、vpn技術(shù)、vlan的劃分、網(wǎng)絡(luò)設(shè)備策略的設(shè)置等）實現(xiàn)內(nèi)外網(wǎng)的邏輯上的分離。由于當前上網(wǎng)方式多樣性，致使內(nèi)網(wǎng)中終端主機、服務(wù)器等各種網(wǎng)絡(luò)設(shè)備自帶的各種端口均成為造成內(nèi)外網(wǎng)邊界模糊的敏感資源。為了有效的控制這些敏感資源的使用可對其進行監(jiān)控、預(yù)警、審計控制，再加上公司內(nèi)部的相關(guān)制度文件、獎懲措施加以輔助，這一問題可很好得到解決。

2）安全以需求為導向，選擇適合自己的安全產(chǎn)品。

目前，涉及網(wǎng)絡(luò)安全的產(chǎn)品有很多，殺毒軟件、防火墻、路由器、身份驗證、入侵檢測、內(nèi)網(wǎng)安全防護軟件等產(chǎn)品層出不窮，而且產(chǎn)品的品牌、檔次五花八門，參差不齊，如何選擇適合自己的安全產(chǎn)品就成為了采購決策者的重中之重。選擇一個適合自己的安全產(chǎn)品必須從自身應(yīng)用需求出發(fā)，了解產(chǎn)品本身的技術(shù)指標和性能參數(shù)，畢竟每個安全產(chǎn)品所注重的特性都存在著一定的差距，而明確自身的具體需求是選擇一個性價比合適的安全產(chǎn)品的前提。選擇合適的安全產(chǎn)品時，還必須在安全的標準基礎(chǔ)上考慮安全產(chǎn)品間互操作性的需要、對安全等級認定的需要以及對服務(wù)商能力進行衡量的需要，從而構(gòu)建一個安全企業(yè)內(nèi)部網(wǎng)絡(luò)。

3）確保終端用戶合法操作。

對超級權(quán)限終端用戶可通過權(quán)限分割、監(jiān)控和管理相分離、安全卡和電子證書的配置和使用進行控制其操作行為。杜絕超級權(quán)限用戶對任何機密數(shù)據(jù)的存取權(quán)限，使其只有系統(tǒng)管理的權(quán)限不具備訪問權(quán)限，實現(xiàn)管理、使用相分離的原則。必要時啟動相應(yīng)的審計功能，使網(wǎng)絡(luò)監(jiān)控人員對了解跟蹤所有對系統(tǒng)所進行的操作。網(wǎng)絡(luò)設(shè)備系統(tǒng)、服務(wù)器系統(tǒng)、數(shù)據(jù)輸入、輸出系統(tǒng)、機密數(shù)據(jù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備間等重要房間都配備有磁卡門，磁卡門上配多個磁卡閱讀器，這樣必須多個人同時進入房間才可允許進入，進行正常操作。另外限定合法操作時間也是一個常見、有效的安全管理手段。

一般終端用戶根據(jù)應(yīng)用特點，加強審計功能、細分用戶權(quán)限、加強監(jiān)控。另外無盤網(wǎng)絡(luò)計算機的使用也是有效的防止終端用戶非法操作的絕佳手段。

常見無盤網(wǎng)絡(luò)系統(tǒng)圖

在計算機網(wǎng)絡(luò)安全管理中，不但要注重技術(shù)手段的保障，更要注重終端人員的職業(yè)操守，盡一切可能控制和減少違法違規(guī)行為，最大限度地減少不安全因素。

4）制定完善、有效的安全管理制度，確保執(zhí)行到位。

無論在任何形式下，通過何種渠道顯示出來的安全問題都是一個系統(tǒng)的問題，都是由多種錯綜復(fù)因素導致的。現(xiàn)在經(jīng)常聽到一些信息安全專家提出企業(yè)內(nèi)網(wǎng)安全問題的處理是靠“三分靠技術(shù)，七分靠管理”來實現(xiàn)的。

目前，在企業(yè)內(nèi)網(wǎng)中，終端計算機數(shù)量日趨龐大，各種軟件分門別類、數(shù)不勝數(shù)，應(yīng)用的需求也日趨多樣性、復(fù)雜性，這樣內(nèi)網(wǎng)的安全性管理也成為內(nèi)網(wǎng)管理的重點和難點。眾所周知再好的安全防護系統(tǒng)，如果沒有好的管理制度與之相配合，也會形同虛設(shè)，內(nèi)網(wǎng)的安全性也不可能得到保證。

內(nèi)網(wǎng)安全只靠好的管理制度，方便齊全的內(nèi)網(wǎng)安全防護系統(tǒng)是不夠的，這些都需要可行的管理措施來實現(xiàn)，需要終端用戶和相關(guān)職能部門長期的執(zhí)行合作來保障。所以可行的管理手段是內(nèi)網(wǎng)安全性體系中必不可缺的一環(huán)。

5）建立集成多種安全防護功能的多維安全體系

網(wǎng)路信息的安全性涉及到公司的方方面面，因此安全性方案的設(shè)計、實施需遵從木桶原理從全局出發(fā)，整體性考慮。內(nèi)網(wǎng)安全無論通過哪種渠道、方法遭到破壞，都可能使整個內(nèi)網(wǎng)置于危險當中，導致原有的一切防護措施，均失去應(yīng)有的意義，內(nèi)網(wǎng)的安全也不復(fù)存在。安全體系的打造不是各種安全措施簡單的累加而是相鋪相成構(gòu)成一個有機的整體。從硬件到軟件、從人員到制度、從技術(shù)手段到合理的管理各種因素缺一不可。目前最流行的實現(xiàn)方法是，在性能良好的內(nèi)網(wǎng)基礎(chǔ)上，采用市場上成熟的內(nèi)網(wǎng)防護軟件，配備有效的管理策略、和良好的網(wǎng)絡(luò)、終端殺毒軟件，來打造堅不可摧的內(nèi)網(wǎng)安全防護體系。

6）打造一個合格的企業(yè)網(wǎng)絡(luò)安全管理員。

一個合格的網(wǎng)絡(luò)管理員不僅要有過硬的技術(shù)知識，而且要有持之以恒的學習精神，更應(yīng)當具有高尚的道德品質(zhì)。平時能主動關(guān)注各種新出現(xiàn)的新設(shè)備、新技術(shù)、新的安全問題。在平時的日常工作中既能做到勤于動手、善于觀察、樂于思考和總結(jié)，針對各種出現(xiàn)的故障明察秋毫，均能做到有的放矢、實時解決，能夠嚴格按照公司內(nèi)部制度文件操作，不出違規(guī)行為。

7）安全性防護不是發(fā)展變化的，和實際需求相脫節(jié)。

隨著網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展，內(nèi)網(wǎng)安全也必會出現(xiàn)一些新的問題，因此企業(yè)內(nèi)部的網(wǎng)絡(luò)安全防護措施也應(yīng)當根據(jù)實際情況不斷更新。隨著時間的推移一些軟硬件設(shè)施相繼老化、淘汰，需要及時的更換。

通過以上強有力的措施，企業(yè)在面對網(wǎng)絡(luò)的安全威脅的時候，就可以真正做到事前防范，事后審計并將企業(yè)信息安全的管理提高到新的層次。

5.總結(jié)

由此可見，中小型企業(yè)內(nèi)網(wǎng)的安全性建設(shè)勢在必行。隨著企業(yè)的網(wǎng)絡(luò)化、信息化不斷發(fā)展，搭建安全的網(wǎng)絡(luò)架構(gòu)，抵制非法者的入侵，防止內(nèi)部信息外泄，都是企業(yè)所面臨的問題，從網(wǎng)絡(luò)安全發(fā)展的趨勢來看，目前網(wǎng)絡(luò)安全的重點已將從外部安全轉(zhuǎn)移到內(nèi)部安全?？傊?，內(nèi)網(wǎng)安全管理有待進一步加強，一個全方位、一體化的安全管理體系應(yīng)早日形成。

參考文獻：

【1】蔣建春、馮登國編著，網(wǎng)絡(luò)入侵檢測原理與技術(shù)，國防工業(yè)出版社

【2】劉曉輝、楊興明編著，中小企業(yè)網(wǎng)絡(luò)管理實用教程 ，科學出版社/北京科海電子出版社

【3】梁廣民、王隆杰編著，網(wǎng)絡(luò)設(shè)備互聯(lián)技術(shù)，清華大學出版社

【4】王達編著，深入理解計算機網(wǎng)絡(luò)， 機械工業(yè)出版社