摘 要：本文通過對當(dāng)前企業(yè)內(nèi)部網(wǎng)絡(luò)安全威脅和隱患的現(xiàn)狀分析，提出了一套從技術(shù)和管理并重的內(nèi)部網(wǎng)絡(luò)安全解決方案，以提高企業(yè)內(nèi)網(wǎng)的安全性。

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；內(nèi)部網(wǎng)絡(luò)安全；管理策略

中圖分類號：TP393.08

1 內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀

內(nèi)部網(wǎng)絡(luò)安全問題的提出是相對于傳統(tǒng)的互聯(lián)網(wǎng)安全而言的。在互聯(lián)網(wǎng)安全威脅模型中，假設(shè)內(nèi)網(wǎng)中的所有人員和設(shè)備都是可信和安全的，而外部互聯(lián)網(wǎng)絡(luò)則是不安全的。隨著各企業(yè)單位的信息化水平快速提升以及核心業(yè)務(wù)對信息系統(tǒng)的依賴度日益增強(qiáng)，網(wǎng)絡(luò)安全事件趨于多從內(nèi)部網(wǎng)絡(luò)發(fā)生，由此引發(fā)了企業(yè)和單位對內(nèi)部網(wǎng)絡(luò)安全問題的關(guān)注和重視。內(nèi)部網(wǎng)絡(luò)安全面臨著人員安全意識淡薄、設(shè)備違規(guī)接入、非法外聯(lián)、網(wǎng)絡(luò)病毒泛濫、系統(tǒng)漏洞多、黑客攻擊、移動存儲介質(zhì)交叉混用等多重安全威脅。以下幾個方面對內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了簡單的分析。

1.1 內(nèi)部網(wǎng)絡(luò)存儲設(shè)備缺乏監(jiān)管

目前，U盤、移動硬盤等移動存儲介質(zhì)的使用極大的方便了員工之間的數(shù)據(jù)交互，但也極大的增加了對數(shù)據(jù)流向的控制難度。例如，在一些涉密信息系統(tǒng)網(wǎng)絡(luò)中移動存儲介質(zhì)的使用和管理存在很多安全隱患：（1）內(nèi)部涉密信息系統(tǒng)網(wǎng)絡(luò)和其他信息系統(tǒng)的移動存儲介質(zhì)存在交叉互用；（2）U盤、移動硬盤等移動存儲介質(zhì)公私交叉混用；（3）移動存儲介質(zhì)成為內(nèi)部網(wǎng)絡(luò)木馬和病毒的來源和傳播工具。

1.2 內(nèi)部網(wǎng)絡(luò)計算機(jī)非法外聯(lián)

內(nèi)部網(wǎng)絡(luò)計算機(jī)被違規(guī)或非法通過電話線、ADSL、無線網(wǎng)卡、雙網(wǎng)卡、3G上網(wǎng)卡、藍(lán)牙、紅外、代理服務(wù)器等各種方式連接到網(wǎng)互聯(lián)，而內(nèi)部網(wǎng)絡(luò)未部署有效的非法外聯(lián)與安全控制和審計系統(tǒng)，導(dǎo)致企業(yè)單位和科研機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)重要信息被非法獲取。

1.3 非法入侵和內(nèi)部攻擊

目前，網(wǎng)絡(luò)使用的主流IPV4網(wǎng)絡(luò)協(xié)議體系自身缺少完善的安全防護(hù)措施，存在設(shè)計缺陷、口令身份認(rèn)證等方面的脆弱性，以及企業(yè)內(nèi)部相關(guān)管理制度的缺失，使內(nèi)部人員可以利用網(wǎng)絡(luò)系統(tǒng)自身漏洞和黑客工具，非法入侵企業(yè)內(nèi)部公共的信息系統(tǒng)或其他員工的計算機(jī)系統(tǒng)，非法竊取系統(tǒng)管理員用戶名和登錄密碼，未經(jīng)授權(quán)進(jìn)入企業(yè)單位核心業(yè)務(wù)和應(yīng)用服務(wù)器獲取內(nèi)部重要數(shù)據(jù)信息，對企業(yè)單位重要信息和涉密信息的安全和完整性構(gòu)成嚴(yán)重的威脅。

1.4 缺乏有效的網(wǎng)絡(luò)安全風(fēng)險管理措施

內(nèi)部員工由于安全意識淡薄和安全知識、技能的匱乏，而管理者往往缺少明確和緊湊的管理方式，使內(nèi)部網(wǎng)絡(luò)安全管理措施無法有效的實施與執(zhí)行。內(nèi)部網(wǎng)絡(luò)的安全隱患往往出現(xiàn)在一些無意或有意的、不規(guī)范的操作和網(wǎng)絡(luò)安全管理的薄弱環(huán)節(jié)上，給內(nèi)部重要數(shù)據(jù)外泄創(chuàng)造了潛在的渠道。因此，和互聯(lián)網(wǎng)安全對比，企業(yè)內(nèi)部網(wǎng)絡(luò)的安全模型應(yīng)更加全面、細(xì)致和完善，需要對內(nèi)部網(wǎng)絡(luò)中所有組成要素、使用者、管理者進(jìn)行細(xì)致的劃分和管理，實現(xiàn)一個可有效管理、完全控制和值得信任的內(nèi)部網(wǎng)絡(luò)環(huán)境。

2 內(nèi)部網(wǎng)絡(luò)安全解決方案

內(nèi)部網(wǎng)絡(luò)的安全管理體系的建立包括安全管理制度、安全管理策略、安全產(chǎn)品、安全技術(shù)以及人員管理等多個方面，整個安全體系為分層結(jié)構(gòu)，在水平層面上為網(wǎng)絡(luò)安全產(chǎn)品和安全管理策略，其在使用模式上是支配與被支配的關(guān)系。在垂直層面上為安全管理制度，自上而下規(guī)范各個水平層面上的行為準(zhǔn)則。安全技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)，其中技術(shù)機(jī)制從不同的層次來考慮內(nèi)部網(wǎng)絡(luò)安全的實現(xiàn)方法，技術(shù)管理則是從技術(shù)的角度出發(fā)，通過配置合理有效的策略來達(dá)到管理目標(biāo)；管理體系是以安全策略為核心實施全生命周期管理的過程，依靠法律、制度和培訓(xùn)三方面來支撐，從而由安全產(chǎn)品、技術(shù)管理、安全管理策略以及安全管理制度等有機(jī)結(jié)合，共同構(gòu)成內(nèi)部網(wǎng)絡(luò)的安全解決方案，如圖一。

3 內(nèi)部網(wǎng)絡(luò)安全技術(shù)防范措施

3.1 構(gòu)建移動存儲介質(zhì)管理系統(tǒng)

針對介質(zhì)的使用缺乏標(biāo)識認(rèn)證、訪問范圍控制和使用日志審計機(jī)制等問題，根據(jù)內(nèi)部網(wǎng)絡(luò)對介質(zhì)管理的要求，需建立介質(zhì)管理系統(tǒng)，以提供對移動存儲介質(zhì)從采購、使用到銷毀全生命周期管理和控制。完整的移動存儲介質(zhì)管理系統(tǒng)應(yīng)具備一下功能：

移動存儲介質(zhì)注冊授權(quán)。管理員沒有注冊與授權(quán)的移動存儲介質(zhì)，內(nèi)部計算機(jī)上無法識別；

（1）移動存儲介質(zhì)使用權(quán)限管理。移動存儲介質(zhì)的權(quán)限可分為禁用、只讀、安全讀寫和直接讀寫4種方式；

（2）移動存儲介質(zhì)使用范圍。經(jīng)管理員注冊與授權(quán)的移動存儲介質(zhì)嚴(yán)格控制在內(nèi)網(wǎng)的使用范圍內(nèi)，同時在其他未授權(quán)的計算機(jī)上無法使用；

（3）數(shù)據(jù)透明加密保護(hù)?？梢苑乐菇橘|(zhì)丟失后，上面的涉密信息被非法獲取；

（4）文件安全刪除。對于涉密文件和資料應(yīng)該采用有效的擦除手段清除文件，確保刪除后無法進(jìn)行恢復(fù)操作。

（5）記錄操作日志。應(yīng)記錄用戶對移動存儲介質(zhì)上所有的文件操作，包括文件的修改、創(chuàng)建、刪除、復(fù)制等操作，用于審計檢查。

3.2 邊界防護(hù)技術(shù)

目前，企業(yè)單位針對內(nèi)部網(wǎng)絡(luò)的邊界保護(hù)中，所采用的主要技術(shù)措施為傳統(tǒng)防火墻、入侵檢測系統(tǒng)以及IPS。防火墻系統(tǒng)往往作為網(wǎng)絡(luò)安全保障體系的首道防線。但是，日益增多和復(fù)雜多樣的攻擊工具與手法，企業(yè)單位簡單的依靠防火墻系統(tǒng)已經(jīng)無法滿足網(wǎng)絡(luò)安全需要。傳統(tǒng)防火墻系統(tǒng)無法檢測發(fā)現(xiàn)或阻斷隱藏到普通數(shù)據(jù)包中的惡意攻擊程序，更加無法發(fā)現(xiàn)和攔截來自網(wǎng)絡(luò)內(nèi)部的主動或被動的攻擊行為。最近幾年，市面上出現(xiàn)了下一代防火墻等產(chǎn)品，引入了狀態(tài)檢測技術(shù)，提高了數(shù)據(jù)包檢測性能。

3.3 終端審計和管理技術(shù)

對于內(nèi)部網(wǎng)絡(luò)中日益增多的終端設(shè)備，如果缺乏管理和審計，會嚴(yán)重增加內(nèi)部網(wǎng)絡(luò)的危險。例如病毒和木馬從個別終端流入內(nèi)部網(wǎng)絡(luò)，對終端計算機(jī)的端口缺少控制，導(dǎo)致內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)非法流出而造成損失和危害。防水墻是加強(qiáng)信息系統(tǒng)內(nèi)部安全的重要工具，它處于內(nèi)部網(wǎng)絡(luò)中，是一個內(nèi)部網(wǎng)絡(luò)監(jiān)控系統(tǒng)，其著重點是用技術(shù)手段強(qiáng)化內(nèi)部信息的安全管理，利用密碼、訪問控制和審計跟蹤等技術(shù)手段對公司信息實施安全保護(hù)，使之不被非法或違規(guī)的窺探、外傳、破壞、拷貝、刪除，從本質(zhì)上阻止了機(jī)密信息泄漏事件的發(fā)生。

3.4 身份認(rèn)證和應(yīng)用系統(tǒng)權(quán)限管理

內(nèi)部網(wǎng)絡(luò)的安全要求日益嚴(yán)峻，對內(nèi)部網(wǎng)絡(luò)中人員權(quán)限的管理也日益重要，將信息的知悉范圍控制在最小。衛(wèi)士通公司的USBkey系統(tǒng)是以密碼技術(shù)為核心，將單機(jī)Windows認(rèn)證登錄的“用戶名+密碼”完善為“用戶名+密碼+Key+PIN”的多重身份認(rèn)證，并通過對平臺底層技術(shù)的控制，防止單機(jī)在運行模式、安全模式甚至離線模式下非授權(quán)者對外設(shè)進(jìn)行訪問。

內(nèi)部網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局和整體的管理與技術(shù)問題，其中任何一個薄弱環(huán)節(jié)，都可能會引發(fā)企業(yè)內(nèi)網(wǎng)的安全問題。另外，內(nèi)部網(wǎng)絡(luò)安全防護(hù)工作是一項長期、復(fù)雜和龐大的系統(tǒng)工程，必須以企業(yè)自身的工作需求實際為目標(biāo)，制定合理有效的內(nèi)部網(wǎng)絡(luò)安全管理制度和策略，并在實際管理工作中完善管理制度和策略規(guī)范，建立技術(shù)和管理于一體的全方位的、動態(tài)的、長效的安全防御體系，這樣才能真正做到整個網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻(xiàn)：

[1]劉曉輝.網(wǎng)絡(luò)安全管理實踐[M].北京：電子工業(yè)出版社，2009.

[2]楊力銘.涉密內(nèi)部網(wǎng)絡(luò)中的移動存儲介質(zhì)管理問題及對策[J].甘肅：甘肅科技，2010，1.

[3]張哲宇.內(nèi)部網(wǎng)絡(luò)安全技術(shù)淺析[J].信息科學(xué)，2009.