韓進喜

摘 要 隨著網(wǎng)絡技術(shù)發(fā)展，內(nèi)網(wǎng)安全重要性日益凸顯，安全防護產(chǎn)品大量涌現(xiàn)，如何合理有效綜合利用，是個值得研究的問題。本文從用戶終端區(qū)安全、內(nèi)網(wǎng)全、服務器安全三個層次對如何構(gòu)建安全可信的內(nèi)部網(wǎng)絡環(huán)境進行研究，并對內(nèi)網(wǎng)用戶間可控信息交換進行初步探討。

關(guān)鍵詞 企業(yè)內(nèi)網(wǎng);研究

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）22-0171-02

隨著網(wǎng)絡和計算機技術(shù)的飛速發(fā)展，信息化程度快速提高，網(wǎng)絡起到越來越重要的平臺支撐作用。同時，各種網(wǎng)絡安全威脅日益凸顯。研究表明，安全威脅主要來自內(nèi)部網(wǎng)絡，內(nèi)網(wǎng)安全顯得愈發(fā)重要。內(nèi)網(wǎng)信息安全越來越受到關(guān)注，針對信息控制、信息外泄、非法接入、存儲管控、非法外聯(lián)、身份認證等內(nèi)網(wǎng)安全產(chǎn)品大量涌現(xiàn)，同時，網(wǎng)絡產(chǎn)品和服務產(chǎn)品也增加了相關(guān)安全功能。如何更有效地綜合運用這些產(chǎn)品，為企業(yè)構(gòu)建安全可信的內(nèi)部網(wǎng)絡環(huán)境，是本文研究的重點。

本文主要從用戶終端區(qū)安全、內(nèi)網(wǎng)安全、服務器安全三個方面對如何構(gòu)建安全可信的內(nèi)網(wǎng)環(huán)境進行闡述。下面，我們從這三個方面來探討如何加強企業(yè)內(nèi)網(wǎng)安全并對常見安全防護手段進行介紹。

1 用戶終端區(qū)安全防護措施

用戶終端區(qū)安全防護，主要包括用戶終端安全、用戶身份合法性、用戶行為安全三個方面。

用戶終端安全包括病毒防護、系統(tǒng)安全、設備安全等。

對于病毒防護來說，針對已知病毒，主要通過網(wǎng)絡版殺毒軟件進行，應及時更新病毒庫，并對客戶端更新情況進行監(jiān)控，及時查漏補缺，做到網(wǎng)內(nèi)所有終端狀態(tài)可控、可監(jiān)管;其次，對于新出現(xiàn)的病毒，根據(jù)病毒特征（如端口號、協(xié)議等）結(jié)合軟硬件防火墻配置相應規(guī)則進行防范。

對于系統(tǒng)安全來說，一般應具備漏洞掃描和補丁加固手段。漏洞掃描可以通過專用漏洞掃描設備進行，如綠盟公司的遠程安全評估系統(tǒng)，也可以通過安全防護軟件進行，如360安全衛(wèi)士等;通過漏洞掃描發(fā)現(xiàn)操作系統(tǒng)或應用軟件的漏洞，對系統(tǒng)或軟件及時進行補丁加固，避免造成不必要的損失。操作系統(tǒng)補丁可通過架設補丁服務器實現(xiàn)，如Window平臺下可以通過WSUS服務器實現(xiàn)，目前市面上也有很多相關(guān)產(chǎn)品。應用軟件補丁可以通過及時更新軟件版本或者安裝軟件提供的相應補丁實現(xiàn)。

設備安全，指硬件設備的安全，包括硬件設備自身安全以及存放環(huán)境安全等，硬件設備自身是否安全一般需要通過專業(yè)部門對硬件安全進行評估，存放環(huán)境安全可以通過各種監(jiān)控手段或物聯(lián)網(wǎng)技術(shù)實現(xiàn)，監(jiān)控手段可以通過視頻監(jiān)控或帶有入侵行為跟蹤分析的監(jiān)控系統(tǒng)實現(xiàn)，也可以在重要設備上安裝電子標簽，通過物聯(lián)網(wǎng)技術(shù)對設備移動范圍進行監(jiān)控。

用戶身份合法性可通過用戶身份認證系統(tǒng)、接入控制系統(tǒng)等實現(xiàn)，一般通過用戶與私有KEY綁定，或與一些具有唯一標識的硬件（如硬盤、CPU等）綁定的方式進行。

用戶行為安全包括外聯(lián)監(jiān)控、內(nèi)網(wǎng)行為管控等。外聯(lián)監(jiān)控在企業(yè)內(nèi)網(wǎng)中用于防范用戶非法外聯(lián)、私自復制信息等，避免造成泄密。主要功能包括USB存儲設備、光驅(qū)、串口、并口等禁用/啟用、外聯(lián)的各類設備（包括調(diào)制解調(diào)器、無線網(wǎng)絡適配器、紅外設備、藍牙設備）的啟用/禁用，硬件變更告警、安全審計等。內(nèi)網(wǎng)行為管控產(chǎn)品技術(shù)和產(chǎn)品均比較成熟，如IP-guard、LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)、億士安全監(jiān)控系統(tǒng)等。

2 內(nèi)網(wǎng)安全防護措施

內(nèi)網(wǎng)一般由網(wǎng)絡設備、接入控制設備、監(jiān)控設備、安全防護設備、終端和服務器等組成。網(wǎng)絡設備是網(wǎng)絡的支撐平臺，負責數(shù)據(jù)交換、路由尋址等。接入控制設備主要用于用戶終端的合法接入、鑒別和授權(quán)。監(jiān)控設備一般包括入侵監(jiān)測設備、網(wǎng)絡分流器、監(jiān)控服務器等，負責內(nèi)部網(wǎng)絡中各種異常情況監(jiān)測和報警。安全防護設備包括防火墻、接入控制系統(tǒng)、漏洞掃描系統(tǒng)、補丁加固設備等。

網(wǎng)絡設備常見安全措施，包括訪問控制列表、端口綁定、端口定向等。訪問控制列表和防火墻中各種規(guī)則設置相似，均基于源地址、目的地址、協(xié)議、端口等進行，這里不再贅述。

通過防火墻、IDS、接入控制系統(tǒng)等安全防護設備，一般可實現(xiàn)入侵檢測系統(tǒng)與防火墻等聯(lián)動，及時阻止或隔斷非法行為，也可在網(wǎng)絡中部署蜜罐系統(tǒng)，對非法行為進行誘騙，從而起到保護作用。

監(jiān)控設備通過在網(wǎng)絡中部署監(jiān)控點（探針），完成對網(wǎng)絡各種狀態(tài)的嗅探或監(jiān)測，通過網(wǎng)絡分流器、端口鏡像或集線器等方式在網(wǎng)絡中部署監(jiān)控終端。

對于用戶終端接入的控制，可通過端口綁定、劃分VLAN、端口隔離等方式進行。交換機端口與終端IP或MAC地址綁定，避免用戶終端隨意接入的問題;通過交換機端口隔離功能，避免用戶之間不可控交換信息的問題;通過為不同部門劃分VLAN規(guī)避廣播風暴，避免用戶私自跨部門交換信息等問題。

3 服務器安全防護措施

服務器安全包括服務器自身安全和交換信息安全，服務器自身安全請參照用戶終端自身安全部分。這里指的服務器安全指交換信息安全，即基于服務端交換信息的用戶之間的信息安全。

通過前文對網(wǎng)絡安全的各種措施，我們可以實現(xiàn)終端用戶可信接入，且終端之間或用戶之間交互信息只能通過服務端進行。用戶之間的信息交互如何控制，是我們需要解決的問題，因為我們并不希望企業(yè)各部門人員之間隨意發(fā)送一些涉及企業(yè)秘密的信息，有些信息是要控制在一定范圍內(nèi)的，比如程序源代碼，財務報表，我們肯定希望程序源代碼只在開發(fā)人員之間流通，而不是公司任何人都可以拿到源代碼。類似的，我們只會希望財務報表在財務部門或決策層之間流通，而不是全公司的人都能看到。這時，我們希望用戶間交互的信息是可控、可追溯的。

基于以上需求，用戶信息可控交換按照如下思路實現(xiàn)：基于客戶端實時或定時的監(jiān)測用戶終端的網(wǎng)絡狀況，發(fā)現(xiàn)用戶有信息交換請求后，上報到服務端，服務端監(jiān)聽客戶端請求，對客戶端合法性進行確認，通過后，提交交互控制模塊檢測信息交互的權(quán)限，根據(jù)預定策略對客戶端請求進行匹配和識別，并做出丟棄、阻斷或者轉(zhuǎn)發(fā)等操作。對所有操作均進行審計，便于追溯，對非法請求應告警或與其他安全設備聯(lián)動進行相關(guān)處理。信息交互完成后，向客戶端返回指定信息。按照上述思路，實現(xiàn)企業(yè)用戶之間的可控信息交換，從而構(gòu)建更加可信的網(wǎng)絡環(huán)境。

在企業(yè)內(nèi)部構(gòu)建安全的網(wǎng)絡，除在技術(shù)防范措施上合理配置使用各種安全防護設備和軟件外，還需要對終端用戶增強安全防護意識和觀念、普及基本的安全防護常識，健全相關(guān)規(guī)章制度，讓用戶從思想上高度重視網(wǎng)絡安全，只有這樣，才能構(gòu)建起真正安全的內(nèi)部網(wǎng)絡。

參考文獻

[1]（美）Sean Convery著.網(wǎng)絡安全體系結(jié)構(gòu)[M].王迎春，謝琳，江魁，等，譯.北京：人民郵電出版社，2005.

[2]鄧志輝.內(nèi)網(wǎng)安全監(jiān)控技術(shù)的研究與實現(xiàn)[D].廣東工業(yè)大學，2010.

[3]陳永府，楊朋.遞進式網(wǎng)絡數(shù)據(jù)包解析與過濾方法研究[J].計算機工程與設計，2011（32）.endprint