■

認(rèn)識(shí)內(nèi)網(wǎng)安全威脅

一個(gè)單位內(nèi)網(wǎng)的安全威脅，除了來自外網(wǎng)病毒攻擊、數(shù)據(jù)竊取外，主要來自單位內(nèi)部的威脅，這種威脅表現(xiàn)在以下幾個(gè)方面：一是內(nèi)網(wǎng)網(wǎng)絡(luò)自身可能存在的威脅，包括內(nèi)網(wǎng)網(wǎng)絡(luò)運(yùn)行環(huán)境較差、內(nèi)網(wǎng)網(wǎng)絡(luò)受到病毒干擾等方面。二是內(nèi)網(wǎng)應(yīng)用系統(tǒng)自身可能存在的威脅，包括內(nèi)部人員的疏忽和失誤造成的數(shù)據(jù)丟失、信息泄露等。三是組成內(nèi)網(wǎng)的實(shí)體自身存在的威脅，包括終端計(jì)算機(jī)自身的故障、重要網(wǎng)絡(luò)設(shè)備的運(yùn)行不穩(wěn)定等因素。上面無論哪一種因素的威脅，管理員如果對它們不加以足夠重視，都有可能產(chǎn)生不堪設(shè)想的安全后果。所以，想方設(shè)法保護(hù)單位內(nèi)網(wǎng)安全穩(wěn)定運(yùn)行，已經(jīng)是勢在必行。

注重內(nèi)網(wǎng)安全統(tǒng)一規(guī)劃

內(nèi)網(wǎng)安全的防范是一項(xiàng)系統(tǒng)性工程，從單點(diǎn)預(yù)防到整體預(yù)防應(yīng)有盡有，不過，要是通過單點(diǎn)技術(shù)去預(yù)防組網(wǎng)復(fù)雜的內(nèi)網(wǎng)安全威脅，或者利用常規(guī)的整體預(yù)防產(chǎn)品來部署單位內(nèi)網(wǎng)的安全平臺(tái)，都是不太現(xiàn)實(shí)的。要構(gòu)建單位內(nèi)網(wǎng)安全防護(hù)體系，一定要注重按需統(tǒng)一規(guī)劃。

1.從實(shí)際出發(fā)規(guī)劃安全體系

在規(guī)劃設(shè)計(jì)單位內(nèi)網(wǎng)組網(wǎng)方案時(shí)，必須從業(yè)務(wù)角度去評判單位業(yè)務(wù)系統(tǒng)內(nèi)容與重要程度，并根據(jù)評判結(jié)果將內(nèi)網(wǎng)安全體系，作為規(guī)劃設(shè)計(jì)方案的重要組成部分之一，在初始組網(wǎng)時(shí)就必須同步啟動(dòng)安全體系建設(shè)，兼顧全局來實(shí)施組網(wǎng)建設(shè)和安全部署。

單位內(nèi)網(wǎng)的安全防護(hù)體系應(yīng)該包括技術(shù)、審計(jì)、流程、人等幾個(gè)方面，有效地對各個(gè)方面進(jìn)行平衡，同時(shí)兼顧監(jiān)控、檢測、管理、分析等，就能做到在安全事故發(fā)生時(shí)有的放矢。從整體規(guī)劃角度來看，單位內(nèi)網(wǎng)安全防護(hù)體系應(yīng)該包含安全管理平臺(tái)、安全預(yù)防系統(tǒng)、外網(wǎng)隔離模塊等幾部分組成，通過安全管理平臺(tái)及時(shí)收集單位內(nèi)網(wǎng)安全信息，實(shí)時(shí)定制安全管理策略，智能向安全預(yù)防系統(tǒng)下達(dá)操作指令，使得安全防御系統(tǒng)和外網(wǎng)隔離模塊協(xié)同工作，達(dá)到網(wǎng)絡(luò)安全動(dòng)態(tài)保障效果。安全預(yù)防系統(tǒng)主要從技術(shù)角度，實(shí)現(xiàn)安全保障功能，具體應(yīng)該包括監(jiān)測、預(yù)防、響應(yīng)等功能，不同功能之間除了要完成各自的安全防護(hù)任務(wù)外，還應(yīng)該能向下收集管理下級子網(wǎng)安全信息，為子網(wǎng)安全運(yùn)行帶來幫助，而且該系統(tǒng)還應(yīng)該能為安全管理平臺(tái)提供相對獨(dú)立的管理數(shù)據(jù)。外網(wǎng)隔離模塊要能夠?qū)崟r(shí)監(jiān)測外網(wǎng)安全狀態(tài)，同時(shí)將監(jiān)測結(jié)果及時(shí)反饋給安全管理平臺(tái)；另外一方面，該模塊還必須要智能地執(zhí)行來自安全管理平臺(tái)的命令，及時(shí)在內(nèi)外網(wǎng)之間架起隔離墻，以預(yù)防內(nèi)外網(wǎng)之間的相互入侵和攻擊。總之，安全管理平臺(tái)、安全預(yù)防系統(tǒng)、外網(wǎng)隔離模塊這三者，每個(gè)部分的建設(shè)都要從系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全角度，來綜合考慮，而不應(yīng)該單一、獨(dú)立地進(jìn)行建設(shè)、部署?！敖y(tǒng)一規(guī)劃，綜合考慮”將有利于更好地保證單位內(nèi)網(wǎng)運(yùn)行安全。

2.從長遠(yuǎn)出發(fā)制定安全策略

網(wǎng)絡(luò)運(yùn)行安全策略是單位內(nèi)網(wǎng)安全的管理標(biāo)準(zhǔn)，安全策略的制定一定要從長遠(yuǎn)角度出發(fā)，并要有前瞻性，以應(yīng)對網(wǎng)絡(luò)技術(shù)日益發(fā)展需求帶來的短期性影響。網(wǎng)絡(luò)安全策略的制定也要具有動(dòng)態(tài)性，以適應(yīng)不斷的變化。組網(wǎng)結(jié)構(gòu)是多維的而且不斷擴(kuò)延的，所以安全策略的制定也不能是一次性行為，必須要?jiǎng)討B(tài)調(diào)整，來動(dòng)態(tài)適應(yīng)不斷變化的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全策略的制定，還必須從管理角度和用戶類別出發(fā)，按照核心管理員、普通管理員、上網(wǎng)用戶等幾個(gè)層次，進(jìn)行統(tǒng)籌設(shè)計(jì)制定。

注重內(nèi)網(wǎng)安全管理維護(hù)

面對網(wǎng)絡(luò)病毒木馬的入侵和復(fù)合式攻擊，不少單位用戶認(rèn)為部署好的安全防御體系可以一勞永逸，而對日常的管理維護(hù)考慮較少，或者做得不夠，從而造成了單位內(nèi)網(wǎng)安全整體防御能力的下降。為此，我們需要加強(qiáng)平時(shí)的管理維護(hù)，充分發(fā)揮安全防御體系應(yīng)有的作用。

1.加強(qiáng)后期管理維護(hù)

有一部分單位用戶，在剛剛開始組建單位內(nèi)部局域網(wǎng)以及設(shè)計(jì)網(wǎng)絡(luò)功能時(shí)，對內(nèi)網(wǎng)的安全防范事項(xiàng)是相當(dāng)重視的。不過，他們在這方面的認(rèn)識(shí)存在著一定的誤區(qū)，片面認(rèn)為前期的安全防范措施會(huì)一勞永逸，而對后期的安全管理工作缺乏追蹤、分析機(jī)制，甚至根本就不聞不問。例如，在管理單位內(nèi)網(wǎng)的文件服務(wù)器安全時(shí)，網(wǎng)絡(luò)管理員可能在文件服務(wù)器安裝、配置的時(shí)候，設(shè)計(jì)了非常安全的權(quán)限訪問機(jī)制以及其他一些安全措施，但是在后期管理方面沒有啟用安全訪問審核機(jī)制，這么一來網(wǎng)絡(luò)管理員日后就不能準(zhǔn)確判斷之前啟用的安全措施是否能夠正常發(fā)揮作用，也不能分析出是否存在惡意用戶攻擊內(nèi)網(wǎng)的嫌疑。在這種情況下，只有在內(nèi)網(wǎng)發(fā)生重大安全事故的時(shí)候，網(wǎng)絡(luò)管理員才可能發(fā)現(xiàn)之前安全措施的種種不足。

基于這一點(diǎn)，我們建議除了要做好前期的安全規(guī)劃與配置外，還要對內(nèi)網(wǎng)的安全進(jìn)行后期追蹤分析。一旦看到之前的安全措施無法滿足單位內(nèi)網(wǎng)日益提高的安全要求時(shí)，一定要根據(jù)實(shí)際情況進(jìn)行及時(shí)完善。例如，我們要想看看是否有惡意訪問Web服務(wù)器的嫌疑時(shí)，那就應(yīng)該及時(shí)啟用服務(wù)器的審核功能，讓系統(tǒng)自動(dòng)追蹤、記錄未授權(quán)用戶的訪問痕跡，同時(shí)要對日志數(shù)據(jù)進(jìn)行認(rèn)真分析，如此一來就能大概判斷出是否有攻擊服務(wù)器的行為了。

2.明確管理權(quán)利義務(wù)

網(wǎng)絡(luò)管理員是決定單位內(nèi)網(wǎng)是否安全、穩(wěn)定運(yùn)行的根本因素，單位需要健全內(nèi)網(wǎng)管理機(jī)制，明確網(wǎng)絡(luò)管理人員在日常運(yùn)維工作中的權(quán)利和義務(wù)，確保有專人負(fù)責(zé)管理、維護(hù)重要網(wǎng)絡(luò)設(shè)備。另外一方面，要定期組織相關(guān)技術(shù)人員進(jìn)行一些高層次培訓(xùn)教育，不斷提升他們的日常運(yùn)維水平，保證單位發(fā)生安全問題時(shí)能快速有效應(yīng)對。

3.加大管理服務(wù)投入

單位內(nèi)網(wǎng)安全防御體系是一個(gè)復(fù)雜的系統(tǒng)工程，它由技術(shù)、設(shè)備、服務(wù)等若干方面組成，這就造成單位很多時(shí)候并沒有足夠能力自行解決內(nèi)網(wǎng)安全問題。這就特別要求單位在內(nèi)網(wǎng)的后期管理中，要持續(xù)加大管理服務(wù)投入，定期邀請?jiān)O(shè)備廠商技術(shù)人員對內(nèi)網(wǎng)安全風(fēng)險(xiǎn)進(jìn)行分析評估，并為本單位技術(shù)人員提供針對新設(shè)備、新技術(shù)的培訓(xùn)，為預(yù)防突發(fā)性內(nèi)網(wǎng)安全問題提供技術(shù)支持。同時(shí)購買更多更深層次的網(wǎng)絡(luò)安全服務(wù)，全面提升內(nèi)網(wǎng)安全運(yùn)行可靠性。