背景分析

在如今這個(gè)時(shí)代，隨著人們對(duì)網(wǎng)絡(luò)的依賴程度增加，網(wǎng)絡(luò)已經(jīng)涉及到人們生活的方方面面，然而病毒的泛濫、黑客的攻擊以及網(wǎng)絡(luò)犯罪的增加，人們的網(wǎng)絡(luò)安全意識(shí)和對(duì)網(wǎng)絡(luò)安全的重視程度在不斷加強(qiáng)，各種防護(hù)手段也在不斷豐富。然而一提到網(wǎng)絡(luò)安全問(wèn)題，人們總是習(xí)慣于傾向網(wǎng)絡(luò)外部入侵的防御，卻往往忽視了對(duì)內(nèi)部網(wǎng)絡(luò)的安全威脅。

目前傳統(tǒng)的安全解決方案不能滿足“全網(wǎng)安全”形勢(shì)下的網(wǎng)絡(luò)安全需求，安全技術(shù)必須隨著網(wǎng)絡(luò)的發(fā)展而不斷完善。從單機(jī)孤立、分散安全向集成化、立體化安全機(jī)制發(fā)展是安全技術(shù)和安全管理發(fā)展的必然趨勢(shì)。

本文所指內(nèi)網(wǎng)的概念就是局域網(wǎng)，或稱Local Area Network，它是在一個(gè)局部的地理范圍內(nèi)，將各種計(jì)算機(jī)、外圍設(shè)備、數(shù)據(jù)庫(kù)等互相連接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)，簡(jiǎn)稱LAN，而應(yīng)用最廣泛的LAN當(dāng)屬總線結(jié)構(gòu)的以太網(wǎng)，同時(shí)也是目前發(fā)展最迅速、最經(jīng)濟(jì)的局域網(wǎng)。

內(nèi)網(wǎng)系統(tǒng)安全的范圍很廣，它不僅包括計(jì)算機(jī)系統(tǒng)本身，還應(yīng)包括自然災(zāi)害、物理?yè)p壞、設(shè)備故障、意外事故等。同時(shí)它還包括計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)上的網(wǎng)絡(luò)設(shè)備、某些終端設(shè)備的安全問(wèn)題，以及對(duì)這些系統(tǒng)的攻擊、偵聽(tīng)、欺騙等非法手段的防護(hù)。

如果內(nèi)部網(wǎng)絡(luò)在安全方面有漏洞，就可能被黑客或非法份子利用，搗毀數(shù)據(jù)、網(wǎng)絡(luò)，影響網(wǎng)絡(luò)業(yè)務(wù)正常運(yùn)行；更嚴(yán)重的是國(guó)家秘密、技術(shù)秘密還可能被間諜竊取，給國(guó)家或集體直接帶來(lái)無(wú)法估量的損失。

綜合研究分析 系統(tǒng)解決存在問(wèn)題

內(nèi)網(wǎng)的建設(shè)、營(yíng)運(yùn)必須在物理安全、運(yùn)行安全、信息安全和管理安全四個(gè)方面進(jìn)行完善，確保敏感信息在產(chǎn)生、存儲(chǔ)、傳遞和處理過(guò)程中的保密、完整、可用和抗抵賴。

內(nèi)網(wǎng)的物理安全

內(nèi)網(wǎng)物理安全需要從環(huán)境安全、設(shè)備安全和介質(zhì)安全三方面，采取多種技術(shù)措施嚴(yán)格進(jìn)行部署，防范來(lái)自外部（如敵對(duì)勢(shì)力、恐怖組織、犯罪集團(tuán)、黑客）對(duì)內(nèi)網(wǎng)的威脅。

1.環(huán)境安全

環(huán)境安全要求從內(nèi)網(wǎng)所在建筑部位的選址到周邊監(jiān)控、邊界安防、出入控制等多方面采取有效措施，保證周邊環(huán)境的安全。同時(shí)在機(jī)房、綜合布線系統(tǒng)、電話布線系統(tǒng)、門(mén)禁系統(tǒng)、監(jiān)控系統(tǒng)、報(bào)警系統(tǒng)、綜合音視頻系統(tǒng)等方面采用嚴(yán)格的控制手段，確保場(chǎng)所的安全。

2.設(shè)備和介質(zhì)安全

有這樣一句話，“間諜就在你身邊”，如果不對(duì)內(nèi)網(wǎng)中的合法用戶、管理者人員、服務(wù)提供者嚴(yán)格管理，而放任自流，就存在安全隱患，他們可方便地通過(guò)對(duì)移動(dòng)設(shè)備或存儲(chǔ)介質(zhì)的使用，獲取內(nèi)網(wǎng)中的重要信息；或者由于疏于管理，致使內(nèi)網(wǎng)中的重要信息流到外網(wǎng)。

所以應(yīng)建立移動(dòng)設(shè)備使用管理和存儲(chǔ)介質(zhì)管理制度，職能部門(mén)按照有關(guān)要求不定期開(kāi)展移動(dòng)設(shè)備和存儲(chǔ)介質(zhì)使用情況檢查，督促制度執(zhí)行，對(duì)于違反規(guī)定的人員予以批評(píng)或處罰。

內(nèi)網(wǎng)的運(yùn)行安全

物理安全是信息安全的最基本要求，在物理安全得到保障的情況下，各種威脅和風(fēng)險(xiǎn)就會(huì)集中到內(nèi)部網(wǎng)絡(luò)和系統(tǒng)運(yùn)行的薄弱環(huán)節(jié)，因此，要十分重視內(nèi)部網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行安全。

運(yùn)行安全就是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過(guò)程和運(yùn)行狀態(tài)的保護(hù)。必須綜合采用在網(wǎng)絡(luò)邊界部署防火墻、在網(wǎng)絡(luò)內(nèi)部部署入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、主機(jī)審計(jì)系統(tǒng)、反病毒系統(tǒng)、備份與恢復(fù)系統(tǒng)等多種技術(shù)措施嚴(yán)格部署于信息系統(tǒng)，保證信息系統(tǒng)的運(yùn)行安全。以下進(jìn)行詳細(xì)分析：

1.防火墻系統(tǒng)

防火墻是現(xiàn)在網(wǎng)絡(luò)安全運(yùn)用的最廣泛的安全產(chǎn)品。它的主要功能在于把那些不受歡迎的訪問(wèn)隔離在特定網(wǎng)絡(luò)之外。受保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的任何數(shù)據(jù)傳遞都必須通過(guò)防火墻，防火墻對(duì)這些數(shù)據(jù)進(jìn)行分析、處理，并根據(jù)已設(shè)置的安全規(guī)則判定是否允許通過(guò)。建立防火墻對(duì)于受保護(hù)網(wǎng)絡(luò)免受來(lái)自外部的攻擊有較好的防范作用，防火墻系統(tǒng)本身具備較高的系統(tǒng)安全級(jí)別，可以防止非法用戶通過(guò)控制防火墻對(duì)內(nèi)網(wǎng)發(fā)動(dòng)攻擊。

2.入侵檢測(cè)系統(tǒng)

隨著黑客對(duì)網(wǎng)絡(luò)的攻擊數(shù)量越來(lái)越多，攻擊手段越來(lái)越新，網(wǎng)絡(luò)邊界設(shè)備功能的不足，對(duì)攻擊行為的報(bào)警滯后，同時(shí)來(lái)自內(nèi)網(wǎng)有意無(wú)意的越級(jí)使用帶來(lái)的威脅，都需要內(nèi)網(wǎng)的管理員對(duì)內(nèi)網(wǎng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)響應(yīng)、準(zhǔn)確定位攻擊源，將對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊威脅減小到最小。

通過(guò)部署入侵檢測(cè)系統(tǒng),可以了解網(wǎng)絡(luò)的運(yùn)行狀況和發(fā)生的安全事件，并根據(jù)安全事件來(lái)調(diào)整安全策略和防護(hù)手段，同時(shí)改進(jìn)實(shí)時(shí)響應(yīng)和事后恢復(fù)的有效性。

3.漏洞掃描系統(tǒng)

一般防病毒軟件都有漏洞掃描功能，內(nèi)網(wǎng)管理員可根據(jù)內(nèi)網(wǎng)中不同版本的操作系統(tǒng)進(jìn)行掃描，然后定期下載補(bǔ)丁程序，要求內(nèi)網(wǎng)用戶進(jìn)行補(bǔ)丁升級(jí)。

當(dāng)然也有一些成熟的漏洞掃描、補(bǔ)丁升級(jí)解決方案可對(duì)內(nèi)網(wǎng)中所有客戶端進(jìn)行補(bǔ)丁Push下發(fā)，可根據(jù)實(shí)際情況進(jìn)行配置選擇。

4.主機(jī)審計(jì)系統(tǒng)

內(nèi)部的網(wǎng)絡(luò)安全如果不進(jìn)行控制，內(nèi)部人員可以輕松地將計(jì)算機(jī)中的敏感信息通過(guò)移動(dòng)存儲(chǔ)設(shè)備或者網(wǎng)絡(luò)泄露出去，而且不會(huì)留下任何痕跡。針對(duì)這一現(xiàn)狀，內(nèi)網(wǎng)中必須配置防止內(nèi)部信息外漏的主機(jī)審計(jì)系統(tǒng)。

可利用密碼、身份認(rèn)證、訪問(wèn)控制和審計(jì)跟蹤等技術(shù)手段，對(duì)重要業(yè)務(wù)數(shù)據(jù)和技術(shù)專利等敏感信息的存儲(chǔ)、傳播和處理過(guò)程實(shí)施安全保護(hù)；最大限度地防止敏感信息泄漏、被破壞和違規(guī)外傳，并完整記錄涉及敏感信息的操作日志，以便日后審計(jì)或追究相關(guān)的泄密責(zé)任，有效降低“堡壘從內(nèi)部攻破”的可能性。

5.病毒檢測(cè)與清除系統(tǒng)

內(nèi)網(wǎng)中病毒防護(hù)也是系統(tǒng)管理員非常重視的一點(diǎn)，一旦病毒在內(nèi)網(wǎng)中傳播，將帶來(lái)很大的危害。必須通過(guò)部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng)，保證單機(jī)有效地防止病毒侵害，并可使系統(tǒng)管理員從中央控制臺(tái)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行病毒防護(hù)管理、升級(jí)病毒代碼與引擎，及時(shí)地對(duì)病毒進(jìn)行查殺。在使用網(wǎng)絡(luò)版查殺病毒軟件時(shí)應(yīng)該注意，必須選擇在國(guó)家有關(guān)單位登記在冊(cè)的，在涉密信息系統(tǒng)產(chǎn)品名錄中的相關(guān)產(chǎn)品。

6.備份與災(zāi)難恢復(fù)系統(tǒng)

內(nèi)網(wǎng)的數(shù)據(jù)安全、有效離不開(kāi)備份與恢復(fù)系統(tǒng)，根據(jù)內(nèi)網(wǎng)網(wǎng)絡(luò)規(guī)模和數(shù)據(jù)增長(zhǎng)量，使用磁盤(pán)陣列、磁帶庫(kù)等手段進(jìn)行備份，建立定期備份機(jī)制，隨機(jī)進(jìn)行數(shù)據(jù)恢復(fù)測(cè)試。有迫切需求的可建立異地容災(zāi)系統(tǒng)。

一般比較成熟的網(wǎng)絡(luò)數(shù)據(jù)備份其基本設(shè)計(jì)思想是利用一臺(tái)服務(wù)器連接合適的備份設(shè)備，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)各主機(jī)上關(guān)鍵業(yè)務(wù)數(shù)據(jù)的自動(dòng)備份管理。

內(nèi)網(wǎng)信息安全

信息安全實(shí)現(xiàn)手段主要包括系統(tǒng)身份鑒別、信息訪問(wèn)控制、信息加密、電磁泄露發(fā)射防護(hù)、信息完整性校驗(yàn)、日志安全審計(jì)、網(wǎng)絡(luò)安全保密性能檢測(cè)等。

通過(guò)規(guī)劃在內(nèi)網(wǎng)按部門(mén)進(jìn)行VLAN劃分，加強(qiáng)訪問(wèn)控制、劃分網(wǎng)絡(luò)安全域和建立多層次的動(dòng)態(tài)防御體系，在保證物理上與外部網(wǎng)絡(luò)完全隔離的基礎(chǔ)上，強(qiáng)化訪問(wèn)控制權(quán)限，并逐步實(shí)現(xiàn)安全保密產(chǎn)品的聯(lián)動(dòng)防御和反攻擊。

在內(nèi)網(wǎng)中IP地址盜用或地址欺騙是其中一個(gè)常見(jiàn)且危害極大的因素。最有效的解決方法就是在IP、MAC綁定的基礎(chǔ)上，再把端口進(jìn)行綁定，即IP－MAC－PORT三者綁定在一起，從物理通道上隔離了盜用者。

對(duì)內(nèi)網(wǎng)安全管理要求高的單位，還可以通過(guò)部署重點(diǎn)部位的生物特征身份鑒別系統(tǒng)、電磁泄漏發(fā)射保護(hù)裝置、動(dòng)態(tài)口令安全認(rèn)證系統(tǒng)、傳輸加解密系統(tǒng)來(lái)全面完善、提高內(nèi)網(wǎng)的安全級(jí)別。

內(nèi)網(wǎng)的管理安全

除了完善系統(tǒng)的安全保密具體措施外，安全管理規(guī)范化也是內(nèi)網(wǎng)安全所必須的重視的。因?yàn)樗械陌踩到y(tǒng)無(wú)論軟件、硬件最終都是由人來(lái)操作、來(lái)實(shí)施，如果不重視管理，不形成制度化的工作流程，那么配備再好的設(shè)備、再好的軟件也等于形同虛設(shè)。

所以必須建立基本的安全管理機(jī)構(gòu)，完善整個(gè)管理組織結(jié)構(gòu)，形成規(guī)范性的安全管理文件。

安全管理機(jī)構(gòu)成立后，對(duì)管理機(jī)構(gòu)的各個(gè)安全管理人員也要進(jìn)行崗位設(shè)定，明確每個(gè)崗位的職責(zé)，形成規(guī)范文件《安全管理人員崗位設(shè)定》，作為安全管理的重要文件，并嚴(yán)格按照文件部署。

制定一系列的安全管理制度同時(shí)還要對(duì)工作人員進(jìn)行定期的崗位培訓(xùn)措施，從根本上強(qiáng)化其安全觀念，并且培訓(xùn)期后還要對(duì)人員進(jìn)行評(píng)測(cè)考核，；同時(shí)在日常工作中進(jìn)行定期考查，提高工作人員的保密意識(shí)與安全保密技術(shù)水平。

組建成立內(nèi)網(wǎng)應(yīng)急事件與響應(yīng)組，及時(shí)處理、評(píng)估網(wǎng)絡(luò)安全事件，不斷提高識(shí)別安全事件特征，改善技術(shù)管理水平。

結(jié)束語(yǔ)

內(nèi)網(wǎng)的安全管理是一個(gè)系統(tǒng)工程，隨著業(yè)務(wù)拓展、網(wǎng)絡(luò)不斷的擴(kuò)展和日趨復(fù)雜，服務(wù)不斷增多，要面對(duì)來(lái)自方方面面的可能攻擊，同時(shí)國(guó)家對(duì)涉密單位的內(nèi)網(wǎng)管理也提出了越來(lái)越規(guī)范和嚴(yán)格的要求，因此保障網(wǎng)絡(luò)的安全運(yùn)行是非常重要的。必須充分考慮網(wǎng)絡(luò)不斷發(fā)展變化的安全需求，對(duì)風(fēng)險(xiǎn)有充分的認(rèn)識(shí)，以便更好地加以控制和管理。通過(guò)各種技術(shù)防范手段和日常的有效管理，才能將內(nèi)網(wǎng)鑄成一個(gè)銅墻鐵壁的安全堡壘。