陳 瑋

（龍巖煙草工業(yè)有限責(zé)任公司，福建 龍巖 364000）

1 企業(yè)內(nèi)網(wǎng)安全概述

企業(yè)內(nèi)網(wǎng)安全的概念：通常以企業(yè)局域網(wǎng)的網(wǎng)絡(luò)邊界為限，將企業(yè)網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)和外部網(wǎng)兩個(gè)部分。因此，內(nèi)網(wǎng)安全指的就是企業(yè)內(nèi)部局域網(wǎng)的信息安全。具體地說，就是對(duì)企業(yè)級(jí)邊界防火墻或路由器以內(nèi)的網(wǎng)絡(luò)信息安全綜合管理。伴隨著IT技術(shù)的快速發(fā)展和變化，新的安全威脅也層出不窮，因此企業(yè)內(nèi)網(wǎng)將面臨著新的調(diào)整和威脅。

2 企業(yè)內(nèi)網(wǎng)安全威脅

2.1 接入威脅

在企業(yè)內(nèi)網(wǎng)中，接入威脅是最直接、影響面最大、最容易受到攻擊的接入威脅。接入的方式分為兩種，有線接入和無線接入。

有線接入是指用戶將電腦用網(wǎng)線接入座位上的信息位點(diǎn)從而接入網(wǎng)絡(luò)的方式。

無線接入是指通過無線接入點(diǎn)發(fā)出的信號(hào)，連接進(jìn)入網(wǎng)絡(luò)。

不論是有線接入方式還是無線接入方式，都存在以下兩個(gè)問題：（1）如何能夠保證接入的電腦都是安全的、無病毒感染的？

（2）當(dāng)外部用戶確實(shí)需要使用到內(nèi)部網(wǎng)絡(luò)時(shí)，如何進(jìn)行權(quán)限上的限制，以防止外部用戶有意或無意對(duì)內(nèi)部網(wǎng)絡(luò)造成的威脅？

2.2 用戶行為威脅

當(dāng)下，使用計(jì)算機(jī)已經(jīng)成為一項(xiàng)必備的基本技能?，F(xiàn)在的用戶基本掌握計(jì)算機(jī)的使用方法，能夠輕松地登錄OA門戶、查看郵件和公告、審批文件。車間的工作人員還必須借助計(jì)算機(jī)對(duì)生產(chǎn)設(shè)備下達(dá)精確的生產(chǎn)指令，確保生產(chǎn)順利進(jìn)行。

但是，很多用戶的上網(wǎng)安全意識(shí)比較淡薄，會(huì)無意識(shí)地登錄一些視頻、購(gòu)物網(wǎng)站，導(dǎo)致計(jì)算機(jī)中毒，影響企業(yè)內(nèi)部網(wǎng)絡(luò)。最明顯的例子就是登錄某些視頻網(wǎng)站，觀看視頻時(shí)，就中了該網(wǎng)站上被植入的廣告木馬。

2.3 運(yùn)維人員的操作威脅

企業(yè)內(nèi)各系統(tǒng)之間數(shù)據(jù)交互錯(cuò)綜復(fù)雜，所有系統(tǒng)肩負(fù)著生產(chǎn)正常運(yùn)行的重任。一旦系統(tǒng)出了問題就必須維護(hù)。這里又產(chǎn)生這樣一個(gè)問題，對(duì)運(yùn)維人員所做操作的管理。

由于運(yùn)維人員的素質(zhì)、責(zé)任心參差不齊，在處理完問題后，各自的做法不盡相同。責(zé)任心強(qiáng)的運(yùn)維人員就會(huì)刪除遺留在系統(tǒng)中的工具或補(bǔ)?。回?zé)任心弱的運(yùn)維人員則可能直接離開，更有甚者會(huì)在安裝未完全結(jié)束時(shí)，就離開。這樣導(dǎo)致的后果是，遺留的工具或未執(zhí)行完成的腳本，極其容易導(dǎo)致數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)出現(xiàn)新的問題。因此，運(yùn)維人員對(duì)系統(tǒng)的操作也成為一種對(duì)內(nèi)網(wǎng)安全的威脅。

3 內(nèi)網(wǎng)安全防范原則

3.1 適度安全原則

依照信息系統(tǒng)因缺乏安全性造成損害后果的嚴(yán)重程度，來決定采取什么樣的安全措施。

3.2 最小授權(quán)原則

內(nèi)部網(wǎng)絡(luò)中，涉及服務(wù)器及網(wǎng)絡(luò)設(shè)備的訪問權(quán)限要最小化，嚴(yán)格控制具有管理權(quán)限的用戶數(shù)量。

3.3 注重管理原則

除了在技術(shù)層面對(duì)內(nèi)網(wǎng)安全進(jìn)行防護(hù)外，還應(yīng)該注重對(duì)內(nèi)網(wǎng)使用人員操作的管理。

4 內(nèi)網(wǎng)安全防護(hù)措施

內(nèi)網(wǎng)安全防護(hù)技術(shù)日新月異，在日常維護(hù)中，防護(hù)技術(shù)的堆疊是不可能做到一勞永逸。對(duì)于信息安全員而言，根據(jù)內(nèi)網(wǎng)安全防范原則，從管理和技術(shù)兩方面出發(fā)，采用最合適的技術(shù)手段，才能夠達(dá)到預(yù)期的效果。

4.1 管理方面：制定內(nèi)網(wǎng)安全管理制度

依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào))、《煙草行業(yè)信息安全保障體系建設(shè)指南》（國(guó)煙辦綜[2008]147號(hào)）等國(guó)家和行業(yè)信息安全管理要求，分別從計(jì)算機(jī)終端、網(wǎng)絡(luò)安全、VPN使用、計(jì)算機(jī)防病毒、服務(wù)器安全、信息系統(tǒng)賬戶管理等24個(gè)方面，制定相應(yīng)的安全管理制度，約束管理人員和用戶的使用規(guī)范。其中，涉及用戶使用計(jì)算機(jī)安全規(guī)范的制度包括 《計(jì)算機(jī)終端安全管理辦法》、《網(wǎng)絡(luò)安全管理辦法》。

《計(jì)算機(jī)終端安全管理辦法》主要用于規(guī)范終端操作系統(tǒng)、周邊硬件、通信設(shè)備、應(yīng)用系統(tǒng)的安全使用。明確用戶計(jì)算機(jī)終端能夠安裝的軟件、進(jìn)行的操作。

《網(wǎng)絡(luò)安全管理辦法》主要用于規(guī)范對(duì)企業(yè)內(nèi)網(wǎng)的使用，明確規(guī)定用戶操作權(quán)限，確定用戶對(duì)辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的使用規(guī)范。

4.2 技術(shù)方面

4.2.1 接入威脅防護(hù)

針對(duì)接入威脅，根據(jù)《網(wǎng)絡(luò)安全管理辦法》，結(jié)合用戶性質(zhì)的不同，采取不同的防護(hù)措施。

1）內(nèi)網(wǎng)用戶

內(nèi)網(wǎng)用戶的個(gè)人筆記本需要接入網(wǎng)絡(luò)時(shí)（不論是有線接入方式還是無線接入方式），必須先告知企業(yè)內(nèi)專門維護(hù)硬件的技術(shù)人員，由技術(shù)人員將筆記本全盤殺毒并登記物理地址后，方可通知網(wǎng)絡(luò)管理員開通上網(wǎng)服務(wù)。

此外，內(nèi)網(wǎng)用戶按照崗位不同，網(wǎng)絡(luò)訪問的權(quán)限也不同。例如，甲屬于機(jī)關(guān)部門的科員，按照其崗位職能，只需要訪問門戶、郵件、辦公OA等系統(tǒng)，而不需要訪問例如制絲、卷包、物流等生產(chǎn)系統(tǒng)，因此在配置訪問控制策略時(shí)，應(yīng)當(dāng)禁止訪問生產(chǎn)系統(tǒng)，開放辦公系統(tǒng)的訪問權(quán)限。

2）外部用戶

外部用戶的個(gè)人筆記本需要接入網(wǎng)絡(luò)時(shí)，按照相應(yīng)的流程，必須先告知企業(yè)內(nèi)專門維護(hù)硬件的技術(shù)人員，由技術(shù)人員將筆記本全盤殺毒并登記物理地址后，再通知網(wǎng)絡(luò)維護(hù)員開通上網(wǎng)。網(wǎng)絡(luò)維護(hù)員事先制定準(zhǔn)入控制策略，控制終端對(duì)網(wǎng)絡(luò)的訪問，并劃分好給外協(xié)人員使用的vlan。通過準(zhǔn)入控制策略配合vlan劃分的方法，將內(nèi)網(wǎng)用戶與外網(wǎng)用戶分開，并限制常用端口，在技術(shù)上解決了外網(wǎng)用戶具有訪問內(nèi)網(wǎng)權(quán)限的問題。

4.2.2 用戶行為威脅防護(hù)

針對(duì)用戶行為威脅，按照《計(jì)算機(jī)終端安全管理辦法》，所有訪問互聯(lián)網(wǎng)的鏈接必須通過上網(wǎng)行為管理設(shè)備。網(wǎng)絡(luò)管理員利用網(wǎng)上行為管理設(shè)備，對(duì)具有暴力、色情、血腥、反動(dòng)等不良信息進(jìn)行過濾。同時(shí)，邊界防火墻必須開啟防病毒和防入侵功能。一旦偵測(cè)外部鏈接的數(shù)據(jù)流中包含病毒和入侵行為時(shí)，阻斷鏈接，保證內(nèi)網(wǎng)安全。

此外，必須提高內(nèi)部用戶的安全意識(shí)，定期組織網(wǎng)絡(luò)安全宣傳講座，請(qǐng)專業(yè)人員針對(duì)用戶日常上網(wǎng)行為中存在的問題，進(jìn)行分析和講解。定期協(xié)助內(nèi)部用戶使用專門的工具，進(jìn)行系統(tǒng)垃圾、插件的清理。并在殺毒軟件服務(wù)器端設(shè)置閑時(shí)全盤掃描（一般是半夜）策略和病毒庫(kù)實(shí)時(shí)更新策略，保證殺毒軟件客戶端病毒庫(kù)是最新的。

4.2.3 運(yùn)維人員操作威脅防護(hù)措施

針對(duì)運(yùn)維人員操作威脅，按照《計(jì)算機(jī)終端安全管理辦法》，嚴(yán)格要求運(yùn)維人員通過堡壘機(jī)，才能夠?qū)Ψ?wù)器、數(shù)據(jù)庫(kù)進(jìn)行操作。堅(jiān)決禁止運(yùn)維人員直接使用筆記本連接服務(wù)器的行為。最后，系統(tǒng)管理員必須在各自系統(tǒng)完成登錄處理結(jié)束后，進(jìn)行系統(tǒng)檢查，將遺留的工具、補(bǔ)丁、腳本等全部刪除。對(duì)于采用主備機(jī)的服務(wù)器，還必須統(tǒng)一主備機(jī)之間的配置信息，保證主備機(jī)配置的一致性。

5 總結(jié)

從實(shí)際工作上看，企業(yè)內(nèi)網(wǎng)安全防護(hù)光靠在硬件設(shè)備上設(shè)置安全策略是遠(yuǎn)遠(yuǎn)不夠的，在很大程度上，還必須逐漸完善管理制度，并將管理制度付諸實(shí)施，雙管齊下，實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)的“統(tǒng)一防護(hù)、重點(diǎn)把守、縱深防御”，全面提升企業(yè)的信息安全技術(shù)和防護(hù)水平。