陳 瑋

（龍巖煙草工業(yè)有限責(zé)任公司，福建 龍巖 364000）

1 企業(yè)內(nèi)網(wǎng)安全概述

企業(yè)內(nèi)網(wǎng)安全的概念：通常以企業(yè)局域網(wǎng)的網(wǎng)絡(luò)邊界為限，將企業(yè)網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)和外部網(wǎng)兩個部分。因此，內(nèi)網(wǎng)安全指的就是企業(yè)內(nèi)部局域網(wǎng)的信息安全。具體地說，就是對企業(yè)級邊界防火墻或路由器以內(nèi)的網(wǎng)絡(luò)信息安全綜合管理。伴隨著IT技術(shù)的快速發(fā)展和變化，新的安全威脅也層出不窮，因此企業(yè)內(nèi)網(wǎng)將面臨著新的調(diào)整和威脅。

2 企業(yè)內(nèi)網(wǎng)安全威脅

2.1 接入威脅

在企業(yè)內(nèi)網(wǎng)中，接入威脅是最直接、影響面最大、最容易受到攻擊的接入威脅。接入的方式分為兩種，有線接入和無線接入。

有線接入是指用戶將電腦用網(wǎng)線接入座位上的信息位點從而接入網(wǎng)絡(luò)的方式。

無線接入是指通過無線接入點發(fā)出的信號，連接進(jìn)入網(wǎng)絡(luò)。

不論是有線接入方式還是無線接入方式，都存在以下兩個問題：（1）如何能夠保證接入的電腦都是安全的、無病毒感染的？

（2）當(dāng)外部用戶確實需要使用到內(nèi)部網(wǎng)絡(luò)時，如何進(jìn)行權(quán)限上的限制，以防止外部用戶有意或無意對內(nèi)部網(wǎng)絡(luò)造成的威脅？

2.2 用戶行為威脅

當(dāng)下，使用計算機已經(jīng)成為一項必備的基本技能?，F(xiàn)在的用戶基本掌握計算機的使用方法，能夠輕松地登錄OA門戶、查看郵件和公告、審批文件。車間的工作人員還必須借助計算機對生產(chǎn)設(shè)備下達(dá)精確的生產(chǎn)指令，確保生產(chǎn)順利進(jìn)行。

但是，很多用戶的上網(wǎng)安全意識比較淡薄，會無意識地登錄一些視頻、購物網(wǎng)站，導(dǎo)致計算機中毒，影響企業(yè)內(nèi)部網(wǎng)絡(luò)。最明顯的例子就是登錄某些視頻網(wǎng)站，觀看視頻時，就中了該網(wǎng)站上被植入的廣告木馬。

2.3 運維人員的操作威脅

企業(yè)內(nèi)各系統(tǒng)之間數(shù)據(jù)交互錯綜復(fù)雜，所有系統(tǒng)肩負(fù)著生產(chǎn)正常運行的重任。一旦系統(tǒng)出了問題就必須維護(hù)。這里又產(chǎn)生這樣一個問題，對運維人員所做操作的管理。

由于運維人員的素質(zhì)、責(zé)任心參差不齊，在處理完問題后，各自的做法不盡相同。責(zé)任心強的運維人員就會刪除遺留在系統(tǒng)中的工具或補?。回?zé)任心弱的運維人員則可能直接離開，更有甚者會在安裝未完全結(jié)束時，就離開。這樣導(dǎo)致的后果是，遺留的工具或未執(zhí)行完成的腳本，極其容易導(dǎo)致數(shù)據(jù)庫或應(yīng)用系統(tǒng)出現(xiàn)新的問題。因此，運維人員對系統(tǒng)的操作也成為一種對內(nèi)網(wǎng)安全的威脅。

3 內(nèi)網(wǎng)安全防范原則

3.1 適度安全原則

依照信息系統(tǒng)因缺乏安全性造成損害后果的嚴(yán)重程度，來決定采取什么樣的安全措施。

3.2 最小授權(quán)原則

內(nèi)部網(wǎng)絡(luò)中，涉及服務(wù)器及網(wǎng)絡(luò)設(shè)備的訪問權(quán)限要最小化，嚴(yán)格控制具有管理權(quán)限的用戶數(shù)量。

3.3 注重管理原則

除了在技術(shù)層面對內(nèi)網(wǎng)安全進(jìn)行防護(hù)外，還應(yīng)該注重對內(nèi)網(wǎng)使用人員操作的管理。

4 內(nèi)網(wǎng)安全防護(hù)措施

內(nèi)網(wǎng)安全防護(hù)技術(shù)日新月異，在日常維護(hù)中，防護(hù)技術(shù)的堆疊是不可能做到一勞永逸。對于信息安全員而言，根據(jù)內(nèi)網(wǎng)安全防范原則，從管理和技術(shù)兩方面出發(fā)，采用最合適的技術(shù)手段，才能夠達(dá)到預(yù)期的效果。

4.1 管理方面：制定內(nèi)網(wǎng)安全管理制度

依據(jù)《信息安全等級保護(hù)管理辦法》（公通字[2007]43號)、《煙草行業(yè)信息安全保障體系建設(shè)指南》（國煙辦綜[2008]147號）等國家和行業(yè)信息安全管理要求，分別從計算機終端、網(wǎng)絡(luò)安全、VPN使用、計算機防病毒、服務(wù)器安全、信息系統(tǒng)賬戶管理等24個方面，制定相應(yīng)的安全管理制度，約束管理人員和用戶的使用規(guī)范。其中，涉及用戶使用計算機安全規(guī)范的制度包括 《計算機終端安全管理辦法》、《網(wǎng)絡(luò)安全管理辦法》。

《計算機終端安全管理辦法》主要用于規(guī)范終端操作系統(tǒng)、周邊硬件、通信設(shè)備、應(yīng)用系統(tǒng)的安全使用。明確用戶計算機終端能夠安裝的軟件、進(jìn)行的操作。

《網(wǎng)絡(luò)安全管理辦法》主要用于規(guī)范對企業(yè)內(nèi)網(wǎng)的使用，明確規(guī)定用戶操作權(quán)限，確定用戶對辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的使用規(guī)范。

4.2 技術(shù)方面

4.2.1 接入威脅防護(hù)

針對接入威脅，根據(jù)《網(wǎng)絡(luò)安全管理辦法》，結(jié)合用戶性質(zhì)的不同，采取不同的防護(hù)措施。

1）內(nèi)網(wǎng)用戶

內(nèi)網(wǎng)用戶的個人筆記本需要接入網(wǎng)絡(luò)時（不論是有線接入方式還是無線接入方式），必須先告知企業(yè)內(nèi)專門維護(hù)硬件的技術(shù)人員，由技術(shù)人員將筆記本全盤殺毒并登記物理地址后，方可通知網(wǎng)絡(luò)管理員開通上網(wǎng)服務(wù)。

此外，內(nèi)網(wǎng)用戶按照崗位不同，網(wǎng)絡(luò)訪問的權(quán)限也不同。例如，甲屬于機關(guān)部門的科員，按照其崗位職能，只需要訪問門戶、郵件、辦公OA等系統(tǒng)，而不需要訪問例如制絲、卷包、物流等生產(chǎn)系統(tǒng)，因此在配置訪問控制策略時，應(yīng)當(dāng)禁止訪問生產(chǎn)系統(tǒng)，開放辦公系統(tǒng)的訪問權(quán)限。

2）外部用戶

外部用戶的個人筆記本需要接入網(wǎng)絡(luò)時，按照相應(yīng)的流程，必須先告知企業(yè)內(nèi)專門維護(hù)硬件的技術(shù)人員，由技術(shù)人員將筆記本全盤殺毒并登記物理地址后，再通知網(wǎng)絡(luò)維護(hù)員開通上網(wǎng)。網(wǎng)絡(luò)維護(hù)員事先制定準(zhǔn)入控制策略，控制終端對網(wǎng)絡(luò)的訪問，并劃分好給外協(xié)人員使用的vlan。通過準(zhǔn)入控制策略配合vlan劃分的方法，將內(nèi)網(wǎng)用戶與外網(wǎng)用戶分開，并限制常用端口，在技術(shù)上解決了外網(wǎng)用戶具有訪問內(nèi)網(wǎng)權(quán)限的問題。

4.2.2 用戶行為威脅防護(hù)

針對用戶行為威脅，按照《計算機終端安全管理辦法》，所有訪問互聯(lián)網(wǎng)的鏈接必須通過上網(wǎng)行為管理設(shè)備。網(wǎng)絡(luò)管理員利用網(wǎng)上行為管理設(shè)備，對具有暴力、色情、血腥、反動等不良信息進(jìn)行過濾。同時，邊界防火墻必須開啟防病毒和防入侵功能。一旦偵測外部鏈接的數(shù)據(jù)流中包含病毒和入侵行為時，阻斷鏈接，保證內(nèi)網(wǎng)安全。

此外，必須提高內(nèi)部用戶的安全意識，定期組織網(wǎng)絡(luò)安全宣傳講座，請專業(yè)人員針對用戶日常上網(wǎng)行為中存在的問題，進(jìn)行分析和講解。定期協(xié)助內(nèi)部用戶使用專門的工具，進(jìn)行系統(tǒng)垃圾、插件的清理。并在殺毒軟件服務(wù)器端設(shè)置閑時全盤掃描（一般是半夜）策略和病毒庫實時更新策略，保證殺毒軟件客戶端病毒庫是最新的。

4.2.3 運維人員操作威脅防護(hù)措施

針對運維人員操作威脅，按照《計算機終端安全管理辦法》，嚴(yán)格要求運維人員通過堡壘機，才能夠?qū)Ψ?wù)器、數(shù)據(jù)庫進(jìn)行操作。堅決禁止運維人員直接使用筆記本連接服務(wù)器的行為。最后，系統(tǒng)管理員必須在各自系統(tǒng)完成登錄處理結(jié)束后，進(jìn)行系統(tǒng)檢查，將遺留的工具、補丁、腳本等全部刪除。對于采用主備機的服務(wù)器，還必須統(tǒng)一主備機之間的配置信息，保證主備機配置的一致性。

5 總結(jié)

從實際工作上看，企業(yè)內(nèi)網(wǎng)安全防護(hù)光靠在硬件設(shè)備上設(shè)置安全策略是遠(yuǎn)遠(yuǎn)不夠的，在很大程度上，還必須逐漸完善管理制度，并將管理制度付諸實施，雙管齊下，實現(xiàn)企業(yè)內(nèi)網(wǎng)的“統(tǒng)一防護(hù)、重點把守、縱深防御”，全面提升企業(yè)的信息安全技術(shù)和防護(hù)水平。