康明

摘 要：本文思路為：背景描述、內(nèi)網(wǎng)信息安全現(xiàn)狀、原因探究、內(nèi)網(wǎng)安全需求、內(nèi)網(wǎng)安全建設(shè)具體實施措施。

關(guān)鍵詞：信息安全；內(nèi)網(wǎng)安全；防控意識

中圖分類號：U698 文獻(xiàn)標(biāo)識碼：A 文章編號：1006—7973（2018）8-0026-02

1 內(nèi)網(wǎng)安全需求探究

1.1 內(nèi)網(wǎng)安全現(xiàn)狀及原因

隨著網(wǎng)絡(luò)技術(shù)的普及、社會網(wǎng)絡(luò)信息化深入和企事業(yè)單位無紙化辦公進(jìn)程的加快，一般單位內(nèi)的日?；A(chǔ)工作都需要網(wǎng)絡(luò)提供支持和服務(wù)。出于內(nèi)部辦公安全需要，內(nèi)網(wǎng)系統(tǒng)已經(jīng)成為很多單位信息和辦公平臺的主要載體。如內(nèi)部交流通訊、郵件傳輸、打印機(jī)共享、FTP文件共享、內(nèi)部視頻會議、內(nèi)部信息發(fā)布等。隨著內(nèi)網(wǎng)中服務(wù)器、終端、辦公軟件、辦公人員的增多，系統(tǒng)承載信息量的增大以及對核心信息安全保護(hù)要求的提高，內(nèi)網(wǎng)系統(tǒng)承載著巨大的單位安全辦公壓力。一個小小的疏忽或是失誤都可能帶來網(wǎng)絡(luò)無法正常工作，甚至是整個系統(tǒng)的癱瘓；一個小小的木馬和員工有意無意的信息泄密，則會給個人和單位帶來無法挽回的經(jīng)濟(jì)損失。因此，辦公內(nèi)網(wǎng)安全已經(jīng)成為每個單位不得不面臨的問題。

目前企事業(yè)單位的辦公內(nèi)網(wǎng)安全現(xiàn)狀主要呈現(xiàn)如下幾個特點：

1.1. 1領(lǐng)導(dǎo)層對內(nèi)網(wǎng)安全缺乏認(rèn)識

很多企事業(yè)單位只把單位業(yè)務(wù)發(fā)展看成是頭等大事，只要日常工作還能在網(wǎng)絡(luò)辦公系統(tǒng)上正常開展，即使是系統(tǒng)面臨崩潰勉強(qiáng)運(yùn)轉(zhuǎn)，高層領(lǐng)導(dǎo)都容易忽視網(wǎng)絡(luò)安全問題。他們的意識還沒有與信息時代同步，對網(wǎng)絡(luò)的認(rèn)識和重視不夠，缺乏網(wǎng)絡(luò)安全危機(jī)感，等到真正出了問題才焦頭爛額填補(bǔ)空當(dāng)、解決難題。

1.1.2內(nèi)部工作人員的安全意識亟待提高

單位內(nèi)部的普通員工不注意安全操作，隨意安裝軟件或者將外來設(shè)備帶入內(nèi)網(wǎng)，內(nèi)網(wǎng)電腦隨意接入外部網(wǎng)絡(luò)，辦公專用U盤不注意區(qū)別隔離在內(nèi)外網(wǎng)上任意使用等等行為，都會給單位辦公內(nèi)網(wǎng)帶來嚴(yán)重的安全隱患。據(jù)不完全統(tǒng)計，80%的信息安全事件來自內(nèi)部員工的違規(guī)操作。

1.1.3缺乏有效的終端監(jiān)管體系

內(nèi)網(wǎng)安全辦公涉及到大量的計算機(jī)終端、操作用戶和軟件系統(tǒng)。使用環(huán)境的復(fù)雜性決定了內(nèi)網(wǎng)辦公系統(tǒng)必須進(jìn)行安全有效的集中管理和監(jiān)控，同時對全網(wǎng)的操作進(jìn)行詳細(xì)的日志記錄，以便出現(xiàn)違法違規(guī)操作時進(jìn)行溯源追責(zé)，幫助網(wǎng)管人員提升對內(nèi)網(wǎng)辦公系統(tǒng)的維護(hù)效率，降低安全隱患和風(fēng)險。避免網(wǎng)管人員成為臨時救火員，平時無人維護(hù)，出現(xiàn)問題再去抓壯丁，應(yīng)該形成主動防范、積極應(yīng)對的機(jī)制。

1.2 內(nèi)網(wǎng)安全需求

企事業(yè)單位內(nèi)網(wǎng)安全辦公，一般需要達(dá)到如下要求：

（1）要求內(nèi)外網(wǎng)終端進(jìn)行嚴(yán)格的物理隔離，禁止涉密機(jī)器接入互聯(lián)網(wǎng)。

（2）要求對辦公終端進(jìn)行集中管理和統(tǒng)計，對于各種操作能追根溯源。

（3）要求終端使用固定的內(nèi)部IP，并匹配MAC地址，杜絕IP沖突。

（4）要求對網(wǎng)絡(luò)行為進(jìn)行實時控制，實時記錄并保存相關(guān)各類日志。

（5）要求對網(wǎng)絡(luò)上的潛在安全威脅做到事前預(yù)防，事中記錄，事后追蹤。

（6）要求對各廠家的不同網(wǎng)絡(luò)設(shè)備能做到統(tǒng)一監(jiān)控管理。

（7）要求對網(wǎng)絡(luò)中出現(xiàn)的故障、違規(guī)操作行為及時報警。

（8）要求內(nèi)部網(wǎng)絡(luò)呈現(xiàn)可視化，清晰化，易于管控的網(wǎng)絡(luò)結(jié)構(gòu)。

（9）要求對各類存儲介質(zhì)進(jìn)行嚴(yán)格管理，做好加密措施避免信息泄露。

（10）要求對內(nèi)網(wǎng)的計算機(jī)終端能做到統(tǒng)一的系統(tǒng)補(bǔ)丁更新。

2 內(nèi)網(wǎng)安全建設(shè)規(guī)劃

根據(jù)內(nèi)網(wǎng)建設(shè)安全需求，對內(nèi)網(wǎng)功能建設(shè)進(jìn)行如下規(guī)劃：

2.1非法外聯(lián)控制

實現(xiàn)內(nèi)網(wǎng)終端的固定IP與MAC綁定，未經(jīng)授權(quán)的終端無法通過如撥號上網(wǎng)、3G無線網(wǎng)卡上網(wǎng)、無線網(wǎng)卡接入等各種方式訪問外部互聯(lián)網(wǎng)，杜絕內(nèi)部信息泄密風(fēng)險和外網(wǎng)病毒入侵風(fēng)險。同時，需要對不同部門的計算機(jī)進(jìn)行邏輯分域管理（不僅僅是網(wǎng)絡(luò)VLAN的劃分），并且根據(jù)計算機(jī)的使用性質(zhì)，設(shè)置不同等級的保護(hù)策略，從而避免秘密信息的隨意傳播和泄密。

2.2非法接入控制

單位辦公內(nèi)網(wǎng)一般規(guī)模較大，懷有惡意的外部人員會通過將自己的計算機(jī)接入內(nèi)部的涉密網(wǎng)絡(luò)，這就可能導(dǎo)致信息泄密，及其他威脅信息安全的事件發(fā)生。因此，必須隔離本單位以外的計算機(jī)終端，實現(xiàn)禁止外部計算機(jī)終端在未經(jīng)任何授權(quán)的情況下通過網(wǎng)絡(luò)接口連接接入辦公內(nèi)網(wǎng)。對于各種違規(guī)接入行為通過密碼進(jìn)行權(quán)限限制，并主動記錄訪問行為和路徑，以便有據(jù)可查。

2.3身份認(rèn)證管理

單位內(nèi)部辦公人員數(shù)量多，所屬部門的職責(zé)和權(quán)限各不相同，如果某個工作人員訪問了其權(quán)限之外的信息和文件，如涉密計算機(jī)、數(shù)據(jù)庫服務(wù)器等，將會對內(nèi)網(wǎng)的信息安全構(gòu)成非常重大的威脅。因此，必須擁有一套完善的用戶身份認(rèn)證體系，對單位內(nèi)部辦公人員進(jìn)行認(rèn)證和授權(quán)。每個人只能訪問權(quán)限范圍以內(nèi)的計算機(jī)、文件和網(wǎng)絡(luò)資源等。為了確保進(jìn)入內(nèi)網(wǎng)的操作人員安全可信，可以對操作人員統(tǒng)一分配獨立賬戶并指定操作權(quán)限，對進(jìn)入內(nèi)網(wǎng)的操作行為進(jìn)行記錄備查。

2.4共享文件管理

實現(xiàn)單位內(nèi)部文件的安全共享，通過密碼機(jī)制允許指定人員訪問操作數(shù)據(jù)，防止共享文件違規(guī)外流造成的信息泄密。同時對單位內(nèi)指定設(shè)備進(jìn)行共享，提高辦公效率，節(jié)約辦公成本，避免外部終端接入進(jìn)行惡意操作。

2.5移動介質(zhì)管理

移動存儲設(shè)備是另一個主要的信息傳遞通道。根據(jù)單位辦公工作需要，經(jīng)常會通過U盤、移動硬盤等移動存儲設(shè)備交換數(shù)據(jù)，這就大大增加了信息泄露的可能性。因此，必須對在內(nèi)網(wǎng)中使用的移動存儲設(shè)備進(jìn)行統(tǒng)一授權(quán)管理，禁止不受信設(shè)備接入內(nèi)網(wǎng)，對受信設(shè)備明確使用范圍，使其可以在內(nèi)網(wǎng)中正常使用，在未經(jīng)授權(quán)時不能將數(shù)據(jù)帶出內(nèi)網(wǎng)。同時，要求能夠?qū)崿F(xiàn)內(nèi)部移動存儲設(shè)備在外網(wǎng)中使用時，主動防護(hù)病毒侵害。在遺失后，通過密碼保護(hù)措施防止信息泄露。

2.6應(yīng)用軟件管理

對內(nèi)網(wǎng)用戶的計算機(jī)非法軟件使用行為進(jìn)行監(jiān)控，防止用戶在上班時間使用游戲軟件、炒股軟件等，通過黑白名單對大部分應(yīng)用程序進(jìn)行行為管理。

2.7文件主動分發(fā)與日志管理

通過服務(wù)端管理平臺，實現(xiàn)內(nèi)網(wǎng)自動分發(fā)軟件到各終端PC，以備單位辦公軟件的推廣使用。內(nèi)網(wǎng)網(wǎng)絡(luò)管理員可以在服務(wù)端隨時查看網(wǎng)絡(luò)日志，以便對網(wǎng)絡(luò)上存在的安全風(fēng)險及時管控。

3 實施措施

單位內(nèi)網(wǎng)安全建設(shè)，主要靠網(wǎng)絡(luò)設(shè)備進(jìn)行硬件物理隔離，和定制化的應(yīng)用軟件進(jìn)行全局信息管理來實現(xiàn)。

3.1 網(wǎng)絡(luò)物理隔離

（1）獨立建網(wǎng)。建設(shè)獨立的、與單位外網(wǎng)毫無連接的辦公內(nèi)網(wǎng)，應(yīng)嚴(yán)格執(zhí)行國家保密標(biāo)準(zhǔn)文件中有關(guān)物理隔離的相關(guān)規(guī)定。

（2）在辦公內(nèi)網(wǎng)終端安裝外聯(lián)監(jiān)控軟件。辦公內(nèi)網(wǎng)與外網(wǎng)實行物理隔離后，如果有終端用戶通過撥號上網(wǎng)、3G無線網(wǎng)卡、無線網(wǎng)卡等方式違規(guī)接入互聯(lián)網(wǎng)，就破壞了整個辦公內(nèi)網(wǎng)的封閉環(huán)境，使辦公內(nèi)網(wǎng)極易遭受來自外網(wǎng)的攻擊和滲透。在單位內(nèi)網(wǎng)終端上強(qiáng)制安裝外聯(lián)監(jiān)控軟件，采取技術(shù)手段進(jìn)行外聯(lián)阻斷，可以有效確保辦公內(nèi)網(wǎng)的安全。

（3）嚴(yán)格管理。建立健全辦公內(nèi)網(wǎng)保密管理制度，將相應(yīng)的設(shè)備、介質(zhì)、人員實施集中管理。通過嚴(yán)格檢查和完善的制度約束，杜絕內(nèi)部違規(guī)操作引起的信息安全事故，有效確保辦公內(nèi)網(wǎng)的物理隔離，確保辦公內(nèi)網(wǎng)信息的安全。

3.2 定制化應(yīng)用軟件

通過在辦公網(wǎng)絡(luò)的各個終端上安裝高度集成統(tǒng)一的內(nèi)網(wǎng)安全管控軟件實現(xiàn)網(wǎng)絡(luò)安全管理。定制的應(yīng)用軟件主要包含如下幾個模塊：

（1）網(wǎng)絡(luò)認(rèn)證系統(tǒng)，主要實現(xiàn)辦公終端用戶身份的集中式認(rèn)證，并進(jìn)行操作權(quán)限規(guī)范。

（2）網(wǎng)絡(luò)保密系統(tǒng)，通過對通信網(wǎng)絡(luò)和硬盤加密，實現(xiàn)禁止終端非法聯(lián)入、聯(lián)出，規(guī)范數(shù)據(jù)登記，防止重要辦公信息外泄。

（3）移動存儲介質(zhì)管理系統(tǒng)，通過配置終端與移動存儲設(shè)備之間的對應(yīng)關(guān)系和屬性，實現(xiàn)保護(hù)移動存儲介質(zhì)數(shù)據(jù)安全的目的，防止私用U盤外帶數(shù)據(jù)，管控公用U盤使用狀況。

（4）數(shù)據(jù)管理系統(tǒng)，實現(xiàn)辦公內(nèi)網(wǎng)上各種數(shù)據(jù)信息的分級分類，規(guī)范信息交流、共享下載等行為。

（5）網(wǎng)絡(luò)監(jiān)控系統(tǒng)，主要實現(xiàn)對終端計算機(jī)的操作行為進(jìn)行有效的控制與監(jiān)管并生成相應(yīng)的日志記錄以備審計，對非法操作進(jìn)行警報。

最后，辦公內(nèi)網(wǎng)在企事業(yè)單位的業(yè)務(wù)發(fā)展和日常工作中起著越來越重要的作用，但網(wǎng)絡(luò)本身又是脆弱的。只有切實加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，保障網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，也才能從根本上保障企事業(yè)單位的發(fā)展和穩(wěn)定。