張居庫 程輝

[摘 要] 網(wǎng)絡(luò)應(yīng)用飛速發(fā)展，網(wǎng)病毒、木馬及其他惡意入侵給企業(yè)內(nèi)網(wǎng)帶來日益嚴(yán)重的威脅。保障企業(yè)內(nèi)網(wǎng)安全、保證企業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行越來越得到企業(yè)的高度重視。本文在分析企業(yè)內(nèi)網(wǎng)安全現(xiàn)狀的基礎(chǔ)上，提出了合理劃分安全域、計(jì)算機(jī)病毒防治、上網(wǎng)行為管理、端點(diǎn)準(zhǔn)入和身份認(rèn)證等管理對策，以加強(qiáng)企業(yè)內(nèi)網(wǎng)安全、保證企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行。

[關(guān)鍵詞] 內(nèi)網(wǎng)；威脅；安全；策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 16. 034

[中圖分類號] F272.7 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）16- 0055- 03

0 前 言

高速發(fā)展的網(wǎng)絡(luò)技術(shù)大大提高了企業(yè)的生產(chǎn)及辦公效率，同時也帶來了病毒感染、安全漏洞及惡意入侵等網(wǎng)絡(luò)信息安全問題。根據(jù)CSI/FBI 2009年計(jì)算機(jī)安全調(diào)查數(shù)據(jù)表明，在企業(yè)網(wǎng)絡(luò)安全事件中80%以上發(fā)生在企業(yè)內(nèi)部。

企業(yè)越來越重視內(nèi)網(wǎng)安全問題，企業(yè)在內(nèi)網(wǎng)安防項(xiàng)目上的投入也在不斷增加，但我國仍有60%以上的企業(yè)計(jì)算機(jī)處于“高度風(fēng)險(xiǎn)”級別，每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億元，內(nèi)網(wǎng)威脅仍是企業(yè)信息化發(fā)展急需解決的問題。如何解決企業(yè)內(nèi)網(wǎng)威脅，積極應(yīng)對企業(yè)網(wǎng)絡(luò)安全問題，有效保護(hù)企業(yè)內(nèi)部信息安全，仍然是企業(yè)信息安全人員研究的重要課題。

1 什么是企業(yè)內(nèi)網(wǎng)安全

通常以企業(yè)內(nèi)部局域網(wǎng)邊界為限劃分為企業(yè)外網(wǎng)與內(nèi)網(wǎng)，外網(wǎng)與內(nèi)網(wǎng)物理隔離或者將內(nèi)部通過統(tǒng)一網(wǎng)關(guān)接入外網(wǎng)并在網(wǎng)關(guān)處架設(shè)防火墻等安全監(jiān)控設(shè)備，企業(yè)內(nèi)網(wǎng)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成，企業(yè)內(nèi)網(wǎng)安全指的是企業(yè)內(nèi)部局域網(wǎng)的信息安全。

2 企業(yè)內(nèi)網(wǎng)的安全現(xiàn)狀

2.1 用戶區(qū)域劃分單一

企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶域?qū)觿澐謫我?，所有用戶在?nèi)部網(wǎng)絡(luò)中的地位是平等的，且部分企業(yè)虛擬網(wǎng)絡(luò)劃分不合理，有時僅僅按照物理位置進(jìn)行劃分，所有服務(wù)器、終端都處于同一網(wǎng)絡(luò)區(qū)域內(nèi)，沒有進(jìn)行安全等級劃分，一旦受到攻擊，該區(qū)域內(nèi)所有設(shè)備都將受到威脅。

2.2 威脅多樣化

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全面臨著各種威脅，主要包括自然的、意外的威脅和人為故意的威脅（如惡意軟件、黑客攻擊等）。

企業(yè)內(nèi)網(wǎng)與外網(wǎng)相連接，易受到人為故意的威脅。惡意軟件、黑客攻擊是較常見的網(wǎng)絡(luò)安全攻擊方式，惡意軟件（如病毒、蠕蟲、木馬等）在不斷變種，操作系統(tǒng)和應(yīng)用程序的漏洞成為惡意入侵的主要目標(biāo)。

無線局域網(wǎng)、藍(lán)牙、即時通信、移動終端等新技術(shù)在企業(yè)生產(chǎn)與管理中的廣泛應(yīng)用，在一定程度上擴(kuò)大了企業(yè)網(wǎng)絡(luò)安全的威脅源。

2.3 網(wǎng)絡(luò)準(zhǔn)入缺乏有效控制

隨著業(yè)務(wù)的不斷擴(kuò)展，外來客戶和合作伙伴接入企業(yè)內(nèi)網(wǎng)的幾率越來越高。由于不能及時地對相關(guān)人員的計(jì)算機(jī)設(shè)備進(jìn)行安全檢查，容易由外來的計(jì)算機(jī)設(shè)備將病毒、木馬等帶入企業(yè)內(nèi)部網(wǎng)絡(luò)，內(nèi)網(wǎng)安全的威脅幾率增加。同時，對外來人員安全監(jiān)控的缺失，也會造成企業(yè)內(nèi)部資料的泄露等情況，企業(yè)內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制管理亟待完善。

2.4 內(nèi)網(wǎng)用戶安全意識薄弱

由于企業(yè)內(nèi)部員工信息安全意識淡薄，他們常常在計(jì)算機(jī)上設(shè)置弱口令，使得系統(tǒng)密碼形同虛設(shè)；U盤、移動硬盤、MP3、手機(jī)存儲卡、數(shù)碼相機(jī)記憶棒等在工作中無限制使用；企業(yè)涉密信息被私自下載、保存；工作時間使用企業(yè)電腦炒股、玩游戲、觀看在線視頻、瀏覽非法或不健康網(wǎng)站等這些不規(guī)范行為，不僅會造成企業(yè)局域網(wǎng)的堵塞，影響企業(yè)業(yè)務(wù)的開展，又可能導(dǎo)致病毒、木馬等惡意軟件被非法下載進(jìn)入企業(yè)局域網(wǎng)內(nèi)，為企業(yè)帶來嚴(yán)重的安全隱患。

2.5 系統(tǒng)存在安全隱患

系統(tǒng)的安全問題主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及各類應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。目前大部分企業(yè)使用的操作系統(tǒng)仍然以微軟的Windows系列為主，這些操作系統(tǒng)都存在已知和未知的系統(tǒng)漏洞。國際上的一些安全組織已經(jīng)發(fā)布大量的系統(tǒng)安全漏洞信息，其中，有些系統(tǒng)漏洞可以導(dǎo)致入侵者獲得管理員權(quán)限，有些漏洞可以被黑客用來實(shí)施拒絕服務(wù)攻擊，還有些漏洞則成為病毒攻擊的對象。重視和防范系統(tǒng)的安全風(fēng)險(xiǎn)也是內(nèi)網(wǎng)安全管理的重要任務(wù)。

3 企業(yè)內(nèi)網(wǎng)安全管理策略

3.1 合理劃分安全域

可以根據(jù)企業(yè)整體安全規(guī)劃和信息安全級別，對企業(yè)內(nèi)網(wǎng)合理劃分安全域，從邏輯上劃分核心點(diǎn)防范區(qū)域、一般防范區(qū)域和開放區(qū)域，不同等級的安全域采用不同的安全手段。核心點(diǎn)防范區(qū)域需要設(shè)置很高的安全級別，一般用戶不允許直接訪問，重要的服務(wù)器、數(shù)據(jù)庫服務(wù)器等應(yīng)放置在該區(qū)域，各類應(yīng)用系統(tǒng)在該區(qū)域運(yùn)行。

3.2 終端計(jì)算機(jī)病毒防治

終端計(jì)算機(jī)往往是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且絕大多數(shù)的攻擊事件都是從終端發(fā)起的，所以終端計(jì)算機(jī)安全防護(hù)與管理是必要的。通過防病毒、文檔保護(hù)、安全審計(jì)及用戶管理等方法和手段的部署或?qū)嵤?，降低終端計(jì)算機(jī)病毒和木馬發(fā)生幾率，提升終端計(jì)算機(jī)抵御安全威脅的能力。

3.3 補(bǔ)丁分發(fā)管理

操作系統(tǒng)或者應(yīng)用程序存在的系統(tǒng)漏洞既為各類惡意軟件的傳播提供了極好的機(jī)會，同時也成為網(wǎng)絡(luò)黑客攻擊的目標(biāo)。攻擊者首先通過掃描工具發(fā)現(xiàn)系統(tǒng)漏洞，然后利用相應(yīng)的攻擊工具對目標(biāo)系統(tǒng)實(shí)施攻擊，這種攻擊模式簡單易行且危害極大。消除系統(tǒng)漏洞的主要辦法就是安裝軟件補(bǔ)丁。因此，補(bǔ)丁的分發(fā)管理越來越成為企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理的一個重要環(huán)節(jié)。

利用網(wǎng)絡(luò)掃描與主機(jī)掃描兩種模式對系統(tǒng)進(jìn)行漏洞掃描，掃描完成后根據(jù)掃描結(jié)果自動對系統(tǒng)漏洞下發(fā)補(bǔ)丁并報(bào)警。

通過補(bǔ)丁分發(fā)管理，可以對企業(yè)內(nèi)網(wǎng)中的各類主機(jī)進(jìn)行補(bǔ)丁檢測和安裝，及時地彌補(bǔ)各類系統(tǒng)漏洞，從而減少系統(tǒng)遭受惡意攻擊的機(jī)會，增強(qiáng)企業(yè)網(wǎng)絡(luò)安全。

3.4 上網(wǎng)行為管理

企業(yè)內(nèi)網(wǎng)安全最薄弱的環(huán)節(jié)往往不是來自外網(wǎng)的入侵，而是內(nèi)網(wǎng)用戶不規(guī)范的上網(wǎng)行為。企業(yè)可部署上網(wǎng)行為管理策略，通過上網(wǎng)內(nèi)容審計(jì)與行為監(jiān)控等方法能夠發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)非法外聯(lián)互聯(lián)網(wǎng)行為，當(dāng)發(fā)現(xiàn)不允許訪問互聯(lián)網(wǎng)的計(jì)算機(jī)私自訪問互聯(lián)網(wǎng)行為后，能夠執(zhí)行預(yù)先設(shè)置的策略，例如鎖定計(jì)算機(jī)、禁止網(wǎng)絡(luò)連接等，以避免國家機(jī)密、商業(yè)信息、科研成果泄露及網(wǎng)絡(luò)病毒的傳播。

3.5 云技術(shù)應(yīng)用

企業(yè)利用“云技術(shù)”搭建云桌面客戶端，基于角色的訪問控制提供了一種簡單靈活的訪問控制機(jī)制，用戶通過成為角色成員來獲得使用權(quán)限。

在企業(yè)云桌面控制系統(tǒng)下，用戶數(shù)據(jù)都在后臺存儲，任何用戶想要拷貝數(shù)據(jù)都需要經(jīng)過企業(yè)內(nèi)部的審核程序，數(shù)據(jù)不能任意復(fù)制，在較大程度上保證了企業(yè)數(shù)據(jù)的安全性。同時，對于遠(yuǎn)端客戶機(jī)系統(tǒng)出現(xiàn)的問題，系統(tǒng)管理人員能夠通過系統(tǒng)控制臺對出現(xiàn)問題的客戶機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程的檢查和維護(hù)，即時、方便地解決企業(yè)內(nèi)網(wǎng)中各種系統(tǒng)所存在的問題，大大地提高了企業(yè)內(nèi)網(wǎng)系統(tǒng)的安全性。

3.6 端點(diǎn)準(zhǔn)入和身份認(rèn)證機(jī)制

企業(yè)利用端點(diǎn)準(zhǔn)入系統(tǒng)，通過監(jiān)聽和主動探測等方式對接入到企業(yè)內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行檢測，判別其是否為信任主機(jī)；對于探測到的非法主機(jī)，系統(tǒng)可以主動阻止其訪問企業(yè)的任何網(wǎng)絡(luò)資源，從而保證非法主機(jī)不對企業(yè)網(wǎng)絡(luò)產(chǎn)生影響、無法有意或無意地對網(wǎng)絡(luò)進(jìn)行攻擊或者竊密。

通過身份認(rèn)證系統(tǒng)對企業(yè)各應(yīng)用系統(tǒng)的訪問進(jìn)行控制，判別企業(yè)內(nèi)部網(wǎng)中所有系統(tǒng)登錄者的身份，確保企業(yè)內(nèi)網(wǎng)所有用戶的可靠性。

3.7 企業(yè)信息安全制度建設(shè)

以企業(yè)管理為核心，按照國家相關(guān)的法律和法規(guī)，結(jié)合企業(yè)的實(shí)際情況制定企業(yè)信息安全管理的相關(guān)規(guī)章制度，通過各種機(jī)制和手段，落實(shí)安全管理制度和規(guī)范，實(shí)現(xiàn)企業(yè)安全管理工作的常態(tài)化和長效化。

3.8 加強(qiáng)企業(yè)員工信息安全意識教育

企業(yè)內(nèi)網(wǎng)安全管理是一個系統(tǒng)工程，除采取必要的技術(shù)手段和管理制度外，加強(qiáng)“人”的安全意識的自覺性和主動性至關(guān)重要。技術(shù)要通過人去掌握和實(shí)施，制度要由人去執(zhí)行和遵守。企業(yè)可以通過加強(qiáng)企業(yè)員工的信息安全意識教育或培訓(xùn)，使員工能夠自覺地遵守和執(zhí)行相關(guān)安全制度、操作規(guī)程等，并養(yǎng)成良好、規(guī)范的網(wǎng)絡(luò)行為。人、技術(shù)、管理的有效結(jié)合是企業(yè)內(nèi)網(wǎng)安全的重要保障。

4 結(jié)束語

內(nèi)網(wǎng)威脅不可避免并且來勢兇猛，企業(yè)內(nèi)網(wǎng)安全管理已經(jīng)進(jìn)入了整體防控的時代。單純的準(zhǔn)入控制和加密不能解決所有的問題，獨(dú)立的內(nèi)網(wǎng)行為審計(jì)也沒有任何效力，企業(yè)只有從信息安全管理的全方位進(jìn)行考慮，對網(wǎng)絡(luò)安全進(jìn)行多角度的整體設(shè)計(jì)，做到統(tǒng)籌規(guī)劃、合理安排，全面整合準(zhǔn)入控制、病毒防治、網(wǎng)絡(luò)監(jiān)控、安全審計(jì)、權(quán)限管理、透明加密等多種技術(shù)手段，將管理、技術(shù)、人員進(jìn)行有機(jī)的結(jié)合，在企業(yè)內(nèi)部構(gòu)建一個立體化的整體安全網(wǎng)絡(luò)，才能實(shí)現(xiàn)真正意義上的內(nèi)網(wǎng)安全。

主要參考文獻(xiàn)

[1]張懷京，祝建航，王新亭. 企業(yè)內(nèi)網(wǎng)安全建設(shè)淺談[J].信息安全與技術(shù)，2012（2）.

[2]王學(xué)華，張彬彬. 內(nèi)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2012（9）.

[3]期陳飛，吳曉東，孫曉平. 淺析內(nèi)網(wǎng)安全管理及對策[J].中國電子商務(wù)，2012（1）.

[4]王春蓮.內(nèi)網(wǎng)網(wǎng)絡(luò)安全解決方案研究[J].硅谷，2011（4）.

[5]劉海燕，楊朝紅，霍景河.內(nèi)網(wǎng)安全檢測與分析技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué)，2009（9）.

[6]黃定坤.淺談網(wǎng)絡(luò)安全及管理[J].科學(xué)咨詢，2009（5）：49.