劉 穎

（中國石油大學(xué)勝利學(xué)院 信息與計算科學(xué)系，山東 東營257000）

隨著全球信息化時代的到來，越來越多的信息系統(tǒng)被應(yīng)用到日常工作。為提升企業(yè)的競爭實力，搭建統(tǒng)一便利的信息交換平臺，方便內(nèi)部員工辦公以及資源的共享，建立企業(yè)內(nèi)網(wǎng)已是形式所趨。然而，大量涉及技術(shù)和業(yè)務(wù)的相關(guān)機(jī)密信息存儲在計算機(jī)網(wǎng)絡(luò)中，如何有效地保護(hù)這些數(shù)據(jù)信息，成為企業(yè)內(nèi)網(wǎng)急需解決的問題［1］。因此，需要對內(nèi)網(wǎng)的安全性進(jìn)行系統(tǒng)性分析，設(shè)計一個管理性強(qiáng)、信任度高、控制性好的內(nèi)網(wǎng)安全體系，進(jìn)而構(gòu)建整體一致的內(nèi)網(wǎng)安全管理平臺。

1 內(nèi)網(wǎng)安全性的雙向威脅

企業(yè)內(nèi)網(wǎng)的安全性直接影響到信息的保密程度，要做到內(nèi)網(wǎng)的安全防范，必須對其特點有一個全面認(rèn)識。

網(wǎng)絡(luò)安全包括黑客的攻擊和病毒的破壞等，但是這些來自網(wǎng)絡(luò)外部的威脅，在現(xiàn)有的常規(guī)安全防御理念里已經(jīng)進(jìn)行了嚴(yán)密的監(jiān)控。比如在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，將重要的安全設(shè)施集中于機(jī)房或網(wǎng)絡(luò)入口處，設(shè)置防火墻、入侵檢測系統(tǒng)和VPN等，這些舉措使得來自網(wǎng)絡(luò)之外的威脅大大降低了。在外網(wǎng)安全的威脅假設(shè)中內(nèi)部網(wǎng)絡(luò)都是安全可信的，威脅都來自于外部網(wǎng)絡(luò)，其途徑主要是內(nèi)外網(wǎng)邊界的出口［2］，所以只要將網(wǎng)絡(luò)邊界處的安全控制措施做好，就可以確保整個網(wǎng)絡(luò)的安全。

內(nèi)網(wǎng)安全的威脅與外網(wǎng)安全的威脅相比，涉及的點面更廣泛，即假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的，威脅既可能來自外網(wǎng)，也可能來自內(nèi)網(wǎng)的任何一個節(jié)點上。所以，在內(nèi)網(wǎng)安全的威脅下，需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點和參與者進(jìn)行細(xì)致管理，實現(xiàn)一個可管理、可控制和可信任的內(nèi)網(wǎng)。

因此，在探究內(nèi)網(wǎng)的安全問題時應(yīng)該從兩個方面入手，一是從外到內(nèi)的（交界、邊界安全），要防范來自互聯(lián)網(wǎng)的攻擊，防范攻擊者入侵到內(nèi)部網(wǎng)絡(luò)，控制遠(yuǎn)程接入的訪問權(quán)限。另一方面是從內(nèi)到外的，要控制從企業(yè)內(nèi)網(wǎng)到外網(wǎng)的訪問，內(nèi)部移動設(shè)備的接入，分發(fā)管理等［3］。根據(jù)不同來源的安全問題，采取不同的防范措施?？梢?，內(nèi)網(wǎng)安全具有一個雙向交互的管理特點，僅就一方面的安全問題來維護(hù)是不全面的。

2 企業(yè)內(nèi)網(wǎng)安全存在的問題

通過對近些年來網(wǎng)絡(luò)安全性事件的分析，發(fā)現(xiàn)有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的，并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化，這一比例仍有增長的趨勢［4］。由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因，內(nèi)網(wǎng)安全也一直是網(wǎng)絡(luò)安全建設(shè)的難點。同時內(nèi)網(wǎng)安全涵蓋了企業(yè)內(nèi)部的所有信息安全問題，終端安全是內(nèi)網(wǎng)安全的有機(jī)組成部分，過分地強(qiáng)調(diào)終端安全或者其他某一個領(lǐng)域的內(nèi)網(wǎng)安全問題，是欠缺全面性的，將會導(dǎo)致安全防護(hù)不成體系，各個安全防護(hù)點、防護(hù)措施之間整合度不夠，無法良好地協(xié)同［5］。目前，企業(yè)內(nèi)網(wǎng)安全主要存在四類問題。

2.1 缺乏自動跟蹤安全策略

自動執(zhí)行智能實時跟蹤這一安全策略是有效實現(xiàn)網(wǎng)絡(luò)安全實踐的關(guān)鍵手段，它不僅帶來了商業(yè)活動中的一大改革，也極大地提升了手動安全策略的功效。企業(yè)內(nèi)網(wǎng)的安全性現(xiàn)狀迫切需要網(wǎng)絡(luò)能利用自動檢測的方法探測企業(yè)活動的各種變更，因此與之匹配的安全策略也必須應(yīng)運而生。例如可以通過實時跟蹤網(wǎng)絡(luò)的利用情況，記錄與該機(jī)對話的文件服務(wù)器，做到確保企業(yè)內(nèi)網(wǎng)中每天的所有活動都遵循安全策略。

2.2 缺乏對重要資源的保護(hù)

大型企業(yè)網(wǎng)絡(luò)擁有成千上萬的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，期望保持每一臺主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實的，所以大型企業(yè)網(wǎng)應(yīng)采用擇優(yōu)的方法。在操作上，首先要對服務(wù)器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作，找出重要的網(wǎng)絡(luò)服務(wù)器（例如實時跟蹤客戶的服務(wù)器）并對其進(jìn)行限制管理，這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。

2.3 缺乏對VPN網(wǎng)絡(luò)的安全防護(hù)

對于VPN網(wǎng)絡(luò)，大多數(shù)企業(yè)認(rèn)為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，員工可以撥號進(jìn)入系統(tǒng)，而防火墻會將一切非法請求拒之其外。然而公司的防火墻雖然可以將侵入者隔離在外，但侵入者卻可以通過一個被信任的用戶進(jìn)入網(wǎng)絡(luò)。針對VPN的安全防護(hù)，一般可以采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)來進(jìn)行安全保證。

2.4 無線網(wǎng)絡(luò)的使用帶來高安全風(fēng)險

無線網(wǎng)絡(luò)在企業(yè)中已被廣泛使用，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比，不需要物理上線路的連接，完全采用射頻技術(shù)，借助無線電磁波進(jìn)行網(wǎng)絡(luò)連接，是一種傳輸?shù)拈_放式物理系統(tǒng)，因此無線網(wǎng)絡(luò)所面臨的威脅也是多方面的。由于無線網(wǎng)絡(luò)中最重要的設(shè)備之一就是無線路由器或中繼器，而同一品牌的無線設(shè)備訪問地址、默認(rèn)的用戶名、密碼都是相同的，入侵者可以通過掃描工具找到這些設(shè)備并進(jìn)入管理界面，獲得設(shè)備的控制權(quán)。另外，可以通過禁止SSID廣播，阻止入侵者建立連接。對固定用戶客戶端的環(huán)境，使其手工直接輸入SSID標(biāo)識符以建立連接即可。通過過濾設(shè)置將允許訪問的無線客戶端網(wǎng)卡的MAC地址添加進(jìn)來，可以增添更高級的安全性。再者，對于企業(yè)內(nèi)網(wǎng)中的小規(guī)模的無線網(wǎng)絡(luò)，還可以手動為客戶端分配IP地址。同時進(jìn)行安全認(rèn)證設(shè)置，設(shè)置密鑰。有條件的企業(yè)還可以選擇帶防Ping的功能無線路由，來躲避掃描器主動搜索無線網(wǎng)絡(luò)。

3 構(gòu)建完整的內(nèi)網(wǎng)安全體系

目前市面上出現(xiàn)了很多針對內(nèi)網(wǎng)安全解決方案的產(chǎn)品，從技術(shù)上可以分成身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計四類，但這些產(chǎn)品都僅解決了內(nèi)網(wǎng)安全的部分問題，并因目前技術(shù)的限制，存在各自的不足。要使企業(yè)內(nèi)網(wǎng)真正做到可管理、可信任和可控制，可將以上四類技術(shù)的優(yōu)勢進(jìn)行融合，構(gòu)建一個整體的內(nèi)網(wǎng)安全管理平臺。搭建內(nèi)網(wǎng)安全管理系統(tǒng)，可以從五個方面出發(fā)。

3.1 對進(jìn)入企業(yè)內(nèi)網(wǎng)的終端進(jìn)行監(jiān)控與管理

在安全接入管理方面，系統(tǒng)可以通過監(jiān)聽和主動探測等方式檢測內(nèi)部網(wǎng)絡(luò)中所有在線的主機(jī)，來判別當(dāng)前在線的主機(jī)是否為可信任主機(jī)，若探測到非法的可疑主機(jī)，則可以阻止其訪問任何網(wǎng)絡(luò)資源，防止非法主機(jī)對網(wǎng)絡(luò)進(jìn)行攻擊或竊密。在網(wǎng)絡(luò)安全平臺的設(shè)計上可以通過設(shè)置防火墻系統(tǒng)來實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的隔離防護(hù)。對遠(yuǎn)程辦公的人員則可提供IPSec VPN接入，確保數(shù)據(jù)傳輸過程中的安全，實現(xiàn)用戶對服務(wù)器系統(tǒng)的受控訪問。同時也可采用入侵檢測設(shè)備，作為防火墻的功能互補(bǔ)，用于提供對監(jiān)控網(wǎng)段的攻擊的實時報警與響應(yīng)。

3.2 及時解決操作系統(tǒng)與應(yīng)用程序的漏洞

漏洞是蠕蟲病毒頻繁爆發(fā)的主要原因，要使企業(yè)內(nèi)網(wǎng)免受病毒侵害，就必須將補(bǔ)丁分發(fā)管理工作做到位。內(nèi)網(wǎng)安全管理系統(tǒng)的掃描機(jī)制可分為網(wǎng)絡(luò)掃描與主機(jī)掃描，掃描完成后根據(jù)掃描結(jié)果自動對系統(tǒng)漏洞下發(fā)補(bǔ)丁并警告。補(bǔ)丁分發(fā)管理主要完成客戶端的補(bǔ)丁檢測和安裝，健壯企業(yè)客戶端的安全性。同時還可以允許管理員自定義軟件分發(fā)，完成用戶自由系統(tǒng)的補(bǔ)丁管理。利用遠(yuǎn)程進(jìn)行軟件分發(fā)。結(jié)合對客戶端防病毒程序安裝和運行情況的檢測，為安全接入管理系統(tǒng)提供授權(quán)認(rèn)證的依據(jù)［6］。

3.3 對企業(yè)內(nèi)網(wǎng)中的用戶上網(wǎng)行為進(jìn)行管理并設(shè)置網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)

內(nèi)網(wǎng)用戶終端的非法上網(wǎng)外聯(lián)行為是企業(yè)網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，所以在系統(tǒng)的管理上要重點檢測和管理企業(yè)內(nèi)用戶的非法自建通路連接非授權(quán)網(wǎng)絡(luò)的行為，在企業(yè)內(nèi)網(wǎng)中通過分區(qū)域和分部門地進(jìn)行監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。另外還可以通過對上網(wǎng)權(quán)限審計控制，對網(wǎng)絡(luò)行為審計和郵件外發(fā)審計等控制行為，可使企業(yè)內(nèi)網(wǎng)終端上網(wǎng)安全性可控［7］。設(shè)置帶寬控制系統(tǒng)，使網(wǎng)絡(luò)管理人員對實時數(shù)據(jù)流量情況能夠清晰掌握，能定位網(wǎng)絡(luò)流量的基線，從而及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)結(jié)構(gòu)

3.4 對企業(yè)內(nèi)網(wǎng)中的信息訪問進(jìn)行控制

企業(yè)內(nèi)網(wǎng)業(yè)務(wù)繁忙，各終端難免隨時要進(jìn)行各種外接設(shè)備的應(yīng)用，同時為各種網(wǎng)絡(luò)應(yīng)用需要打開系統(tǒng)的多個接口。比如企業(yè)中使用最廣泛的即插即用設(shè)備，便捷攜帶可以很容易的將大量所需的重要數(shù)據(jù)轉(zhuǎn)移，但同時U盤木馬也可以輕而易舉地通過該設(shè)備帶進(jìn)內(nèi)網(wǎng)，這就給內(nèi)網(wǎng)安全埋下了巨大的隱患。所以在內(nèi)網(wǎng)中，要對終端上的各種外設(shè)和接口進(jìn)行管理。比如禁用系統(tǒng)的外設(shè)和接口，防止用戶非法使用。在外部存儲設(shè)備的禁用方面，在禁止使用通用移動存儲設(shè)備的同時，對經(jīng)過認(rèn)證的移動存儲設(shè)備允許使用。管理系統(tǒng)還可以對終端用戶的文8件操作控制，比如通過文件加密等功能，徹底解決在信息訪問過程中帶來的安全隱患。

3.5 對企業(yè)資產(chǎn)進(jìn)行嚴(yán)格控制與管理

隨著企業(yè)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，軟硬件設(shè)備都會面臨不斷被更新或淘汰。所以對于硬件資產(chǎn)，要詳細(xì)記錄用戶計算機(jī)的硬件配置，如內(nèi)存、處理器類型、處理器速度、處理器個數(shù)、數(shù)學(xué)協(xié)處理器、總線類型等參數(shù)，以方便管理員對內(nèi)網(wǎng)中計算機(jī)硬件資產(chǎn)進(jìn)行統(tǒng)計歸檔。對于軟件資產(chǎn)，要詳細(xì)記錄用戶計算機(jī)上安裝的所有軟件，定時分析終端計算機(jī)安裝的軟件信息，并通過多種條件進(jìn)行查詢和統(tǒng)計。由管理員對其審核，及時發(fā)現(xiàn)用戶安裝的不安全軟件，減少內(nèi)網(wǎng)中潛在的安全隱患，避免不必要的法律糾紛。

基于上述研究搭建的內(nèi)網(wǎng)安全體系能夠使企業(yè)內(nèi)網(wǎng)真正做到可管理、可信任和可控制，具有一定的可行性和可操作性，能夠基本解決企業(yè)內(nèi)網(wǎng)存在的四類主要問題，能夠滿足當(dāng)前市場需要，具有一定的應(yīng)用前景。

4 結(jié)束語

當(dāng)前，內(nèi)網(wǎng)安全已經(jīng)成為信息安全的焦點問題，內(nèi)網(wǎng)安全技術(shù)和標(biāo)準(zhǔn)也在發(fā)展與成熟的過程中，隨著企業(yè)對于安全性認(rèn)識的不斷加深，融合多項技術(shù)方案的內(nèi)網(wǎng)安全解決體系建設(shè)將成為內(nèi)網(wǎng)安全的主要發(fā)展目標(biāo)。

［1］陸英南.企業(yè)內(nèi)網(wǎng)安全管理策略研究［J］.電腦知識與技術(shù)，2008（8）：23-25.

［2］吳鈺鋒，劉泉，李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用［J］.真空電子技術(shù)，2004（6）：34-36.

［3］ANDREW ST.計算機(jī)網(wǎng)絡(luò)［M］.4版.潘愛民，譯.北京：清華大學(xué)出版社，2008：59-63.

［4］李碩.網(wǎng)絡(luò)安全威脅因素及其常見網(wǎng)絡(luò)安全技術(shù)分析［J］.信息與電腦：理論版，2012（8）：15-16.

［5］楊義先，鈕心忻.網(wǎng)絡(luò)安全理論與技術(shù)［M］.北京：人民郵電出版社，2003：76-89.

［6］李海泉，李健.計算機(jī)系統(tǒng)安全技術(shù)［M］.北京：人民郵電出版社，2001：73-79.

［7］MOHAN A.數(shù)字簽名［M］.賀軍，譯.北京：清華大學(xué)出版社，2003：29-31.