郭登明

【摘 要】本文分析了解影響內(nèi)網(wǎng)安全的行為，并提出了相應(yīng)的安全策略。

【關(guān)鍵詞】內(nèi)網(wǎng)；安全；策略

隨著企業(yè)管理信息化和網(wǎng)絡(luò)化的發(fā)展，企業(yè)中的各種信息都通過網(wǎng)絡(luò)進(jìn)行傳遞，因此如何保證企業(yè)內(nèi)網(wǎng)信息的安全，已經(jīng)越來越引起人們的重視。談到網(wǎng)絡(luò)安全，大部分人的思維還停留在病毒破壞和黑客攻擊上，習(xí)慣于傾向外部入侵的防御，強化安全設(shè)備的部署和優(yōu)化等，往往會忽略來自于網(wǎng)絡(luò)內(nèi)部的安全隱患。從目前公開報道的網(wǎng)絡(luò)泄密案件來看，85%信息風(fēng)險來自內(nèi)部，由于內(nèi)部員工保密意識的薄弱，或者惡意泄露，這些都給企業(yè)帶來了信息的安全隱患。只有從數(shù)據(jù)源頭保護(hù)了數(shù)據(jù)的安全才能真正的保證企業(yè)核心信息的安全。

一、企業(yè)內(nèi)網(wǎng)存在的安全隱患：

企業(yè)內(nèi)網(wǎng)存在的安全隱患一般存在如下幾個方面：

1.明文保存

目前，多數(shù)企業(yè)內(nèi)部的文件都是以明文保存，僅限制瀏覽文件的用戶。如果不加密，則進(jìn)行再多的防范都是不可靠的，同樣會泄密?，F(xiàn)在有很多手段防止文檔非法拷貝，如堵塞電腦的USB接口，檢查電子郵件發(fā)送，但是，只要是明文的文檔，泄密的途徑就防不勝防，變換明文為密文后通過郵件傳輸、手機(jī)紅外線傳輸、拷屏、錄屏、拆開計算機(jī)直接掛上硬盤拷貝等；

2.粗放的權(quán)限控制

內(nèi)部涉密文檔的訪問缺少權(quán)限控制，對于公司的重要資料無法限制內(nèi)部員工的傳閱、使用方式、使用次數(shù)、及使用時間的限制。這將導(dǎo)致公司的核心信息資產(chǎn)一旦共享給員工后再無法控制員工對文件的使用范圍；

3.內(nèi)部工作人員故意泄密

內(nèi)部工作人員為了經(jīng)濟(jì)利益或其它因素，將企業(yè)內(nèi)部的涉密資料故意傳播出去；

4.不良的網(wǎng)絡(luò)行為造成的無意識泄密

終端用戶網(wǎng)絡(luò)行為是企業(yè)安全威脅的重要因素。無限制的瀏覽網(wǎng)站，下載文件極易使終端感染病毒、木馬，從而造成無意識的泄密。

二、企業(yè)內(nèi)網(wǎng)安全策略的分級實現(xiàn)：

針對以上分析，我們認(rèn)為，企業(yè)內(nèi)網(wǎng)的安全策略應(yīng)該從應(yīng)用層和系統(tǒng)架構(gòu)兩個方面去建立。應(yīng)用層面主要是保證數(shù)據(jù)存儲的安全可靠，系統(tǒng)架構(gòu)是為了保證數(shù)據(jù)的傳輸安全。

1.完善應(yīng)用層，保障數(shù)據(jù)安全可靠

（1）采用文檔級動態(tài)加解密技術(shù)。在不同的操作系中（如WINDOWS、LINUX、UNIX等），應(yīng)用程序在訪問存儲設(shè)備數(shù)據(jù)時，一般都通過操作系統(tǒng)提供的API 調(diào)用文件系統(tǒng)，然后文件系統(tǒng)通過存儲介質(zhì)的驅(qū)動程序訪問具體的存儲介質(zhì)。在數(shù)據(jù)從存儲介質(zhì)到應(yīng)用程序所經(jīng)過的每個路徑中，均可對訪問的數(shù)據(jù)實施加密/解密操作，可以研制出功能非常強大的文檔安全產(chǎn)品。有些文件系統(tǒng)自身就支持文件的動態(tài)加解密，如Windows系統(tǒng)中的NTFS文件系統(tǒng)，其本身就提供了EFS（Encryption File System）支持，但作為一種通用的系統(tǒng)，難以做到滿足各種用戶個性化的要求，如自動加密某些類型文件等。由于文件系統(tǒng)提供的動態(tài)加密技術(shù)難以滿足用戶的個性化需求，第三方的動態(tài)加解密產(chǎn)品可以看作是文件系統(tǒng)的一個功能擴(kuò)展，能夠根據(jù)需要進(jìn)行掛接或卸載，從而能夠滿足用戶的各種需求；

（2）采用磁盤級動態(tài)加解密技術(shù)。對于信息安全要求比較高的用戶來說，基于磁盤級的動態(tài)加解密技術(shù)才能滿足要求。在系統(tǒng)啟動時，動態(tài)加解密系統(tǒng)實時解密硬盤的數(shù)據(jù)，系統(tǒng)讀取什么數(shù)據(jù)，就直接在內(nèi)存中解密數(shù)據(jù)，然后將解密后的數(shù)據(jù)提交給操作系統(tǒng)即可。

（3）建立企業(yè)內(nèi)部的文檔系統(tǒng)，限制內(nèi)部員工的傳閱、使用方式、使用次數(shù)、及使用時間以及使用范圍。通過管理員權(quán)限設(shè)置下發(fā)文件，做到控制文件的查看次數(shù)以及時間段；

2.細(xì)化系統(tǒng)架構(gòu)，確保傳輸安全

（1）細(xì)化網(wǎng)絡(luò)劃分，內(nèi)網(wǎng)劃分為一個或者多個保密子網(wǎng)。將內(nèi)網(wǎng)劃分為一個或者多個保密子網(wǎng)，同一個保密子網(wǎng)內(nèi)部的計算機(jī)可以實現(xiàn)相互自由的數(shù)據(jù)交換（通過網(wǎng)絡(luò)或者存儲設(shè)備），不在同一個保密子網(wǎng)內(nèi)部的計算機(jī)相互之間不能進(jìn)行正常的數(shù)據(jù)交換，除非獲得管理員的授權(quán)。

通過保密子網(wǎng)的劃分，可以在保障網(wǎng)絡(luò)統(tǒng)一維護(hù)的前提下，對企業(yè)內(nèi)部不同職能部門實現(xiàn)有效的數(shù)據(jù)隔離，例如財務(wù)部和其他部門獨立開來，增加內(nèi)網(wǎng)安全級別，降低安全風(fēng)險。通過保密子網(wǎng)，還可以有效防止非法外連或者非法接入。非法外連不管是基于Modem、ADSL撥號或者雙網(wǎng)卡，都能夠有效防止；非法接入不管是通過交換機(jī)接入或者通過網(wǎng)線將兩臺計算機(jī)直連，也都能夠有效防止。不同保密子網(wǎng)（VCN）之間可以設(shè)定信任關(guān)系，從而允許他們的計算機(jī)之間進(jìn)行數(shù)據(jù)交換。

（2）服務(wù)器訪問授權(quán)。構(gòu)建安全服務(wù)器區(qū)域，受保護(hù)的服務(wù)器接入到安全網(wǎng)關(guān)后面，用戶訪問服務(wù)器要通過安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證，通過建立安全服務(wù)器區(qū)可以用來保護(hù)單位重要的應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器。僅有授權(quán)的客戶端計算機(jī)能夠訪問安全服務(wù)器區(qū)內(nèi)相應(yīng)的服務(wù)器，有效實現(xiàn)了安全授權(quán)，也實現(xiàn)了防止針對服務(wù)器的非法接入訪問。

（3）強化移動存儲設(shè)備管理。建立移動存儲設(shè)備管理系統(tǒng)實現(xiàn)對移動存儲設(shè)備的有效管理，避免出現(xiàn)非法拷貝。管理員可以設(shè)定沒有注冊的移動存儲設(shè)備（U盤或者移動硬盤等）默認(rèn)的使用策略，可選策略包括禁用（沒有注冊的磁盤禁止使用）、只讀（可以將沒注冊磁盤數(shù)據(jù)拷入到網(wǎng)內(nèi)的計算機(jī)，但不能拷出數(shù)據(jù)）或者加密讀寫（所有寫入該未注冊磁盤的數(shù)據(jù)自動加密，加密的數(shù)據(jù)只能在計算機(jī)所在的網(wǎng)內(nèi)使用）。如果移動存儲設(shè)備要在系統(tǒng)中獲得默認(rèn)策略以外的權(quán)限，則必須經(jīng)過管理員注冊，注冊的權(quán)限包括：只讀、加密讀寫和直接讀寫，并可以設(shè)定信任域是否也能夠使用。加密讀寫可以有效控制數(shù)據(jù)的安全共享范圍，并且不影響存儲設(shè)備使用的方便性。

（4）強化防火墻的管理。選擇的防火墻必須具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識別的能力，并執(zhí)行訪問控制策略，限制用戶的一些網(wǎng)絡(luò)行為。例如允許用戶使用QQ的文本聊天、語音視頻聊天但不允許進(jìn)行文件傳輸功能，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴(yán)格意義上來講應(yīng)用流量優(yōu)化（俗稱應(yīng)用QoS）不是一個屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實會導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全事件。

（5）主機(jī)監(jiān)控審計。主機(jī)監(jiān)控審計功能作為輔助，主要實現(xiàn)事后審計的功能，能夠監(jiān)督、跟蹤、記錄所有用戶的全部操作，實時查看用戶的使用情況，實現(xiàn)最高的系統(tǒng)安全?？梢詮凝嫶蟮挠涗洈?shù)據(jù)中抽取有用的信息，對用戶的某些操作進(jìn)行分類整理，通過操作記錄，回溯歷史活動，從而發(fā)現(xiàn)泄密渠道。通過跟蹤目前用戶操作，能及時發(fā)現(xiàn)用戶的危險操作，在泄密事件發(fā)現(xiàn)前就獲得警報，制止泄密事件的發(fā)生。一旦泄密事件發(fā)生后，通過用戶操作記錄， 可以第一時間拿出最有力的證據(jù)。

三、總結(jié)

內(nèi)網(wǎng)安全是一個系統(tǒng)工程，本文僅從技術(shù)層面做了一定的探討。但是，我們也應(yīng)該看到，安全管理的核心是限制人的行為。企業(yè)應(yīng)該完善規(guī)章制度，強化管理，通過行政手段做出保障。