近年來,在所有的網(wǎng)絡安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡的龐大化和復雜化,這一比例仍有增長的趨勢。

因此內(nèi)網(wǎng)安全一直是網(wǎng)絡安全建設關(guān)注的重點,但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點數(shù)量多、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。

關(guān)鍵詞:內(nèi)網(wǎng);安全;網(wǎng)絡;管理;措施　　　　

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10207-02　　　　

The Importance of Enterprise Network Security and Management Measures　　　　

ZHU Chang-yun　　　　

(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)　　　　

Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including onpne, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user apppcation level security and other reasons, has always been safe construction difficult.　　　　

Key words: intranet; security; network; management; measures　　　　

1 內(nèi)網(wǎng)安全的定義以及與外網(wǎng)安全的區(qū)別　　　　

既然要探討內(nèi)網(wǎng)安全,首先要理解內(nèi)網(wǎng)安全的含義,網(wǎng)絡安全主要包含兩部分,一個就是傳統(tǒng)網(wǎng)絡安全考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全;另一個就是內(nèi)網(wǎng)安全,它是對應于外網(wǎng)而言的。

主要是指在小范圍內(nèi)的計算機互聯(lián)網(wǎng)絡,這個“小范圍”可以是一個家庭,一所學校,或者是一家公司。

內(nèi)網(wǎng)上的每一臺電腦(或其他網(wǎng)絡設備)內(nèi)部分配得到的局域網(wǎng)IP地址在不同的局域網(wǎng)內(nèi)是可以重復的,不會相互影響。

外網(wǎng)安全的威脅模型假設內(nèi)部網(wǎng)絡都是安全可信的,威脅都來自于外部網(wǎng)絡,其途徑主要通過內(nèi)外網(wǎng)邊界出口。

所以,在外網(wǎng)安全的威脅模型假設下,只要將網(wǎng)絡邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡的安全。

也就是說,網(wǎng)絡邊界安全技術(shù)防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡服務器如HTTP或SMTP的攻擊。

網(wǎng)絡邊界防范減小了黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。

傳統(tǒng)的防火墻、人侵檢測系統(tǒng)和VPN都是基于這種思路設計和考慮的。

對眾多大型企業(yè)而言,隨著業(yè)務的發(fā)展,用戶希望ERP、OA、Intranet、互聯(lián)網(wǎng)在一張網(wǎng)上實現(xiàn),能夠同時使用有線、無線網(wǎng)絡,在一個網(wǎng)絡上實現(xiàn)Web、即時通信、協(xié)作、語音、視頻的融合。

外網(wǎng)在某種程度上已經(jīng)成為了內(nèi)網(wǎng)的一部分。

而隨著移動辦公的興起,安全的邊界越發(fā)模糊,筆記本電腦、手機都成為了企業(yè)OA網(wǎng)絡中的一部分,而這也增加了內(nèi)網(wǎng)安全的管理難度。

內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細致。

它假設內(nèi)網(wǎng)網(wǎng)絡中的任何一個終端、用戶和網(wǎng)絡都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何―個節(jié)點上。

所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡中所有組成節(jié)點和參與者進行細致的管理,實現(xiàn)―個可管理、可控制和可信任的內(nèi)網(wǎng)。

由此可見,相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點:　　　　

1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系。

2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網(wǎng)絡和使用者都進行更加具有針對性的管理。

3)對信息進行生命周期的完善管理。

2 內(nèi)網(wǎng)安全的威脅　　　　

在所有的安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡的龐大化和復雜化,這一比例仍有增長的趨勢。

因此內(nèi)網(wǎng)安全一直是網(wǎng)絡安全建設關(guān)注的重點,但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點數(shù)量多、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。

在實際應用當中,內(nèi)網(wǎng)安全的威脅主要來自以下幾個方面:　　　　

1)移動設備(筆記本電腦等)和新增設備未經(jīng)過安全過濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡。

未經(jīng)允許擅自接入電腦設備會給網(wǎng)絡帶來病毒傳播、黑客入侵等不安全因素;　　　　

2)內(nèi)部網(wǎng)絡用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡設備進行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為;　　　　

3)違反規(guī)定將專網(wǎng)專用的計算機帶出網(wǎng)絡進入到其它網(wǎng)絡;　　　　

4)網(wǎng)絡出現(xiàn)病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。

安全事件發(fā)生后,網(wǎng)管一般通過交換機、路由器或防火墻進行封堵,但設置復雜,操作風險大,而且絕大多數(shù)普通交換機并沒有被設置成SNMP可管理模式,因此不能夠方便地進行隔離操作;　　　　

5)大規(guī)模病毒(安全)事件發(fā)生后,網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡中的薄弱環(huán)節(jié),無法做到事后分析、加強安全預警;　　　　

6)靜態(tài)IP地址的網(wǎng)絡由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網(wǎng)絡中IP分配情況;　　　　

7)針對網(wǎng)絡內(nèi)部安全隱患,自動檢測網(wǎng)絡中主機的安全防范等級,進行補丁大面積分發(fā),徹底解決網(wǎng)絡中的不安全因素;　　　　

8)大型網(wǎng)絡系統(tǒng)中區(qū)域結(jié)構(gòu)復雜,不能明確劃分管理責任范圍;　　　　

9)網(wǎng)絡中計算機設備硬件設備繁多,不能做到精確統(tǒng)計。

以上問題其實可以歸到兩個基本需求:安全與管理。

安全方面,需要保證在終端方面可以提供正常工作的基礎(chǔ)IT設施即計算機是可用的;而管理方面,則保證企業(yè)或都說組織的計算機是用來工作的,規(guī)范計算機在企業(yè)網(wǎng)絡里邊的行為。

3 加強內(nèi)網(wǎng)安全管理的建議和措施　　　　

可管理的安全才是真正的安全。

雖然管理對于信息安全的重要性已經(jīng)逐漸達成共識,但如何將安全管理規(guī)章和技術(shù)手段有效的結(jié)合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰(zhàn)。

安全關(guān)注的趨勢由外而內(nèi),由邊界到主機,由分散到集中,由系統(tǒng)到應用,由通用到專用,由分離到整合,由技術(shù)到管理。

從實際工作出發(fā)和借鑒兄弟單位成功經(jīng)驗,我總結(jié)了加強內(nèi)網(wǎng)安全的措施如下:　　　　

1)按照企業(yè)的管理框架,根據(jù)不同的業(yè)務部門或子公司劃成了不同的虛擬網(wǎng)(Vlan)。

通過劃分虛擬網(wǎng),可以把廣播限制在各個虛擬網(wǎng)的范圍內(nèi),從而減少整個網(wǎng)絡范圍內(nèi)廣播包的傳輸,提高了網(wǎng)絡的傳輸效率,同時,由于各虛擬網(wǎng)之間不能直接進行通訊,而必須通過路由器轉(zhuǎn),為高級的安全控制提供了可能,增強了網(wǎng)絡的安全性,也給管理帶來了極大的方便性。

特別是核心業(yè)務和重要部門根據(jù)安全的需要劃成了不同的虛擬網(wǎng),采用完全隔離或者相對隔離的措施,保證了核心業(yè)務和重要部門的安全性。

2)對企業(yè)網(wǎng)絡的物理線路進行規(guī)范化管理。

按照區(qū)域、樓層、配線間、房間、具體位置規(guī)范化管理編號的原則,把所有的網(wǎng)絡線路編號,套上清晰的線標,配置可網(wǎng)管的交換機。

同時對交換機、配線架、電腦等設備的物理配置、存放的具體位置以及電腦的軟件系統(tǒng)和系統(tǒng)配置等基礎(chǔ)數(shù)據(jù)進行詳細的登記,同時還對IP地址進行統(tǒng)一管理,把電腦的IP地址、MAC地址、使用人和各種基礎(chǔ)數(shù)據(jù)進行關(guān)聯(lián),當網(wǎng)絡或者電腦發(fā)生故障時,網(wǎng)管們能夠通過基礎(chǔ)數(shù)據(jù)管理系統(tǒng)實現(xiàn)快速定位、快速排查故障,極大地提高了網(wǎng)管們解決故障的工作效率。

3)部署桌面安全管理系統(tǒng)。

企業(yè)部署一套桌面安全策略管理系統(tǒng),是一個面向IT領(lǐng)域建設的專業(yè)安全解決方案。

它采用集成化網(wǎng)絡安全防衛(wèi)體系,通過多種技術(shù)手段的融合幫助整個企業(yè)有效達成在物理訪問、鏈路傳輸、操作系統(tǒng)、業(yè)務應用、數(shù)據(jù)保護、網(wǎng)間訪問和人員管理等方面的安全策略制定、自動分發(fā)和自動實現(xiàn),減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。

終端安全管理是基礎(chǔ),它解決了終端計算機經(jīng)常為病毒、木馬困擾的問題,幫助管理員智能安裝系統(tǒng)與應用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權(quán)管理與控制”。

4)部署防病毒系統(tǒng)。

病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業(yè)防病毒系統(tǒng)是最有效的解決辦法。

防毒系統(tǒng)內(nèi)嵌病毒掃描和清除、個人防火墻、安全風險檢測與刪除,可以檢測、隔離、刪除和消除或修復間諜軟件、廣告軟件、撥號程序、黑客工具、玩笑程序等多種安全風險造成的負面影響。

通過防毒系統(tǒng)中心控制臺可以集中管理客戶端,統(tǒng)一部署防護策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒。

另外,還可以通過病毒隔離區(qū)控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離。

5)部署網(wǎng)絡管理系統(tǒng)。

隨著企業(yè)網(wǎng)絡規(guī)模的擴大,交換機、服務器的數(shù)量也逐漸增多,如何管理監(jiān)控重點設備、服務器的運行情況,不是一件容易的事。

為此部署一套網(wǎng)絡管理系統(tǒng),可對網(wǎng)絡、系統(tǒng)以及應用進行全面的監(jiān)視。

它可以提供完整的故障管理和性能管理功能,能自動發(fā)現(xiàn)網(wǎng)絡主動監(jiān)視網(wǎng)絡、系統(tǒng)和服務器并將關(guān)鍵參數(shù)保存在數(shù)據(jù)庫中。

通過綜合控制臺可實現(xiàn)對路由器、交換機、服務器、URL、UPS無線設備以及打印機等性能的監(jiān)視,不僅提供了網(wǎng)絡設備的多種視圖,而且將收集的信息以豐富的圖、報表形式呈現(xiàn)給操作者。

6)部署安全管理系統(tǒng)(SOC)。

為了讓管理人員能夠?qū)崟r了解網(wǎng)絡中動態(tài)和事件,滿足不斷變化的網(wǎng)絡安全管理(網(wǎng)絡設備、服務器、應用程序、應用服務、安全設備、操作系統(tǒng)、數(shù)據(jù)庫、機房環(huán)境等發(fā)生的故障、超閥值行為、安全事件統(tǒng)稱為網(wǎng)絡安全問題)的要求,需要有一套專門的安全管理系統(tǒng)來完成。

網(wǎng)絡管理系統(tǒng)是從事件驅(qū)動的目的出發(fā)強調(diào)系統(tǒng)運維、系統(tǒng)故障處理和加強網(wǎng)絡的性能三個方面的內(nèi)容。

與網(wǎng)絡管理系統(tǒng)不同,安全管理系統(tǒng)最重要的是對威脅的管理,它的側(cè)重點關(guān)注在三個層次上:資產(chǎn)層面,關(guān)注安全威脅對業(yè)務及資產(chǎn)的影響;威脅層面了解哪些威脅會影響業(yè)務及資產(chǎn);防護措施層面怎樣防護威脅,保護業(yè)務及資產(chǎn)。

一句話概括,就是安全管理是從保護業(yè)務及資產(chǎn)的層面進行的風險管理。

7)部署垃圾郵件防火墻。

隨著電子郵件的普及,電子郵件的作用也越發(fā)重要,但是垃圾郵件卻是件令人煩惱的事,嚴重干擾了郵件收發(fā)的正常工作。

為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。

垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。

8)對重要資料進行備份。

在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大,實際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

為了維護企業(yè)內(nèi)網(wǎng)的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進而蒙受重大損失。

對數(shù)據(jù)的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。

目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數(shù)據(jù)的安全。

9)密鑰管理。

在現(xiàn)實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。

以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。

這個破譯過程是由程序來完成的。

大概十幾個小時就可以把字典里的單詞都完成。

如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環(huán)節(jié)和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd。

然后用專用的破解DES加密算法的程序來解析口令。

在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理,如口令的位數(shù)盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統(tǒng)上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數(shù)字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。

沒有規(guī)律的口令具有較好的安全性。

4 結(jié)束語　　　　

當然為了更好地解決內(nèi)網(wǎng)的安全問題,需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。

七分管理,三分技術(shù)。

管理是企業(yè)網(wǎng)絡安全的核心,技術(shù)是安全管理的保證。

只有制定完整的規(guī)章制度、行為準則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡系統(tǒng)的安全才會有最大的保障。