技術(shù)與管理并重提高內(nèi)網(wǎng)安全

衛(wèi)徐剛　王　峰　張　靜　相榮娜

摘要：在所有的網(wǎng)絡(luò)安全事件中，從調(diào)查情況看超過70％是發(fā)生在內(nèi)網(wǎng)上的，隨著網(wǎng)絡(luò)不斷發(fā)展，這一比例仍將不斷增長。內(nèi)網(wǎng)安全面臨著前所未有的挑戰(zhàn)。本文從加強(qiáng)安全技術(shù)和提高管理水平兩方面，探討加強(qiáng)內(nèi)網(wǎng)安全的一些措施。

關(guān)鍵詞：技術(shù)；管理；內(nèi)網(wǎng)安全

引言

網(wǎng)絡(luò)沒有絕對的安全。只有相對的安全，這與互聯(lián)網(wǎng)設(shè)計(jì)本身有一定關(guān)系。現(xiàn)在我們能做的只是盡最大的努力，使網(wǎng)絡(luò)相對安全。在已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件中，有超過70％是發(fā)生在內(nèi)網(wǎng)上的，內(nèi)網(wǎng)資源的誤用、濫用和惡用，是內(nèi)網(wǎng)面臨的最大的三大威脅。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展。內(nèi)網(wǎng)安全將面臨著前所未有的挑戰(zhàn)。

一、網(wǎng)絡(luò)安全含義

網(wǎng)絡(luò)安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

二、內(nèi)外網(wǎng)絡(luò)安全的區(qū)別

建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。而常規(guī)安全防御理念往往局限于網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界等方面的防御。隨著越來越多安全事件由內(nèi)網(wǎng)引發(fā)，內(nèi)網(wǎng)安全也成了大家關(guān)注的焦點(diǎn)。

外網(wǎng)安全主要防范外部入侵或者外部非法流量訪問，技術(shù)上也以防火墻、入侵檢測等防御角度出發(fā)的技術(shù)為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細(xì)得多。同時技術(shù)上內(nèi)網(wǎng)安全通常采用的是加固技術(shù)，比如設(shè)置訪問控制、身份管理等。

三、內(nèi)網(wǎng)安全技術(shù)防范措施

內(nèi)網(wǎng)安全首先應(yīng)采用技術(shù)方法，有效保護(hù)內(nèi)網(wǎng)核心業(yè)務(wù)的安全。

1關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器，建立可靠的無線訪問。

2限制VPN的訪問，為合作網(wǎng)絡(luò)建立內(nèi)網(wǎng)型的邊界防護(hù)。

3在邊界展開黑客防護(hù)措施，建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

4建立安全過客訪問，重點(diǎn)保護(hù)重要資源。

另外在技術(shù)上采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等措施也不可缺少。

四、內(nèi)網(wǎng)安全管理措施

內(nèi)網(wǎng)安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。而內(nèi)網(wǎng)90％以上的組成為客戶端，所以對客戶端的管理當(dāng)之無愧地成為內(nèi)網(wǎng)安全的重中之重，目前內(nèi)網(wǎng)客戶端存在的問題主要包括以下幾點(diǎn)：

1非法外聯(lián)問題

通常情況下，內(nèi)網(wǎng)(Intranet)和外網(wǎng)(Internet)之間有防火墻、防病毒墻等安全設(shè)備保障內(nèi)網(wǎng)的安全性。但若內(nèi)部人員使用撥號、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內(nèi)、外網(wǎng)之間的防護(hù)屏障，順利侵入非法外聯(lián)的計(jì)算機(jī)，盜竊內(nèi)網(wǎng)的敏感信息和機(jī)密數(shù)據(jù)，甚至利用該機(jī)作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務(wù)器，導(dǎo)致整個內(nèi)網(wǎng)工作癱瘓。

2使用軟件違規(guī)問題

內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)，還有可能惹來知識產(chǎn)權(quán)的麻煩。有些內(nèi)部人員出于好奇心或者惡意破壞的目的，在內(nèi)部計(jì)算機(jī)上安裝使用黑客軟件，從內(nèi)部發(fā)起攻擊。還有些內(nèi)部人員安全意識淡薄，不安裝指定的防毒軟件等。這些行為都對內(nèi)網(wǎng)安全構(gòu)成了極大的威脅。

3計(jì)算機(jī)外部設(shè)備管理

如果不加限制地讓內(nèi)部人員在內(nèi)網(wǎng)計(jì)算機(jī)上安裝、使用可移動的存儲設(shè)備如光驅(qū)、USB接口的閃盤、移動硬盤、數(shù)碼相機(jī)等。將會通過移動存儲介質(zhì)間接地與外網(wǎng)進(jìn)行數(shù)據(jù)交換，導(dǎo)致病毒的傳入或者敏感信息、機(jī)密數(shù)據(jù)的傳播與泄漏。

建立可控、可信內(nèi)部網(wǎng)絡(luò)，管理好客戶端，我們必須從以下幾方面著手：

1完善規(guī)章制度

因?yàn)楣芾淼闹贫然潭葮O大地影響著整個網(wǎng)絡(luò)信息系統(tǒng)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。

2建立適用的資產(chǎn)、信息管理

對接入內(nèi)網(wǎng)的計(jì)算機(jī)的用戶信息進(jìn)行登記注冊。在發(fā)生安全事件時能夠以最快速度定位到具體的用戶，對于未進(jìn)行登記注冊的將其隔離；收集客戶端與安全相關(guān)的一些系統(tǒng)信息，包括：操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁、軟硬件變動等信息，同時針對這些收集的信息進(jìn)行統(tǒng)計(jì)和分析，了解內(nèi)網(wǎng)安全狀況。

3加強(qiáng)客戶端進(jìn)程、外圍設(shè)備的有效管理

對搜集來的計(jì)算機(jī)軟、硬件信息，形成內(nèi)網(wǎng)計(jì)算機(jī)的軟件資產(chǎn)報表，從而使管理員了解各計(jì)算機(jī)軟、硬件及變化信息。及時發(fā)現(xiàn)安全隱患并予以解決。同時，配置軟件運(yùn)行預(yù)案，指定內(nèi)網(wǎng)計(jì)算機(jī)必須運(yùn)行的軟件和禁止運(yùn)行的軟件，從而對計(jì)算機(jī)的軟件運(yùn)行情況進(jìn)行檢查，對未運(yùn)行必須軟件的情況發(fā)出報警，終止已運(yùn)行的禁用軟件的進(jìn)程。

結(jié)束語

總的來說，只有提高技術(shù)防范水平。完善管理制度，才能建立可控、可信的內(nèi)部安全網(wǎng)絡(luò)，使內(nèi)網(wǎng)環(huán)境達(dá)到相對安全。