加強內(nèi)部網(wǎng)絡(luò)安全管理淺談

羅黎明 (長江大學(xué)網(wǎng)絡(luò)信息中心,湖北荊州434023)

目前,在我國的各個行業(yè)系統(tǒng)中,都有大量的技術(shù)和業(yè)務(wù)機密數(shù)據(jù)信息存儲在計算機和網(wǎng)絡(luò)中。為了有效地保護這些機密數(shù)據(jù)信息,很多企事業(yè)單位采取了相應(yīng)防范措施,在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)2套網(wǎng)絡(luò)體系,其中1套僅用于內(nèi)部員工資源共享,稱為內(nèi)部網(wǎng)絡(luò);另1套則用于連接互聯(lián)網(wǎng)檢索資料,稱為外部網(wǎng)絡(luò),并案按照國家有關(guān)規(guī)定實行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離。由于內(nèi)部網(wǎng)絡(luò)的多應(yīng)用、涉密信息分散等特點,各種網(wǎng)絡(luò)安全產(chǎn)品通常只能解決部分內(nèi)部網(wǎng)絡(luò)安全威脅問題,沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。為此,筆者對內(nèi)部網(wǎng)絡(luò)安全威脅進行分析,并提出加強內(nèi)部網(wǎng)絡(luò)安全的相關(guān)措施。

1 內(nèi)部網(wǎng)絡(luò)存在的安全威脅

目前,內(nèi)部網(wǎng)絡(luò)存在許多安全威脅,具體表現(xiàn)為如下幾點:①為了方便使用,內(nèi)部網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)一般是不加密的,用戶直接面對數(shù)據(jù)庫對服務(wù)器進行操作,這給別有用心者提供了竊取或破壞機密數(shù)據(jù)的機會。②眾多的使用者擁有不同的權(quán)限,導(dǎo)致管理困難,使系統(tǒng)容易遭到口令和越權(quán)操作的攻擊。③由于人們對口令不重視,使用諸如生日、姓名等作為口令,因而在內(nèi)部網(wǎng)絡(luò)中,黑客的口令破解程序很容易奏效。④內(nèi)部網(wǎng)絡(luò)擁有許多不同的系統(tǒng)平臺,因而可能存在許多系統(tǒng)漏洞,由于對內(nèi)部網(wǎng)絡(luò)安全不夠重視,導(dǎo)致大量漏洞沒有及時打上補丁。此外,由于涉密信息不僅僅限于服務(wù)器,同時也分布于各個工作計算機中,而目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。

2 加強內(nèi)部網(wǎng)絡(luò)安全管理的措施

由于存在上述內(nèi)部網(wǎng)絡(luò)安全威脅,因而如何保護內(nèi)部網(wǎng)絡(luò)成為目前網(wǎng)絡(luò)安全研究者的重要課題。筆者根據(jù)多年內(nèi)部網(wǎng)絡(luò)安全管理經(jīng)驗,提出如下加強內(nèi)部網(wǎng)絡(luò)安全的措施。

2.1 使用性能優(yōu)良的網(wǎng)絡(luò)安全產(chǎn)品

網(wǎng)絡(luò)安全產(chǎn)品是各種安全策略執(zhí)行載體。對網(wǎng)絡(luò)安全產(chǎn)品的選擇應(yīng)該建立在相關(guān)網(wǎng)絡(luò)安全產(chǎn)品能夠相互協(xié)同工作的基礎(chǔ)上,即實現(xiàn)防火墻、IDS、病毒防護系統(tǒng)、信息審計系統(tǒng)等的互通與聯(lián)動,以實現(xiàn)最大程度的內(nèi)部網(wǎng)絡(luò)安全保證。

2.2 具備完善的內(nèi)部網(wǎng)絡(luò)安全技術(shù)

內(nèi)部網(wǎng)絡(luò)安全技術(shù)包括以下3個方面:①攻擊檢測技術(shù)。該技術(shù)包括不斷地自動監(jiān)視目錄、檢查用戶權(quán)限和用戶組帳戶有無變更、監(jiān)視服務(wù)器檢查有無可疑的文件活動等。②攻擊防范技術(shù)。網(wǎng)絡(luò)中使用的一些應(yīng)用層協(xié)議 (如H TTP、Telnet等),其中的用戶名和密碼的傳遞采用明文傳遞的方式,極易被竊聽和獲取。因而對于機密數(shù)據(jù)安全保護理想方法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術(shù),同時采用安全的密鑰分發(fā)技術(shù),這樣既防止用戶對業(yè)務(wù)的否認和抵賴,同時又防止數(shù)據(jù)遭到竊聽后被破解,保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。③攻擊后恢?fù)技術(shù)。首先是數(shù)據(jù)的安全存儲和備份,在發(fā)現(xiàn)遭受攻擊后可以利用備份進行數(shù)據(jù)快速恢復(fù);針對WWW服務(wù)器網(wǎng)頁安全問題,實施對Web文件內(nèi)容的實時監(jiān)控,一旦發(fā)現(xiàn)被非法篡改,可及時報警并自動恢復(fù),同時形成監(jiān)控和恢復(fù)日志,并提供友好的用戶界面以便用戶查看使用,從而有效地保證Web文件的完整性和真實性。

2.3 培訓(xùn)高素質(zhì)的安全管理人員

性能優(yōu)良的網(wǎng)絡(luò)安全產(chǎn)品和完善的內(nèi)部網(wǎng)絡(luò)安全技術(shù)必須由高素質(zhì)的安全管理人員來進行有效使用。高素質(zhì)的安全管理員能夠隨時掌握網(wǎng)絡(luò)安全的最新動態(tài)、實時監(jiān)控網(wǎng)絡(luò)上的用戶行為、保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全、對可能存在的網(wǎng)絡(luò)威脅有一定的預(yù)見能力并采取相應(yīng)的應(yīng)對措施,同時對已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為能夠在最短的時間內(nèi)作出反應(yīng),使企業(yè)損失減少到最低程度。因此,應(yīng)當(dāng)重視內(nèi)部網(wǎng)絡(luò)安全管理人員的培訓(xùn),使之成為高素質(zhì)的網(wǎng)絡(luò)安全管理人員。

2.4 建立完善的內(nèi)部網(wǎng)絡(luò)安全制度

國際上,以ISO17799/BSI7799為基礎(chǔ)的信息安全管理體系已經(jīng)確立并被廣泛采用,企業(yè)可以此為標(biāo)準(zhǔn)開展內(nèi)部網(wǎng)絡(luò)安全制度的建立工作,從而做到有法可依、有據(jù)可查、有功必獎、有過必懲,最大限度地提高員工的內(nèi)部網(wǎng)絡(luò)安全意識。應(yīng)當(dāng)具體明確企業(yè)領(lǐng)導(dǎo)、安全管理員、財物人員、采購人員、銷售人員和其他辦公人員的內(nèi)部網(wǎng)絡(luò)安全職責(zé)。內(nèi)部網(wǎng)絡(luò)安全管理應(yīng)當(dāng)由企業(yè)高層掛帥,由專職的安全管理員負責(zé)安全設(shè)備的管理與維護。此外,各個單位還應(yīng)形成定期的內(nèi)部網(wǎng)絡(luò)安全評審機制。

3 結(jié) 語

要解除內(nèi)部網(wǎng)絡(luò)安全威脅,在做好邊界防護的同時,更要加強內(nèi)部網(wǎng)絡(luò)安全管理。所以,應(yīng)該使用性能優(yōu)良的網(wǎng)絡(luò)安全產(chǎn)品,完善內(nèi)部網(wǎng)絡(luò)安全技術(shù),培訓(xùn)高素質(zhì)的安全管理人員,建立完善的內(nèi)部網(wǎng)絡(luò)安全制度。只有采取上述措施,才能真正建立完備的內(nèi)部網(wǎng)絡(luò)安全體系。