企業(yè)內(nèi)網(wǎng)安全管理與對(duì)策

張居庫(kù) 程輝

[摘 要] 網(wǎng)絡(luò)應(yīng)用飛速發(fā)展，網(wǎng)病毒、木馬及其他惡意入侵給企業(yè)內(nèi)網(wǎng)帶來(lái)日益嚴(yán)重的威脅。保障企業(yè)內(nèi)網(wǎng)安全、保證企業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行越來(lái)越得到企業(yè)的高度重視。本文在分析企業(yè)內(nèi)網(wǎng)安全現(xiàn)狀的基礎(chǔ)上，提出了合理劃分安全域、計(jì)算機(jī)病毒防治、上網(wǎng)行為管理、端點(diǎn)準(zhǔn)入和身份認(rèn)證等管理對(duì)策，以加強(qiáng)企業(yè)內(nèi)網(wǎng)安全、保證企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行。

[關(guān)鍵詞] 內(nèi)網(wǎng)；威脅；安全；策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 16. 034

[中圖分類(lèi)號(hào)] F272.7 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）16- 0055- 03

0 前 言

高速發(fā)展的網(wǎng)絡(luò)技術(shù)大大提高了企業(yè)的生產(chǎn)及辦公效率，同時(shí)也帶來(lái)了病毒感染、安全漏洞及惡意入侵等網(wǎng)絡(luò)信息安全問(wèn)題。根據(jù)CSI/FBI 2009年計(jì)算機(jī)安全調(diào)查數(shù)據(jù)表明，在企業(yè)網(wǎng)絡(luò)安全事件中80%以上發(fā)生在企業(yè)內(nèi)部。

企業(yè)越來(lái)越重視內(nèi)網(wǎng)安全問(wèn)題，企業(yè)在內(nèi)網(wǎng)安防項(xiàng)目上的投入也在不斷增加，但我國(guó)仍有60%以上的企業(yè)計(jì)算機(jī)處于“高度風(fēng)險(xiǎn)”級(jí)別，每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億元，內(nèi)網(wǎng)威脅仍是企業(yè)信息化發(fā)展急需解決的問(wèn)題。如何解決企業(yè)內(nèi)網(wǎng)威脅，積極應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)安全問(wèn)題，有效保護(hù)企業(yè)內(nèi)部信息安全，仍然是企業(yè)信息安全人員研究的重要課題。

1 什么是企業(yè)內(nèi)網(wǎng)安全

通常以企業(yè)內(nèi)部局域網(wǎng)邊界為限劃分為企業(yè)外網(wǎng)與內(nèi)網(wǎng)，外網(wǎng)與內(nèi)網(wǎng)物理隔離或者將內(nèi)部通過(guò)統(tǒng)一網(wǎng)關(guān)接入外網(wǎng)并在網(wǎng)關(guān)處架設(shè)防火墻等安全監(jiān)控設(shè)備，企業(yè)內(nèi)網(wǎng)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成，企業(yè)內(nèi)網(wǎng)安全指的是企業(yè)內(nèi)部局域網(wǎng)的信息安全。

2 企業(yè)內(nèi)網(wǎng)的安全現(xiàn)狀

2.1 用戶(hù)區(qū)域劃分單一

企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶(hù)域?qū)觿澐謫我?，所有用?hù)在內(nèi)部網(wǎng)絡(luò)中的地位是平等的，且部分企業(yè)虛擬網(wǎng)絡(luò)劃分不合理，有時(shí)僅僅按照物理位置進(jìn)行劃分，所有服務(wù)器、終端都處于同一網(wǎng)絡(luò)區(qū)域內(nèi)，沒(méi)有進(jìn)行安全等級(jí)劃分，一旦受到攻擊，該區(qū)域內(nèi)所有設(shè)備都將受到威脅。

2.2 威脅多樣化

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全面臨著各種威脅，主要包括自然的、意外的威脅和人為故意的威脅（如惡意軟件、黑客攻擊等）。

企業(yè)內(nèi)網(wǎng)與外網(wǎng)相連接，易受到人為故意的威脅。惡意軟件、黑客攻擊是較常見(jiàn)的網(wǎng)絡(luò)安全攻擊方式，惡意軟件（如病毒、蠕蟲(chóng)、木馬等）在不斷變種，操作系統(tǒng)和應(yīng)用程序的漏洞成為惡意入侵的主要目標(biāo)。

無(wú)線(xiàn)局域網(wǎng)、藍(lán)牙、即時(shí)通信、移動(dòng)終端等新技術(shù)在企業(yè)生產(chǎn)與管理中的廣泛應(yīng)用，在一定程度上擴(kuò)大了企業(yè)網(wǎng)絡(luò)安全的威脅源。

2.3 網(wǎng)絡(luò)準(zhǔn)入缺乏有效控制

隨著業(yè)務(wù)的不斷擴(kuò)展，外來(lái)客戶(hù)和合作伙伴接入企業(yè)內(nèi)網(wǎng)的幾率越來(lái)越高。由于不能及時(shí)地對(duì)相關(guān)人員的計(jì)算機(jī)設(shè)備進(jìn)行安全檢查，容易由外來(lái)的計(jì)算機(jī)設(shè)備將病毒、木馬等帶入企業(yè)內(nèi)部網(wǎng)絡(luò)，內(nèi)網(wǎng)安全的威脅幾率增加。同時(shí)，對(duì)外來(lái)人員安全監(jiān)控的缺失，也會(huì)造成企業(yè)內(nèi)部資料的泄露等情況，企業(yè)內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制管理亟待完善。

2.4 內(nèi)網(wǎng)用戶(hù)安全意識(shí)薄弱

由于企業(yè)內(nèi)部員工信息安全意識(shí)淡薄，他們常常在計(jì)算機(jī)上設(shè)置弱口令，使得系統(tǒng)密碼形同虛設(shè)；U盤(pán)、移動(dòng)硬盤(pán)、MP3、手機(jī)存儲(chǔ)卡、數(shù)碼相機(jī)記憶棒等在工作中無(wú)限制使用；企業(yè)涉密信息被私自下載、保存；工作時(shí)間使用企業(yè)電腦炒股、玩游戲、觀(guān)看在線(xiàn)視頻、瀏覽非法或不健康網(wǎng)站等這些不規(guī)范行為，不僅會(huì)造成企業(yè)局域網(wǎng)的堵塞，影響企業(yè)業(yè)務(wù)的開(kāi)展，又可能導(dǎo)致病毒、木馬等惡意軟件被非法下載進(jìn)入企業(yè)局域網(wǎng)內(nèi)，為企業(yè)帶來(lái)嚴(yán)重的安全隱患。

2.5 系統(tǒng)存在安全隱患

系統(tǒng)的安全問(wèn)題主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及各類(lèi)應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。目前大部分企業(yè)使用的操作系統(tǒng)仍然以微軟的Windows系列為主，這些操作系統(tǒng)都存在已知和未知的系統(tǒng)漏洞。國(guó)際上的一些安全組織已經(jīng)發(fā)布大量的系統(tǒng)安全漏洞信息，其中，有些系統(tǒng)漏洞可以導(dǎo)致入侵者獲得管理員權(quán)限，有些漏洞可以被黑客用來(lái)實(shí)施拒絕服務(wù)攻擊，還有些漏洞則成為病毒攻擊的對(duì)象。重視和防范系統(tǒng)的安全風(fēng)險(xiǎn)也是內(nèi)網(wǎng)安全管理的重要任務(wù)。

3 企業(yè)內(nèi)網(wǎng)安全管理策略

3.1 合理劃分安全域

可以根據(jù)企業(yè)整體安全規(guī)劃和信息安全級(jí)別，對(duì)企業(yè)內(nèi)網(wǎng)合理劃分安全域，從邏輯上劃分核心點(diǎn)防范區(qū)域、一般防范區(qū)域和開(kāi)放區(qū)域，不同等級(jí)的安全域采用不同的安全手段。核心點(diǎn)防范區(qū)域需要設(shè)置很高的安全級(jí)別，一般用戶(hù)不允許直接訪(fǎng)問(wèn)，重要的服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等應(yīng)放置在該區(qū)域，各類(lèi)應(yīng)用系統(tǒng)在該區(qū)域運(yùn)行。

3.2 終端計(jì)算機(jī)病毒防治

終端計(jì)算機(jī)往往是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且絕大多數(shù)的攻擊事件都是從終端發(fā)起的，所以終端計(jì)算機(jī)安全防護(hù)與管理是必要的。通過(guò)防病毒、文檔保護(hù)、安全審計(jì)及用戶(hù)管理等方法和手段的部署或?qū)嵤?，降低終端計(jì)算機(jī)病毒和木馬發(fā)生幾率，提升終端計(jì)算機(jī)抵御安全威脅的能力。

3.3 補(bǔ)丁分發(fā)管理

操作系統(tǒng)或者應(yīng)用程序存在的系統(tǒng)漏洞既為各類(lèi)惡意軟件的傳播提供了極好的機(jī)會(huì)，同時(shí)也成為網(wǎng)絡(luò)黑客攻擊的目標(biāo)。攻擊者首先通過(guò)掃描工具發(fā)現(xiàn)系統(tǒng)漏洞，然后利用相應(yīng)的攻擊工具對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊，這種攻擊模式簡(jiǎn)單易行且危害極大。消除系統(tǒng)漏洞的主要辦法就是安裝軟件補(bǔ)丁。因此，補(bǔ)丁的分發(fā)管理越來(lái)越成為企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理的一個(gè)重要環(huán)節(jié)。

利用網(wǎng)絡(luò)掃描與主機(jī)掃描兩種模式對(duì)系統(tǒng)進(jìn)行漏洞掃描，掃描完成后根據(jù)掃描結(jié)果自動(dòng)對(duì)系統(tǒng)漏洞下發(fā)補(bǔ)丁并報(bào)警。

通過(guò)補(bǔ)丁分發(fā)管理，可以對(duì)企業(yè)內(nèi)網(wǎng)中的各類(lèi)主機(jī)進(jìn)行補(bǔ)丁檢測(cè)和安裝，及時(shí)地彌補(bǔ)各類(lèi)系統(tǒng)漏洞，從而減少系統(tǒng)遭受惡意攻擊的機(jī)會(huì)，增強(qiáng)企業(yè)網(wǎng)絡(luò)安全。

3.4 上網(wǎng)行為管理

企業(yè)內(nèi)網(wǎng)安全最薄弱的環(huán)節(jié)往往不是來(lái)自外網(wǎng)的入侵，而是內(nèi)網(wǎng)用戶(hù)不規(guī)范的上網(wǎng)行為。企業(yè)可部署上網(wǎng)行為管理策略，通過(guò)上網(wǎng)內(nèi)容審計(jì)與行為監(jiān)控等方法能夠發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)非法外聯(lián)互聯(lián)網(wǎng)行為，當(dāng)發(fā)現(xiàn)不允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī)私自訪(fǎng)問(wèn)互聯(lián)網(wǎng)行為后，能夠執(zhí)行預(yù)先設(shè)置的策略，例如鎖定計(jì)算機(jī)、禁止網(wǎng)絡(luò)連接等，以避免國(guó)家機(jī)密、商業(yè)信息、科研成果泄露及網(wǎng)絡(luò)病毒的傳播。

3.5 云技術(shù)應(yīng)用

企業(yè)利用“云技術(shù)”搭建云桌面客戶(hù)端，基于角色的訪(fǎng)問(wèn)控制提供了一種簡(jiǎn)單靈活的訪(fǎng)問(wèn)控制機(jī)制，用戶(hù)通過(guò)成為角色成員來(lái)獲得使用權(quán)限。

在企業(yè)云桌面控制系統(tǒng)下，用戶(hù)數(shù)據(jù)都在后臺(tái)存儲(chǔ)，任何用戶(hù)想要拷貝數(shù)據(jù)都需要經(jīng)過(guò)企業(yè)內(nèi)部的審核程序，數(shù)據(jù)不能任意復(fù)制，在較大程度上保證了企業(yè)數(shù)據(jù)的安全性。同時(shí)，對(duì)于遠(yuǎn)端客戶(hù)機(jī)系統(tǒng)出現(xiàn)的問(wèn)題，系統(tǒng)管理人員能夠通過(guò)系統(tǒng)控制臺(tái)對(duì)出現(xiàn)問(wèn)題的客戶(hù)機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程的檢查和維護(hù)，即時(shí)、方便地解決企業(yè)內(nèi)網(wǎng)中各種系統(tǒng)所存在的問(wèn)題，大大地提高了企業(yè)內(nèi)網(wǎng)系統(tǒng)的安全性。

3.6 端點(diǎn)準(zhǔn)入和身份認(rèn)證機(jī)制

企業(yè)利用端點(diǎn)準(zhǔn)入系統(tǒng)，通過(guò)監(jiān)聽(tīng)和主動(dòng)探測(cè)等方式對(duì)接入到企業(yè)內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行檢測(cè)，判別其是否為信任主機(jī)；對(duì)于探測(cè)到的非法主機(jī)，系統(tǒng)可以主動(dòng)阻止其訪(fǎng)問(wèn)企業(yè)的任何網(wǎng)絡(luò)資源，從而保證非法主機(jī)不對(duì)企業(yè)網(wǎng)絡(luò)產(chǎn)生影響、無(wú)法有意或無(wú)意地對(duì)網(wǎng)絡(luò)進(jìn)行攻擊或者竊密。

通過(guò)身份認(rèn)證系統(tǒng)對(duì)企業(yè)各應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)進(jìn)行控制，判別企業(yè)內(nèi)部網(wǎng)中所有系統(tǒng)登錄者的身份，確保企業(yè)內(nèi)網(wǎng)所有用戶(hù)的可靠性。

3.7 企業(yè)信息安全制度建設(shè)

以企業(yè)管理為核心，按照國(guó)家相關(guān)的法律和法規(guī)，結(jié)合企業(yè)的實(shí)際情況制定企業(yè)信息安全管理的相關(guān)規(guī)章制度，通過(guò)各種機(jī)制和手段，落實(shí)安全管理制度和規(guī)范，實(shí)現(xiàn)企業(yè)安全管理工作的常態(tài)化和長(zhǎng)效化。

3.8 加強(qiáng)企業(yè)員工信息安全意識(shí)教育

企業(yè)內(nèi)網(wǎng)安全管理是一個(gè)系統(tǒng)工程，除采取必要的技術(shù)手段和管理制度外，加強(qiáng)“人”的安全意識(shí)的自覺(jué)性和主動(dòng)性至關(guān)重要。技術(shù)要通過(guò)人去掌握和實(shí)施，制度要由人去執(zhí)行和遵守。企業(yè)可以通過(guò)加強(qiáng)企業(yè)員工的信息安全意識(shí)教育或培訓(xùn)，使員工能夠自覺(jué)地遵守和執(zhí)行相關(guān)安全制度、操作規(guī)程等，并養(yǎng)成良好、規(guī)范的網(wǎng)絡(luò)行為。人、技術(shù)、管理的有效結(jié)合是企業(yè)內(nèi)網(wǎng)安全的重要保障。

4 結(jié)束語(yǔ)

內(nèi)網(wǎng)威脅不可避免并且來(lái)勢(shì)兇猛，企業(yè)內(nèi)網(wǎng)安全管理已經(jīng)進(jìn)入了整體防控的時(shí)代。單純的準(zhǔn)入控制和加密不能解決所有的問(wèn)題，獨(dú)立的內(nèi)網(wǎng)行為審計(jì)也沒(méi)有任何效力，企業(yè)只有從信息安全管理的全方位進(jìn)行考慮，對(duì)網(wǎng)絡(luò)安全進(jìn)行多角度的整體設(shè)計(jì)，做到統(tǒng)籌規(guī)劃、合理安排，全面整合準(zhǔn)入控制、病毒防治、網(wǎng)絡(luò)監(jiān)控、安全審計(jì)、權(quán)限管理、透明加密等多種技術(shù)手段，將管理、技術(shù)、人員進(jìn)行有機(jī)的結(jié)合，在企業(yè)內(nèi)部構(gòu)建一個(gè)立體化的整體安全網(wǎng)絡(luò)，才能實(shí)現(xiàn)真正意義上的內(nèi)網(wǎng)安全。

主要參考文獻(xiàn)

[1]張懷京，祝建航，王新亭. 企業(yè)內(nèi)網(wǎng)安全建設(shè)淺談[J].信息安全與技術(shù)，2012（2）.

[2]王學(xué)華，張彬彬. 內(nèi)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2012（9）.

[3]期陳飛，吳曉東，孫曉平. 淺析內(nèi)網(wǎng)安全管理及對(duì)策[J].中國(guó)電子商務(wù)，2012（1）.

[4]王春蓮.內(nèi)網(wǎng)網(wǎng)絡(luò)安全解決方案研究[J].硅谷，2011（4）.

[5]劉海燕，楊朝紅，霍景河.內(nèi)網(wǎng)安全檢測(cè)與分析技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué)，2009（9）.

[6]黃定坤.淺談網(wǎng)絡(luò)安全及管理[J].科學(xué)咨詢(xún)，2009（5）：49.