內(nèi)網(wǎng)安全：規(guī)劃與管理并重

■

認(rèn)識內(nèi)網(wǎng)安全威脅

一個單位內(nèi)網(wǎng)的安全威脅，除了來自外網(wǎng)病毒攻擊、數(shù)據(jù)竊取外，主要來自單位內(nèi)部的威脅，這種威脅表現(xiàn)在以下幾個方面：一是內(nèi)網(wǎng)網(wǎng)絡(luò)自身可能存在的威脅，包括內(nèi)網(wǎng)網(wǎng)絡(luò)運行環(huán)境較差、內(nèi)網(wǎng)網(wǎng)絡(luò)受到病毒干擾等方面。二是內(nèi)網(wǎng)應(yīng)用系統(tǒng)自身可能存在的威脅，包括內(nèi)部人員的疏忽和失誤造成的數(shù)據(jù)丟失、信息泄露等。三是組成內(nèi)網(wǎng)的實體自身存在的威脅，包括終端計算機自身的故障、重要網(wǎng)絡(luò)設(shè)備的運行不穩(wěn)定等因素。上面無論哪一種因素的威脅，管理員如果對它們不加以足夠重視，都有可能產(chǎn)生不堪設(shè)想的安全后果。所以，想方設(shè)法保護單位內(nèi)網(wǎng)安全穩(wěn)定運行，已經(jīng)是勢在必行。

注重內(nèi)網(wǎng)安全統(tǒng)一規(guī)劃

內(nèi)網(wǎng)安全的防范是一項系統(tǒng)性工程，從單點預(yù)防到整體預(yù)防應(yīng)有盡有，不過，要是通過單點技術(shù)去預(yù)防組網(wǎng)復(fù)雜的內(nèi)網(wǎng)安全威脅，或者利用常規(guī)的整體預(yù)防產(chǎn)品來部署單位內(nèi)網(wǎng)的安全平臺，都是不太現(xiàn)實的。要構(gòu)建單位內(nèi)網(wǎng)安全防護體系，一定要注重按需統(tǒng)一規(guī)劃。

1.從實際出發(fā)規(guī)劃安全體系

在規(guī)劃設(shè)計單位內(nèi)網(wǎng)組網(wǎng)方案時，必須從業(yè)務(wù)角度去評判單位業(yè)務(wù)系統(tǒng)內(nèi)容與重要程度，并根據(jù)評判結(jié)果將內(nèi)網(wǎng)安全體系，作為規(guī)劃設(shè)計方案的重要組成部分之一，在初始組網(wǎng)時就必須同步啟動安全體系建設(shè)，兼顧全局來實施組網(wǎng)建設(shè)和安全部署。

單位內(nèi)網(wǎng)的安全防護體系應(yīng)該包括技術(shù)、審計、流程、人等幾個方面，有效地對各個方面進行平衡，同時兼顧監(jiān)控、檢測、管理、分析等，就能做到在安全事故發(fā)生時有的放矢。從整體規(guī)劃角度來看，單位內(nèi)網(wǎng)安全防護體系應(yīng)該包含安全管理平臺、安全預(yù)防系統(tǒng)、外網(wǎng)隔離模塊等幾部分組成，通過安全管理平臺及時收集單位內(nèi)網(wǎng)安全信息，實時定制安全管理策略，智能向安全預(yù)防系統(tǒng)下達操作指令，使得安全防御系統(tǒng)和外網(wǎng)隔離模塊協(xié)同工作，達到網(wǎng)絡(luò)安全動態(tài)保障效果。安全預(yù)防系統(tǒng)主要從技術(shù)角度，實現(xiàn)安全保障功能，具體應(yīng)該包括監(jiān)測、預(yù)防、響應(yīng)等功能，不同功能之間除了要完成各自的安全防護任務(wù)外，還應(yīng)該能向下收集管理下級子網(wǎng)安全信息，為子網(wǎng)安全運行帶來幫助，而且該系統(tǒng)還應(yīng)該能為安全管理平臺提供相對獨立的管理數(shù)據(jù)。外網(wǎng)隔離模塊要能夠?qū)崟r監(jiān)測外網(wǎng)安全狀態(tài)，同時將監(jiān)測結(jié)果及時反饋給安全管理平臺；另外一方面，該模塊還必須要智能地執(zhí)行來自安全管理平臺的命令，及時在內(nèi)外網(wǎng)之間架起隔離墻，以預(yù)防內(nèi)外網(wǎng)之間的相互入侵和攻擊?？傊踩芾砥脚_、安全預(yù)防系統(tǒng)、外網(wǎng)隔離模塊這三者，每個部分的建設(shè)都要從系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全角度，來綜合考慮，而不應(yīng)該單一、獨立地進行建設(shè)、部署。“統(tǒng)一規(guī)劃，綜合考慮”將有利于更好地保證單位內(nèi)網(wǎng)運行安全。

2.從長遠出發(fā)制定安全策略

網(wǎng)絡(luò)運行安全策略是單位內(nèi)網(wǎng)安全的管理標(biāo)準(zhǔn)，安全策略的制定一定要從長遠角度出發(fā)，并要有前瞻性，以應(yīng)對網(wǎng)絡(luò)技術(shù)日益發(fā)展需求帶來的短期性影響。網(wǎng)絡(luò)安全策略的制定也要具有動態(tài)性，以適應(yīng)不斷的變化。組網(wǎng)結(jié)構(gòu)是多維的而且不斷擴延的，所以安全策略的制定也不能是一次性行為，必須要動態(tài)調(diào)整，來動態(tài)適應(yīng)不斷變化的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全策略的制定，還必須從管理角度和用戶類別出發(fā)，按照核心管理員、普通管理員、上網(wǎng)用戶等幾個層次，進行統(tǒng)籌設(shè)計制定。

注重內(nèi)網(wǎng)安全管理維護

面對網(wǎng)絡(luò)病毒木馬的入侵和復(fù)合式攻擊，不少單位用戶認(rèn)為部署好的安全防御體系可以一勞永逸，而對日常的管理維護考慮較少，或者做得不夠，從而造成了單位內(nèi)網(wǎng)安全整體防御能力的下降。為此，我們需要加強平時的管理維護，充分發(fā)揮安全防御體系應(yīng)有的作用。

1.加強后期管理維護

有一部分單位用戶，在剛剛開始組建單位內(nèi)部局域網(wǎng)以及設(shè)計網(wǎng)絡(luò)功能時，對內(nèi)網(wǎng)的安全防范事項是相當(dāng)重視的。不過，他們在這方面的認(rèn)識存在著一定的誤區(qū)，片面認(rèn)為前期的安全防范措施會一勞永逸，而對后期的安全管理工作缺乏追蹤、分析機制，甚至根本就不聞不問。例如，在管理單位內(nèi)網(wǎng)的文件服務(wù)器安全時，網(wǎng)絡(luò)管理員可能在文件服務(wù)器安裝、配置的時候，設(shè)計了非常安全的權(quán)限訪問機制以及其他一些安全措施，但是在后期管理方面沒有啟用安全訪問審核機制，這么一來網(wǎng)絡(luò)管理員日后就不能準(zhǔn)確判斷之前啟用的安全措施是否能夠正常發(fā)揮作用，也不能分析出是否存在惡意用戶攻擊內(nèi)網(wǎng)的嫌疑。在這種情況下，只有在內(nèi)網(wǎng)發(fā)生重大安全事故的時候，網(wǎng)絡(luò)管理員才可能發(fā)現(xiàn)之前安全措施的種種不足。

基于這一點，我們建議除了要做好前期的安全規(guī)劃與配置外，還要對內(nèi)網(wǎng)的安全進行后期追蹤分析。一旦看到之前的安全措施無法滿足單位內(nèi)網(wǎng)日益提高的安全要求時，一定要根據(jù)實際情況進行及時完善。例如，我們要想看看是否有惡意訪問Web服務(wù)器的嫌疑時，那就應(yīng)該及時啟用服務(wù)器的審核功能，讓系統(tǒng)自動追蹤、記錄未授權(quán)用戶的訪問痕跡，同時要對日志數(shù)據(jù)進行認(rèn)真分析，如此一來就能大概判斷出是否有攻擊服務(wù)器的行為了。

2.明確管理權(quán)利義務(wù)

網(wǎng)絡(luò)管理員是決定單位內(nèi)網(wǎng)是否安全、穩(wěn)定運行的根本因素，單位需要健全內(nèi)網(wǎng)管理機制，明確網(wǎng)絡(luò)管理人員在日常運維工作中的權(quán)利和義務(wù)，確保有專人負(fù)責(zé)管理、維護重要網(wǎng)絡(luò)設(shè)備。另外一方面，要定期組織相關(guān)技術(shù)人員進行一些高層次培訓(xùn)教育，不斷提升他們的日常運維水平，保證單位發(fā)生安全問題時能快速有效應(yīng)對。

3.加大管理服務(wù)投入

單位內(nèi)網(wǎng)安全防御體系是一個復(fù)雜的系統(tǒng)工程，它由技術(shù)、設(shè)備、服務(wù)等若干方面組成，這就造成單位很多時候并沒有足夠能力自行解決內(nèi)網(wǎng)安全問題。這就特別要求單位在內(nèi)網(wǎng)的后期管理中，要持續(xù)加大管理服務(wù)投入，定期邀請設(shè)備廠商技術(shù)人員對內(nèi)網(wǎng)安全風(fēng)險進行分析評估，并為本單位技術(shù)人員提供針對新設(shè)備、新技術(shù)的培訓(xùn)，為預(yù)防突發(fā)性內(nèi)網(wǎng)安全問題提供技術(shù)支持。同時購買更多更深層次的網(wǎng)絡(luò)安全服務(wù)，全面提升內(nèi)網(wǎng)安全運行可靠性。