構建企業(yè)內(nèi)部網(wǎng)（Ｉｎｔｒａｎｅｔ）安全防護體系研究

[摘要] 本文詳細分析了企業(yè)內(nèi)部網(wǎng)現(xiàn)有的安全防護體系存在的問題，提出了一種新的網(wǎng)絡安全防護體系，并闡述了該體系的構架及工作原理。

[關鍵詞] Intranet 網(wǎng)絡安全防護體系 統(tǒng)一安全管理平臺

一、前言

內(nèi)部網(wǎng)（Intranet）指采用Internet技術建立的企業(yè)內(nèi)部專用網(wǎng)絡。它以TCP/IP協(xié)議作為基礎，以Web為核心應用，構成統(tǒng)一和便利的信息交換平臺。內(nèi)部網(wǎng)在企業(yè)信息發(fā)布、銷售服務、提高工作群體的生產(chǎn)力、內(nèi)部交流與支持、員工的培訓和數(shù)據(jù)庫開發(fā)等方面，發(fā)揮著不可缺少的作用。它能夠幫助企業(yè)協(xié)調(diào)內(nèi)部通訊和提高企業(yè)生產(chǎn)力。

但是，隨著Intranet在企業(yè)的廣泛應用，內(nèi)部網(wǎng)的安全問題也得到越來越多的關注，特別是網(wǎng)絡病毒的泛濫、網(wǎng)絡黑客的攻擊、企業(yè)信息的泄密等，無不牽動著企業(yè)領導敏感的神經(jīng)。如果沒有一個高效的網(wǎng)絡管理系統(tǒng)對網(wǎng)絡進行管理，保障內(nèi)部網(wǎng)絡安全有效的運行。將直接影響到企業(yè)的正常運作，最終影響到企業(yè)的經(jīng)濟效益和社會效益。

二、現(xiàn)有內(nèi)部網(wǎng)安全防護體系存在的問題

當前企業(yè)內(nèi)部網(wǎng)普遍采用在網(wǎng)絡出口部署IDS（Intrusion Detection System，入侵檢測系統(tǒng)）和硬件防火墻，在內(nèi)部網(wǎng)服務器上安裝殺毒、防火墻軟件輔以一定的訪問控制策略并及時更新補丁等多項安全措施相結合的綜合安全防護體系。當發(fā)生網(wǎng)絡安全問題時，由于大部分交換機以及路由器不具備或只具備較弱的安全防護功能，只能依靠防火墻來抵御攻擊和入侵，并由IDS 來予以跟蹤。但是這種安全體系存在以下幾個明顯的弱點：

1.隨著網(wǎng)絡流量的持續(xù)增長，特別是大型內(nèi)部網(wǎng)內(nèi)數(shù)據(jù)流量的爆炸性增長，單純的依靠在內(nèi)部網(wǎng)的某一點安裝某一網(wǎng)絡安全設備來進行全網(wǎng)的防護已顯得力不從心，容易發(fā)生單點故障，并且造成內(nèi)部網(wǎng)整體通信的瓶頸。

2.來自于內(nèi)部的誤操作和濫用對內(nèi)部網(wǎng)的影響是最為致命的，通常的比例高達70%。當攻擊者與被攻擊者均處于Intranet內(nèi)部時， 如果攻擊流不經(jīng)過IDS 的監(jiān)控點，就不能被IDS 捕獲，此時IDS 無法跟蹤，部署在網(wǎng)絡出口的硬件防火墻則失去了作用，只能靠服務器以及用戶電腦上安裝的防火墻來抵御攻擊。如果此時用戶的攻擊為虛擬IP 攻擊，則網(wǎng)絡管理人員只能依靠將局域網(wǎng)逐片斷開的原始方式逐步地進行故障定位，影響的范圍大，排查的時間長，過程繁瑣。

3.IDS+防火墻的組合模式在進行病毒和攻擊方式識別時需要產(chǎn)品廠家的支持，具有一定的滯后性，對新出現(xiàn)的病毒和攻擊行為基本無能為力，且誤報的情況也是時有發(fā)生。

4.啟用基于802.1x 協(xié)議的用戶接入認證，能夠保障Intranet用戶接入的合法性，較好地解決IP 地址盜用、用戶私自架設代理服務器等一系列困擾內(nèi)部網(wǎng)管理者的問題，但是基于802.1x 協(xié)議的系統(tǒng)對于用戶的計算機系統(tǒng)是否安全、用戶是否存在網(wǎng)絡攻擊行為則無法進行判別。

基于以上幾點，最安全的辦法就是采取讓所有接入Intranet的計算機安裝殺毒和防火墻軟件并及時更新補丁。但由于用戶的網(wǎng)絡應用水平參差不齊，作為網(wǎng)絡管理部門，只能督促用戶及時更新操作系統(tǒng)補丁和安裝防火墻及殺毒軟件，而且操作系統(tǒng)或者應用程序的補丁更新方式，若直接從互聯(lián)網(wǎng)上更新則比較慢，若在企業(yè)內(nèi)部架設WSUS服務器，則需要用戶修改配置，過程相對復雜很多，用戶會覺得麻煩。無法從技術層面上強制執(zhí)行，要保證用戶系統(tǒng)的安全和統(tǒng)一非常困難。

以上幾點充分說明了當前Intranet普遍采用的安全體系存在諸多漏洞，已不能很好地滿足日益增長的網(wǎng)絡安全需求。

三、統(tǒng)一安全管理平臺的體系架構及工作原理

1.統(tǒng)一安全管理平臺的架構

構建一個統(tǒng)一的安全管理平臺，用以實現(xiàn)對Intranet內(nèi)所有網(wǎng)絡設備的統(tǒng)一管理和調(diào)配，確保接入Intranet的所有網(wǎng)絡終端設備的安全可信，是在現(xiàn)有網(wǎng)絡安全防護體系的基礎上發(fā)展建立的新的網(wǎng)絡安全防護體系設計思想。

統(tǒng)一安全管理平臺系統(tǒng)具體構架（如圖1所示），由三個層面、五個部分組成：

(1)后臺服務層面

身份認證系統(tǒng)——身份認證系統(tǒng)能夠提供嚴格的用戶接入控制，通過準確的身份認證和物理定位來確保接入用戶的可靠性。用戶認證系統(tǒng)針對用戶的入網(wǎng)行為，提供入網(wǎng)控制功能，同時，認證系統(tǒng)還可以實現(xiàn)用戶帳號、用戶IP、用戶MAC、設備IP、設備端口的靜態(tài)綁定、動態(tài)綁定以及自動綁定，保證用戶入網(wǎng)身份的唯一性。

安全管理平臺——安全管理平臺是安全防護體系的管理與控制中心，是統(tǒng)一安全管理平臺的核心組成部分。通過安全管理平臺，可以對系統(tǒng)內(nèi)的安全設備與系統(tǒng)安全策略進行管理，實現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效地配置和管理全網(wǎng)安全設備，從而實現(xiàn)全網(wǎng)安全設備的集中管理，起到安全網(wǎng)管的作用。通過統(tǒng)一的技術方法，將系統(tǒng)所有的安全日志、安全事件集中收集管理，實現(xiàn)集中的日志分析、審計與報告。同時通過集中的分析審計，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨勢，確保安全事件、事故得到及時的響應和處理。

安全修復系統(tǒng)——安全修復系統(tǒng)的作用是跟蹤安全漏洞的變化，能夠有效地進行系統(tǒng)補丁、病毒特征碼或者用戶指定應用程序補丁的管理。針對不同的安全策略，點到面地自動強制分發(fā)部署補丁程序。

(2)網(wǎng)絡層面

安全聯(lián)動設備——安全聯(lián)動設備是Intranet中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡服務的作用。由安全管理平臺提供標準的協(xié)議接口，同交換機、路由器、防火墻、IDS等各類網(wǎng)絡設備實現(xiàn)安全聯(lián)動。

(3)用戶層面

安全客戶端——安全客戶端是安裝在個人電腦和服務器上的端點保護軟件。安全客戶端負責收集不同用戶的安全軟件的狀態(tài)信息，包括對防病毒軟件信息的收集。同時，安全客戶端可以評估操作系統(tǒng)的版本、補丁程度等信息，并且把這些信息傳遞到安全管理平臺，沒有進行適當升級的主機將被隔離到網(wǎng)絡修復區(qū)域，從而保障網(wǎng)絡的安全運行。與傳統(tǒng)的解決方案不同，安全客戶端通過對用戶終端設備信息的搜集，可預先識別和防止用戶對網(wǎng)絡的惡意行為，排除潛在的已知和未知的安全風險。

2.統(tǒng)一安全管理平臺的工作原理

統(tǒng)一安全管理平臺的工作原理如圖2所示。

統(tǒng)一安全管理平臺系統(tǒng)實現(xiàn)終端用戶安全準入的工作流程如下：

(1)用戶終端試圖接入網(wǎng)絡時，首先通過安全客戶端上傳用戶信息至用戶認證服務器進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡。

(2)合法用戶將被要求進行安全狀態(tài)認證，由安全管理平臺驗證補丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯(lián)動設備隔離到隔離區(qū)。

(3)進入隔離區(qū)的用戶可以根據(jù)企業(yè)網(wǎng)絡安全策略，通過安全修復系統(tǒng)安裝系統(tǒng)補丁、升級病毒庫、檢查終端系統(tǒng)信息，直到接入終端符合企業(yè)網(wǎng)絡安全策略。

(4)安全狀態(tài)合格的用戶將實施由安全管理平臺下發(fā)的安全設置，并由安全聯(lián)動設備提供基于身份的網(wǎng)絡服務。

四、結束語

保障Intranet安全、有效運行，是一項復雜的系統(tǒng)工程。它既是一個技術問題，但更是一個管理問題，所謂“三分技術，七分管理”。所以，除了采用上述技術措施之外，加強網(wǎng)絡安全的管理：制定有關規(guī)章制度；確定安全管理等級和安全管理范圍；制訂有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施；對工作人員結合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡等各個方面的安全問題，進行安全教育，提高工作人員的保密觀念和責任心；加強業(yè)務、技術的培訓，提高操作技能等，也將起到十分有效的作用。

參考文獻：

[1]思科系統(tǒng)網(wǎng)絡技術有限公司.思科自防御網(wǎng)絡[EB/OL]. [2006-04-03]. http:／／www.cisco.com／global／CN／solutions／industry／segment_sol／smb／smb_it／security／cisco_self_defending_networks_overview.html

[2]微軟中國技術支持中心.網(wǎng)絡訪問保護平臺體系結構[EB／OL].[2004-11-15]. http:／／www.microsoft.com／china／windowsserver2003／techinfo／overview／naparch.mspx

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。