技術(shù)與管理并重提高內(nèi)網(wǎng)安全

衛(wèi)徐剛　王　峰　張　靜　相榮娜

摘要：在所有的網(wǎng)絡(luò)安全事件中，從調(diào)查情況看超過(guò)70％是發(fā)生在內(nèi)網(wǎng)上的，隨著網(wǎng)絡(luò)不斷發(fā)展，這一比例仍將不斷增長(zhǎng)。內(nèi)網(wǎng)安全面臨著前所未有的挑戰(zhàn)。本文從加強(qiáng)安全技術(shù)和提高管理水平兩方面，探討加強(qiáng)內(nèi)網(wǎng)安全的一些措施。

關(guān)鍵詞：技術(shù)；管理；內(nèi)網(wǎng)安全

引言

網(wǎng)絡(luò)沒(méi)有絕對(duì)的安全。只有相對(duì)的安全，這與互聯(lián)網(wǎng)設(shè)計(jì)本身有一定關(guān)系?，F(xiàn)在我們能做的只是盡最大的努力，使網(wǎng)絡(luò)相對(duì)安全。在已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件中，有超過(guò)70％是發(fā)生在內(nèi)網(wǎng)上的，內(nèi)網(wǎng)資源的誤用、濫用和惡用，是內(nèi)網(wǎng)面臨的最大的三大威脅。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展。內(nèi)網(wǎng)安全將面臨著前所未有的挑戰(zhàn)。

一、網(wǎng)絡(luò)安全含義

網(wǎng)絡(luò)安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為：通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

二、內(nèi)外網(wǎng)絡(luò)安全的區(qū)別

建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。而常規(guī)安全防御理念往往局限于網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界等方面的防御。隨著越來(lái)越多安全事件由內(nèi)網(wǎng)引發(fā)，內(nèi)網(wǎng)安全也成了大家關(guān)注的焦點(diǎn)。

外網(wǎng)安全主要防范外部入侵或者外部非法流量訪問(wèn)，技術(shù)上也以防火墻、入侵檢測(cè)等防御角度出發(fā)的技術(shù)為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細(xì)得多。同時(shí)技術(shù)上內(nèi)網(wǎng)安全通常采用的是加固技術(shù)，比如設(shè)置訪問(wèn)控制、身份管理等。

三、內(nèi)網(wǎng)安全技術(shù)防范措施

內(nèi)網(wǎng)安全首先應(yīng)采用技術(shù)方法，有效保護(hù)內(nèi)網(wǎng)核心業(yè)務(wù)的安全。

1關(guān)掉無(wú)用的網(wǎng)絡(luò)服務(wù)器，建立可靠的無(wú)線訪問(wèn)。

2限制VPN的訪問(wèn)，為合作網(wǎng)絡(luò)建立內(nèi)網(wǎng)型的邊界防護(hù)。

3在邊界展開(kāi)黑客防護(hù)措施，建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

4建立安全過(guò)客訪問(wèn)，重點(diǎn)保護(hù)重要資源。

另外在技術(shù)上采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等措施也不可缺少。

四、內(nèi)網(wǎng)安全管理措施

內(nèi)網(wǎng)安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。而內(nèi)網(wǎng)90％以上的組成為客戶端，所以對(duì)客戶端的管理當(dāng)之無(wú)愧地成為內(nèi)網(wǎng)安全的重中之重，目前內(nèi)網(wǎng)客戶端存在的問(wèn)題主要包括以下幾點(diǎn)：

1非法外聯(lián)問(wèn)題

通常情況下，內(nèi)網(wǎng)(Intranet)和外網(wǎng)(Internet)之間有防火墻、防病毒墻等安全設(shè)備保障內(nèi)網(wǎng)的安全性。但若內(nèi)部人員使用撥號(hào)、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開(kāi)出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過(guò)原本連接在內(nèi)、外網(wǎng)之間的防護(hù)屏障，順利侵入非法外聯(lián)的計(jì)算機(jī)，盜竊內(nèi)網(wǎng)的敏感信息和機(jī)密數(shù)據(jù)，甚至利用該機(jī)作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務(wù)器，導(dǎo)致整個(gè)內(nèi)網(wǎng)工作癱瘓。

2使用軟件違規(guī)問(wèn)題

內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)，還有可能惹來(lái)知識(shí)產(chǎn)權(quán)的麻煩。有些內(nèi)部人員出于好奇心或者惡意破壞的目的，在內(nèi)部計(jì)算機(jī)上安裝使用黑客軟件，從內(nèi)部發(fā)起攻擊。還有些內(nèi)部人員安全意識(shí)淡薄，不安裝指定的防毒軟件等。這些行為都對(duì)內(nèi)網(wǎng)安全構(gòu)成了極大的威脅。

3計(jì)算機(jī)外部設(shè)備管理

如果不加限制地讓內(nèi)部人員在內(nèi)網(wǎng)計(jì)算機(jī)上安裝、使用可移動(dòng)的存儲(chǔ)設(shè)備如光驅(qū)、USB接口的閃盤(pán)、移動(dòng)硬盤(pán)、數(shù)碼相機(jī)等。將會(huì)通過(guò)移動(dòng)存儲(chǔ)介質(zhì)間接地與外網(wǎng)進(jìn)行數(shù)據(jù)交換，導(dǎo)致病毒的傳入或者敏感信息、機(jī)密數(shù)據(jù)的傳播與泄漏。

建立可控、可信內(nèi)部網(wǎng)絡(luò)，管理好客戶端，我們必須從以下幾方面著手：

1完善規(guī)章制度

因?yàn)楣芾淼闹贫然潭葮O大地影響著整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。

2建立適用的資產(chǎn)、信息管理

對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)的用戶信息進(jìn)行登記注冊(cè)。在發(fā)生安全事件時(shí)能夠以最快速度定位到具體的用戶，對(duì)于未進(jìn)行登記注冊(cè)的將其隔離；收集客戶端與安全相關(guān)的一些系統(tǒng)信息，包括：操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁、軟硬件變動(dòng)等信息，同時(shí)針對(duì)這些收集的信息進(jìn)行統(tǒng)計(jì)和分析，了解內(nèi)網(wǎng)安全狀況。

3加強(qiáng)客戶端進(jìn)程、外圍設(shè)備的有效管理

對(duì)搜集來(lái)的計(jì)算機(jī)軟、硬件信息，形成內(nèi)網(wǎng)計(jì)算機(jī)的軟件資產(chǎn)報(bào)表，從而使管理員了解各計(jì)算機(jī)軟、硬件及變化信息。及時(shí)發(fā)現(xiàn)安全隱患并予以解決。同時(shí)，配置軟件運(yùn)行預(yù)案，指定內(nèi)網(wǎng)計(jì)算機(jī)必須運(yùn)行的軟件和禁止運(yùn)行的軟件，從而對(duì)計(jì)算機(jī)的軟件運(yùn)行情況進(jìn)行檢查，對(duì)未運(yùn)行必須軟件的情況發(fā)出報(bào)警，終止已運(yùn)行的禁用軟件的進(jìn)程。

結(jié)束語(yǔ)

總的來(lái)說(shuō)，只有提高技術(shù)防范水平。完善管理制度，才能建立可控、可信的內(nèi)部安全網(wǎng)絡(luò)，使內(nèi)網(wǎng)環(huán)境達(dá)到相對(duì)安全。