企業內網安全管理與對策

張居庫 程輝

[摘 要] 網絡應用飛速發展，網病毒、木馬及其他惡意入侵給企業內網帶來日益嚴重的威脅。保障企業內網安全、保證企業信息系統安全穩定運行越來越得到企業的高度重視。本文在分析企業內網安全現狀的基礎上，提出了合理劃分安全域、計算機病毒防治、上網行為管理、端點準入和身份認證等管理對策，以加強企業內網安全、保證企業內網應用系統安全穩定運行。

[關鍵詞] 內網；威脅；安全；策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 16. 034

[中圖分類號] F272.7 [文獻標識碼] A [文章編號] 1673 - 0194（2014）16- 0055- 03

0 前 言

高速發展的網絡技術大大提高了企業的生產及辦公效率，同時也帶來了病毒感染、安全漏洞及惡意入侵等網絡信息安全問題。根據CSI/FBI 2009年計算機安全調查數據表明，在企業網絡安全事件中80%以上發生在企業內部。

企業越來越重視內網安全問題，企業在內網安防項目上的投入也在不斷增加，但我國仍有60%以上的企業計算機處于“高度風險”級別，每年因網絡泄密導致的經濟損失高達上百億元，內網威脅仍是企業信息化發展急需解決的問題。如何解決企業內網威脅，積極應對企業網絡安全問題，有效保護企業內部信息安全，仍然是企業信息安全人員研究的重要課題。

1 什么是企業內網安全

通常以企業內部局域網邊界為限劃分為企業外網與內網，外網與內網物理隔離或者將內部通過統一網關接入外網并在網關處架設防火墻等安全監控設備，企業內網由大量的終端、服務器和網絡設備組成，企業內網安全指的是企業內部局域網的信息安全。

2 企業內網的安全現狀

2.1 用戶區域劃分單一

企業內部網絡的用戶域層劃分單一，所有用戶在內部網絡中的地位是平等的，且部分企業虛擬網絡劃分不合理，有時僅僅按照物理位置進行劃分，所有服務器、終端都處于同一網絡區域內，沒有進行安全等級劃分，一旦受到攻擊，該區域內所有設備都將受到威脅。

2.2 威脅多樣化

隨著網絡的發展，網絡安全面臨著各種威脅，主要包括自然的、意外的威脅和人為故意的威脅（如惡意軟件、黑客攻擊等）。

企業內網與外網相連接，易受到人為故意的威脅。惡意軟件、黑客攻擊是較常見的網絡安全攻擊方式，惡意軟件（如病毒、蠕蟲、木馬等）在不斷變種，操作系統和應用程序的漏洞成為惡意入侵的主要目標。

無線局域網、藍牙、即時通信、移動終端等新技術在企業生產與管理中的廣泛應用，在一定程度上擴大了企業網絡安全的威脅源。

2.3 網絡準入缺乏有效控制

隨著業務的不斷擴展，外來客戶和合作伙伴接入企業內網的幾率越來越高。由于不能及時地對相關人員的計算機設備進行安全檢查，容易由外來的計算機設備將病毒、木馬等帶入企業內部網絡，內網安全的威脅幾率增加。同時，對外來人員安全監控的缺失，也會造成企業內部資料的泄露等情況，企業內部網絡準入控制管理亟待完善。

2.4 內網用戶安全意識薄弱

由于企業內部員工信息安全意識淡薄，他們常常在計算機上設置弱口令，使得系統密碼形同虛設；U盤、移動硬盤、MP3、手機存儲卡、數碼相機記憶棒等在工作中無限制使用；企業涉密信息被私自下載、保存；工作時間使用企業電腦炒股、玩游戲、觀看在線視頻、瀏覽非法或不健康網站等這些不規范行為，不僅會造成企業局域網的堵塞，影響企業業務的開展，又可能導致病毒、木馬等惡意軟件被非法下載進入企業局域網內，為企業帶來嚴重的安全隱患。

2.5 系統存在安全隱患

系統的安全問題主要指操作系統、數據庫系統以及各類應用系統所存在的安全風險。目前大部分企業使用的操作系統仍然以微軟的Windows系列為主，這些操作系統都存在已知和未知的系統漏洞。國際上的一些安全組織已經發布大量的系統安全漏洞信息，其中，有些系統漏洞可以導致入侵者獲得管理員權限，有些漏洞可以被黑客用來實施拒絕服務攻擊，還有些漏洞則成為病毒攻擊的對象。重視和防范系統的安全風險也是內網安全管理的重要任務。

3 企業內網安全管理策略

3.1 合理劃分安全域

可以根據企業整體安全規劃和信息安全級別，對企業內網合理劃分安全域，從邏輯上劃分核心點防范區域、一般防范區域和開放區域，不同等級的安全域采用不同的安全手段。核心點防范區域需要設置很高的安全級別，一般用戶不允許直接訪問，重要的服務器、數據庫服務器等應放置在該區域，各類應用系統在該區域運行。

3.2 終端計算機病毒防治

終端計算機往往是創建和存放重要數據的源頭，而且絕大多數的攻擊事件都是從終端發起的，所以終端計算機安全防護與管理是必要的。通過防病毒、文檔保護、安全審計及用戶管理等方法和手段的部署或實施，降低終端計算機病毒和木馬發生幾率，提升終端計算機抵御安全威脅的能力。

3.3 補丁分發管理

操作系統或者應用程序存在的系統漏洞既為各類惡意軟件的傳播提供了極好的機會，同時也成為網絡黑客攻擊的目標。攻擊者首先通過掃描工具發現系統漏洞，然后利用相應的攻擊工具對目標系統實施攻擊，這種攻擊模式簡單易行且危害極大。消除系統漏洞的主要辦法就是安裝軟件補丁。因此，補丁的分發管理越來越成為企業網絡系統安全管理的一個重要環節。

利用網絡掃描與主機掃描兩種模式對系統進行漏洞掃描，掃描完成后根據掃描結果自動對系統漏洞下發補丁并報警。

通過補丁分發管理，可以對企業內網中的各類主機進行補丁檢測和安裝，及時地彌補各類系統漏洞，從而減少系統遭受惡意攻擊的機會，增強企業網絡安全。

3.4 上網行為管理

企業內網安全最薄弱的環節往往不是來自外網的入侵，而是內網用戶不規范的上網行為。企業可部署上網行為管理策略，通過上網內容審計與行為監控等方法能夠發現企業內網計算機非法外聯互聯網行為，當發現不允許訪問互聯網的計算機私自訪問互聯網行為后，能夠執行預先設置的策略，例如鎖定計算機、禁止網絡連接等，以避免國家機密、商業信息、科研成果泄露及網絡病毒的傳播。

3.5 云技術應用

企業利用“云技術”搭建云桌面客戶端，基于角色的訪問控制提供了一種簡單靈活的訪問控制機制，用戶通過成為角色成員來獲得使用權限。

在企業云桌面控制系統下，用戶數據都在后臺存儲，任何用戶想要拷貝數據都需要經過企業內部的審核程序，數據不能任意復制，在較大程度上保證了企業數據的安全性。同時，對于遠端客戶機系統出現的問題，系統管理人員能夠通過系統控制臺對出現問題的客戶機系統進行遠程的檢查和維護，即時、方便地解決企業內網中各種系統所存在的問題，大大地提高了企業內網系統的安全性。

3.6 端點準入和身份認證機制

企業利用端點準入系統，通過監聽和主動探測等方式對接入到企業內網的計算機進行檢測，判別其是否為信任主機；對于探測到的非法主機，系統可以主動阻止其訪問企業的任何網絡資源，從而保證非法主機不對企業網絡產生影響、無法有意或無意地對網絡進行攻擊或者竊密。

通過身份認證系統對企業各應用系統的訪問進行控制，判別企業內部網中所有系統登錄者的身份，確保企業內網所有用戶的可靠性。

3.7 企業信息安全制度建設

以企業管理為核心，按照國家相關的法律和法規，結合企業的實際情況制定企業信息安全管理的相關規章制度，通過各種機制和手段，落實安全管理制度和規范，實現企業安全管理工作的常態化和長效化。

3.8 加強企業員工信息安全意識教育

企業內網安全管理是一個系統工程，除采取必要的技術手段和管理制度外，加強“人”的安全意識的自覺性和主動性至關重要。技術要通過人去掌握和實施，制度要由人去執行和遵守。企業可以通過加強企業員工的信息安全意識教育或培訓，使員工能夠自覺地遵守和執行相關安全制度、操作規程等，并養成良好、規范的網絡行為。人、技術、管理的有效結合是企業內網安全的重要保障。

4 結束語

內網威脅不可避免并且來勢兇猛，企業內網安全管理已經進入了整體防控的時代。單純的準入控制和加密不能解決所有的問題，獨立的內網行為審計也沒有任何效力，企業只有從信息安全管理的全方位進行考慮，對網絡安全進行多角度的整體設計，做到統籌規劃、合理安排，全面整合準入控制、病毒防治、網絡監控、安全審計、權限管理、透明加密等多種技術手段，將管理、技術、人員進行有機的結合，在企業內部構建一個立體化的整體安全網絡，才能實現真正意義上的內網安全。

主要參考文獻

[1]張懷京，祝建航，王新亭. 企業內網安全建設淺談[J].信息安全與技術，2012（2）.

[2]王學華，張彬彬. 內網安全技術研究[J].軟件導刊，2012（9）.

[3]期陳飛，吳曉東，孫曉平. 淺析內網安全管理及對策[J].中國電子商務，2012（1）.

[4]王春蓮.內網網絡安全解決方案研究[J].硅谷，2011（4）.

[5]劉海燕，楊朝紅，霍景河.內網安全檢測與分析技術研究[J].計算機工程與科學，2009（9）.

[6]黃定坤.淺談網絡安全及管理[J].科學咨詢，2009（5）：49.