21世紀內網安全管理

背景分析

在如今這個時代，隨著人們對網絡的依賴程度增加，網絡已經涉及到人們生活的方方面面，然而病毒的泛濫、黑客的攻擊以及網絡犯罪的增加，人們的網絡安全意識和對網絡安全的重視程度在不斷加強，各種防護手段也在不斷豐富。然而一提到網絡安全問題，人們總是習慣于傾向網絡外部入侵的防御，卻往往忽視了對內部網絡的安全威脅。

目前傳統的安全解決方案不能滿足“全網安全”形勢下的網絡安全需求，安全技術必須隨著網絡的發展而不斷完善。從單機孤立、分散安全向集成化、立體化安全機制發展是安全技術和安全管理發展的必然趨勢。

本文所指內網的概念就是局域網，或稱Local Area Network，它是在一個局部的地理范圍內，將各種計算機、外圍設備、數據庫等互相連接起來組成的計算機通信網，簡稱LAN，而應用最廣泛的LAN當屬總線結構的以太網，同時也是目前發展最迅速、最經濟的局域網。

內網系統安全的范圍很廣，它不僅包括計算機系統本身，還應包括自然災害、物理損壞、設備故障、意外事故等。同時它還包括計算機主機系統和網絡系統上的網絡設備、某些終端設備的安全問題，以及對這些系統的攻擊、偵聽、欺騙等非法手段的防護。

如果內部網絡在安全方面有漏洞，就可能被黑客或非法份子利用，搗毀數據、網絡，影響網絡業務正常運行；更嚴重的是國家秘密、技術秘密還可能被間諜竊取，給國家或集體直接帶來無法估量的損失。

綜合研究分析 系統解決存在問題

內網的建設、營運必須在物理安全、運行安全、信息安全和管理安全四個方面進行完善，確保敏感信息在產生、存儲、傳遞和處理過程中的保密、完整、可用和抗抵賴。

內網的物理安全

內網物理安全需要從環境安全、設備安全和介質安全三方面，采取多種技術措施嚴格進行部署，防范來自外部（如敵對勢力、恐怖組織、犯罪集團、黑客）對內網的威脅。

1.環境安全

環境安全要求從內網所在建筑部位的選址到周邊監控、邊界安防、出入控制等多方面采取有效措施，保證周邊環境的安全。同時在機房、綜合布線系統、電話布線系統、門禁系統、監控系統、報警系統、綜合音視頻系統等方面采用嚴格的控制手段，確保場所的安全。

2.設備和介質安全

有這樣一句話，“間諜就在你身邊”，如果不對內網中的合法用戶、管理者人員、服務提供者嚴格管理，而放任自流，就存在安全隱患，他們可方便地通過對移動設備或存儲介質的使用，獲取內網中的重要信息；或者由于疏于管理，致使內網中的重要信息流到外網。

所以應建立移動設備使用管理和存儲介質管理制度，職能部門按照有關要求不定期開展移動設備和存儲介質使用情況檢查，督促制度執行，對于違反規定的人員予以批評或處罰。

內網的運行安全

物理安全是信息安全的最基本要求，在物理安全得到保障的情況下，各種威脅和風險就會集中到內部網絡和系統運行的薄弱環節，因此，要十分重視內部網絡和系統的運行安全。

運行安全就是指對網絡與信息系統的運行過程和運行狀態的保護。必須綜合采用在網絡邊界部署防火墻、在網絡內部部署入侵檢測系統、漏洞掃描系統、主機審計系統、反病毒系統、備份與恢復系統等多種技術措施嚴格部署于信息系統，保證信息系統的運行安全。以下進行詳細分析：

1.防火墻系統

防火墻是現在網絡安全運用的最廣泛的安全產品。它的主要功能在于把那些不受歡迎的訪問隔離在特定網絡之外。受保護網絡與外部網絡之間的任何數據傳遞都必須通過防火墻，防火墻對這些數據進行分析、處理，并根據已設置的安全規則判定是否允許通過。建立防火墻對于受保護網絡免受來自外部的攻擊有較好的防范作用，防火墻系統本身具備較高的系統安全級別，可以防止非法用戶通過控制防火墻對內網發動攻擊。

2.入侵檢測系統

隨著黑客對網絡的攻擊數量越來越多，攻擊手段越來越新，網絡邊界設備功能的不足，對攻擊行為的報警滯后，同時來自內網有意無意的越級使用帶來的威脅，都需要內網的管理員對內網進行實時監測、實時響應、準確定位攻擊源，將對內部網絡的攻擊威脅減小到最小。

通過部署入侵檢測系統,可以了解網絡的運行狀況和發生的安全事件，并根據安全事件來調整安全策略和防護手段，同時改進實時響應和事后恢復的有效性。

3.漏洞掃描系統

一般防病毒軟件都有漏洞掃描功能，內網管理員可根據內網中不同版本的操作系統進行掃描，然后定期下載補丁程序，要求內網用戶進行補丁升級。

當然也有一些成熟的漏洞掃描、補丁升級解決方案可對內網中所有客戶端進行補丁Push下發，可根據實際情況進行配置選擇。

4.主機審計系統

內部的網絡安全如果不進行控制，內部人員可以輕松地將計算機中的敏感信息通過移動存儲設備或者網絡泄露出去，而且不會留下任何痕跡。針對這一現狀，內網中必須配置防止內部信息外漏的主機審計系統。

可利用密碼、身份認證、訪問控制和審計跟蹤等技術手段，對重要業務數據和技術專利等敏感信息的存儲、傳播和處理過程實施安全保護；最大限度地防止敏感信息泄漏、被破壞和違規外傳，并完整記錄涉及敏感信息的操作日志，以便日后審計或追究相關的泄密責任，有效降低“堡壘從內部攻破”的可能性。

5.病毒檢測與清除系統

內網中病毒防護也是系統管理員非常重視的一點，一旦病毒在內網中傳播，將帶來很大的危害。必須通過部署分布式、網絡化的防病毒系統，保證單機有效地防止病毒侵害，并可使系統管理員從中央控制臺對整個網絡進行病毒防護管理、升級病毒代碼與引擎，及時地對病毒進行查殺。在使用網絡版查殺病毒軟件時應該注意，必須選擇在國家有關單位登記在冊的，在涉密信息系統產品名錄中的相關產品。

6.備份與災難恢復系統

內網的數據安全、有效離不開備份與恢復系統，根據內網網絡規模和數據增長量，使用磁盤陣列、磁帶庫等手段進行備份，建立定期備份機制，隨機進行數據恢復測試。有迫切需求的可建立異地容災系統。

一般比較成熟的網絡數據備份其基本設計思想是利用一臺服務器連接合適的備份設備，實現對整個網絡系統各主機上關鍵業務數據的自動備份管理。

內網信息安全

信息安全實現手段主要包括系統身份鑒別、信息訪問控制、信息加密、電磁泄露發射防護、信息完整性校驗、日志安全審計、網絡安全保密性能檢測等。

通過規劃在內網按部門進行VLAN劃分，加強訪問控制、劃分網絡安全域和建立多層次的動態防御體系，在保證物理上與外部網絡完全隔離的基礎上，強化訪問控制權限，并逐步實現安全保密產品的聯動防御和反攻擊。

在內網中IP地址盜用或地址欺騙是其中一個常見且危害極大的因素。最有效的解決方法就是在IP、MAC綁定的基礎上，再把端口進行綁定，即IP－MAC－PORT三者綁定在一起，從物理通道上隔離了盜用者。

對內網安全管理要求高的單位，還可以通過部署重點部位的生物特征身份鑒別系統、電磁泄漏發射保護裝置、動態口令安全認證系統、傳輸加解密系統來全面完善、提高內網的安全級別。

內網的管理安全

除了完善系統的安全保密具體措施外，安全管理規范化也是內網安全所必須的重視的。因為所有的安全系統無論軟件、硬件最終都是由人來操作、來實施，如果不重視管理，不形成制度化的工作流程，那么配備再好的設備、再好的軟件也等于形同虛設。

所以必須建立基本的安全管理機構，完善整個管理組織結構，形成規范性的安全管理文件。

安全管理機構成立后，對管理機構的各個安全管理人員也要進行崗位設定，明確每個崗位的職責，形成規范文件《安全管理人員崗位設定》，作為安全管理的重要文件，并嚴格按照文件部署。

制定一系列的安全管理制度同時還要對工作人員進行定期的崗位培訓措施，從根本上強化其安全觀念，并且培訓期后還要對人員進行評測考核，；同時在日常工作中進行定期考查，提高工作人員的保密意識與安全保密技術水平。

組建成立內網應急事件與響應組，及時處理、評估網絡安全事件，不斷提高識別安全事件特征，改善技術管理水平。

結束語

內網的安全管理是一個系統工程，隨著業務拓展、網絡不斷的擴展和日趨復雜，服務不斷增多，要面對來自方方面面的可能攻擊，同時國家對涉密單位的內網管理也提出了越來越規范和嚴格的要求，因此保障網絡的安全運行是非常重要的。必須充分考慮網絡不斷發展變化的安全需求，對風險有充分的認識，以便更好地加以控制和管理。通過各種技術防范手段和日常的有效管理，才能將內網鑄成一個銅墻鐵壁的安全堡壘。