淺議內部網絡安全體系的構建

計算機和網絡在我國的各個行業系統均承載了極大的作用，目前，內部網絡的安全威脅給眾多企事業單位所造成的損失是顯而易見的，如何保護內部網絡，使遭受的損失減少到最低限度是目前網絡安全研究人員不斷探索的目標。

一、內部網絡的安全現狀

目前很多企事業單位都加快了企業信息化的進程，在網絡平臺上建立了內部網絡和外部網絡，并按照國家有關規定實行內部網絡和外部網絡的物理隔離；在應用上從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，逐步實現企業信息的高度集成，構成完善的企事業問題解決鏈。

在網絡安全方面，大多企業或是根據自己對安全的認識，或是根據國家和系統內部的相關規定，購置部分網絡安全產品，然而這些產品主要是針對外部網絡可能遭受到安全威脅而采取的措施，在內部網絡上的使用雖然針對性強，但往往有很大的局限性。事實證明，來自內部的數據失竊和破壞，遠遠高于外部黑客的攻擊。由于內部網絡的高性能、多應用、涉密信息分散的特點，各種分立的安全產品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業中普遍存在的焦點問題。

內網更易被破壞的原因筆者認為有以下幾點：首先，在對Internet嚴防死守和物理隔離的措施下，對網絡的破壞大多數來自網絡內部的安全空隙。另外也因為目前針對內部網絡安全的重視程度不夠，系統的安裝有大量的漏洞沒有去打上補丁。也由于內部擁有更多的應用和不同的系統平臺，自然有更多的系統漏洞。其次，黑客工具在Internet上很容易獲得，這些工具對Internet及內部網絡往往具有很大的危害性，這是內部人員能夠對內部網絡造成巨大損害的原因之一。而且，為了簡單和易用，在內網傳輸的數據往往是不加密的，這為別有用心者提供了竊取機密數據的可能性。再次，內部網絡的用戶往往直接面對數據庫、服務器進行操作，破壞者可以利用內網速度快的特性，對關鍵數據進行竊取或者破壞。眾多的使用者有不同的權限，管理上更加困難，系統更容易遭到口令和越權操作的攻擊。服務器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。涉密信息不僅限于服務器，同時也分布于各個工作計算機中，目前對個人硬盤上的涉密信息缺乏有效的控制和監督管理辦法。

二、構建內部網絡的安全體系

筆者認為完整的內部網絡的安全體系包括安全產品、安全技術和策略、安全管理以及安全制度等多個方面，整個體系為分層結構，分為水平層面上的安全產品、安全技術和策略、安全管理，其在使用模式上是支配與被支配的關系。在垂直層面上為安全制度，從上至下地規定各個水平層面上的安全行為。

1、安全產品

安全產品是各種安全策略和安全制度的執行載體。雖然有了安全制度，還必須有好的安全工具把安全管理的措施具體化。目前市場上的網絡安全產品林林總總，各個廠家的安全產品在遵守安全標準的同時，會利用廠家聯盟內部的協議提供附加的功能。這些附加功能的實現是建立在全面使用同一廠家聯盟的產品基礎之上的，那么選擇每個方面的頂尖產品在價格上會居高不下，而且在性能上并不能達到l+1等于2甚至大于2的效果。這是因為這些產品不存在內部之間的協同工作，不能形成聯動的、動態的安全保護層，一方面使得這些網絡安全產品本身所具有的強大功效遠沒有得到充分的發揮；另一方面，這些安全產品在技術實現上，有許多重復工作，這也影響了應用的效率。因此網絡安全產品的選擇應該是建立在相關安全產品能夠相互通信并協同工作的基礎上，即實現防火墻、IDS、病毒防護系統、信息審計系統等的互通與聯動，以實現最大程度和最快效果的安全保證。

2、網絡安全技術和策略

內部網絡的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復這三個大方向，那么安全技術和策略的實現也應從這三個方面來考慮。

積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測（甚至是內部入侵者）層面。內部安全漏洞在于人，而不是技術。因此，應重點由發現問題并填補漏洞迅速轉向查出誰是破壞者、采取彌補措施并消除事件再發的可能性。真正的安全策略的最佳工具應包括實時審查目錄和服務器的功能，具體包括：不斷地自動監視目錄，檢查用戶權限和用戶組帳戶有無變更；警惕地監視服務器，檢查有無可疑的文件活動。無論未授權用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞，真正的安全管理工具會通知相應管理員，并自動采取預定行動。在積極查詢的同時，也應該采用必要的攻擊防范手段。對于數據的安全保護，理想的辦法是在內部網絡中采用基于密碼技術的數字身份認證和高強度的加密數據傳輸技術，同時采用安全的密鑰分發技術，這樣既防止用戶對業務的否認和抵賴，同時又防止數據遭到竊聽后被破解，保證了數據在網上傳輸的可靠性。攻擊后恢復首先是數據的安全存儲和備份，在發現遭受攻擊后可以利用備份的數據快速的恢復；針對WWW服務器網頁安全問題，實施對Web文件內容的實時監控，一旦發現被非法篡改，可及時報警并自動恢復，同時形成監控和恢復日志，并提供友好的用戶界面以便用戶查看、使用，有效地保證了Web文件的完整性和真實性。

3、安全管理

有了好的安全工具和策略，還必須有好的安全管理人員來有效的使用工具和實現策略。經過培訓的安全管理員能夠隨時掌握網絡安全的最新動態，實時監控網絡上的用戶行為，保障網絡設備自身和網上信息的安全，并對可能存在的網絡威脅有一定的預見能力并采取相應的應對措施，同時對已經發生的網絡破壞行為在最短的時間內做出響應，使企業的損失減少到最低限度。企業領導應當投入相當的經費用于網絡安全管理人員的培訓，或者聘請安全服務提供商來維護內部網絡的安全。

4、網絡安全制度

要從網絡安全的角度來實施對人的管理，企業的領導必須首先認識到網絡安全的重要性，在此基礎上制定相應的政策法規，使網絡安全的相關問題做到有法可依、有據可查，最大限度地提高員工的安全意識和安全技能，并在一定程度上造成對蓄意破壞分子的心理震懾。

目前許多企業已認識到網絡安全的重要性，已采取了一些措施并購買了相應的設備，但在網絡安全法規上還沒有清醒的認識，或是沒有較為系統和完善的制度，這樣往往會給不法分子以可乘之機。國際上，以ISO17799/BSI7799為基礎的信息安全管理體系已經確立，并已被廣泛采用，企業可以此為標準開展安全制度的建立工作。安全組織應當有企業高層掛帥，由專職的安全管理員負責安全設備的管理與維護，監督其他人員設備安全配置的執行情況，還應當形成定期的安全評審機制。只有通過以上手段加強安全管理，才能保證由安全產品和安全技術組成的安全防護體系能夠被有效地使用。

總之，要想保證內部網絡的安全，在做好邊界防護的同時，更要做好內部網絡的管理。安全重在管理，沒有好的管理思想、嚴格的管理制度、負責的管理人員和實施到位的管理程序，就沒有真正的安全。在有了“法治”的同時，還要有“人治”，即經驗豐富的安全管理人員和先進的網絡安全工具，有了這兩方面的治理，才能得到一個真正安全的網絡。

作者簡介：

樊恒舒（1980-），政工師，碩士研究生，天津市信息中心，從事信息服務工作.endprint