構建企業內部網（Ｉｎｔｒａｎｅｔ）安全防護體系研究

[摘要] 本文詳細分析了企業內部網現有的安全防護體系存在的問題，提出了一種新的網絡安全防護體系，并闡述了該體系的構架及工作原理。

[關鍵詞] Intranet 網絡安全防護體系 統一安全管理平臺

一、前言

內部網（Intranet）指采用Internet技術建立的企業內部專用網絡。它以TCP/IP協議作為基礎，以Web為核心應用，構成統一和便利的信息交換平臺。內部網在企業信息發布、銷售服務、提高工作群體的生產力、內部交流與支持、員工的培訓和數據庫開發等方面，發揮著不可缺少的作用。它能夠幫助企業協調內部通訊和提高企業生產力。

但是，隨著Intranet在企業的廣泛應用，內部網的安全問題也得到越來越多的關注，特別是網絡病毒的泛濫、網絡黑客的攻擊、企業信息的泄密等，無不牽動著企業領導敏感的神經。如果沒有一個高效的網絡管理系統對網絡進行管理，保障內部網絡安全有效的運行。將直接影響到企業的正常運作，最終影響到企業的經濟效益和社會效益。

二、現有內部網安全防護體系存在的問題

當前企業內部網普遍采用在網絡出口部署IDS（Intrusion Detection System，入侵檢測系統）和硬件防火墻，在內部網服務器上安裝殺毒、防火墻軟件輔以一定的訪問控制策略并及時更新補丁等多項安全措施相結合的綜合安全防護體系。當發生網絡安全問題時，由于大部分交換機以及路由器不具備或只具備較弱的安全防護功能，只能依靠防火墻來抵御攻擊和入侵，并由IDS 來予以跟蹤。但是這種安全體系存在以下幾個明顯的弱點：

1.隨著網絡流量的持續增長，特別是大型內部網內數據流量的爆炸性增長，單純的依靠在內部網的某一點安裝某一網絡安全設備來進行全網的防護已顯得力不從心，容易發生單點故障，并且造成內部網整體通信的瓶頸。

2.來自于內部的誤操作和濫用對內部網的影響是最為致命的，通常的比例高達70%。當攻擊者與被攻擊者均處于Intranet內部時， 如果攻擊流不經過IDS 的監控點，就不能被IDS 捕獲，此時IDS 無法跟蹤，部署在網絡出口的硬件防火墻則失去了作用，只能靠服務器以及用戶電腦上安裝的防火墻來抵御攻擊。如果此時用戶的攻擊為虛擬IP 攻擊，則網絡管理人員只能依靠將局域網逐片斷開的原始方式逐步地進行故障定位，影響的范圍大，排查的時間長，過程繁瑣。

3.IDS+防火墻的組合模式在進行病毒和攻擊方式識別時需要產品廠家的支持，具有一定的滯后性，對新出現的病毒和攻擊行為基本無能為力，且誤報的情況也是時有發生。

4.啟用基于802.1x 協議的用戶接入認證，能夠保障Intranet用戶接入的合法性，較好地解決IP 地址盜用、用戶私自架設代理服務器等一系列困擾內部網管理者的問題，但是基于802.1x 協議的系統對于用戶的計算機系統是否安全、用戶是否存在網絡攻擊行為則無法進行判別。

基于以上幾點，最安全的辦法就是采取讓所有接入Intranet的計算機安裝殺毒和防火墻軟件并及時更新補丁。但由于用戶的網絡應用水平參差不齊，作為網絡管理部門，只能督促用戶及時更新操作系統補丁和安裝防火墻及殺毒軟件，而且操作系統或者應用程序的補丁更新方式，若直接從互聯網上更新則比較慢，若在企業內部架設WSUS服務器，則需要用戶修改配置，過程相對復雜很多，用戶會覺得麻煩。無法從技術層面上強制執行，要保證用戶系統的安全和統一非常困難。

以上幾點充分說明了當前Intranet普遍采用的安全體系存在諸多漏洞，已不能很好地滿足日益增長的網絡安全需求。

三、統一安全管理平臺的體系架構及工作原理

1.統一安全管理平臺的架構

構建一個統一的安全管理平臺，用以實現對Intranet內所有網絡設備的統一管理和調配，確保接入Intranet的所有網絡終端設備的安全可信，是在現有網絡安全防護體系的基礎上發展建立的新的網絡安全防護體系設計思想。

統一安全管理平臺系統具體構架（如圖1所示），由三個層面、五個部分組成：

(1)后臺服務層面

身份認證系統——身份認證系統能夠提供嚴格的用戶接入控制，通過準確的身份認證和物理定位來確保接入用戶的可靠性。用戶認證系統針對用戶的入網行為，提供入網控制功能，同時，認證系統還可以實現用戶帳號、用戶IP、用戶MAC、設備IP、設備端口的靜態綁定、動態綁定以及自動綁定，保證用戶入網身份的唯一性。

安全管理平臺——安全管理平臺是安全防護體系的管理與控制中心，是統一安全管理平臺的核心組成部分。通過安全管理平臺，可以對系統內的安全設備與系統安全策略進行管理，實現全系統安全策略的統一配置、分發和管理，并能有效地配置和管理全網安全設備，從而實現全網安全設備的集中管理，起到安全網管的作用。通過統一的技術方法，將系統所有的安全日志、安全事件集中收集管理，實現集中的日志分析、審計與報告。同時通過集中的分析審計，發現潛在的攻擊征兆和安全發展趨勢，確保安全事件、事故得到及時的響應和處理。

安全修復系統——安全修復系統的作用是跟蹤安全漏洞的變化，能夠有效地進行系統補丁、病毒特征碼或者用戶指定應用程序補丁的管理。針對不同的安全策略，點到面地自動強制分發部署補丁程序。

(2)網絡層面

安全聯動設備——安全聯動設備是Intranet中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。由安全管理平臺提供標準的協議接口，同交換機、路由器、防火墻、IDS等各類網絡設備實現安全聯動。

(3)用戶層面

安全客戶端——安全客戶端是安裝在個人電腦和服務器上的端點保護軟件。安全客戶端負責收集不同用戶的安全軟件的狀態信息，包括對防病毒軟件信息的收集。同時，安全客戶端可以評估操作系統的版本、補丁程度等信息，并且把這些信息傳遞到安全管理平臺，沒有進行適當升級的主機將被隔離到網絡修復區域，從而保障網絡的安全運行。與傳統的解決方案不同，安全客戶端通過對用戶終端設備信息的搜集，可預先識別和防止用戶對網絡的惡意行為，排除潛在的已知和未知的安全風險。

2.統一安全管理平臺的工作原理

統一安全管理平臺的工作原理如圖2所示。

統一安全管理平臺系統實現終端用戶安全準入的工作流程如下：

(1)用戶終端試圖接入網絡時，首先通過安全客戶端上傳用戶信息至用戶認證服務器進行用戶身份認證，非法用戶將被拒絕接入網絡。

(2)合法用戶將被要求進行安全狀態認證，由安全管理平臺驗證補丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯動設備隔離到隔離區。

(3)進入隔離區的用戶可以根據企業網絡安全策略，通過安全修復系統安裝系統補丁、升級病毒庫、檢查終端系統信息，直到接入終端符合企業網絡安全策略。

(4)安全狀態合格的用戶將實施由安全管理平臺下發的安全設置，并由安全聯動設備提供基于身份的網絡服務。

四、結束語

保障Intranet安全、有效運行，是一項復雜的系統工程。它既是一個技術問題，但更是一個管理問題，所謂“三分技術，七分管理”。所以，除了采用上述技術措施之外，加強網絡安全的管理：制定有關規章制度；確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施；對工作人員結合機房、硬件、軟件、數據和網絡等各個方面的安全問題，進行安全教育，提高工作人員的保密觀念和責任心；加強業務、技術的培訓，提高操作技能等，也將起到十分有效的作用。

參考文獻：

[1]思科系統網絡技術有限公司.思科自防御網絡[EB/OL]. [2006-04-03]. http:／／www.cisco.com／global／CN／solutions／industry／segment_sol／smb／smb_it／security／cisco_self_defending_networks_overview.html

[2]微軟中國技術支持中心.網絡訪問保護平臺體系結構[EB／OL].[2004-11-15]. http:／／www.microsoft.com／china／windowsserver2003／techinfo／overview／naparch.mspx

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。