企業內網安全管理策略研究

摘要：隨著企業信息化步伐日益加快，其網絡應用的規模與復雜度也不斷增加。內網安全問題在安全體系中是至關重要的環節，解決內網安全問題必須從規劃內網資源、規范內網行為、防止內網信息泄露等多方面入手，構建有效的安全管理機制，這樣才能真正保證整個網絡系統的安全。

關鍵詞：企業內網，安全，管理策略

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)08-1pppp-0c

1 引言

內網安全理論的提出是相對于傳統的網絡安全而言的。在傳統的網絡安全威脅模型中，假設內網的所有人員和設備都是安全和可信的，而外部網絡則是不安全的。基于這種假設，產生了防病毒軟件、防火墻、IDS等外網安全解決方案，部署在內網和外網之間的邊界，防外為主。這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。

但是，隨著各單位信息化程度的提高以及用戶計算機使用水平的提高，安全事件的發生更多是從內網開始，由此引發了對內網安全的關注。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障，企業基于網絡邊界的安全防護技術就更是鞭長莫及了，由此危及到內部網絡的安全。一方面，企業中經常會有人私自以Modem 撥號方式、手機或無線網卡等方式上網，而這些機器通常又置于企業內網中，這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡，發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究表明:超過80%的信息安全隱患來自組織內部，而大多數公司都沒有設置相應的工具來監視和檢測內部資源的使用和濫用。相對于外網安全來自互聯網的威脅，內網安全的重點是數據和信息的安全，而這些數據和信息，才是企業真正有價值的資源。

2 企業內網安全隱患分析

現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中，顧名思義，開放的環境既為信息時代的企業提供與外界進行交互的窗口，同時也為企業外部提供了進入企業最核心地帶—企業信息系統的便捷途徑，使企業網絡面臨種種威脅和風險：病毒、蠕蟲對系統的破壞；系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏，導致企業安全策略不能真正的得到很好的落實，開放的網絡給企業的信息安全帶來巨大的威脅。內網安全威脅主要包括如下幾個方面：

2.1 網絡病毒

目前企業內部網絡系統受到最多的安全威脅來自計算機病毒，病毒的傳播形式越來越復雜、傳播的速度越來越快，影響范圍越來越大，其造成的損失已不僅限于個人計算機系統，還可以造成服務器系統癱瘓、主干網絡擁堵，甚至崩潰。在企業內部網絡系統中存在網絡病毒對郵件服務器及個人操作系統的破壞，以及網絡病毒造成的網速變慢，系統無法正常響應等情況，并且在病毒發作時不能及時處理，難以快速發現被病毒感染機器的IP地址。

2.2 非法入侵

網絡黑客對內部網絡系統的攻擊隨時都可能發生。因此，通常首要考慮的問題是如何有效地防范來自外部的攻擊。來自外部的攻擊通常只會影響采用合法IP地址的網絡設備及服務器，或者說它們只對Internet上的可見設備進行攻擊。但是這并非就意味著網絡內部采用保留IP地址的網絡就不會受到攻擊。企業內部網絡規模較大，網絡用戶較多，安全系統參差不齊，缺乏統一有效的控制手段。因此，在考慮外部入侵的同時，也要考慮來自Intranet內部的安全威脅。

2.3 系統安全漏洞、補丁修補不及時

隨著各類網絡和操作系統軟件的不斷更新和升級，由于邊界處理不善和質量控制差等綜合原因，網絡和系統軟件存在越來越多的缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標和有利條件。網絡入侵行為的成功大多是利用了網絡系統的安全漏洞，這些漏洞包括安全管理的漏洞、操作系統的漏洞、數據庫系統的漏洞、應用系統的漏洞、網絡管理的漏洞等。如果不及時修補補丁，其相關的漏洞就可能會被隨之而來的攻擊手段所利用，給整個計算機網絡的安全性帶來威脅。在實施網絡安全策略時，很重要的一步就是查清各種漏洞并及時彌補。在上述所有漏洞中，操作系統漏洞及數據庫系統漏洞多被外部黑客所利用，而來自內部的黑客則可能利用所有的漏洞。

2.4 IP地址管理和非法內聯外聯問題

企業內部網絡由于沒有嚴格的管理策略，IP地址使用存在一定混亂，部分員工隨意設置IP地址，造成IP地址沖突，甚至導致關鍵設備的工作異常。一旦出現惡意盜用、冒用IP地址以謀求非法利益，后果將更為嚴重。

另外企業辦公樓層規模化的網絡接口方便了員工接入網絡，同時也方便了外來計算機接入網絡，接入內網的計算機應該是專門用于完成業務工作且經過認可的計算機。但是存在著用戶利用這些計算機設備進行其它活動， 或使用未經確認許可的計算機接入內網，管理人員對此類情況難以判定并加以監視和控制，造成內網安全的極大隱患。

隨著企業信息化工作的開展和不斷深化，越來越多的企業信息通過網絡溝通、共享和保存。這些信息和數據既包含業務數據，也包括財務憑證、報表以及人事檔案資料、公司內部公文，還包括合作伙伴的結算信息。這些信息有些是供電企業的行業機密和商業機密，有些用于企業的規范管理，有些用于輔助決策，它們對企業的生存和發展起到至關重要的作用。因此，管理信息系統的安全保密性成為系統開發中必須著重考慮的問題。這些機密數據和文件的外泄，造成的影響和危害非常嚴重，由于部分特定行業的特殊性，其造成的危害往往還涉及到國家的利益，因此嚴禁涉密網絡和專有網絡與Internet互聯。

2.5缺乏有效監控措施

目前一般企業內部網絡與因特網之間采用物理隔離的安全措施，在一定程度上保證了內部網絡的安全性，但是各類網絡基礎信息采集不全。大型計算機網絡的管理應該以基礎信息的管理為核心， 信息管理中心如果對所管轄網絡的用戶和資源狀況難以掌握， 對整個網絡的管理工作也就無從談起， 在發生違規事件時也很難及時將問題定位到具體的用戶。網絡安全存在著“木桶”效應，整個網絡安全的薄弱環節往往出現在終端用戶，單個用戶計算機的安全性不足，時刻威脅著整個計算機網絡的安全。常見的防火墻、入侵檢測等系統主要針對的是網絡運行安全，對于終端用戶的監控始終是網絡安全管理中的薄弱環節，對網絡內部的安全威脅缺乏防護、監控和審計機制。

3 企業內網安全管理策略

企業內網安全管理策略能夠極好地解決網絡內部網絡的安全管理問題，通過對終端節點進行嚴防死守，對網絡層面進行系統聯動，對內網平臺進行整合管理，從而為企業提供一個自防御的內網安全管理平臺，為網絡管理員展現一個安全的、易使用的環境，幫助企業解決大量的內網安全隱患問題。

3.1 資產管理

資產管理模塊自動收集被管理的計算機全面的軟硬件信息，包括：計算機名、品牌、硬盤型號及大小、CPU、內存等配置信息；此外，還能定義包含合同采購保修在內的全面資產維護信息及使用者狀態，自動收集計算機安裝的各種應用軟件，并根據需要動態導出管理報表。

3.2 進程管理

網絡聊天軟件、股票軟件、網絡電影軟件等現象在辦公室蔓延令許多管理者頭痛，通過進程管理模塊，能實時監控與查殺企業內部任何計算機當前運行進程，并通過黑白名單功能切實保障非法進程無法運行，此外還能對特殊進程設置詳細說明信息，使計算機只運行指定的應用程序，規范桌面應用程序環境。

3.3 補丁管理及軟件分發

不同版本的操作系統，不同應用軟件專用補丁，龐大的計算機數量，僅僅依靠著網絡維護管理人員手工安裝的解決辦法，只能讓網絡維護管理人員疲于奔命。系統補丁自動管理功能為補丁的自動安裝及升級提供了解決方案；此外，通過系統軟件分發功能，可以定制分發任務，從而極大地提高工作效率。

3.4 網絡訪問管理

網絡訪問管理可以部署企業內部計算機的網絡訪問規則，只允許或禁止某些計算機訪問特定的資源。例如一般員工不能訪問部門領導級的計算機資源、不能訪問內部重要數據服務器等；另外，可以限制員工只能使用某些網絡，或者只允許或禁止某些端口，從而合理地規劃內網計算機的網絡資源訪問。

3.5 遠程維護管理

企業跨樓層、跨地域的內部網絡使得維護工作越來越繁瑣。遠程維護模塊基于Java組件的實現方式，通過Internet Explorer瀏覽器讓網絡維護管理人員對計算機桌面遠程接管，并且能提供連接時限的設置和分級授權等功能讓遠程維護管理省時省心。

3.6 外設管理

針對企業內的一些特殊業務要求，網絡維護管理人員必須全部或部分禁止外部設備，相比較于對計算機進行硬件拆卸、外設端口貼封條的傳統方法，內網安全管理解決方案的外設管理功能通過USB存儲設備的控制策略、USB接口的鍵盤鼠標等輸入設備例外管理策略及各種光驅、軟驅等驅動器的控制策略完美地解決了上述問題。

3.7 桌面設置管理

由于非法修改IP地址，而造成網絡沖突和網絡安全隱患。針對此種情況，桌面設置功能提供是否允許管理共享控制、開Guest賬號及自動登錄等功能，并通過IP地址與計算機綁定功能，實現IP地址和網卡MAC地址的捆綁，機器就無法再更改IP地址，有效地控制網絡內計算機的網絡行為。

3.8 系統預警管理

如何進行全方位的系統預警是企業信息安全非常重要的一環。預警管理功能可以定義異常事件并及時向網絡維護管理人員進行警告，它提供對一些特殊TCP/UDP端口訪問的告警及非法外聯警告，讓網絡維護管理人員實時地了解每臺計算機的系統狀態，及時地掌握網絡數據，從而有充分的準備來應付可能的突發事件。

3.9 接入安全控制

企業越來越難以在保持網絡資源可用性的同時確保企業網絡的接入安全，接入安全控制功能提供了對非法接入計算機、卸載關鍵軟件等進行了阻斷或重定向等管理手段，使企業業務數據不輕易泄露，對私自改變IP地址和安裝非法軟件等安全隱患進行更加有效的預防。

4 結束語

網絡安全是一個系統的、全局的管理問題，網絡上的任何一個漏洞，都會導致全網的安全問題，我們應該用系統工程的觀點、方法，分析網絡的安全及具體措施，必須從網絡、計算機操作系統、應用業務系統甚至系統安全管理規范、使用人員安全意識等各個層面統籌考慮。內網安全問題在安全體系中是至關重要的環節，解決內網安全問題必須從規劃內網資源、規范內網行為、防止內網信息泄露等多方面入手，構建有效的企業內網安全管理策略，這樣才能真正保證整個網絡系統的安全。

參考文獻：

[1]葉代亮，孫鈺華.內網的安全管理[J].計算機安全，2006.1.

[2]寧潔.內網安全建設的問題分析與解決方案[J].網絡安全技術與應用，2006.10.

[3]宋弘，薛雯波.構建內網安全體系的幾個要點[J].計算機與網絡，2005.18.

[4]馬先.信息網絡安全防護分析[J].青海電力，2006.3.

[5]王為.內部網絡中客戶端計算機安全策略[J].計算機安全，2006.10.

[6]劉曄，彭宗勤，吳德志.淺論威脅企業網絡信息安全的因素及防范對策[J].集團經濟研究，2007.5.

[7]王迎新，牛東曉.電力企業網絡信息安全管理研究[J].中國管理信息化(綜合版)，2007.3.

[8]張一新.網絡信息安全風險及需求分析[J].水利水電技術，2007.5.

[9]李亞平.局域網終端用戶病毒特點與防護策略[J].商場現代化，2007.21.