企業(yè)內(nèi)網(wǎng)安全研究

韓進喜

摘 要 隨著網(wǎng)絡(luò)技術(shù)發(fā)展，內(nèi)網(wǎng)安全重要性日益凸顯，安全防護產(chǎn)品大量涌現(xiàn)，如何合理有效綜合利用，是個值得研究的問題。本文從用戶終端區(qū)安全、內(nèi)網(wǎng)全、服務(wù)器安全三個層次對如何構(gòu)建安全可信的內(nèi)部網(wǎng)絡(luò)環(huán)境進行研究，并對內(nèi)網(wǎng)用戶間可控信息交換進行初步探討。

關(guān)鍵詞 企業(yè)內(nèi)網(wǎng);研究

中圖分類號：TP3 文獻標(biāo)識碼：A 文章編號：1671-7597（2014）22-0171-02

隨著網(wǎng)絡(luò)和計算機技術(shù)的飛速發(fā)展，信息化程度快速提高，網(wǎng)絡(luò)起到越來越重要的平臺支撐作用。同時，各種網(wǎng)絡(luò)安全威脅日益凸顯。研究表明，安全威脅主要來自內(nèi)部網(wǎng)絡(luò)，內(nèi)網(wǎng)安全顯得愈發(fā)重要。內(nèi)網(wǎng)信息安全越來越受到關(guān)注，針對信息控制、信息外泄、非法接入、存儲管控、非法外聯(lián)、身份認(rèn)證等內(nèi)網(wǎng)安全產(chǎn)品大量涌現(xiàn)，同時，網(wǎng)絡(luò)產(chǎn)品和服務(wù)產(chǎn)品也增加了相關(guān)安全功能。如何更有效地綜合運用這些產(chǎn)品，為企業(yè)構(gòu)建安全可信的內(nèi)部網(wǎng)絡(luò)環(huán)境，是本文研究的重點。

本文主要從用戶終端區(qū)安全、內(nèi)網(wǎng)安全、服務(wù)器安全三個方面對如何構(gòu)建安全可信的內(nèi)網(wǎng)環(huán)境進行闡述。下面，我們從這三個方面來探討如何加強企業(yè)內(nèi)網(wǎng)安全并對常見安全防護手段進行介紹。

1 用戶終端區(qū)安全防護措施

用戶終端區(qū)安全防護，主要包括用戶終端安全、用戶身份合法性、用戶行為安全三個方面。

用戶終端安全包括病毒防護、系統(tǒng)安全、設(shè)備安全等。

對于病毒防護來說，針對已知病毒，主要通過網(wǎng)絡(luò)版殺毒軟件進行，應(yīng)及時更新病毒庫，并對客戶端更新情況進行監(jiān)控，及時查漏補缺，做到網(wǎng)內(nèi)所有終端狀態(tài)可控、可監(jiān)管;其次，對于新出現(xiàn)的病毒，根據(jù)病毒特征（如端口號、協(xié)議等）結(jié)合軟硬件防火墻配置相應(yīng)規(guī)則進行防范。

對于系統(tǒng)安全來說，一般應(yīng)具備漏洞掃描和補丁加固手段。漏洞掃描可以通過專用漏洞掃描設(shè)備進行，如綠盟公司的遠程安全評估系統(tǒng)，也可以通過安全防護軟件進行，如360安全衛(wèi)士等;通過漏洞掃描發(fā)現(xiàn)操作系統(tǒng)或應(yīng)用軟件的漏洞，對系統(tǒng)或軟件及時進行補丁加固，避免造成不必要的損失。操作系統(tǒng)補丁可通過架設(shè)補丁服務(wù)器實現(xiàn)，如Window平臺下可以通過WSUS服務(wù)器實現(xiàn)，目前市面上也有很多相關(guān)產(chǎn)品。應(yīng)用軟件補丁可以通過及時更新軟件版本或者安裝軟件提供的相應(yīng)補丁實現(xiàn)。

設(shè)備安全，指硬件設(shè)備的安全，包括硬件設(shè)備自身安全以及存放環(huán)境安全等，硬件設(shè)備自身是否安全一般需要通過專業(yè)部門對硬件安全進行評估，存放環(huán)境安全可以通過各種監(jiān)控手段或物聯(lián)網(wǎng)技術(shù)實現(xiàn)，監(jiān)控手段可以通過視頻監(jiān)控或帶有入侵行為跟蹤分析的監(jiān)控系統(tǒng)實現(xiàn)，也可以在重要設(shè)備上安裝電子標(biāo)簽，通過物聯(lián)網(wǎng)技術(shù)對設(shè)備移動范圍進行監(jiān)控。

用戶身份合法性可通過用戶身份認(rèn)證系統(tǒng)、接入控制系統(tǒng)等實現(xiàn)，一般通過用戶與私有KEY綁定，或與一些具有唯一標(biāo)識的硬件（如硬盤、CPU等）綁定的方式進行。

用戶行為安全包括外聯(lián)監(jiān)控、內(nèi)網(wǎng)行為管控等。外聯(lián)監(jiān)控在企業(yè)內(nèi)網(wǎng)中用于防范用戶非法外聯(lián)、私自復(fù)制信息等，避免造成泄密。主要功能包括USB存儲設(shè)備、光驅(qū)、串口、并口等禁用/啟用、外聯(lián)的各類設(shè)備（包括調(diào)制解調(diào)器、無線網(wǎng)絡(luò)適配器、紅外設(shè)備、藍牙設(shè)備）的啟用/禁用，硬件變更告警、安全審計等。內(nèi)網(wǎng)行為管控產(chǎn)品技術(shù)和產(chǎn)品均比較成熟，如IP-guard、LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)、億士安全監(jiān)控系統(tǒng)等。

2 內(nèi)網(wǎng)安全防護措施

內(nèi)網(wǎng)一般由網(wǎng)絡(luò)設(shè)備、接入控制設(shè)備、監(jiān)控設(shè)備、安全防護設(shè)備、終端和服務(wù)器等組成。網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)的支撐平臺，負責(zé)數(shù)據(jù)交換、路由尋址等。接入控制設(shè)備主要用于用戶終端的合法接入、鑒別和授權(quán)。監(jiān)控設(shè)備一般包括入侵監(jiān)測設(shè)備、網(wǎng)絡(luò)分流器、監(jiān)控服務(wù)器等，負責(zé)內(nèi)部網(wǎng)絡(luò)中各種異常情況監(jiān)測和報警。安全防護設(shè)備包括防火墻、接入控制系統(tǒng)、漏洞掃描系統(tǒng)、補丁加固設(shè)備等。

網(wǎng)絡(luò)設(shè)備常見安全措施，包括訪問控制列表、端口綁定、端口定向等。訪問控制列表和防火墻中各種規(guī)則設(shè)置相似，均基于源地址、目的地址、協(xié)議、端口等進行，這里不再贅述。

通過防火墻、IDS、接入控制系統(tǒng)等安全防護設(shè)備，一般可實現(xiàn)入侵檢測系統(tǒng)與防火墻等聯(lián)動，及時阻止或隔斷非法行為，也可在網(wǎng)絡(luò)中部署蜜罐系統(tǒng)，對非法行為進行誘騙，從而起到保護作用。

監(jiān)控設(shè)備通過在網(wǎng)絡(luò)中部署監(jiān)控點（探針），完成對網(wǎng)絡(luò)各種狀態(tài)的嗅探或監(jiān)測，通過網(wǎng)絡(luò)分流器、端口鏡像或集線器等方式在網(wǎng)絡(luò)中部署監(jiān)控終端。

對于用戶終端接入的控制，可通過端口綁定、劃分VLAN、端口隔離等方式進行。交換機端口與終端IP或MAC地址綁定，避免用戶終端隨意接入的問題;通過交換機端口隔離功能，避免用戶之間不可控交換信息的問題;通過為不同部門劃分VLAN規(guī)避廣播風(fēng)暴，避免用戶私自跨部門交換信息等問題。

3 服務(wù)器安全防護措施

服務(wù)器安全包括服務(wù)器自身安全和交換信息安全，服務(wù)器自身安全請參照用戶終端自身安全部分。這里指的服務(wù)器安全指交換信息安全，即基于服務(wù)端交換信息的用戶之間的信息安全。

通過前文對網(wǎng)絡(luò)安全的各種措施，我們可以實現(xiàn)終端用戶可信接入，且終端之間或用戶之間交互信息只能通過服務(wù)端進行。用戶之間的信息交互如何控制，是我們需要解決的問題，因為我們并不希望企業(yè)各部門人員之間隨意發(fā)送一些涉及企業(yè)秘密的信息，有些信息是要控制在一定范圍內(nèi)的，比如程序源代碼，財務(wù)報表，我們肯定希望程序源代碼只在開發(fā)人員之間流通，而不是公司任何人都可以拿到源代碼。類似的，我們只會希望財務(wù)報表在財務(wù)部門或決策層之間流通，而不是全公司的人都能看到。這時，我們希望用戶間交互的信息是可控、可追溯的。

基于以上需求，用戶信息可控交換按照如下思路實現(xiàn)：基于客戶端實時或定時的監(jiān)測用戶終端的網(wǎng)絡(luò)狀況，發(fā)現(xiàn)用戶有信息交換請求后，上報到服務(wù)端，服務(wù)端監(jiān)聽客戶端請求，對客戶端合法性進行確認(rèn)，通過后，提交交互控制模塊檢測信息交互的權(quán)限，根據(jù)預(yù)定策略對客戶端請求進行匹配和識別，并做出丟棄、阻斷或者轉(zhuǎn)發(fā)等操作。對所有操作均進行審計，便于追溯，對非法請求應(yīng)告警或與其他安全設(shè)備聯(lián)動進行相關(guān)處理。信息交互完成后，向客戶端返回指定信息。按照上述思路，實現(xiàn)企業(yè)用戶之間的可控信息交換，從而構(gòu)建更加可信的網(wǎng)絡(luò)環(huán)境。

在企業(yè)內(nèi)部構(gòu)建安全的網(wǎng)絡(luò)，除在技術(shù)防范措施上合理配置使用各種安全防護設(shè)備和軟件外，還需要對終端用戶增強安全防護意識和觀念、普及基本的安全防護常識，健全相關(guān)規(guī)章制度，讓用戶從思想上高度重視網(wǎng)絡(luò)安全，只有這樣，才能構(gòu)建起真正安全的內(nèi)部網(wǎng)絡(luò)。

參考文獻

[1]（美）Sean Convery著.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].王迎春，謝琳，江魁，等，譯.北京：人民郵電出版社，2005.

[2]鄧志輝.內(nèi)網(wǎng)安全監(jiān)控技術(shù)的研究與實現(xiàn)[D].廣東工業(yè)大學(xué)，2010.

[3]陳永府，楊朋.遞進式網(wǎng)絡(luò)數(shù)據(jù)包解析與過濾方法研究[J].計算機工程與設(shè)計，2011（32）.endprint