企業內網安全威脅分析及防護措施

陳 瑋

（龍巖煙草工業有限責任公司，福建 龍巖 364000）

1 企業內網安全概述

企業內網安全的概念：通常以企業局域網的網絡邊界為限，將企業網絡劃分為內部網和外部網兩個部分。因此，內網安全指的就是企業內部局域網的信息安全。具體地說，就是對企業級邊界防火墻或路由器以內的網絡信息安全綜合管理。伴隨著IT技術的快速發展和變化，新的安全威脅也層出不窮，因此企業內網將面臨著新的調整和威脅。

2 企業內網安全威脅

2.1 接入威脅

在企業內網中，接入威脅是最直接、影響面最大、最容易受到攻擊的接入威脅。接入的方式分為兩種，有線接入和無線接入。

有線接入是指用戶將電腦用網線接入座位上的信息位點從而接入網絡的方式。

無線接入是指通過無線接入點發出的信號，連接進入網絡。

不論是有線接入方式還是無線接入方式，都存在以下兩個問題：（1）如何能夠保證接入的電腦都是安全的、無病毒感染的？

（2）當外部用戶確實需要使用到內部網絡時，如何進行權限上的限制，以防止外部用戶有意或無意對內部網絡造成的威脅？

2.2 用戶行為威脅

當下，使用計算機已經成為一項必備的基本技能。現在的用戶基本掌握計算機的使用方法，能夠輕松地登錄OA門戶、查看郵件和公告、審批文件。車間的工作人員還必須借助計算機對生產設備下達精確的生產指令，確保生產順利進行。

但是，很多用戶的上網安全意識比較淡薄，會無意識地登錄一些視頻、購物網站，導致計算機中毒，影響企業內部網絡。最明顯的例子就是登錄某些視頻網站，觀看視頻時，就中了該網站上被植入的廣告木馬。

2.3 運維人員的操作威脅

企業內各系統之間數據交互錯綜復雜，所有系統肩負著生產正常運行的重任。一旦系統出了問題就必須維護。這里又產生這樣一個問題，對運維人員所做操作的管理。

由于運維人員的素質、責任心參差不齊，在處理完問題后，各自的做法不盡相同。責任心強的運維人員就會刪除遺留在系統中的工具或補丁；責任心弱的運維人員則可能直接離開，更有甚者會在安裝未完全結束時，就離開。這樣導致的后果是，遺留的工具或未執行完成的腳本，極其容易導致數據庫或應用系統出現新的問題。因此，運維人員對系統的操作也成為一種對內網安全的威脅。

3 內網安全防范原則

3.1 適度安全原則

依照信息系統因缺乏安全性造成損害后果的嚴重程度，來決定采取什么樣的安全措施。

3.2 最小授權原則

內部網絡中，涉及服務器及網絡設備的訪問權限要最小化，嚴格控制具有管理權限的用戶數量。

3.3 注重管理原則

除了在技術層面對內網安全進行防護外，還應該注重對內網使用人員操作的管理。

4 內網安全防護措施

內網安全防護技術日新月異，在日常維護中，防護技術的堆疊是不可能做到一勞永逸。對于信息安全員而言，根據內網安全防范原則，從管理和技術兩方面出發，采用最合適的技術手段，才能夠達到預期的效果。

4.1 管理方面：制定內網安全管理制度

依據《信息安全等級保護管理辦法》（公通字[2007]43號)、《煙草行業信息安全保障體系建設指南》（國煙辦綜[2008]147號）等國家和行業信息安全管理要求，分別從計算機終端、網絡安全、VPN使用、計算機防病毒、服務器安全、信息系統賬戶管理等24個方面，制定相應的安全管理制度，約束管理人員和用戶的使用規范。其中，涉及用戶使用計算機安全規范的制度包括 《計算機終端安全管理辦法》、《網絡安全管理辦法》。

《計算機終端安全管理辦法》主要用于規范終端操作系統、周邊硬件、通信設備、應用系統的安全使用。明確用戶計算機終端能夠安裝的軟件、進行的操作。

《網絡安全管理辦法》主要用于規范對企業內網的使用，明確規定用戶操作權限，確定用戶對辦公網絡和生產網絡的使用規范。

4.2 技術方面

4.2.1 接入威脅防護

針對接入威脅，根據《網絡安全管理辦法》，結合用戶性質的不同，采取不同的防護措施。

1）內網用戶

內網用戶的個人筆記本需要接入網絡時（不論是有線接入方式還是無線接入方式），必須先告知企業內專門維護硬件的技術人員，由技術人員將筆記本全盤殺毒并登記物理地址后，方可通知網絡管理員開通上網服務。

此外，內網用戶按照崗位不同，網絡訪問的權限也不同。例如，甲屬于機關部門的科員，按照其崗位職能，只需要訪問門戶、郵件、辦公OA等系統，而不需要訪問例如制絲、卷包、物流等生產系統，因此在配置訪問控制策略時，應當禁止訪問生產系統，開放辦公系統的訪問權限。

2）外部用戶

外部用戶的個人筆記本需要接入網絡時，按照相應的流程，必須先告知企業內專門維護硬件的技術人員，由技術人員將筆記本全盤殺毒并登記物理地址后，再通知網絡維護員開通上網。網絡維護員事先制定準入控制策略，控制終端對網絡的訪問，并劃分好給外協人員使用的vlan。通過準入控制策略配合vlan劃分的方法，將內網用戶與外網用戶分開，并限制常用端口，在技術上解決了外網用戶具有訪問內網權限的問題。

4.2.2 用戶行為威脅防護

針對用戶行為威脅，按照《計算機終端安全管理辦法》，所有訪問互聯網的鏈接必須通過上網行為管理設備。網絡管理員利用網上行為管理設備，對具有暴力、色情、血腥、反動等不良信息進行過濾。同時，邊界防火墻必須開啟防病毒和防入侵功能。一旦偵測外部鏈接的數據流中包含病毒和入侵行為時，阻斷鏈接，保證內網安全。

此外，必須提高內部用戶的安全意識，定期組織網絡安全宣傳講座，請專業人員針對用戶日常上網行為中存在的問題，進行分析和講解。定期協助內部用戶使用專門的工具，進行系統垃圾、插件的清理。并在殺毒軟件服務器端設置閑時全盤掃描（一般是半夜）策略和病毒庫實時更新策略，保證殺毒軟件客戶端病毒庫是最新的。

4.2.3 運維人員操作威脅防護措施

針對運維人員操作威脅，按照《計算機終端安全管理辦法》，嚴格要求運維人員通過堡壘機，才能夠對服務器、數據庫進行操作。堅決禁止運維人員直接使用筆記本連接服務器的行為。最后，系統管理員必須在各自系統完成登錄處理結束后，進行系統檢查，將遺留的工具、補丁、腳本等全部刪除。對于采用主備機的服務器，還必須統一主備機之間的配置信息，保證主備機配置的一致性。

5 總結

從實際工作上看，企業內網安全防護光靠在硬件設備上設置安全策略是遠遠不夠的，在很大程度上，還必須逐漸完善管理制度，并將管理制度付諸實施，雙管齊下，實現企業內網的“統一防護、重點把守、縱深防御”，全面提升企業的信息安全技術和防護水平。