內(nèi)網(wǎng)安全管理芻議

劉尚喜

【摘要】 隨著信息化在各行業(yè)的迅速擴(kuò)展，內(nèi)部信息網(wǎng)絡(luò)作為機(jī)構(gòu)內(nèi)部信息流通的網(wǎng)絡(luò)渠道，面臨著嚴(yán)峻的安全形勢(shì)。本文的主要內(nèi)容是根據(jù)內(nèi)網(wǎng)的主要特點(diǎn)，分析內(nèi)網(wǎng)安全存在的主要問題，提出了解決內(nèi)網(wǎng)安全管理問題的主要模型，并就內(nèi)網(wǎng)安全管理的對(duì)策和措施進(jìn)行了探討。

【關(guān)鍵詞】 內(nèi)網(wǎng) 安全 管理

一、引言

在信息化快速推進(jìn)的當(dāng)代，網(wǎng)絡(luò)完成進(jìn)入人們?nèi)粘Ｉ畹姆椒矫婷妗?nèi)部信息網(wǎng)絡(luò)作為企業(yè)、政府等機(jī)構(gòu)內(nèi)部信息流通的主干道，發(fā)揮著重要的作用。在多種原因的共同作用下，內(nèi)網(wǎng)安全面臨著嚴(yán)峻形勢(shì)，網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)入侵等時(shí)有發(fā)生，因此內(nèi)網(wǎng)安全的重要性日趨提升。

二、內(nèi)網(wǎng)的主要特點(diǎn)

一是內(nèi)網(wǎng)信息量大。目前，大量的信息以電子文件形式存儲(chǔ)、傳播，遍布在服務(wù)器和個(gè)人電腦的各個(gè)角落。二是內(nèi)網(wǎng)相對(duì)獨(dú)立。由個(gè)人電腦、網(wǎng)絡(luò)設(shè)備、服務(wù)器和安全設(shè)備組成的內(nèi)網(wǎng)系統(tǒng)，構(gòu)成相對(duì)獨(dú)立的自治系統(tǒng)。三是內(nèi)網(wǎng)十分重要。各行各業(yè)的業(yè)務(wù)系統(tǒng)的上線后，各個(gè)單位的正常運(yùn)轉(zhuǎn)對(duì)內(nèi)網(wǎng)的依賴程度很高。

三、內(nèi)網(wǎng)安全管理存在的問題

由于內(nèi)網(wǎng)的相對(duì)獨(dú)立，多數(shù)人認(rèn)為內(nèi)網(wǎng)相對(duì)于互聯(lián)網(wǎng)是安全的，但事實(shí)并非如此，當(dāng)前內(nèi)網(wǎng)的安全管理主要存在以下問題。

1、外緊內(nèi)松。據(jù)統(tǒng)計(jì)，大量的內(nèi)網(wǎng)安全問題是由內(nèi)部監(jiān)管不力引發(fā)。內(nèi)網(wǎng)的安全系統(tǒng)能阻止有限的病毒攻擊和黑客侵入，但對(duì)內(nèi)部人員無(wú)意泄密、個(gè)人電腦被遠(yuǎn)程控制等的情況沒有應(yīng)對(duì)能力。2、手段缺乏。目前多數(shù)企業(yè)、政府機(jī)構(gòu)安全監(jiān)管力度不足，內(nèi)網(wǎng)監(jiān)管系統(tǒng)有的已建立，但策略、措施并不完善。如：基本依靠以太網(wǎng)交換機(jī)劃分VALN等方式來(lái)限制訪問范圍，用戶行為監(jiān)控也是手段有限，導(dǎo)致通過(guò)移動(dòng)存儲(chǔ)設(shè)備復(fù)制文件或直接打印、刻錄造成的失泄密時(shí)有發(fā)生。3、易攻難守。當(dāng)內(nèi)網(wǎng)內(nèi)某臺(tái)計(jì)算機(jī)感染了病毒或木馬，往往需要花費(fèi)很長(zhǎng)的時(shí)間才能判斷和定位，然后再通過(guò)手動(dòng)的方式斷網(wǎng)殺毒。用戶主機(jī)和服務(wù)器漏洞補(bǔ)丁的更新只能依靠用戶自行進(jìn)行，導(dǎo)致黑客利用操作系統(tǒng)或者應(yīng)用程序漏洞進(jìn)行攻擊的風(fēng)險(xiǎn)增大。網(wǎng)管人員由于計(jì)算機(jī)數(shù)量多、操作系統(tǒng)種類雜、分布地點(diǎn)散等問題，難于進(jìn)行統(tǒng)一管理，無(wú)法制定一致的安全策略。

四、內(nèi)網(wǎng)安全管理體系的構(gòu)建

內(nèi)網(wǎng)安全的目標(biāo)是方便管理、有效控制、確保互信，所有設(shè)備和電腦都要統(tǒng)一納入管理體系。內(nèi)網(wǎng)安全管理體系一般由網(wǎng)絡(luò)邊界安全、數(shù)據(jù)安全保護(hù)、終端安全管理和身份認(rèn)證管理等部分組成。

1、網(wǎng)絡(luò)邊界安全。網(wǎng)絡(luò)邊界安全包括防火墻、入侵檢測(cè)、流量控制、防毒網(wǎng)關(guān)、防毒軟件和多功能網(wǎng)關(guān)等。防毒軟件主要是防御網(wǎng)絡(luò)病毒，為內(nèi)網(wǎng)用戶提供防毒代碼自動(dòng)更新服務(wù)。流量控制合理分配網(wǎng)絡(luò)資源，實(shí)現(xiàn)各業(yè)務(wù)的流管控制；防火墻、防毒墻網(wǎng)關(guān)主要防護(hù)外網(wǎng)的黑客攻擊、病毒入侵等；入侵檢測(cè)主要是記錄與攔截對(duì)來(lái)自外網(wǎng)中的不安全行為進(jìn)行。 2、數(shù)據(jù)安全保護(hù)。數(shù)據(jù)保護(hù)包括數(shù)據(jù)庫(kù)安全管理、文件加密、移動(dòng)介質(zhì)加密和文件集中管理等，利用各種方法手段，對(duì)網(wǎng)絡(luò)中的信息和存儲(chǔ)設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)。同時(shí)，提高數(shù)據(jù)備份力度，采取定期備份、持續(xù)備份、實(shí)時(shí)監(jiān)控等方法，確保重要數(shù)據(jù)安全。3、終端安全管理。終端安全管理包括遠(yuǎn)程管理、補(bǔ)丁分發(fā)、終端防毒和系統(tǒng)保護(hù)等。補(bǔ)丁分發(fā)是主要是自動(dòng)安裝升級(jí)內(nèi)網(wǎng)用戶電腦補(bǔ)丁。終端防毒是網(wǎng)絡(luò)防毒軟件的客戶端，自動(dòng)連接服務(wù)器，定時(shí)更新病毒代碼。系統(tǒng)保護(hù)是指對(duì)用戶操作系統(tǒng)備份、恢復(fù)等功能。4、身份認(rèn)證管理。身份認(rèn)證是指對(duì)入網(wǎng)用戶合法性的認(rèn)證，主要是通過(guò)核心交換機(jī)、接入交換機(jī)配置或準(zhǔn)入網(wǎng)關(guān)限制等方法，防止外來(lái)計(jì)算機(jī)在未授權(quán)情況下隨意入網(wǎng)。身份認(rèn)證的范圍包括客戶端、主要設(shè)備、服務(wù)器和用戶等。授權(quán)管理是在身份認(rèn)證的基礎(chǔ)上，對(duì)內(nèi)部信息網(wǎng)絡(luò)的各類資源進(jìn)行權(quán)限管理。

五、內(nèi)網(wǎng)安全管理的有關(guān)對(duì)策

1、完善制度。要解決內(nèi)網(wǎng)安全問題，要依靠技術(shù)手段，還需注重管理制度的優(yōu)化完善，將技術(shù)和管理有機(jī)結(jié)合起來(lái)，構(gòu)建一個(gè)綜合一體、層次清晰、管控有力的多層級(jí)內(nèi)網(wǎng)安全體系。2、健全手段。制定落實(shí)安全建設(shè)計(jì)劃，一是部署網(wǎng)絡(luò)邊界防護(hù)系統(tǒng)，嚴(yán)格管控外網(wǎng)訪問。二是安裝桌面管理系統(tǒng)，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的行為監(jiān)控、合法驗(yàn)證、補(bǔ)丁分發(fā)、端口管理等功能。三是部署網(wǎng)絡(luò)防毒軟件，定時(shí)自動(dòng)發(fā)送升級(jí)包。四是安裝準(zhǔn)入網(wǎng)關(guān)，杜絕外來(lái)計(jì)算機(jī)非法接入內(nèi)網(wǎng)。3、加強(qiáng)監(jiān)管。全時(shí)全方位監(jiān)測(cè)內(nèi)網(wǎng)安全狀態(tài)，對(duì)內(nèi)網(wǎng)用戶的行為實(shí)行有效監(jiān)督，定期形成評(píng)估報(bào)告。在文檔的安全保密方面，要在整個(gè)文檔的生命周期內(nèi)，實(shí)行全程管理。在身份認(rèn)證方面，認(rèn)證范圍要擴(kuò)展到全部實(shí)體，明確“誰(shuí)”能夠?qū)Α澳男辟Y源進(jìn)行“怎樣的操作”。

參 考 文 獻(xiàn)

[1] 王學(xué)華，張彬彬.內(nèi)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2012（9）：131-133.

[2] 李楠.內(nèi)網(wǎng)安全管理系統(tǒng)中安全評(píng)估技術(shù)的研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2011.

[3] 黃麗冰.淺析內(nèi)網(wǎng)安全管理[J].信息安全與技術(shù)，2014（1）：420-440.