企業內部網絡常見安全問題及對策方法

◆薛中偉

（92941 部隊 遼寧 125001）

1 引言

目前，在廣域網中已經有了相對完善的安全防御體系，防護墻，ⅠDS 等安全硬件部署在網絡入口處，在這些安全設備的監控和防御下，來自外部的網絡威脅大大降低，但在企業內部局域網中，雖然有些企業已經建立了相應的安全防護系統，但在實際使用中，并沒有起到很好的防護效果，系統漏洞、違規軟件、惡意代碼入侵等現象時有發生，企業內網安全形勢依舊嚴峻，不容忽視。

2 企業內網常見安全問題

2.1 網絡邊界防護能力弱

部分企業內網的網絡邊界安全環境相對較差，安全防護手段單一。常用的網絡安全設備主要包括防火墻和入侵檢測兩類，在這兩類設備中，防火墻雖然能夠實現對外部網絡攻擊的阻斷，但對于隱藏在應用層的病毒、木馬等惡意行為無法起到防護作用。而入侵檢測設備能夠對經過核心路由交換設備的行為進行監控和記錄，但對計算機病毒的傳播、內網非法用戶接入、終端非法行為等缺乏有效的監視和管控手段。

2.2 網絡終端管控能力弱

一些企業內網缺少針對性強且行之有效的網絡安全防護監控手段。雖然部分內部網絡使用了安全隔離、安全檢測、病毒防護、身份識別及終端管控等安全防護設備，在很大程度上提高了內網的安全防護等級，但受客觀因素影響，并沒有形成科學有效的安全防護體系，很多設備受使用條件限制并沒有起到安全防護作用。考慮到網絡病毒、主機安全監控等設備與內網終端應用軟件的兼容性問題，很多網絡防病毒、主機安全監控并沒有充分發揮應用的防護效能。部分內網缺少入侵檢測設備，無法對內網的網絡事件進行監視和記錄。防病毒軟件多為網上下載的免費版本，兼容性差，用戶系統容易出現藍屏、死機等不穩定現象。

2.3 網絡運維監管能力弱

目前，大部分企業內網安全防護產品采用多廠商的應將設備，各分系統自建資管，缺少統一整合的一體化運維管理平臺和網絡安全監管手段。網絡維護人員直接面對設備工作效率低下。使用的安全防護系統能從不同的安全角度嘗試著解決發現網絡中可能存在的安全問題，一定程度上能抵御來自某個方面的安全威脅，然而各系統卻無法按照統一的安全防護策略進行有效融合。此外，這些復雜的安全系統在運行過程中不斷產生大量的安全日志和事件，形成大量“信息孤島”，運維人員面對這些數據量大，彼此割裂的安全信息，且需要操作著各種產品獨立的控制臺界面和窗口，難以發現真正的安全隱患。

2.4 網絡傳輸層協議功能弱

數據傳輸是企業內網的核心功能，數據傳輸協議是底層運行基礎。傳統的數據傳輸協議在傳輸層主要采用TCP 或UDP 協議，由于收到TCP 協議單線程、滑動窗口、確認機制等限制，導致網絡鏈路傳輸實際容量小，帶寬利用率低。而UDP 協議為非面向連接協議，缺少確認機制，可靠性低，有時無法滿足使用需求。

3 內網安全防護策略

3.1 提高網絡邊界安全

為了提高企業內網邊界安全，建議通過以下手段予以完善：

（1）在網絡邊界接入區域部署的防火墻上，指定對特定網絡流量訪問的控制策略，限制非法ⅠP 來訪企業核心業務，隔離來自外部區域的風險。

（2）集成防病毒模塊，通過病毒特征庫以網管設備的形式部署在防火墻上，抵御病毒攻擊，將病毒源阻斷于網絡外部。

（3）在邊界區域部署入侵防御系統，可以針對緩沖區溢出、蠕蟲病毒、木馬后門、SQL 注入、漏洞攻擊等攻擊流量，進行精準的檢測和阻斷。

（4）在網絡邊界區域部署行為管理系統，可以對所有與內網有關的應用進行設置，對帶寬進行優化，對外發布信息進行審計和監控，避免企業敏感信息泄露。

3.2 內網終端接入安全

針對這一問題，建議通過以下手段予以完善：

（1）通過在內網核心節點與骨干節點之間互聯的接口上一級與其他部門重要局域網、安全管理域、應用服務于等部署防火墻，實現在網絡層對數據流的訪問控制，阻止非法數據流在企業內網上傳遞，保護重要信息不受干擾。

（2）應用網絡病毒服務器，進行終端應用兼容性測試，網絡內所有主機安裝對應的防病毒客戶端軟件，建立病毒同步查殺、特征代碼升級、病毒疫情上報等服務。通過建立漏洞掃描和補丁管理分發系統，可以實現終端加固，最大程度上降低網絡運行的風險

（3）建立硬件防病毒網關和殺毒服務器，應用配套殺毒軟件對網內病毒進行查殺和控制。

（4）建立證書包括（CA、USBKey 等）、授權管理系統和應用訪問控制系統，對企業內網用戶建立全網統一的用戶號，用戶終端和服務器只有通過認證和授權后才能訪問相應的網絡服務和應用。

（5）進行mac 地址綁定。

3.3 一體化網絡運維監管

針對這一問題，建議通過以下手段予以完善：

（1）建立一體化態勢感知運維管理系統，具備對網絡安全數據進行采集、存儲、分析等，具備安全態勢提取，安全評估和威脅預警等功能，為網絡維護管理人員及時掌握企業內部網絡安全狀況提供手段，進而提升安全事件應急響應能力。

（2）在企業核心網絡安全設備上安裝大容量、高性能的網絡安全和性能分析設備，在所有邊界接入點安裝節點網絡安全和性能分析設備，從而達到對全網的網絡安全管理和網絡性能檢測，為企業內網的穩定、可靠、安全運行提供有效管控手段。

3.4 網絡傳輸層協議優化

以UDP 協議為底層協議，在UDP 協議上進行相關優化設計，提高網絡帶寬利用率和數據傳輸速率，同時進行數據傳輸加密、一致性校驗、數據分段等算法研究和函數數據，滿足數據傳輸過程中的安全性和準確性需求。

4 結束語

本文對企業內部網絡常見的安全問題進行的分析和闡述，并針對問題提出了解決措施和建議，通過采取相應的措施和手段，可以進一步強化企業內網安全，提高網絡安全防護等級。通過本文的研究可以對一些企業和單位強化內部網絡安全起到一定的借鑒作用。