学文网摘 要:本文通过对当前企业内部网络安全威胁和隐患的现状分析,提出了一套从技术和管理并重的内部网络安全解决方案,以提高企业内网的安全性。
关键词:内部网络;内部网络安全;管理策略
中***分类号:TP393.08
1 内部网络的安全现状
内部网络安全问题的提出是相对于传统的互联网安全而言的。在互联网安全威胁模型中,假设内网中的所有人员和设备都是可信和安全的,而外部互联网络则是不安全的。随着各企业单位的信息化水平快速提升以及核心业务对信息系统的依赖度日益增强,网络安全事件趋于多从内部网络发生,由此引发了企业和单位对内部网络安全问题的关注和重视。内部网络安全面临着人员安全意识淡薄、设备违规接入、非法外联、网络病毒泛滥、系统漏洞多、黑客攻击、移动存储介质交叉混用等多重安全威胁。以下几个方面对内部网络安全现状进行了简单的分析。
1.1 内部网络存储设备缺乏监管
目前,U盘、移动硬盘等移动存储介质的使用极大的方便了员工之间的数据交互,但也极大的增加了对数据流向的控制难度。例如,在一些信息系统网络中移动存储介质的使用和管理存在很多安全隐患:(1)内部信息系统网络和其他信息系统的移动存储介质存在交叉互用;(2)U盘、移动硬盘等移动存储介质公私交叉混用;(3)移动存储介质成为内部网络木马和病毒的来源和传播工具。
1.2 内部网络计算机非法外联
内部网络计算机被违规或非法通过电话线、ADSL、无线网卡、双网卡、3G上网卡、蓝牙、红外、服务器等各种方式连接到网互联,而内部网络未部署有效的非法外联与安全控制和审计系统,导致企业单位和科研机构的内部网络重要信息被非法获取。
1.3 非法入侵和内部攻击
目前,网络使用的主流IPV4网络协议体系自身缺少完善的安全防护措施,存在设计缺陷、口令身份认证等方面的脆弱性,以及企业内部相关管理制度的缺失,使内部人员可以利用网络系统自身漏洞和黑客工具,非法入侵企业内部公共的信息系统或其他员工的计算机系统,非法窃取系统管理员用户名和登录密码,未经授权进入企业单位核心业务和应用服务器获取内部重要数据信息,对企业单位重要信息和信息的安全和完整性构成严重的威胁。
1.4 缺乏有效的网络安全风险管理措施
内部员工由于安全意识淡薄和安全知识、技能的匮乏,而管理者往往缺少明确和紧凑的管理方式,使内部网络安全管理措施无法有效的实施与执行。内部网络的安全隐患往往出现在一些无意或有意的、不规范的操作和网络安全管理的薄弱环节上,给内部重要数据外泄创造了潜在的渠道。因此,和互联网安全对比,企业内部网络的安全模型应更加全面、细致和完善,需要对内部网络中所有组成要素、使用者、管理者进行细致的划分和管理,实现一个可有效管理、完全控制和值得信任的内部网络环境。
2 内部网络安全解决方案
内部网络的安全管理体系的建立包括安全管理制度、安全管理策略、安全产品、安全技术以及人员管理等多个方面,整个安全体系为分层结构,在水平层面上为网络安全产品和安全管理策略,其在使用模式上是支配与被支配的关系。在垂直层面上为安全管理制度,自上而下规范各个水平层面上的行为准则。安全技术体系是全面提供信息系统安全保护的技术保障系统,其中技术机制从不同的层次来考虑内部网络安全的实现方法,技术管理则是从技术的角度出发,通过配置合理有效的策略来达到管理目标;管理体系是以安全策略为核心实施全生命周期管理的过程,依靠法律、制度和培训三方面来支撑,从而由安全产品、技术管理、安全管理策略以及安全管理制度等有机结合,共同构成内部网络的安全解决方案,如***一。
3 内部网络安全技术防范措施
3.1 构建移动存储介质管理系统
针对介质的使用缺乏标识认证、访问范围控制和使用日志审计机制等问题,根据内部网络对介质管理的要求,需建立介质管理系统,以提供对移动存储介质从采购、使用到销毁全生命周期管理和控制。完整的移动存储介质管理系统应具备一下功能:
移动存储介质注册授权。管理员没有注册与授权的移动存储介质,内部计算机上无法识别;
(1)移动存储介质使用权限管理。移动存储介质的权限可分为禁用、只读、安全读写和直接读写4种方式;
(2)移动存储介质使用范围。经管理员注册与授权的移动存储介质严格控制在内网的使用范围内,同时在其他未授权的计算机上无法使用;
(3)数据透明加密保护。可以防止介质丢失后,上面的信息被非法获取;
(4)文件安全删除。对于文件和资料应该采用有效的擦除手段清除文件,确保删除后无法进行恢复操作。
(5)记录操作日志。应记录用户对移动存储介质上所有的文件操作,包括文件的修改、创建、删除、复制等操作,用于审计检查。
3.2 边界防护技术
目前,企业单位针对内部网络的边界保护中,所采用的主要技术措施为传统防火墙、入侵检测系统以及IPS。防火墙系统往往作为网络安全保障体系的首道防线。但是,日益增多和复杂多样的攻击工具与手法,企业单位简单的依靠防火墙系统已经无法满足网络安全需要。传统防火墙系统无法检测发现或阻断隐藏到普通数据包中的恶意攻击程序,更加无法发现和拦截来自网络内部的主动或被动的攻击行为。最近几年,市面上出现了下一代防火墙等产品,引入了状态检测技术,提高了数据包检测性能。
3.3 终端审计和管理技术
对于内部网络中日益增多的终端设备,如果缺乏管理和审计,会严重增加内部网络的危险。例如病毒和木马从个别终端流入内部网络,对终端计算机的端口缺少控制,导致内部网络数据非法流出而造成损失和危害。防水墙是加强信息系统内部安全的重要工具,它处于内部网络中,是一个内部网络监控系统,其着重点是用技术手段强化内部信息的安全管理,利用密码、访问控制和审计跟踪等技术手段对公司信息实施安全保护,使之不被非法或违规的窥探、外传、破坏、拷贝、删除,从本质上阻止了机密信息泄漏事件的发生。
3.4 身份认证和应用系统权限管理
内部网络的安全要求日益严峻,对内部网络中人员权限的管理也日益重要,将信息的知悉范围控制在最小。卫士通公司的USBkey系统是以密码技术为核心,将单机Windows认证登录的“用户名+密码”完善为“用户名+密码+Key+PIN”的多重身份认证,并通过对平台底层技术的控制,防止单机在运行模式、安全模式甚至离线模式下非授权者对外设进行访问。
内部网络安全是一个系统的、全局和整体的管理与技术问题,其中任何一个薄弱环节,都可能会引发企业内网的安全问题。另外,内部网络安全防护工作是一项长期、复杂和庞大的系统工程,必须以企业自身的工作需求实际为目标,制定合理有效的内部网络安全管理制度和策略,并在实际管理工作中完善管理制度和策略规范,建立技术和管理于一体的全方位的、动态的、长效的安全防御体系,这样才能真正做到整个网络系统的安全。
参考文献:
[1]刘晓辉.网络安全管理实践[M].北京:电子工业出版社,2009.
[2]杨力铭.内部网络中的移动存储介质管理问题及对策[J].甘肃:甘肃科技,2010,1.
[3]张哲宇.内部网络安全技术浅析[J].信息科学,2009.