企业内网安全的重要性和管理措施

近年来,在所有的网络安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。

因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。

关键词:内网;安全;网络;管理;措施　　　　

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10207-02　　　　

The Importance of Enterprise Network Security and Management Measures　　　　

ZHU Chang-yun　　　　

(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)　　　　

Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including onpne, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user apppcation level security and other reasons, has always been safe construction difficult.　　　　

Key words: intranet; security; network; management; measures　　　　

1 内网安全的定义以及与外网安全的区别　　　　

既然要探讨内网安全,首先要理解内网安全的含义,网络安全主要包含两部分,一个就是传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全;另一个就是内网安全,它是对应于外网而言的。

主要是指在小范围内的计算机互联网络,这个“小范围”可以是一个家庭,一所学校,或者是一家公司。

内网上的每一台电脑(或其他网络设备)内部分配得到的局域网IP地址在不同的局域网内是可以重复的,不会相互影响。

外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。

所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。

也就是说,网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。

网络边界防范减小了黑客仅仅只需接入互联网、写程序就可访问企业网的几率。

传统的防火墙、人侵检测系统和VPN都是基于这种思路设计和考虑的。

对众多大型企业而言,随着业务的发展,用户希望ERP、OA、Intranet、互联网在一张网上实现,能够同时使用有线、无线网络,在一个网络上实现Web、即时通信、协作、语音、视频的融合。

外网在某种程度上已经成为了内网的一部分。

而随着移动办公的兴起,安全的边界越发模糊,笔记本电脑、手机都成为了企业OA网络中的一部分,而这也增加了内网安全的管理难度。

内网安全的威胁模型与外网安全模型相比,更加全面和细致。

它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何―个节点上。

所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者进行细致的管理,实现―个可管理、可控制和可信任的内网。

由此可见,相比于外网安全,内网安全具有以下特点:　　　　

1)要求建立一种更加全面、客观和严格的信任体系和安全体系。

2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理。

3)对信息进行生命周期的完善管理。

2 内网安全的威胁　　　　

在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。

因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。

在实际应用当中,内网安全的威胁主要来自以下几个方面:　　　　

1)移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。

未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;　　　　

2)内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为;　　　　

3)违反规定将专网专用的计算机带出网络进入到其它网络;　　　　

4)网络出现病毒、蠕虫攻击等安全问题后,不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。

安全事件发生后,网管一般通过交换机、路由器或防火墙进行封堵,但设置复杂,操作风险大,而且绝大多数普通交换机并没有被设置成SNMP可管理模式,因此不能够方便地进行隔离操作;　　　　

5)大规模病毒(安全)事件发生后,网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节,无法做到事后分析、加强安全预警;　　　　

6)静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况;　　　　

7)针对网络内部安全隐患,自动检测网络中主机的安全防范等级,进行补丁大面积分发,彻底解决网络中的不安全因素;　　　　

8)大型网络系统中区域结构复杂,不能明确划分管理责任范围;　　　　

9)网络中计算机设备硬件设备繁多,不能做到精确统计。

以上问题其实可以归到两个基本需求:安全与管理。

安全方面,需要保证在终端方面可以提供正常工作的基础IT设施即计算机是可用的;而管理方面,则保证企业或都说组织的计算机是用来工作的,规范计算机在企业网络里边的行为。

3 加强内网安全管理的建议和措施　　　　

可管理的安全才是真正的安全。

虽然管理对于信息安全的重要性已经逐渐达成共识,但如何将安全管理规章和技术手段有效的结合在一起,真正提高信息安全的有效性,依然是我们共同面临的挑战。

安全关注的趋势由外而内,由边界到主机,由分散到集中,由系统到应用,由通用到专用,由分离到整合,由技术到管理。

从实际工作出发和借鉴兄弟单位成功经验,我总结了加强内网安全的措施如下:　　　　

1)按照企业的管理框架,根据不同的业务部门或子公司划成了不同的虚拟网(Vlan)。

通过划分虚拟网,可以把广播限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率,同时,由于各虚拟网之间不能直接进行通讯,而必须通过路由器转,为高级的安全控制提供了可能,增强了网络的安全性,也给管理带来了极大的方便性。

特别是核心业务和重要部门根据安全的需要划成了不同的虚拟网,采用完全隔离或者相对隔离的措施,保证了核心业务和重要部门的安全性。

2)对企业网络的物理线路进行规范化管理。

按照区域、楼层、配线间、房间、具体位置规范化管理编号的原则,把所有的网络线路编号,套上清晰的线标,配置可网管的交换机。

同时对交换机、配线架、电脑等设备的物理配置、存放的具体位置以及电脑的软件系统和系统配置等基础数据进行详细的登记,同时还对IP地址进行统一管理,把电脑的IP地址、MAC地址、使用人和各种基础数据进行关联,当网络或者电脑发生故障时,网管们能够通过基础数据管理系统实现快速定位、快速排查故障,极大地提高了网管们解决故障的工作效率。

3)部署桌面安全管理系统。

企业部署一套桌面安全策略管理系统,是一个面向IT领域建设的专业安全解决方案。

它采用集成化网络安全防卫体系,通过多种技术手段的融合帮助整个企业有效达成在物理访问、链路传输、操作系统、业务应用、数据保护、网间访问和人员管理等方面的安全策略制定、自动分发和自动实现,减小客户为保障安全需要付出的高额管理控制成本,在为每一个终端用户提供透明但高度个性化安全保证的前提下真正提高组织的动作效率和管理水平。

终端安全管理是基础,它解决了终端计算机经常为病毒、木马困扰的问题,帮助管理员智能安装系统与应用补丁,提供一系列的终端维护工具与管理工具,使管理员做到对于终端的“中央集权管理与控制”。

4)部署防病毒系统。

病毒、木马、流氓软件一直是困扰大家的一大难题,因此通过部署一套专业防病毒系统是最有效的解决办法。

防毒系统内嵌病毒扫描和清除、个人防火墙、安全风险检测与删除,可以检测、隔离、删除和消除或修复间谍软件、广告软件、拨号程序、黑客工具、玩笑程序等多种安全风险造成的负面影响。

通过防毒系统中心控制台可以集中管理客户端,统一部署防护策略、病毒码定义更新策略等,集中查看客户端病毒码更新情况、病毒分布情况、病毒种类及查杀情况,可以控制客户端集中或单独清除病毒。

另外,还可以通过病毒隔离区控制台,追踪病毒传播情况,快速找到病毒源,在第一时间对中毒的电脑进行有效的杀毒和隔离。

5)部署网络管理系统。

随着企业网络规模的扩大,交换机、服务器的数量也逐渐增多,如何管理监控重点设备、服务器的运行情况,不是一件容易的事。

为此部署一套网络管理系统,可对网络、系统以及应用进行全面的监视。

它可以提供完整的故障管理和性能管理功能,能自动发现网络主动监视网络、系统和服务器并将关键参数保存在数据库中。

通过综合控制台可实现对路由器、交换机、服务器、URL、UPS无线设备以及打印机等性能的监视,不仅提供了网络设备的多种视图,而且将收集的信息以丰富的图、报表形式呈现给操作者。

6)部署安全管理系统(SOC)。

为了让管理人员能够实时了解网络中动态和事件,满足不断变化的网络安全管理(网络设备、服务器、应用程序、应用服务、安全设备、操作系统、数据库、机房环境等发生的故障、超阀值行为、安全事件统称为网络安全问题)的要求,需要有一套专门的安全管理系统来完成。

网络管理系统是从事件驱动的目的出发强调系统运维、系统故障处理和加强网络的性能三个方面的内容。

与网络管理系统不同,安全管理系统最重要的是对威胁的管理,它的侧重点关注在三个层次上:资产层面,关注安全威胁对业务及资产的影响;威胁层面了解哪些威胁会影响业务及资产;防护措施层面怎样防护威胁,保护业务及资产。

一句话概括,就是安全管理是从保护业务及资产的层面进行的风险管理。

7)部署垃圾邮件防火墙。

随着电子邮件的普及,电子邮件的作用也越发重要,但是垃圾邮件却是件令人烦恼的事,严重干扰了邮件收发的正常工作。

为了解决垃圾邮件问题,可以布署一套垃圾邮件防火墙。

垃圾邮件防火墙能支持25000个活跃的电子邮件帐户每天处理两千五百万封电子邮件。

8)对重要资料进行备份。

在内网系统中数据对用户的重要性越来越大,实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。

为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。

对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。

目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。

9)密钥管理。

在现实中,入侵者攻击Intranet目标的时候,90%会把破译普通用户的口令作为第一步。

以Unix系统或Linux 系统为例,先用“finger远端主机名”找出主机上的用户账号,然后用字典穷举法进行攻击。

这个破译过程是由程序来完成的。

大概十几个小时就可以把字典里的单词都完成。

如果这种方法不能奏效,入侵者就会仔细地寻找目标的薄弱环节和漏洞,伺机夺取目标中存放口令的文件 shadow或者passwd。

然后用专用的破解DES加密算法的程序来解析口令。

在内网中系统管理员必须要注意所有密码的管理,如口令的位数尽可能的要长;不要选取显而易见的信息做口令;不要在不同系统上使用同一口令;输入口令时应在无人的情况下进行;口令中最好要有大小写字母、字符、数字;定期改变自己的口令;定期用破解口令程序来检测shadow文件是否安全。

没有规律的口令具有较好的安全性。

4 结束语　　　　

当然为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题。

七分管理,三分技术。

管理是企业网络安全的核心,技术是安全管理的保证。

只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。