胡智鋒

（武漢商業(yè)服務(wù)學(xué)院，湖北武漢430056）

淺析內(nèi)網(wǎng)安全認(rèn)識(shí)上的誤區(qū)※

胡智鋒

（武漢商業(yè)服務(wù)學(xué)院，湖北武漢430056）

針對(duì)內(nèi)網(wǎng)安全認(rèn)識(shí)上的一些誤區(qū)，做出具體分析，指出其可能帶來(lái)的安全隱患，并在此基礎(chǔ)上提出了相應(yīng)的安全管理對(duì)策，降低內(nèi)網(wǎng)安全威脅，保障穩(wěn)定、安全的內(nèi)網(wǎng)環(huán)境。

內(nèi)網(wǎng)、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)管理

一、內(nèi)網(wǎng)安全問(wèn)題分析

在網(wǎng)絡(luò)安全領(lǐng)域中，始終存在一些認(rèn)識(shí)上的誤區(qū)，而這些誤區(qū)也與層出不窮的安全事件有著直接關(guān)聯(lián)。

（一）安全觀念上的誤區(qū)

1.認(rèn)為網(wǎng)絡(luò)安全就是防黑客和防病毒

談到網(wǎng)絡(luò)安全，大部分人的思維還停留在病毒破壞和黑客攻擊上，習(xí)慣于傾向外部入侵的防御，強(qiáng)化邊界安全設(shè)備的部署和優(yōu)化等，往往會(huì)忽略來(lái)自網(wǎng)絡(luò)內(nèi)部的安全隱患，其實(shí)內(nèi)網(wǎng)安全事件所形成危害更大、所造成的損失更嚴(yán)重。美國(guó)CSI/FBI在《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》中指出“因內(nèi)網(wǎng)安全漏洞造成的損失占所有計(jì)算機(jī)安全事故的一半以上”，從某種意義上來(lái)說(shuō)內(nèi)網(wǎng)安全比外網(wǎng)安全更加重要。

內(nèi)網(wǎng)就是內(nèi)聯(lián)網(wǎng)（校園網(wǎng)、企業(yè)內(nèi)部網(wǎng)、單位辦公網(wǎng)、局域網(wǎng)都屬于此類(lèi)），它通常建立在一個(gè)組織的內(nèi)部并為其成員提供信息的共享和交流等服務(wù)。內(nèi)網(wǎng)所提供的是一個(gè)相對(duì)封閉的網(wǎng)絡(luò)環(huán)境，它只為內(nèi)部專(zhuān)有,對(duì)于外來(lái)人員進(jìn)入網(wǎng)絡(luò)有著嚴(yán)格的授權(quán)，但在組織內(nèi)部是分層次開(kāi)放的，內(nèi)部有使用權(quán)限的人員訪問(wèn)網(wǎng)絡(luò)資源可以不加限制，內(nèi)網(wǎng)安全威脅正是利用了內(nèi)網(wǎng)本身存在的安全弱點(diǎn)。

一直以來(lái)，常規(guī)的安全防御理念往往基于外網(wǎng)安全理論，局限于網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界等方面的防御，重要的安全設(shè)施集中于網(wǎng)絡(luò)入口處，在防火墻、漏洞掃描、防病毒、入侵檢測(cè)等防御系統(tǒng)的嚴(yán)密監(jiān)視下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。然而，這僅僅解決了信息安全的一個(gè)方面，對(duì)于內(nèi)部用戶(hù)攻擊和威脅事件則顯得無(wú)能為力，一個(gè)能進(jìn)入辦公室打開(kāi)電腦的普通員工對(duì)內(nèi)網(wǎng)安全的潛在威脅遠(yuǎn)遠(yuǎn)超過(guò)了一個(gè)技術(shù)一流的網(wǎng)上黑客。近期最典型的例子莫過(guò)于2010年維基解密在互聯(lián)網(wǎng)上公布了391832份美軍伊拉克機(jī)密文件，創(chuàng)造了歷史上最大規(guī)模的泄密事件，據(jù)調(diào)查，“維基解密”風(fēng)波的各類(lèi)機(jī)密文件均源自美軍內(nèi)聯(lián)網(wǎng)。來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅突顯，而內(nèi)網(wǎng)管理過(guò)程中的疏漏更是增加了安全問(wèn)題的嚴(yán)重程度。

2.認(rèn)為終端管理不重要

根據(jù)2010年《內(nèi)網(wǎng)安全應(yīng)用趨勢(shì)調(diào)查報(bào)告》顯示，有45%的用戶(hù)未使用終端管理軟件，而在使用終端管理軟件的行業(yè)用戶(hù)中，基于安全總體方案去采購(gòu)終端管理產(chǎn)品的僅占30%，而另外70%的用戶(hù)多是為了符合上級(jí)要求或是因?yàn)榘踩录|發(fā)，這一調(diào)查結(jié)果顯示行業(yè)用戶(hù)對(duì)終端管理產(chǎn)品的重視程度還相當(dāng)不夠。

終端安全是內(nèi)網(wǎng)安全的重中之重，它構(gòu)成了內(nèi)網(wǎng)90%以上的組成。IDC的安全統(tǒng)計(jì)數(shù)據(jù)顯示“來(lái)自?xún)?nèi)部終端的安全威脅占整個(gè)安全威脅的70%以上”；中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC的《全國(guó)網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告》指出“終端隱患已成為最大的安全威脅之一”。

通常內(nèi)網(wǎng)和外網(wǎng)之間是有各種安全設(shè)備嚴(yán)密保護(hù)的，甚至是與外網(wǎng)物理隔絕的。但如果內(nèi)網(wǎng)終端非法外聯(lián)至外網(wǎng)環(huán)境（通過(guò)無(wú)線等方式），就可以使內(nèi)網(wǎng)與外網(wǎng)間開(kāi)出新的連接通道，外部攻擊就能夠繞過(guò)邊界防護(hù)屏障，順利侵入內(nèi)部網(wǎng)絡(luò)并發(fā)起攻擊，致使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取內(nèi)部的重要數(shù)據(jù)，造成嚴(yán)重的安全事件。另外，內(nèi)部人員在計(jì)算機(jī)上濫裝軟件，極易引入各種潛在的安全威脅（病毒、木馬等），降低系統(tǒng)的安全系數(shù)，而一些內(nèi)部人員出于好奇心或者惡意破壞的目的，在計(jì)算機(jī)上安裝使用一些黑客軟件，從內(nèi)部發(fā)起攻擊，或是內(nèi)部人員安全意識(shí)淡薄，不安裝指定的防毒軟件，又或者桌面終端用戶(hù)使用各種存儲(chǔ)介質(zhì)將病毒、蠕蟲(chóng)帶入內(nèi)部網(wǎng)絡(luò)之中等等，這些行為都對(duì)內(nèi)網(wǎng)構(gòu)成了重大的安全威脅。終端是內(nèi)網(wǎng)安全事件的產(chǎn)生源、攻擊的發(fā)起點(diǎn)，有效的終端管理是內(nèi)網(wǎng)安全的重要保障。

3.認(rèn)為終端管理效果不明顯

《內(nèi)網(wǎng)安全應(yīng)用趨勢(shì)調(diào)查報(bào)告》在對(duì)終端管理和準(zhǔn)入控制等其他功能之間的關(guān)系調(diào)查中，27%的行業(yè)用戶(hù)認(rèn)為各功能相互獨(dú)立，沒(méi)有什么關(guān)系，23%的行業(yè)用戶(hù)認(rèn)為準(zhǔn)入控制使終端管理變的更復(fù)雜；表示終端產(chǎn)品滿(mǎn)足現(xiàn)有需求的僅占21%。這一調(diào)查結(jié)果顯示終端管理產(chǎn)品使用效果并不盡如人意，多數(shù)用戶(hù)認(rèn)為內(nèi)網(wǎng)終端管理的效果并不明顯。

事實(shí)上，要實(shí)現(xiàn)終端安全管理必先保證終端管理軟件的部署率，即使終端管理軟件的功能再?gòu)?qiáng)，如果不能部署在客戶(hù)端上，也絲毫不能發(fā)揮作用。部署率是確保終端管理功能發(fā)揮作用的前提，但是想讓最終用戶(hù)自行安裝客戶(hù)端軟件，顯然難度非常大，而如果不能很好地解決這個(gè)問(wèn)題，終端管理也就成了空談，導(dǎo)致內(nèi)網(wǎng)終端管理產(chǎn)品的效果不明顯，因此內(nèi)網(wǎng)終端管理也沒(méi)有引起管理者足夠的重視。

使用準(zhǔn)入控制技術(shù)就能很好地解決客戶(hù)端部署的問(wèn)題，而且必須首先考慮準(zhǔn)入控制。準(zhǔn)入控制是在終端訪問(wèn)網(wǎng)絡(luò)的必經(jīng)之處設(shè)置檢查點(diǎn)，檢查發(fā)起網(wǎng)絡(luò)訪問(wèn)的終端是否安裝了客戶(hù)端軟件，能夠主動(dòng)監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦隔離、進(jìn)行修復(fù)?？梢哉f(shuō)，準(zhǔn)入控制是終端管理的確定性手段，只有打好了這個(gè)基礎(chǔ)，終端管理產(chǎn)品才能保證部署率，才能消除終端管理的盲點(diǎn)，才能真正為單位的內(nèi)網(wǎng)合規(guī)管理提供可靠的技術(shù)支撐。

（二）管理上的誤區(qū)

1.認(rèn)為安全管理就是購(gòu)買(mǎi)技術(shù)和設(shè)備

多年來(lái)，人們對(duì)保障信息安全的手段偏重于依靠技術(shù)，以為花錢(qián)買(mǎi)來(lái)先進(jìn)的技術(shù)和設(shè)備，“即插即用”然后就可以給我們帶來(lái)安全。認(rèn)為內(nèi)網(wǎng)安全可以靠技術(shù)產(chǎn)品解決問(wèn)題，存在一勞永逸的解決方案，已經(jīng)成為急待扭轉(zhuǎn)的誤區(qū)。

由于信息安全事件頻發(fā)，國(guó)家對(duì)信息安全越來(lái)越重視，促使終端安全、桌面管理、數(shù)據(jù)加密、上網(wǎng)行為管理、審計(jì)、移動(dòng)存儲(chǔ)安全、檢查取證、網(wǎng)絡(luò)接入等各式產(chǎn)品與解決方案層出不窮，信息安全項(xiàng)目投資力度逐年加大，安全技術(shù)、產(chǎn)品、市場(chǎng)在迅猛發(fā)展。2009年中國(guó)企業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)規(guī)模超70億，在2010年突破100億元的規(guī)模，其中增長(zhǎng)最快的是內(nèi)網(wǎng)安全產(chǎn)品，內(nèi)網(wǎng)安全廠商從2002年不到5家發(fā)展到現(xiàn)在的400多家，預(yù)計(jì)到2012年，內(nèi)網(wǎng)安全的市場(chǎng)規(guī)模很可能達(dá)到53億元。

內(nèi)網(wǎng)安全的技術(shù)手段，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒、防火墻到近年來(lái)網(wǎng)絡(luò)環(huán)境下的安全審計(jì)、入侵檢測(cè)、身份認(rèn)證等等。用戶(hù)也更加相信安全產(chǎn)品，把僅有的預(yù)算也都投入到安全產(chǎn)品的采購(gòu)上。但是，行業(yè)用戶(hù)卻切身感覺(jué)到越來(lái)越?jīng)]有安全感，各類(lèi)安全事件急劇攀升。《2010年全國(guó)信息網(wǎng)絡(luò)安全狀況調(diào)查》結(jié)果顯示，各類(lèi)網(wǎng)絡(luò)安全事件，通過(guò)安全產(chǎn)品發(fā)現(xiàn)的僅占27.7%；導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件的原因有70%以上是因?yàn)閮?nèi)部安全管理存在漏洞，這與前面所提到的巨大投入形成強(qiáng)烈反差。

嚴(yán)峻的現(xiàn)實(shí)告訴我們，僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無(wú)法消除的，安全是買(mǎi)不來(lái)的。僅僅從工具和操作層面去解決信息安全問(wèn)題是當(dāng)前最大的問(wèn)題之一。

2.認(rèn)為管理就是建立制度

有一個(gè)被廣泛關(guān)注的案例：曾經(jīng)負(fù)責(zé)為移動(dòng)公司安裝設(shè)備的一名工程師，離職數(shù)年后仍然可以通過(guò)網(wǎng)絡(luò)訪問(wèn)移動(dòng)公司充值中心，毫無(wú)技術(shù)含量的盜取了價(jià)值380萬(wàn)元的充值卡密碼，使1.2億元巨資的網(wǎng)絡(luò)安全投入形同虛設(shè)。移動(dòng)公司這樣一個(gè)擁有最先進(jìn)的安全技術(shù)措施的企業(yè)，但就是因?yàn)楣芾淼膯?wèn)題而變得不堪一擊。此案暴露了電信運(yùn)營(yíng)商在管理上的多重漏洞：對(duì)設(shè)備及服務(wù)提供商的管理、對(duì)密碼的管理、對(duì)過(guò)期賬號(hào)的處理、日常檢查機(jī)制等方面都存在缺陷。

信息安全管理不僅僅需要建立制度，更關(guān)鍵的是制定出符合內(nèi)網(wǎng)要求的安全管理方案，并在此基礎(chǔ)上根據(jù)時(shí)間的推移，結(jié)合不同時(shí)期的要求和形勢(shì)變化作出動(dòng)態(tài)的更改，并且持續(xù)的進(jìn)行評(píng)估和調(diào)整，以適應(yīng)不斷變化的網(wǎng)絡(luò)應(yīng)用環(huán)境，從而可以不斷加強(qiáng)網(wǎng)絡(luò)安全。

二、內(nèi)網(wǎng)安全管理對(duì)策

（一）構(gòu)建完整的內(nèi)網(wǎng)安全管理體系

實(shí)際工作中，不論哪一個(gè)內(nèi)網(wǎng)安全問(wèn)題，都是可以歸類(lèi)到標(biāo)準(zhǔn)的安全產(chǎn)品或解決方案中去的，不同的是某個(gè)安全問(wèn)題只需要一個(gè)產(chǎn)品和解決方案，而另一個(gè)問(wèn)題可能需要多個(gè)產(chǎn)品或解決方案的結(jié)合。圍繞內(nèi)網(wǎng)安全，各主流廠商理念上各有亮點(diǎn)，技術(shù)表現(xiàn)上千差萬(wàn)別，但其安全產(chǎn)品都僅僅解決了內(nèi)網(wǎng)安全的部分問(wèn)題。要真正構(gòu)建一個(gè)可管理、可信任和可控制的內(nèi)網(wǎng)安全體系，一定要擁有整體的內(nèi)網(wǎng)安全理念，應(yīng)該統(tǒng)一規(guī)劃，綜合各種技術(shù)的優(yōu)勢(shì)，構(gòu)建一個(gè)完整的信息安全保護(hù)體系。。

根據(jù)上述對(duì)內(nèi)網(wǎng)安全問(wèn)題的分析，一個(gè)完善的內(nèi)網(wǎng)安全體系實(shí)現(xiàn)的技術(shù)措施，應(yīng)該是以身份認(rèn)證（身份鑒別）為基礎(chǔ)、以數(shù)據(jù)安全（數(shù)據(jù)加密）和授權(quán)管理（訪問(wèn)控制）為核心，以監(jiān)控審計(jì)（安全審計(jì)）為輔助的完整管理體系。如果只是不同產(chǎn)品的簡(jiǎn)單堆砌，就難以建立和實(shí)現(xiàn)有效的內(nèi)網(wǎng)安全體系。

（二）建立、健全內(nèi)網(wǎng)安全管理機(jī)制

從技術(shù)角度去尋求安全問(wèn)題解決方案只是解決了問(wèn)題的一半，更重要的是通過(guò)內(nèi)部健全的內(nèi)網(wǎng)安全管理制度及措施來(lái)保障內(nèi)網(wǎng)安全。同時(shí)還需要建立制度的持續(xù)改進(jìn)機(jī)制、建立體系科學(xué)完整的安全管理。

內(nèi)網(wǎng)安全建設(shè)中，安全制度的良好實(shí)施和執(zhí)行能從很大程度上保證網(wǎng)絡(luò)的安全，同時(shí)為網(wǎng)絡(luò)的管理和長(zhǎng)期監(jiān)控提供有理可依的指導(dǎo)性理論，這就要求建立覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面的各項(xiàng)安全管理制度，例如，建立完善的機(jī)房管理制度、完善的網(wǎng)絡(luò)使用制度、責(zé)任到人的設(shè)備管理制度、安全教育培訓(xùn)制度、網(wǎng)絡(luò)安全應(yīng)急預(yù)案和定期網(wǎng)絡(luò)評(píng)估制度等。

信息安全管理是一個(gè)動(dòng)態(tài)的過(guò)程，需要建立持續(xù)改進(jìn)的機(jī)制，因此還要定期評(píng)估有關(guān)管理制度文檔和重要操作規(guī)程，分析信息系統(tǒng)管理制度在內(nèi)容覆蓋上的不全面性和不完善性，從而做到能夠“發(fā)現(xiàn)問(wèn)題解決問(wèn)題，發(fā)現(xiàn)新問(wèn)題解決新問(wèn)題”，達(dá)成善治的信息安全治理境界。

三、結(jié)束語(yǔ)

內(nèi)網(wǎng)安全概念的提出和發(fā)展雖然經(jīng)歷了很多年，但是目前尚沒(méi)有形成統(tǒng)一的認(rèn)識(shí)，其根源很大程度上在于對(duì)內(nèi)網(wǎng)安全認(rèn)識(shí)上仍然存在很大的誤區(qū)。為了更好地解決內(nèi)網(wǎng)的安全問(wèn)題，需要有從觀念、管理和技術(shù)等方面全面分析安全風(fēng)險(xiǎn)及實(shí)施對(duì)策，以更為開(kāi)闊的思路看待內(nèi)網(wǎng)的安全問(wèn)題，保障一個(gè)穩(wěn)定、安全的內(nèi)網(wǎng)環(huán)境，這也是是網(wǎng)絡(luò)安全管理工作的長(zhǎng)期任務(wù)。

[1]衛(wèi)徐剛.技術(shù)與管理并重提高內(nèi)網(wǎng)安全[J].網(wǎng)絡(luò)與信息,2009(3)

[2]金波，張兵，王志海.內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討[J].信息安全與通信保密,2007（7）

The Misunderstanding on the Security of the Internal Network

HUZhi-feng
(Wuhan Commercial Service College,Wuhan，Hubei，430056，China)

aiming at the misunderstanding about the security of the internal network,making the specific analysis,pointing out the potential security risks.And putting for ward the corresponding safety measures to reduce security threats,ensuring stability and security of the internal network environment.

internal network；internal network security；network security

G434

A

1009-2277（2011）01-0071-03

本文系武漢商業(yè)服務(wù)學(xué)院青年科研項(xiàng)目（2010Q014）階段性成果之一。

2011-01-18

胡智鋒，武漢商業(yè)服務(wù)學(xué)院現(xiàn)代教育技術(shù)中心，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

責(zé)任編校：鄧小妮