背景分析

在如今這個時代，隨著人們對網(wǎng)絡的依賴程度增加，網(wǎng)絡已經(jīng)涉及到人們生活的方方面面，然而病毒的泛濫、黑客的攻擊以及網(wǎng)絡犯罪的增加，人們的網(wǎng)絡安全意識和對網(wǎng)絡安全的重視程度在不斷加強，各種防護手段也在不斷豐富。然而一提到網(wǎng)絡安全問題，人們總是習慣于傾向網(wǎng)絡外部入侵的防御，卻往往忽視了對內(nèi)部網(wǎng)絡的安全威脅。

目前傳統(tǒng)的安全解決方案不能滿足“全網(wǎng)安全”形勢下的網(wǎng)絡安全需求，安全技術(shù)必須隨著網(wǎng)絡的發(fā)展而不斷完善。從單機孤立、分散安全向集成化、立體化安全機制發(fā)展是安全技術(shù)和安全管理發(fā)展的必然趨勢。

本文所指內(nèi)網(wǎng)的概念就是局域網(wǎng)，或稱Local Area Network，它是在一個局部的地理范圍內(nèi)，將各種計算機、外圍設備、數(shù)據(jù)庫等互相連接起來組成的計算機通信網(wǎng)，簡稱LAN，而應用最廣泛的LAN當屬總線結(jié)構(gòu)的以太網(wǎng)，同時也是目前發(fā)展最迅速、最經(jīng)濟的局域網(wǎng)。

內(nèi)網(wǎng)系統(tǒng)安全的范圍很廣，它不僅包括計算機系統(tǒng)本身，還應包括自然災害、物理損壞、設備故障、意外事故等。同時它還包括計算機主機系統(tǒng)和網(wǎng)絡系統(tǒng)上的網(wǎng)絡設備、某些終端設備的安全問題，以及對這些系統(tǒng)的攻擊、偵聽、欺騙等非法手段的防護。

如果內(nèi)部網(wǎng)絡在安全方面有漏洞，就可能被黑客或非法份子利用，搗毀數(shù)據(jù)、網(wǎng)絡，影響網(wǎng)絡業(yè)務正常運行；更嚴重的是國家秘密、技術(shù)秘密還可能被間諜竊取，給國家或集體直接帶來無法估量的損失。

綜合研究分析 系統(tǒng)解決存在問題

內(nèi)網(wǎng)的建設、營運必須在物理安全、運行安全、信息安全和管理安全四個方面進行完善，確保敏感信息在產(chǎn)生、存儲、傳遞和處理過程中的保密、完整、可用和抗抵賴。

內(nèi)網(wǎng)的物理安全

內(nèi)網(wǎng)物理安全需要從環(huán)境安全、設備安全和介質(zhì)安全三方面，采取多種技術(shù)措施嚴格進行部署，防范來自外部（如敵對勢力、恐怖組織、犯罪集團、黑客）對內(nèi)網(wǎng)的威脅。

1.環(huán)境安全

環(huán)境安全要求從內(nèi)網(wǎng)所在建筑部位的選址到周邊監(jiān)控、邊界安防、出入控制等多方面采取有效措施，保證周邊環(huán)境的安全。同時在機房、綜合布線系統(tǒng)、電話布線系統(tǒng)、門禁系統(tǒng)、監(jiān)控系統(tǒng)、報警系統(tǒng)、綜合音視頻系統(tǒng)等方面采用嚴格的控制手段，確保場所的安全。

2.設備和介質(zhì)安全

有這樣一句話，“間諜就在你身邊”，如果不對內(nèi)網(wǎng)中的合法用戶、管理者人員、服務提供者嚴格管理，而放任自流，就存在安全隱患，他們可方便地通過對移動設備或存儲介質(zhì)的使用，獲取內(nèi)網(wǎng)中的重要信息；或者由于疏于管理，致使內(nèi)網(wǎng)中的重要信息流到外網(wǎng)。

所以應建立移動設備使用管理和存儲介質(zhì)管理制度，職能部門按照有關(guān)要求不定期開展移動設備和存儲介質(zhì)使用情況檢查，督促制度執(zhí)行，對于違反規(guī)定的人員予以批評或處罰。

內(nèi)網(wǎng)的運行安全

物理安全是信息安全的最基本要求，在物理安全得到保障的情況下，各種威脅和風險就會集中到內(nèi)部網(wǎng)絡和系統(tǒng)運行的薄弱環(huán)節(jié)，因此，要十分重視內(nèi)部網(wǎng)絡和系統(tǒng)的運行安全。

運行安全就是指對網(wǎng)絡與信息系統(tǒng)的運行過程和運行狀態(tài)的保護。必須綜合采用在網(wǎng)絡邊界部署防火墻、在網(wǎng)絡內(nèi)部部署入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、主機審計系統(tǒng)、反病毒系統(tǒng)、備份與恢復系統(tǒng)等多種技術(shù)措施嚴格部署于信息系統(tǒng)，保證信息系統(tǒng)的運行安全。以下進行詳細分析：

1.防火墻系統(tǒng)

防火墻是現(xiàn)在網(wǎng)絡安全運用的最廣泛的安全產(chǎn)品。它的主要功能在于把那些不受歡迎的訪問隔離在特定網(wǎng)絡之外。受保護網(wǎng)絡與外部網(wǎng)絡之間的任何數(shù)據(jù)傳遞都必須通過防火墻，防火墻對這些數(shù)據(jù)進行分析、處理，并根據(jù)已設置的安全規(guī)則判定是否允許通過。建立防火墻對于受保護網(wǎng)絡免受來自外部的攻擊有較好的防范作用，防火墻系統(tǒng)本身具備較高的系統(tǒng)安全級別，可以防止非法用戶通過控制防火墻對內(nèi)網(wǎng)發(fā)動攻擊。

2.入侵檢測系統(tǒng)

隨著黑客對網(wǎng)絡的攻擊數(shù)量越來越多，攻擊手段越來越新，網(wǎng)絡邊界設備功能的不足，對攻擊行為的報警滯后，同時來自內(nèi)網(wǎng)有意無意的越級使用帶來的威脅，都需要內(nèi)網(wǎng)的管理員對內(nèi)網(wǎng)進行實時監(jiān)測、實時響應、準確定位攻擊源，將對內(nèi)部網(wǎng)絡的攻擊威脅減小到最小。

通過部署入侵檢測系統(tǒng),可以了解網(wǎng)絡的運行狀況和發(fā)生的安全事件，并根據(jù)安全事件來調(diào)整安全策略和防護手段，同時改進實時響應和事后恢復的有效性。

3.漏洞掃描系統(tǒng)

一般防病毒軟件都有漏洞掃描功能，內(nèi)網(wǎng)管理員可根據(jù)內(nèi)網(wǎng)中不同版本的操作系統(tǒng)進行掃描，然后定期下載補丁程序，要求內(nèi)網(wǎng)用戶進行補丁升級。

當然也有一些成熟的漏洞掃描、補丁升級解決方案可對內(nèi)網(wǎng)中所有客戶端進行補丁Push下發(fā)，可根據(jù)實際情況進行配置選擇。

4.主機審計系統(tǒng)

內(nèi)部的網(wǎng)絡安全如果不進行控制，內(nèi)部人員可以輕松地將計算機中的敏感信息通過移動存儲設備或者網(wǎng)絡泄露出去，而且不會留下任何痕跡。針對這一現(xiàn)狀，內(nèi)網(wǎng)中必須配置防止內(nèi)部信息外漏的主機審計系統(tǒng)。

可利用密碼、身份認證、訪問控制和審計跟蹤等技術(shù)手段，對重要業(yè)務數(shù)據(jù)和技術(shù)專利等敏感信息的存儲、傳播和處理過程實施安全保護；最大限度地防止敏感信息泄漏、被破壞和違規(guī)外傳，并完整記錄涉及敏感信息的操作日志，以便日后審計或追究相關(guān)的泄密責任，有效降低“堡壘從內(nèi)部攻破”的可能性。

5.病毒檢測與清除系統(tǒng)

內(nèi)網(wǎng)中病毒防護也是系統(tǒng)管理員非常重視的一點，一旦病毒在內(nèi)網(wǎng)中傳播，將帶來很大的危害。必須通過部署分布式、網(wǎng)絡化的防病毒系統(tǒng)，保證單機有效地防止病毒侵害，并可使系統(tǒng)管理員從中央控制臺對整個網(wǎng)絡進行病毒防護管理、升級病毒代碼與引擎，及時地對病毒進行查殺。在使用網(wǎng)絡版查殺病毒軟件時應該注意，必須選擇在國家有關(guān)單位登記在冊的，在涉密信息系統(tǒng)產(chǎn)品名錄中的相關(guān)產(chǎn)品。

6.備份與災難恢復系統(tǒng)

內(nèi)網(wǎng)的數(shù)據(jù)安全、有效離不開備份與恢復系統(tǒng)，根據(jù)內(nèi)網(wǎng)網(wǎng)絡規(guī)模和數(shù)據(jù)增長量，使用磁盤陣列、磁帶庫等手段進行備份，建立定期備份機制，隨機進行數(shù)據(jù)恢復測試。有迫切需求的可建立異地容災系統(tǒng)。

一般比較成熟的網(wǎng)絡數(shù)據(jù)備份其基本設計思想是利用一臺服務器連接合適的備份設備，實現(xiàn)對整個網(wǎng)絡系統(tǒng)各主機上關(guān)鍵業(yè)務數(shù)據(jù)的自動備份管理。

內(nèi)網(wǎng)信息安全

信息安全實現(xiàn)手段主要包括系統(tǒng)身份鑒別、信息訪問控制、信息加密、電磁泄露發(fā)射防護、信息完整性校驗、日志安全審計、網(wǎng)絡安全保密性能檢測等。

通過規(guī)劃在內(nèi)網(wǎng)按部門進行VLAN劃分，加強訪問控制、劃分網(wǎng)絡安全域和建立多層次的動態(tài)防御體系，在保證物理上與外部網(wǎng)絡完全隔離的基礎(chǔ)上，強化訪問控制權(quán)限，并逐步實現(xiàn)安全保密產(chǎn)品的聯(lián)動防御和反攻擊。

在內(nèi)網(wǎng)中IP地址盜用或地址欺騙是其中一個常見且危害極大的因素。最有效的解決方法就是在IP、MAC綁定的基礎(chǔ)上，再把端口進行綁定，即IP－MAC－PORT三者綁定在一起，從物理通道上隔離了盜用者。

對內(nèi)網(wǎng)安全管理要求高的單位，還可以通過部署重點部位的生物特征身份鑒別系統(tǒng)、電磁泄漏發(fā)射保護裝置、動態(tài)口令安全認證系統(tǒng)、傳輸加解密系統(tǒng)來全面完善、提高內(nèi)網(wǎng)的安全級別。

內(nèi)網(wǎng)的管理安全

除了完善系統(tǒng)的安全保密具體措施外，安全管理規(guī)范化也是內(nèi)網(wǎng)安全所必須的重視的。因為所有的安全系統(tǒng)無論軟件、硬件最終都是由人來操作、來實施，如果不重視管理，不形成制度化的工作流程，那么配備再好的設備、再好的軟件也等于形同虛設。

所以必須建立基本的安全管理機構(gòu)，完善整個管理組織結(jié)構(gòu)，形成規(guī)范性的安全管理文件。

安全管理機構(gòu)成立后，對管理機構(gòu)的各個安全管理人員也要進行崗位設定，明確每個崗位的職責，形成規(guī)范文件《安全管理人員崗位設定》，作為安全管理的重要文件，并嚴格按照文件部署。

制定一系列的安全管理制度同時還要對工作人員進行定期的崗位培訓措施，從根本上強化其安全觀念，并且培訓期后還要對人員進行評測考核，；同時在日常工作中進行定期考查，提高工作人員的保密意識與安全保密技術(shù)水平。

組建成立內(nèi)網(wǎng)應急事件與響應組，及時處理、評估網(wǎng)絡安全事件，不斷提高識別安全事件特征，改善技術(shù)管理水平。

結(jié)束語

內(nèi)網(wǎng)的安全管理是一個系統(tǒng)工程，隨著業(yè)務拓展、網(wǎng)絡不斷的擴展和日趨復雜，服務不斷增多，要面對來自方方面面的可能攻擊，同時國家對涉密單位的內(nèi)網(wǎng)管理也提出了越來越規(guī)范和嚴格的要求，因此保障網(wǎng)絡的安全運行是非常重要的。必須充分考慮網(wǎng)絡不斷發(fā)展變化的安全需求，對風險有充分的認識，以便更好地加以控制和管理。通過各種技術(shù)防范手段和日常的有效管理，才能將內(nèi)網(wǎng)鑄成一個銅墻鐵壁的安全堡壘。