劉尚喜

【摘要】 隨著信息化在各行業(yè)的迅速擴(kuò)展，內(nèi)部信息網(wǎng)絡(luò)作為機(jī)構(gòu)內(nèi)部信息流通的網(wǎng)絡(luò)渠道，面臨著嚴(yán)峻的安全形勢。本文的主要內(nèi)容是根據(jù)內(nèi)網(wǎng)的主要特點(diǎn)，分析內(nèi)網(wǎng)安全存在的主要問題，提出了解決內(nèi)網(wǎng)安全管理問題的主要模型，并就內(nèi)網(wǎng)安全管理的對策和措施進(jìn)行了探討。

【關(guān)鍵詞】 內(nèi)網(wǎng) 安全 管理

一、引言

在信息化快速推進(jìn)的當(dāng)代，網(wǎng)絡(luò)完成進(jìn)入人們?nèi)粘Ｉ畹姆椒矫婷?。?nèi)部信息網(wǎng)絡(luò)作為企業(yè)、政府等機(jī)構(gòu)內(nèi)部信息流通的主干道，發(fā)揮著重要的作用。在多種原因的共同作用下，內(nèi)網(wǎng)安全面臨著嚴(yán)峻形勢，網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)入侵等時有發(fā)生，因此內(nèi)網(wǎng)安全的重要性日趨提升。

二、內(nèi)網(wǎng)的主要特點(diǎn)

一是內(nèi)網(wǎng)信息量大。目前，大量的信息以電子文件形式存儲、傳播，遍布在服務(wù)器和個人電腦的各個角落。二是內(nèi)網(wǎng)相對獨(dú)立。由個人電腦、網(wǎng)絡(luò)設(shè)備、服務(wù)器和安全設(shè)備組成的內(nèi)網(wǎng)系統(tǒng)，構(gòu)成相對獨(dú)立的自治系統(tǒng)。三是內(nèi)網(wǎng)十分重要。各行各業(yè)的業(yè)務(wù)系統(tǒng)的上線后，各個單位的正常運(yùn)轉(zhuǎn)對內(nèi)網(wǎng)的依賴程度很高。

三、內(nèi)網(wǎng)安全管理存在的問題

由于內(nèi)網(wǎng)的相對獨(dú)立，多數(shù)人認(rèn)為內(nèi)網(wǎng)相對于互聯(lián)網(wǎng)是安全的，但事實(shí)并非如此，當(dāng)前內(nèi)網(wǎng)的安全管理主要存在以下問題。

1、外緊內(nèi)松。據(jù)統(tǒng)計，大量的內(nèi)網(wǎng)安全問題是由內(nèi)部監(jiān)管不力引發(fā)。內(nèi)網(wǎng)的安全系統(tǒng)能阻止有限的病毒攻擊和黑客侵入，但對內(nèi)部人員無意泄密、個人電腦被遠(yuǎn)程控制等的情況沒有應(yīng)對能力。2、手段缺乏。目前多數(shù)企業(yè)、政府機(jī)構(gòu)安全監(jiān)管力度不足，內(nèi)網(wǎng)監(jiān)管系統(tǒng)有的已建立，但策略、措施并不完善。如：基本依靠以太網(wǎng)交換機(jī)劃分VALN等方式來限制訪問范圍，用戶行為監(jiān)控也是手段有限，導(dǎo)致通過移動存儲設(shè)備復(fù)制文件或直接打印、刻錄造成的失泄密時有發(fā)生。3、易攻難守。當(dāng)內(nèi)網(wǎng)內(nèi)某臺計算機(jī)感染了病毒或木馬，往往需要花費(fèi)很長的時間才能判斷和定位，然后再通過手動的方式斷網(wǎng)殺毒。用戶主機(jī)和服務(wù)器漏洞補(bǔ)丁的更新只能依靠用戶自行進(jìn)行，導(dǎo)致黑客利用操作系統(tǒng)或者應(yīng)用程序漏洞進(jìn)行攻擊的風(fēng)險增大。網(wǎng)管人員由于計算機(jī)數(shù)量多、操作系統(tǒng)種類雜、分布地點(diǎn)散等問題，難于進(jìn)行統(tǒng)一管理，無法制定一致的安全策略。

四、內(nèi)網(wǎng)安全管理體系的構(gòu)建

內(nèi)網(wǎng)安全的目標(biāo)是方便管理、有效控制、確?；バ牛性O(shè)備和電腦都要統(tǒng)一納入管理體系。內(nèi)網(wǎng)安全管理體系一般由網(wǎng)絡(luò)邊界安全、數(shù)據(jù)安全保護(hù)、終端安全管理和身份認(rèn)證管理等部分組成。

1、網(wǎng)絡(luò)邊界安全。網(wǎng)絡(luò)邊界安全包括防火墻、入侵檢測、流量控制、防毒網(wǎng)關(guān)、防毒軟件和多功能網(wǎng)關(guān)等。防毒軟件主要是防御網(wǎng)絡(luò)病毒，為內(nèi)網(wǎng)用戶提供防毒代碼自動更新服務(wù)。流量控制合理分配網(wǎng)絡(luò)資源，實(shí)現(xiàn)各業(yè)務(wù)的流管控制；防火墻、防毒墻網(wǎng)關(guān)主要防護(hù)外網(wǎng)的黑客攻擊、病毒入侵等；入侵檢測主要是記錄與攔截對來自外網(wǎng)中的不安全行為進(jìn)行。 2、數(shù)據(jù)安全保護(hù)。數(shù)據(jù)保護(hù)包括數(shù)據(jù)庫安全管理、文件加密、移動介質(zhì)加密和文件集中管理等，利用各種方法手段，對網(wǎng)絡(luò)中的信息和存儲設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)。同時，提高數(shù)據(jù)備份力度，采取定期備份、持續(xù)備份、實(shí)時監(jiān)控等方法，確保重要數(shù)據(jù)安全。3、終端安全管理。終端安全管理包括遠(yuǎn)程管理、補(bǔ)丁分發(fā)、終端防毒和系統(tǒng)保護(hù)等。補(bǔ)丁分發(fā)是主要是自動安裝升級內(nèi)網(wǎng)用戶電腦補(bǔ)丁。終端防毒是網(wǎng)絡(luò)防毒軟件的客戶端，自動連接服務(wù)器，定時更新病毒代碼。系統(tǒng)保護(hù)是指對用戶操作系統(tǒng)備份、恢復(fù)等功能。4、身份認(rèn)證管理。身份認(rèn)證是指對入網(wǎng)用戶合法性的認(rèn)證，主要是通過核心交換機(jī)、接入交換機(jī)配置或準(zhǔn)入網(wǎng)關(guān)限制等方法，防止外來計算機(jī)在未授權(quán)情況下隨意入網(wǎng)。身份認(rèn)證的范圍包括客戶端、主要設(shè)備、服務(wù)器和用戶等。授權(quán)管理是在身份認(rèn)證的基礎(chǔ)上，對內(nèi)部信息網(wǎng)絡(luò)的各類資源進(jìn)行權(quán)限管理。

五、內(nèi)網(wǎng)安全管理的有關(guān)對策

1、完善制度。要解決內(nèi)網(wǎng)安全問題，要依靠技術(shù)手段，還需注重管理制度的優(yōu)化完善，將技術(shù)和管理有機(jī)結(jié)合起來，構(gòu)建一個綜合一體、層次清晰、管控有力的多層級內(nèi)網(wǎng)安全體系。2、健全手段。制定落實(shí)安全建設(shè)計劃，一是部署網(wǎng)絡(luò)邊界防護(hù)系統(tǒng)，嚴(yán)格管控外網(wǎng)訪問。二是安裝桌面管理系統(tǒng)，實(shí)現(xiàn)對內(nèi)網(wǎng)計算機(jī)的行為監(jiān)控、合法驗(yàn)證、補(bǔ)丁分發(fā)、端口管理等功能。三是部署網(wǎng)絡(luò)防毒軟件，定時自動發(fā)送升級包。四是安裝準(zhǔn)入網(wǎng)關(guān)，杜絕外來計算機(jī)非法接入內(nèi)網(wǎng)。3、加強(qiáng)監(jiān)管。全時全方位監(jiān)測內(nèi)網(wǎng)安全狀態(tài)，對內(nèi)網(wǎng)用戶的行為實(shí)行有效監(jiān)督，定期形成評估報告。在文檔的安全保密方面，要在整個文檔的生命周期內(nèi)，實(shí)行全程管理。在身份認(rèn)證方面，認(rèn)證范圍要擴(kuò)展到全部實(shí)體，明確“誰”能夠?qū)Α澳男辟Y源進(jìn)行“怎樣的操作”。

參 考 文 獻(xiàn)

[1] 王學(xué)華，張彬彬.內(nèi)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2012（9）：131-133.

[2] 李楠.內(nèi)網(wǎng)安全管理系統(tǒng)中安全評估技術(shù)的研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2011.

[3] 黃麗冰.淺析內(nèi)網(wǎng)安全管理[J].信息安全與技術(shù)，2014（1）：420-440.