姚剛，齊玉東，崔嘉，喬勇軍，董慶超

（1.海軍航空大學(xué)岸防兵學(xué)院，煙臺264001；2.海軍航空大學(xué)作戰(zhàn)勤務(wù)學(xué)院，煙臺264001）

0 引言

某內(nèi)部專網(wǎng)是依托互聯(lián)網(wǎng)，借助互聯(lián)網(wǎng)安全防護體系與設(shè)備建設(shè)起來的一個虛擬專用網(wǎng)，以傳輸處理單位的機密級（含）以下信息，因而內(nèi)部專網(wǎng)擔(dān)負著嚴(yán)峻的安全保密任務(wù)。內(nèi)部專網(wǎng)至今已運行多年，一些當(dāng)初不太明顯的安全隱患日漸突出，因此有必要對其進行信息安全問題的分析與研究。

本文著重從三個方面進行研究：①內(nèi)部專網(wǎng)的信息安全技術(shù)，包括虛擬專用網(wǎng)技術(shù)、數(shù)據(jù)加密技術(shù)、隔離技術(shù)、資源池技術(shù)、容災(zāi)備份技術(shù)等；②內(nèi)部專網(wǎng)的物理安全，包括環(huán)境、設(shè)備、介質(zhì)等；③內(nèi)部專網(wǎng)的軟件，包括操作系統(tǒng)、內(nèi)部專用門戶、郵件收發(fā)系統(tǒng)等。

1 某內(nèi)部專網(wǎng)基本情況分析

本內(nèi)部專網(wǎng)是建立在互聯(lián)網(wǎng)上的虛擬專用網(wǎng)，運行著內(nèi)部專用業(yè)務(wù)信息系統(tǒng)，從技術(shù)體系上與互聯(lián)網(wǎng)保持一致或兼容，主要目的是能夠充分利用互聯(lián)網(wǎng)的成果（包括信息安全防護技術(shù)與設(shè)備），提高內(nèi)部專網(wǎng)的技術(shù)水平，但緊跟而來的問題是不得不面對互聯(lián)網(wǎng)日益突出的安全威脅。

本單位內(nèi)部專網(wǎng)絡(luò)由機關(guān)層、管理層、作業(yè)層及各層的局域網(wǎng)組成，各局域網(wǎng)借助互聯(lián)網(wǎng)實現(xiàn)互聯(lián)。各級配置數(shù)據(jù)庫服務(wù)器、Web 應(yīng)用服務(wù)器以及安全防護等設(shè)備，負責(zé)各自轄區(qū)內(nèi)的內(nèi)部專用業(yè)務(wù)信息存儲、運行管理及服務(wù)。各局域網(wǎng)結(jié)構(gòu)，一般采用層次結(jié)構(gòu)，中心點在信息中心，根據(jù)單位建筑布局設(shè)立二、三級交換中心。

目前，該內(nèi)部專網(wǎng)運行的主要業(yè)務(wù)包括WinWeb-Mail 郵件系統(tǒng)、專用門戶及專用信息系統(tǒng)。

2 內(nèi)部專網(wǎng)信息安全分析

2.1 主要安全技術(shù)及問題分析

本內(nèi)部專網(wǎng)主要運用的信息安全技術(shù)包括：虛擬專用網(wǎng)技術(shù)、數(shù)據(jù)加密技術(shù)、隔離技術(shù)、資源池技術(shù)、容災(zāi)備份技術(shù)。

（1）虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（Virtual Private Network，VPN），是依托公共開放的網(wǎng)絡(luò)作為基本傳輸載體，使用數(shù)據(jù)加密和流量驗證的方法來避免公用網(wǎng)絡(luò)傳輸?shù)谋Ｃ苄畔⒈煌蹈Q和刪改，從而向終端使用者提供近似于私有網(wǎng)絡(luò)（Private Network）性能的網(wǎng)絡(luò)服務(wù)技術(shù)。

該內(nèi)部專網(wǎng)采用了基于傳統(tǒng)網(wǎng)絡(luò)安全協(xié)議（IPSec）的VPN 技術(shù)，IPSec 的關(guān)鍵優(yōu)勢在于節(jié)點與節(jié)點之間是永久連接的。工作在網(wǎng)絡(luò)層也使其與上層的軟件應(yīng)用無關(guān)，所有使用IP 協(xié)議的應(yīng)用都可以利用它實現(xiàn)傳輸。然而，IPsec 中這一核心的設(shè)計也是它的弱點。雖然它提供了認(rèn)證、授權(quán)和加密，但是隧道一旦建立，遠程用戶通?？梢栽L問到服務(wù)器上的任何資源，這為不法分子獲取或破壞機密信息、攻擊服務(wù)器、注入惡意代碼、利用通用網(wǎng)關(guān)接口（CGI）腳本執(zhí)行非法任務(wù)等提供了可乘之機。另外，由于目前虛擬專用網(wǎng)技術(shù)標(biāo)準(zhǔn)還不夠完善，因此不同廠商不想或者沒有能力來遵守虛擬專用網(wǎng)技術(shù)標(biāo)準(zhǔn)，導(dǎo)致他們的虛擬專用網(wǎng)產(chǎn)品和解決方案并不總是互相兼容的，進而引起的問題就是內(nèi)部專網(wǎng)的相關(guān)設(shè)備更新?lián)Q代會非常麻煩，混合搭配甚至?xí)鸺夹g(shù)難題，增加成本。

（2）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密（Data Encryption）技術(shù)是指發(fā)送方將原始數(shù)據(jù)（Plain Text）利用加密鑰匙（Encryption Key）及加密函數(shù)轉(zhuǎn)換，成為一堆亂碼即密文（Cipher Text），而另一方則將此密文通過解密算法、解密鑰匙（Decryption Key）恢復(fù)成原文。

內(nèi)部專網(wǎng)所有設(shè)備均采用主管部門批準(zhǔn)的密碼方案，在IP 網(wǎng)上構(gòu)建保密的虛擬專網(wǎng)，為業(yè)務(wù)應(yīng)用提供安全的網(wǎng)絡(luò)傳輸平臺，確保數(shù)據(jù)傳輸過程中的機密性和完整性，防止外部非授權(quán)用戶的非法進入，防止從網(wǎng)絡(luò)傳輸平臺引入的非法接入、篡改、竊聽、重放等攻擊。但即便如此，也難以根除它與生俱來的弊端，即無論是密碼算法，還是密碼技術(shù)，一旦硬件固定，那技術(shù)算法也就相應(yīng)的固定，那它就存在被攻破的風(fēng)險。但此類問題只要加強管理，出現(xiàn)風(fēng)險的概率就會大大降低。

（3）隔離技術(shù)

網(wǎng)絡(luò)隔離是指把兩個及以上可路由網(wǎng)絡(luò)的直接連接斷開，采用不可路由的協(xié)議和專用隔離設(shè)備進行信息交流而實現(xiàn)隔離，以保證內(nèi)部網(wǎng)絡(luò)的安全，避免信息泄漏。

內(nèi)部專網(wǎng)所采用的網(wǎng)絡(luò)隔離設(shè)備是安全隔離網(wǎng)閘屬于第四代的隔離技術(shù)。網(wǎng)閘通過使用電路的互斥開關(guān)以及自有協(xié)議實現(xiàn)內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器的功能，從而保證內(nèi)網(wǎng)、外網(wǎng)在無數(shù)據(jù)交換時，完全斷開。但始終無法保證兩者完全隔離，即通過內(nèi)外網(wǎng)對隔離區(qū)的分時訪問，一方的數(shù)據(jù)包最后還是會進入到另一方的網(wǎng)絡(luò)中，那么入侵與攻擊就存在了進入的路徑。

（4）資源池技術(shù)

資源池是指云計算中心所涉及到的各種硬件和軟件的集合，就是利用虛擬化技術(shù)，實現(xiàn)服務(wù)器、網(wǎng)絡(luò)、存儲等基礎(chǔ)設(shè)施資源的抽象，使其成為一個個可以被靈活生成、調(diào)度、管理的基礎(chǔ)資源單位。按其類型可分為計算資源、存儲資源和網(wǎng)絡(luò)資源。

但由于當(dāng)初建設(shè)時的技術(shù)限制，導(dǎo)致留下了一個問題：計算資源池與存儲資源池共享一個存儲空間。這本身是云平臺的一個特性——信息資源共享。但隨著內(nèi)部專網(wǎng)的規(guī)模不斷擴大，終端用戶日趨龐大，產(chǎn)生了越來越多的數(shù)據(jù)需要存儲。因為資源共享的緣故，存儲資源不斷增多，那么勢必就會導(dǎo)致計算資源的減少，進而導(dǎo)致的結(jié)果就是數(shù)據(jù)的處理能力大大下降，極大地降低了工作效率，違背了云平臺建設(shè)的初衷。

（5）容災(zāi)備份技術(shù)

容災(zāi)是為了在遭遇災(zāi)害時能保證信息系統(tǒng)正常運行，幫助企業(yè)實現(xiàn)業(yè)務(wù)連續(xù)性的目標(biāo)，備份是為了應(yīng)對災(zāi)難來臨時造成的數(shù)據(jù)丟失問題。受限于目前的單位體制，只有一個信息中心，導(dǎo)致內(nèi)部專網(wǎng)產(chǎn)生的所有數(shù)據(jù)（包括用戶信息、物資信息等）都存放在內(nèi)部專門的服務(wù)器上，其產(chǎn)生的問題自然不言而喻。一旦，內(nèi)部服務(wù)器的數(shù)據(jù)被干擾、阻斷、破壞，都會導(dǎo)致整個網(wǎng)絡(luò)性能的不穩(wěn)定，甚至是無法運行。更為嚴(yán)重的是，一旦內(nèi)部專部的數(shù)據(jù)被竊取，其產(chǎn)生的后果也是無法想象的。但目前，內(nèi)部專網(wǎng)還處于持續(xù)建設(shè)階段，產(chǎn)生的數(shù)據(jù)還不多，服務(wù)器的性能也比較穩(wěn)定，導(dǎo)致問題可能還不是特別明顯。

2.2 物理的安全隱患分析

（1）環(huán)境的安全隱患

環(huán)境安全是指對整個網(wǎng)絡(luò)所在環(huán)境的安全防護。內(nèi)部專網(wǎng)存在部分節(jié)點不經(jīng)常使用，導(dǎo)致環(huán)境方面的安全隱患比較突出：節(jié)點機房環(huán)境惡劣；有些安全防護設(shè)備配置不齊全、擺放隨意，配置的安全防護設(shè)備有的還沒有開機使用；防火措施不到位或者防火器材不足；主機損壞后，也無人問津，沒有及時的修理或者銷毀。

（2）設(shè)備的安全隱患

為了盡可能削減此類安全風(fēng)險，內(nèi)部專網(wǎng)選購了以下信息安全設(shè)備：網(wǎng)絡(luò)信息安全隔離網(wǎng)閘、多功能安全網(wǎng)關(guān)、網(wǎng)絡(luò)漏洞掃描系統(tǒng)、網(wǎng)絡(luò)惡意代碼監(jiān)控系統(tǒng)臺、密碼設(shè)備。

網(wǎng)閘利用隔離與交換控制單元阻斷用戶業(yè)務(wù)連接，只完成數(shù)據(jù)的交換。

內(nèi)部專網(wǎng)使用的網(wǎng)關(guān)并非專用網(wǎng)關(guān)，使用的是互聯(lián)網(wǎng)的網(wǎng)關(guān)，但無疑其是一類組合類網(wǎng)關(guān)。此類網(wǎng)關(guān)利用復(fù)雜的過濾器提供十分堅實的訪問控制，保護內(nèi)網(wǎng)不被非法的外網(wǎng)用戶訪問的作用是顯著的。

網(wǎng)絡(luò)漏洞掃描系統(tǒng)及網(wǎng)絡(luò)惡意代碼監(jiān)控系統(tǒng)臺須依賴其中的檢測分析算法和漏洞、惡意代碼數(shù)據(jù)庫，故都必須及時地安裝補丁。

當(dāng)前，密碼設(shè)備使用數(shù)據(jù)通信科學(xué)技術(shù)研究所研制的JJP901F 百兆IP 密碼機和JJP904C 桌面型密碼機?；久荑€的更換周期一般為一年，暫時采取人為方式更換。

（3）介質(zhì)的安全隱患

介質(zhì)安全主要是為了保證存放在媒體上的信息安全。包括媒體的防盜；媒體的防毀，如防霉和防砸等。

2.3 系統(tǒng)軟件的安全威脅研究

軟件安全通常是指操作系統(tǒng)、應(yīng)用程序的安全。軟件安全威脅主要由軟件設(shè)計中的疏忽和不按軟件工程的設(shè)計要求產(chǎn)生。

（1）測試環(huán)境及工具介紹

為了全面地去分析其中的漏洞，采用了模擬黑客攻擊的方式對測試環(huán)境進行了掃描分析，按照以下步驟進行：配置攻擊環(huán)境-踩點-掃描-攻擊，利用Xscan、SSS、流光等工具進行模擬測試。

（2）威脅分析及解決方案

綜合所有的測試結(jié)果，共得到主機開放了17 個存在風(fēng)險的端口或服務(wù)，其中安全提示20 個，安全警告6個，安全漏洞14 個，跨站點腳本攻擊項目11 個。

3 內(nèi)部專網(wǎng)改進對策建議

3.1 網(wǎng)絡(luò)安全策略

（1）VLAN 的重新劃分

隨著內(nèi)部專網(wǎng)與單位建設(shè)的不斷推進，目前的局域網(wǎng)已經(jīng)存在不符合需求的情況：一些主機長期無人使用；一些局域網(wǎng)內(nèi)的主機未進行合理配置，導(dǎo)致彼此信息共享、管理比較混亂。

為保證各分區(qū)內(nèi)的自由通信和分區(qū)之間的受控通信，同時隔離各種已知的網(wǎng)絡(luò)攻擊行為和非法入侵企圖，針對內(nèi)部專網(wǎng)的使用情況，尤其是面對著日趨復(fù)雜的業(yè)務(wù)需求，可以考慮將各局域網(wǎng)絡(luò)及業(yè)務(wù)子網(wǎng)服務(wù)區(qū)重新劃分VLAN，內(nèi)部區(qū)為重新劃分區(qū)域，按照服務(wù)器和終端計算機劃分為內(nèi)部服務(wù)器區(qū)和內(nèi)部終端區(qū)，內(nèi)部業(yè)務(wù)終端可進一步按照工作區(qū)域、密級或者業(yè)務(wù)需求進行再劃分。

圖1

（2）局域網(wǎng)絡(luò)策略

各級節(jié)點單位局域網(wǎng)是位于監(jiān)控區(qū)內(nèi)的業(yè)務(wù)工作計算機網(wǎng)絡(luò)，按照當(dāng)前的要求，所有需要訪問專網(wǎng)的終端，都必須依次通過UTM、密碼機，接入互聯(lián)網(wǎng)。各終端發(fā)送的數(shù)據(jù)經(jīng)過密碼機的加密，傳輸?shù)交ヂ?lián)網(wǎng)上；來自互聯(lián)網(wǎng)的信息經(jīng)過密碼設(shè)備的解密，傳輸?shù)絻?nèi)網(wǎng)上，如圖2 所示。

圖2

如果需要單位實現(xiàn)向上的網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)備份，并且于其他網(wǎng)絡(luò)隔離。可將其網(wǎng)絡(luò)分為3 個安全域，分別為過渡區(qū)（用以在專網(wǎng)上提供內(nèi)部外部連接服務(wù)）、內(nèi)部區(qū)（僅在內(nèi)部提供服務(wù)）、管理區(qū)（對安全防護設(shè)備、網(wǎng)絡(luò)設(shè)備以及身份認(rèn)證系統(tǒng)等進行集中管理）。安全區(qū)是一個邏輯區(qū)域，各個安全區(qū)內(nèi)部可繼續(xù)根據(jù)實際連接需求不同，進一步劃分子區(qū)域，以便制定具體的IP 訪問控制策略，如：內(nèi)部區(qū)可按服務(wù)器和終端計算機劃分為內(nèi)部服務(wù)器區(qū)和內(nèi)部終端區(qū)。

（3）網(wǎng)絡(luò)設(shè)備的應(yīng)用配置

在某單位內(nèi)部專網(wǎng)中，首先是利用三層交換機的VLAN 功能，根據(jù)業(yè)務(wù)劃分將網(wǎng)絡(luò)劃分為多個VLAN，這些VLAN 通過交換機的路由器功能實現(xiàn)路由。劃分VLAN 在網(wǎng)絡(luò)安全方面的主要目的和作用是隔離網(wǎng)絡(luò)廣播信息。

（4）網(wǎng)絡(luò)入侵檢測

隨著內(nèi)部專網(wǎng)的逐步開發(fā)和應(yīng)用，網(wǎng)絡(luò)規(guī)模正在不斷擴大，內(nèi)部專網(wǎng)的用戶也會不斷增多。各單位都應(yīng)該根據(jù)實際需要配置基于主機的入侵檢測系統(tǒng)（HIDS）或者基于網(wǎng)絡(luò)的入侵監(jiān)測系統(tǒng)（NIDS）。IDS 可對網(wǎng)絡(luò)流量進行實時監(jiān)控，一旦發(fā)現(xiàn)可疑情況，會及時報警或者采取基于策略的反應(yīng)措施，不僅對外部非法用戶、內(nèi)部惡意用戶進行網(wǎng)絡(luò)攻擊或滲透時進行異常報警，而且可對內(nèi)部無意用戶過多占用網(wǎng)絡(luò)流量進行限流等措施以保證網(wǎng)絡(luò)的高效順暢。

若網(wǎng)絡(luò)布局小（如單機）且對傳輸速率要求不高的情況下，可用統(tǒng)一威脅管理系統(tǒng)（UTM）代替防火墻、IDS 行使相應(yīng)職能。

（5）惡意代碼防護

針對前面提出的惡意代碼防護設(shè)備的缺陷，建議配備更加專業(yè)的網(wǎng)絡(luò)惡意代碼設(shè)備，或者是能夠提供更多的殺毒軟件選擇，尤其是針對木馬的查殺軟件，以便豐富惡意代碼庫、增強對各種惡意代碼的檢測，從而減少惡意代碼攻擊事件的發(fā)生以及提高業(yè)務(wù)工作的效率。

（6）內(nèi)網(wǎng)安全管理系統(tǒng)

對信息安全的威脅更多的是來自機構(gòu)內(nèi)部（也就是內(nèi)部網(wǎng)絡(luò)）。除了通過入侵檢測系統(tǒng)，內(nèi)部專網(wǎng)還配備了內(nèi)網(wǎng)安全管理系統(tǒng)。通過安裝使用內(nèi)網(wǎng)安全管理系統(tǒng)，實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全管理。既對個人計算機（包括筆記本電腦）關(guān)鍵系統(tǒng)資源的運行狀況、監(jiān)控以及審計的集中管理，又對計算機外部接口實現(xiàn)“禁用與允許”的集中控制與審計。

3.2 應(yīng)用安全策略

（1）統(tǒng)一的身份認(rèn)證

統(tǒng)一身份認(rèn)證由于擔(dān)負著整個業(yè)務(wù)系統(tǒng)的安全防護職責(zé)，因此它必須有技術(shù)手段上的可靠保證。建議使用或進一步加強以下一些技術(shù)或手段作為保證：

①通過統(tǒng)一的用戶管理，保證統(tǒng)一身份認(rèn)證業(yè)務(wù)的順利運行；

②避免用戶的密碼在多個應(yīng)用上儲存和交換；

③利用單向加密技術(shù)保護用戶的密碼；

④通過服務(wù)器證書，在傳輸層使用HTTPS 避免傳輸過程泄密；

⑤對于統(tǒng)一配發(fā)的USB Key，必須對每名用戶進行身份認(rèn)證之后，才能享受到內(nèi)部專網(wǎng)的資源服務(wù)。

（2）統(tǒng)一的授權(quán)管理

授權(quán)的管理是應(yīng)用安全的重要組成部分，應(yīng)用系統(tǒng)各自為各自的用戶授權(quán)，明顯不符合統(tǒng)一的業(yè)務(wù)需求，但過于集中的授權(quán)，易于出現(xiàn)超級管理員這樣權(quán)限過大的角色，而且單一的管理員也無法很好地處理各類應(yīng)用的授權(quán)需要。因此由安全策略中的精準(zhǔn)控權(quán)原則建議，統(tǒng)一授權(quán)管理使用以下一些技術(shù)手段：

①統(tǒng)一授權(quán)，保證不同用戶對應(yīng)用訪問的權(quán)限可以集中控制。

②根據(jù)實際工作需求，分級授權(quán)管理，避免權(quán)限過大管理員的出現(xiàn)，同時也便于工作責(zé)任落實到人。

③做好審計工作，利用系統(tǒng)審計日志，確保事后審計機制。

（3）應(yīng)用軟件管理

應(yīng)用系統(tǒng)軟件的管理是保證內(nèi)部專網(wǎng)安全高效的關(guān)鍵，故從操作系統(tǒng)到應(yīng)用軟件的選取都至關(guān)重要，根據(jù)前面提到的系統(tǒng)軟件安全威脅現(xiàn)狀，建議采取或加強以下技術(shù)手段保護內(nèi)部專網(wǎng)的平穩(wěn)運行：

①各應(yīng)用系統(tǒng)軟件應(yīng)有備份，并進行正確版本管理，在系統(tǒng)故障時能夠盡快恢復(fù)；

②處于過渡區(qū)或者為內(nèi)外網(wǎng)提供信息服務(wù)的服務(wù)器應(yīng)與專網(wǎng)信息服務(wù)器分設(shè)；

③用戶處理文電或其他業(yè)務(wù)時，要主動或由應(yīng)用系統(tǒng)強制進行簽名驗證、密級標(biāo)識等;

④各種應(yīng)用應(yīng)具有完備的日志；

⑤提供信息服務(wù)的Web 服務(wù)器應(yīng)避免可利用腳本的出現(xiàn)，同時提供網(wǎng)頁防篡改措施，為其他合法用戶的身份信息安全提供保證。

3.3 數(shù)據(jù)安全策略

為了維護內(nèi)部專網(wǎng)的信息安全，減小失泄密隱患的發(fā)生概率，特提出如下的數(shù)據(jù)安全策略。

（1）數(shù)據(jù)的訪問安全

根據(jù)數(shù)據(jù)存儲方式的不同，數(shù)據(jù)的訪問安全主要分三方面，分別是：

①在訪問數(shù)據(jù)庫時，綜合安全策略以及之前應(yīng)用安全的經(jīng)驗，建議考慮以下安全措施：嚴(yán)格的數(shù)據(jù)庫用戶管理；最小化的數(shù)據(jù)庫訪問授權(quán)；數(shù)據(jù)庫的連接及訪問字符串合法安全；

②對目錄的訪問控制方式使用的是訪問控制列表的方式（ACL），但具體的安全策略與數(shù)據(jù)庫訪問類似；

③對于單獨的文件訪問，尤其是基于Web 的應(yīng)用，建議考慮到：操作系統(tǒng)、應(yīng)用軟件、Web 容器訪問文件時，對其實際的訪問過程進行安全性控制，避免被不法分子利用以致產(chǎn)生不利后果（例如本地cookie 的調(diào)用）。

（2）數(shù)據(jù)的存儲安全

數(shù)據(jù)的存儲安全，建議考慮到以下幾個方面：涉密信息的存儲、用戶密碼的存儲、密鑰的存儲及技術(shù)文檔、保密介質(zhì)的管理。

（3）數(shù)據(jù)的傳輸安全

針對這點，有一點建議需要考慮：只要是遠距離傳輸機密數(shù)據(jù)，不管是真正的跨網(wǎng)段，還是只是局域網(wǎng)內(nèi)部傳輸，均須通過密碼設(shè)備進行加密傳輸。

（4）數(shù)據(jù)的備份容災(zāi)

考慮結(jié)合當(dāng)前的實際情況，在各個局域網(wǎng)內(nèi)部以及專網(wǎng)之間建立互相的容災(zāi)備份。備份不是簡簡單單的重復(fù)，應(yīng)該充分利用重復(fù)數(shù)據(jù)刪除技術(shù)、數(shù)據(jù)鏡像技術(shù)、數(shù)據(jù)快照技術(shù)、持續(xù)數(shù)據(jù)保護技術(shù)等技術(shù)實現(xiàn)備份。

3.4 管理安全策略

安全管理人員要落實好制定的規(guī)章制度，每日安全審計網(wǎng)絡(luò)和系統(tǒng)運行情況，每季度組織檢測評估本級網(wǎng)絡(luò)的安全性，按照時限將審計報告、安全日志等保存妥當(dāng)。

4 結(jié)語

本文從實際工作需要出發(fā)，對某內(nèi)部專網(wǎng)的基本情況進行全面深入的了解，并從技術(shù)、硬件、軟件以及運行情況，分析了當(dāng)前內(nèi)部專網(wǎng)存在的安全隱患與威脅，并針對內(nèi)部專網(wǎng)的安全現(xiàn)狀，提出了內(nèi)部專網(wǎng)的改進對策和意見。