內網安全

對於國內的網路管理者而言，現有的網路安全防護手段大多強調對來自外部的主動攻擊進行預防，檢測以及處理，而授予內部主機更多的信任。但是，統計數字錶明，相當多的安全事件是由內網用戶有意或無意的操作造成的。為保護內網的安全，一些單位將內網與外網物理隔離，或者將內部通過統一的網關接入外網，並在網關處架設防火牆，IPS,IDS等安全監控設備。儘管如上述所示的各類安全措施都得到了實現，眾多管理者們卻仍然頭疼於泄密事件或其它各類內網安全事件的頻繁發生，這就充分說明了目前內網安全維護的複雜性。

總體上看，內網主機大多以LAN的方式進行接入，這些主機間以物理互連，邏輯隔離的方式共存，但為實現主機間的資料共享及數據通信需求，又不得不讓其之間建立各種互信關係，因此某台主機的有意或無意的誤操作都會對整網主機的安全性造成威脅，這些威脅點主要分為以下幾類：

無線技術的迅猛發展讓隨時隨地接入internet這一想法成為現實，在驚嘆先進的無線技術為我們的生活帶來便利的同時，也對我們的網路管理人員提出了更多的要求。在內外網隔離的環境中，如何確保內網邊界的完整性，杜絕不明終端穿越網路邊界接入是眾多管理者面臨的一大難題。事實上，國內定義的網路邊界防護由於《等保》的詮釋往往被理解為網路出口保護，而在現實情況中的邊界早已超越了"出口"這一狹隘的概念，而真正擴展到全網，其中的關鍵就是內網的邊界--網路的入口。換言之，邊界防護更應該是所有網路邊界的防護--並側重於內網入口的防護。

對內部主機使用者缺乏特定的身份識別機制，只需一根網線或者在區域網AP信號覆蓋的範圍之內，即可連入內部網路獲取機密文件資料。內網猶如一座空門大宅，任何人都可以隨意進入。往往管理者都比較注重終端訪問伺服器時的身份驗證，一時之間，CA、電子口令卡、radius等均大行其道，在這種環境下，被扔在牆角的終端之間非認證互訪則成為了機密泄露和病毒傳播的源頭，而終端之間的聯繫恰巧就是--網路。

許多單位的網路大體上可以分為兩大區域：其一是辦公或生產區域，其二是服務資源共享區域，目前上述兩大邏輯網路物理上共存，並且尚未做明確的邏輯上的隔離，辦公區域的人員往往可隨意對伺服器區域的資源進行訪問。另外需要的注意的是，來賓用戶在默認情況下，只要其接入內部網路並開通其網路訪問許可權，相應的內部服務資源的訪問許可權也將一併開通，內網機密文件資源此時將赤裸暴露於外部。

現有企業中大多採用微軟系列的產品，而微軟系列產品恰巧像蜜糖一樣不斷吸引著蜂擁而至的黑客做為嶄露頭角的試金石，調查顯示80%以上的攻擊和病毒都是針對windows系統而產生的，這也就引發了微軟一月一次的補丁更新計劃，包括IE補丁、office辦公軟體、以及操作系統等全系列產品都被納入這個安全保護之中。但空有微軟單方發布的補救文件，也必定只是剃頭挑子一頭熱，如果由於用戶處的設置不當導致補丁無法及時更新的話，一旦被黑客所利用，將會作為進一步攻擊內網其他主機的跳板，引發更大的內網安全事故，如近年來爆發的各種蠕蟲病毒大都是利用這種攻擊方式，這也是為什麼政府機構的信息安全檢查都極其重視操作系統補丁更新的原因。

對於管理者而言，內網安全的管理與外網相比存在一定的難度，究其主要原因就在於，內網的管理面比較大，終端數較多，終端使用者的IT技能水平層次不齊，而這在領導看來往往會歸結到管理的層面，因此實施起來壓力大，抵觸情緒多，並且會形成各種各樣的違規對策，單槍匹馬的"管理"往往身體懸在半空，心也懸在半空。技術人員往往亟需技術手段的輔助來形成一個立體化的安全模型，也需要有更為開闊的思路看待內網的安全問題。

這些常見的客戶端安全威脅隨時隨地都可能影響著用戶網路的正常運行。在這些問題中，操作系統漏洞管理問題越來越凸現，消除漏洞的根本辦法就是安裝軟體補丁，每一次大規模蠕蟲病毒的爆發，都提醒人們要居安思危，打好補丁，做好防範工作——補丁越來越成為安全管理的一個重要環節。黑客技術的不斷變化和發展，留給管理員的時間將會越來越少，在最短的時間內安裝補丁將會極大地保護網路和其所承載的機密，同時也可以使更少的用戶免受蠕蟲的侵襲。對於機器眾多的用戶，繁雜的手工補丁安裝已經遠遠不能適應大規模網路的管理，必須依靠新的技術手段來實現對操作系統的補丁自動修補。

國內知名安全軟體廠商北信源公司通過對國內和國外近幾年來計算機客戶端管理技術和發展趨勢的研究，將政府和企業內部網路客戶端安全管理概括的從客戶端狀態、行為、事件三個方面來進行防禦，研製出北信源內網安全及補丁分發管理系統軟體。

北信源內網安全及補丁分發管理（VRVEDP）遵循網路防護和端點防護並重理念，對網路安全管理人員在網路管理、客戶端管理過程中所面臨的種種問題提供解決方案，實現內部網路客戶端的可控管理，並能夠支持多級級聯廣域網構架，達到最佳的管理效果。

北信源內網安全及補丁分發管理（VRVEDP）系統強化了對網路計算機客戶端狀態、行為以及事件的管理，它提供了防火牆、IDS、防病毒系統、專業網管軟體所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時的可控內網管理平台，並能夠同其它安全設備進行安全集成和報警聯動。

生產業務網：營業伺服器，業務伺服器，中間業務伺服器彙集到中心交換機。中心交換機多採用雙機備份。營業伺服器和業務伺服器通過中心交換機與各地市行網路中心以及分支網路中心互聯。中間業務伺服器從中心交換機與移動、聯通、金融等相連。另一方面，營業伺服器和業務伺服器從中心交換機通過前置機為各營業網點通過網路辦理正常業務。還有就是通過 INTERNET 公網為公網用戶提供網上銀行業務。主要應用諸如：儲蓄、信用卡、IC卡、國際業務、電子匯兌、電子郵件、電子公文、網上銀行、網上交易系統、新的綜合對公業務、國際業務信貸系統等生產業務。

辦公業務區域網：主要用於金融總部及下面各級網路的辦公自動化系統，為了確保金融網路的安全，辦公業務區域網和金融的業務系統隔離，相互獨立。金融辦公區域網整網結構設計一般為接入、匯聚、核心三層網路結構。辦公業務區域網一般與一台中心交換機相連，由若干個 VLAN 組成，是用於正常辦公及處理內部業務的系統，它有領導用戶、財務部、一般用戶等各級別的客戶端不同的安全需求。

1.內部合規管理難以落地：金融機構對內部的合規要求、安全操作等都缺乏實質有效的信息化管理手段，比如員工的肆意修改IP地址行為，造成的違規事件無法溯源，無法對員工的行為做有效管理；

2.外部終端缺乏准入控制：終端未經安全認證和授權即可隨意接入到內網，導致組織內部重要信息泄露或毀滅，終端接入后對內網的非授權訪問難以管理，造成不可彌補的重大損失；

3.移動存儲介質疏於管理：移動設備，包括筆記本電腦、攜帶型PDA等和新增設備未經過安全檢查和處理違規接入，非法拷貝內網數據，甚至帶來病毒傳播、黑客入侵等不安全因素；

4.工具濫用危及網路資源：員工在工作時間內聊天、遊戲、賭博、電影下載、登陸色情反動網站等行為大量存在，由於工具濫用行為，還包括客戶端發送的違規欺騙包，使內部流量負載增加，影響了工作效率，影響網路正常使用；

5.脆弱風險阻於行為審計：終端的脆弱點和違規溯源，需要對客戶端的文件操作審計與控制、列印、網站訪問、異常路由、終端Windows登錄、在線違規撥號上網、違規離線上網等審計；

6.終端安全水平參差不齊：客戶端的漏洞密布、口令簡陋、缺少必要的關鍵補丁，缺乏必要的安全知識，同時無法及時掌握進程運行情況，木馬程序可能就混在其中，無從獲取管理員的幫助支持；

針對內網安全管理，遠望認為，首先要監測發現內網中存在的各種安全事件和風險，風險只有做到可知才能可控，要利用各種監測方式和手段，對內網中常見存在的各類安全風險如邊界安全、網站安全、敏感信息安全、移動存儲介質安全、基礎安全、運行安全、違規行為等予以第一時間發現，並結合相應的防護手段，予以及時處置，將風險帶來的危害降到最低。

其次，內網安全管理一定要結合本單位的實際情況，調動各方積極性，引起領導重視，明確三方責任，要和管理制度和規範有機的結合起來，建立起日常化、常態化的管理機制和平台。內網安全管理絕不僅僅是技術手段的堆積，更不只是安全管理員的責任，內網安全管理是一個系統工程，要通過人、技術、管理等多方面的手段多管齊下。

遠望信息與網路安全管理平台，集成了各類信息安全監管、分析技術，實現對網路邊界安全、保密安全、網站安全、主機基礎安全，以及各類威脅信息安全的違規行為、資源佔用行為的全面，有效地監測、處置和管理。同時結合工作流技術，實現了“監測、警示、處置、反饋、考核”五位一體的信息安全管理工作的信息化、網路化、日常化、常態化和長效化。

1、邊界安全（級聯【遠望內網邊界檢查管理系統】）

對違規外聯行為以及網路邊界點的實時發現和處置

2、保密安全（級聯【遠望內網計算機敏感信息監測系統】）

對計算機上存儲、處理敏感信息文件的實時發現和處置

3、網站安全：（級聯【遠望內網網站監管系統】）

對內網網站的全面發現和自動定位；網站的註冊管理；網站安全漏洞的實時發現和處置。

4、移動存儲介質：（級聯【遠望內網移動存儲介質註冊管理系統】）

對內網移動存儲介質、外網移動存儲介質以及互動式移動存儲介質的註冊和管理；對移動存儲介質上文件的讀寫行為進行安全審計。

5、主機基礎安全：

（1）主機異常賬戶（弱口令賬戶、過期賬戶、無用賬戶）的實時發現和處置；

（2）未打全系統補丁的實時發現和處置；

（3）未安裝殺毒軟體的實時發現和處置；

（4）CPU和內存等主機資源使用情況的實時發現和處置；

（5）主機風險漏洞的實時發現和處置；

（6）主機硬體變更的實時發現和處置；

6、資源佔用行為：

對使用P2P下載工具、流媒體工具等佔用網路資源行為的實時發現和處置；

7、安全隱患

對網路上存在的病毒、木馬以及黑客攻擊等安全隱患的實時發現和處置；

8、違規行為：

對使用聊天工具，運行網路遊戲等違規行為的實時發現和處置；

9、偷盜行為和筆記本丟失：

對於偷盜行為，和筆記本丟失等違規行為的預防；

內網是網路應用中的一個主要組成部分，其安全性也受到越來越多的重視。據不完全統計，國外在建設內網時，投資額的15%是用於加強內網的網路安全。在我國IT市場中，安全廠商保持著旺盛的增長勢頭。運營商在內網安全方面的投資比例不如國外多，但依然保持著持續的增長態勢。要提高內網的安全，可以使用的方法很多，本文將就此做一些探討。

由於內網的信息傳輸採用廣播技術，數據包在廣播域中很容易受到監聽和截獲，因此需要使用安全交換機，利用網路分段及VLAN的方法從物理上或邏輯上隔離網路資源，以加強內網的安全性。

從終端用戶的程序到伺服器應用服務、以及網路安全的很多技術，都是運行在操作系統上的，因此，保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外，還需要建立一套對系統的監控系統，並建立和實施有效的用戶口令和訪問控制等制度。

在內網系統中數據對用戶的重要性越來越大，實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊，用戶的一次錯誤操作，系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

為了維護企業內網的安全，必須對重要資料進行備份，以防止因為各種軟硬體故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。

對數據的保護來說，選擇功能完善、使用靈活的備份軟體是必不可少的。目前應用中的備份軟體是比較多的，配合各種災難恢復軟體，可以較為全面地保護數據的安全。

使用代理網關的好處在於，網路數據包的交換不會直接在內外網路之間進行。內部計算機必須通過代理網關，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理伺服器上對網路內部的計算機訪問外部網路進行限制。

在代理伺服器兩端採用不同協議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。

防火牆的選擇應該適當，對於微小型的企業網路，可從Norton Internet Security 、 PCcillin 、天網個人防火牆等產品中選擇適合於微小型企業的個人防火牆。

而對於具有內部網路的企業來說，則可選擇在路由器上進行相關的設置或者購買更為強大的防火牆產品。對於幾乎所有的路由器產品而言，都可以通過內置的防火牆防範部分的攻擊，而硬體防火牆的應用，可以使安全性得到進一步加強。

為了保障網路的安全，也可以利用網路操作系統所提供的保密措施。以Windows為例，進行用戶名登錄註冊，設置登錄密碼，設置目錄和文件訪問許可權和密碼，以控制用戶只能操作什麼樣的目錄和文件，或設置用戶級訪問控制，以及通過主機訪問Internet等。

同時，可以加強對資料庫信息的保密防護。網路中的數據組織形式有文件和資料庫兩種。由於文件組織形式的數據缺乏共享性，資料庫現已成為網路存儲數據的主要形式。由於操作系統對資料庫沒有特殊的保密措施，而資料庫的數據以可讀的形式存儲其中，所以資料庫的保密也要採取相應的方法。電子郵件是企業傳遞信息的主要途徑，電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網路部件的泄密渠道，如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等，也可以採取相應的保密措施。

從攻擊角度入手

目前，計算機網路系統的安全威脅有很大一部分來自拒絕服務(DoS)攻擊和計算機病毒攻擊。為了保護網路安全，也可以從這幾個方面進行。

對付“拒絕服務”攻擊有效的方法，是只允許跟整個Web站台有關的網路流量進入，就可以預防此類的黑客攻擊，尤其對於ICMP封包，包括ping指令等，應當進行阻絕處理。

通過安裝非法入侵偵測系統，可以提升防火牆的性能，達到監控網路、執行立即攔截動作以及分析過濾封包和內容的動作，當竊取者入侵時可以立刻有效終止服務，以便有效地預防企業機密信息被竊取。同時應限制非法用戶對網路的訪問，規定具有IP地址的工作站對本地網路設備的訪問許可權，以防止從外界對網路設備配置的非法修改。

從病毒發展趨勢來看，現在的病毒已經由單一傳播、單種行為，變成依賴網際網路傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點：與Internet和Intranet更加緊密地結合，利用一切可以利用的方式(如郵件、區域網、遠程管理、即時通信工具等)進行傳播；所有的病毒都具有混合型特徵，集文件傳染、蠕蟲、木馬、黑客程序的特點於一身，破壞性大大增強；因為其擴散極快，不再追求隱藏性，而更加註重欺騙性；利用系統漏洞將成為病毒有力的傳播方式。

因此，在內網考慮防病毒時選擇產品需要重點考慮以下幾點：防殺毒方式需要全面地與網際網路結合，不僅有傳統的手動查殺與文件監控，還必須對網路層、郵件客戶端進行實時監控，防止病毒入侵；產品應有完善的在線升級服務，使用戶隨時擁有最新的防病毒能力；對病毒經常攻擊的應用程序提供重點保護；產品廠商應具備快速反應的病毒檢測網，在病毒爆發的第一時間即能提供解決方案；廠商能提供完整、即時的反病毒諮詢，提高用戶的反病毒意識與警覺性，儘快地讓用戶了解到新病毒的特點和解決方案。

在現實中，入侵者攻擊Intranet目標的時候，90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux 系統為例，先用“ finger遠端主機名”找出主機上的用戶賬號，然後用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。

如果這種方法不能奏效，入侵者就會仔細地尋找目標的薄弱環節和漏洞，伺機奪取目標中存放口令的文件 shadow或者passwd 。然後用專用的破解DES加密演演算法的程序來解析口令。

在內網中系統管理員必須要注意所有密碼的管理，如口令的位數儘可能的要長；不要選取顯而易見的信息做口令；不要在不同系統上使用同一口令；輸入口令時應在無人的情況下進行；口令中最好要有大小寫字母、字元、數字；定期改變自己的口令；定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。

以上九個方面僅是多種保障內網安全措施中的一部分，為了更好地解決內網的安全問題，需要有更為開闊的思路看待內網的安全問題。在安全的方式上，為了應付比以往更嚴峻的“安全”挑戰，安全不應再僅僅停留於“堵”、“殺”或者“防”，應該以動態的方式積極主動應用來自安全的挑戰，因而健全的內網安全管理制度及措施是保障內網安全必不可少的措施。