近年來,在所有的網(wǎng)絡(luò)安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長的趨勢。
因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn),但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主�����、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜���、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來也都是安全建設(shè)的難點(diǎn)。
關(guān)鍵詞:內(nèi)網(wǎng);安全;網(wǎng)絡(luò);管理;措施
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including onpne, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user apppcation level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內(nèi)網(wǎng)安全的定義以及與外網(wǎng)安全的區(qū)別
既然要探討內(nèi)網(wǎng)安全,首先要理解內(nèi)網(wǎng)安全的含義,網(wǎng)絡(luò)安全主要包含兩部分,一個(gè)就是傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全;另一個(gè)就是內(nèi)網(wǎng)安全,它是對應(yīng)于外網(wǎng)而言的��。
主要是指在小范圍內(nèi)的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò),這個(gè)“小范圍”可以是一個(gè)家庭,一所學(xué)校,或者是一家公司����。
內(nèi)網(wǎng)上的每一臺電腦(或其他網(wǎng)絡(luò)設(shè)備)內(nèi)部分配得到的局域網(wǎng)IP地址在不同的局域網(wǎng)內(nèi)是可以重復(fù)的,不會相互影響。
外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)外網(wǎng)邊界出口�����。
所以,在外網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個(gè)網(wǎng)絡(luò)的安全。
也就是說,網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊�����。
網(wǎng)絡(luò)邊界防范減小了黑客僅僅只需接入互聯(lián)網(wǎng)��、寫程序就可訪問企業(yè)網(wǎng)的幾率�����。
傳統(tǒng)的防火墻����、人侵檢測系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的。
對眾多大型企業(yè)而言,隨著業(yè)務(wù)的發(fā)展,用戶希望ERP�����、OA�����、Intranet、互聯(lián)網(wǎng)在一張網(wǎng)上實(shí)現(xiàn),能夠同時(shí)使用有線��、無線網(wǎng)絡(luò),在一個(gè)網(wǎng)絡(luò)上實(shí)現(xiàn)Web��、即時(shí)通信�����、協(xié)作�、語音、視頻的融合�。
外網(wǎng)在某種程度上已經(jīng)成為了內(nèi)網(wǎng)的一部分。
而隨著移動辦公的興起,安全的邊界越發(fā)模糊,筆記本電腦����、手機(jī)都成為了企業(yè)OA網(wǎng)絡(luò)中的一部分,而這也增加了內(nèi)網(wǎng)安全的管理難度。
內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細(xì)致��。
它假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端��、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何―個(gè)節(jié)點(diǎn)上�。
所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理,實(shí)現(xiàn)―個(gè)可管理�����、可控制和可信任的內(nèi)網(wǎng)��。
由此可見,相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點(diǎn):
1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系�����。
2)要求建立更加細(xì)粒度的安全控制措施,對計(jì)算機(jī)終端�、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對性的管理�。
3)對信息進(jìn)行生命周期的完善管理。
2 內(nèi)網(wǎng)安全的威脅
在所有的安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長的趨勢��。
因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn),但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主�����、節(jié)點(diǎn)數(shù)量多���、分布復(fù)雜���、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來也都是安全建設(shè)的難點(diǎn)。
在實(shí)際應(yīng)用當(dāng)中,內(nèi)網(wǎng)安全的威脅主要來自以下幾個(gè)方面:
1)移動設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過安全過濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡(luò)�����。
未經(jīng)允許擅自接入電腦設(shè)備會給網(wǎng)絡(luò)帶來病毒傳播、黑客入侵等不安全因素;
2)內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器�、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)����、違規(guī)離線上網(wǎng)等行為;
3)違反規(guī)定將專網(wǎng)專用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其它網(wǎng)絡(luò);
4)網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實(shí)時(shí)��、快速���、精確定位����、遠(yuǎn)程阻斷隔離操作���。
安全事件發(fā)生后,網(wǎng)管一般通過交換機(jī)�����、路由器或防火墻進(jìn)行封堵,但設(shè)置復(fù)雜,操作風(fēng)險(xiǎn)大,而且絕大多數(shù)普通交換機(jī)并沒有被設(shè)置成SNMP可管理模式,因此不能夠方便地進(jìn)行隔離操作;
5)大規(guī)模病毒(安全)事件發(fā)生后,網(wǎng)管無法確定病毒黑客事件源頭����、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié),無法做到事后分析����、加強(qiáng)安全預(yù)警;
6)靜態(tài)IP地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用�����、IP同MAC地址的綁定情況以及網(wǎng)絡(luò)中IP分配情況;
7)針對網(wǎng)絡(luò)內(nèi)部安全隱患,自動檢測網(wǎng)絡(luò)中主機(jī)的安全防范等級,進(jìn)行補(bǔ)丁大面積分發(fā),徹底解決網(wǎng)絡(luò)中的不安全因素;
8)大型網(wǎng)絡(luò)系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜,不能明確劃分管理責(zé)任范圍;
9)網(wǎng)絡(luò)中計(jì)算機(jī)設(shè)備硬件設(shè)備繁多,不能做到精確統(tǒng)計(jì)�。
以上問題其實(shí)可以歸到兩個(gè)基本需求:安全與管理。
安全方面,需要保證在終端方面可以提供正常工作的基礎(chǔ)IT設(shè)施即計(jì)算機(jī)是可用的;而管理方面,則保證企業(yè)或都說組織的計(jì)算機(jī)是用來工作的,規(guī)范計(jì)算機(jī)在企業(yè)網(wǎng)絡(luò)里邊的行為����。
3 加強(qiáng)內(nèi)網(wǎng)安全管理的建議和措施
可管理的安全才是真正的安全。
雖然管理對于信息安全的重要性已經(jīng)逐漸達(dá)成共識,但如何將安全管理規(guī)章和技術(shù)手段有效的結(jié)合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰(zhàn)�����。
安全關(guān)注的趨勢由外而內(nèi),由邊界到主機(jī),由分散到集中,由系統(tǒng)到應(yīng)用,由通用到專用,由分離到整合,由技術(shù)到管理�����。
從實(shí)際工作出發(fā)和借鑒兄弟單位成功經(jīng)驗(yàn),我總結(jié)了加強(qiáng)內(nèi)網(wǎng)安全的措施如下:
1)按照企業(yè)的管理框架,根據(jù)不同的業(yè)務(wù)部門或子公司劃成了不同的虛擬網(wǎng)(Vlan)����。
通過劃分虛擬網(wǎng),可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi),從而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸,提高了網(wǎng)絡(luò)的傳輸效率,同時(shí),由于各虛擬網(wǎng)之間不能直接進(jìn)行通訊,而必須通過路由器轉(zhuǎn),為高級的安全控制提供了可能,增強(qiáng)了網(wǎng)絡(luò)的安全性,也給管理帶來了極大的方便性。
特別是核心業(yè)務(wù)和重要部門根據(jù)安全的需要?jiǎng)澇闪瞬煌奶摂M網(wǎng),采用完全隔離或者相對隔離的措施,保證了核心業(yè)務(wù)和重要部門的安全性��。
2)對企業(yè)網(wǎng)絡(luò)的物理線路進(jìn)行規(guī)范化管理。
按照區(qū)域����、樓層、配線間���、房間���、具體位置規(guī)范化管理編號的原則,把所有的網(wǎng)絡(luò)線路編號,套上清晰的線標(biāo),配置可網(wǎng)管的交換機(jī)。
同時(shí)對交換機(jī)�、配線架、電腦等設(shè)備的物理配置�����、存放的具體位置以及電腦的軟件系統(tǒng)和系統(tǒng)配置等基礎(chǔ)數(shù)據(jù)進(jìn)行詳細(xì)的登記,同時(shí)還對IP地址進(jìn)行統(tǒng)一管理,把電腦的IP地址���、MAC地址����、使用人和各種基礎(chǔ)數(shù)據(jù)進(jìn)行關(guān)聯(lián),當(dāng)網(wǎng)絡(luò)或者電腦發(fā)生故障時(shí),網(wǎng)管們能夠通過基礎(chǔ)數(shù)據(jù)管理系統(tǒng)實(shí)現(xiàn)快速定位���、快速排查故障,極大地提高了網(wǎng)管們解決故障的工作效率��。
3)部署桌面安全管理系統(tǒng)�。
企業(yè)部署一套桌面安全策略管理系統(tǒng),是一個(gè)面向IT領(lǐng)域建設(shè)的專業(yè)安全解決方案。
它采用集成化網(wǎng)絡(luò)安全防衛(wèi)體系,通過多種技術(shù)手段的融合幫助整個(gè)企業(yè)有效達(dá)成在物理訪問���、鏈路傳輸、操作系統(tǒng)���、業(yè)務(wù)應(yīng)用���、數(shù)據(jù)保護(hù)、網(wǎng)間訪問和人員管理等方面的安全策略制定��、自動分發(fā)和自動實(shí)現(xiàn),減小客戶為保障安全需要付出的高額管理控制成本,在為每一個(gè)終端用戶提供透明但高度個(gè)性化安全保證的前提下真正提高組織的動作效率和管理水平�����。
終端安全管理是基礎(chǔ),它解決了終端計(jì)算機(jī)經(jīng)常為病毒�����、木馬困擾的問題,幫助管理員智能安裝系統(tǒng)與應(yīng)用補(bǔ)丁,提供一系列的終端維護(hù)工具與管理工具,使管理員做到對于終端的“中央集權(quán)管理與控制”���。
4)部署防病毒系統(tǒng)����。
病毒、木馬�、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業(yè)防病毒系統(tǒng)是最有效的解決辦法。
防毒系統(tǒng)內(nèi)嵌病毒掃描和清除��、個(gè)人防火墻���、安全風(fēng)險(xiǎn)檢測與刪除,可以檢測�、隔離����、刪除和消除或修復(fù)間諜軟件、廣告軟件��、撥號程序����、黑客工具、玩笑程序等多種安全風(fēng)險(xiǎn)造成的負(fù)面影響�。
通過防毒系統(tǒng)中心控制臺可以集中管理客戶端,統(tǒng)一部署防護(hù)策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況���、病毒分布情況�、病毒種類及查殺情況,可以控制客戶端集中或單獨(dú)清除病毒。
另外,還可以通過病毒隔離區(qū)控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時(shí)間對中毒的電腦進(jìn)行有效的殺毒和隔離����。
5)部署網(wǎng)絡(luò)管理系統(tǒng)。
隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大,交換機(jī)���、服務(wù)器的數(shù)量也逐漸增多,如何管理監(jiān)控重點(diǎn)設(shè)備、服務(wù)器的運(yùn)行情況,不是一件容易的事�����。
為此部署一套網(wǎng)絡(luò)管理系統(tǒng),可對網(wǎng)絡(luò)�、系統(tǒng)以及應(yīng)用進(jìn)行全面的監(jiān)視。
它可以提供完整的故障管理和性能管理功能,能自動發(fā)現(xiàn)網(wǎng)絡(luò)主動監(jiān)視網(wǎng)絡(luò)�、系統(tǒng)和服務(wù)器并將關(guān)鍵參數(shù)保存在數(shù)據(jù)庫中。
通過綜合控制臺可實(shí)現(xiàn)對路由器�����、交換機(jī)����、服務(wù)器、URL����、UPS無線設(shè)備以及打印機(jī)等性能的監(jiān)視,不僅提供了網(wǎng)絡(luò)設(shè)備的多種視圖,而且將收集的信息以豐富的圖�、報(bào)表形式呈現(xiàn)給操作者����。
6)部署安全管理系統(tǒng)(SOC)。
為了讓管理人員能夠?qū)崟r(shí)了解網(wǎng)絡(luò)中動態(tài)和事件,滿足不斷變化的網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)設(shè)備���、服務(wù)器��、應(yīng)用程序����、應(yīng)用服務(wù)����、安全設(shè)備、操作系統(tǒng)����、數(shù)據(jù)庫、機(jī)房環(huán)境等發(fā)生的故障��、超閥值行為、安全事件統(tǒng)稱為網(wǎng)絡(luò)安全問題)的要求,需要有一套專門的安全管理系統(tǒng)來完成�����。
網(wǎng)絡(luò)管理系統(tǒng)是從事件驅(qū)動的目的出發(fā)強(qiáng)調(diào)系統(tǒng)運(yùn)維�����、系統(tǒng)故障處理和加強(qiáng)網(wǎng)絡(luò)的性能三個(gè)方面的內(nèi)容�����。
與網(wǎng)絡(luò)管理系統(tǒng)不同,安全管理系統(tǒng)最重要的是對威脅的管理,它的側(cè)重點(diǎn)關(guān)注在三個(gè)層次上:資產(chǎn)層面,關(guān)注安全威脅對業(yè)務(wù)及資產(chǎn)的影響;威脅層面了解哪些威脅會影響業(yè)務(wù)及資產(chǎn);防護(hù)措施層面怎樣防護(hù)威脅,保護(hù)業(yè)務(wù)及資產(chǎn)����。
一句話概括,就是安全管理是從保護(hù)業(yè)務(wù)及資產(chǎn)的層面進(jìn)行的風(fēng)險(xiǎn)管理�。
7)部署垃圾郵件防火墻。
隨著電子郵件的普及,電子郵件的作用也越發(fā)重要,但是垃圾郵件卻是件令人煩惱的事,嚴(yán)重干擾了郵件收發(fā)的正常工作����。
為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。
垃圾郵件防火墻能支持25000個(gè)活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件�。
8)對重要資料進(jìn)行備份。
在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大,實(shí)際上引起電腦數(shù)據(jù)流失或被損壞�、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊,用戶的一次錯(cuò)誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對性的災(zāi)難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。
為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全,必須對重要資料進(jìn)行備份,以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而蒙受重大損失���。
對數(shù)據(jù)的保護(hù)來說,選擇功能完善����、使用靈活的備份軟件是必不可少的���。
目前應(yīng)用中的備份軟件是比較多的,配合各種災(zāi)難恢復(fù)軟件,可以較為全面地保護(hù)數(shù)據(jù)的安全����。
9)密鑰管理����。
在現(xiàn)實(shí)中,入侵者攻擊Intranet目標(biāo)的時(shí)候,90%會把破譯普通用戶的口令作為第一步。
以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用“finger遠(yuǎn)端主機(jī)名”找出主機(jī)上的用戶賬號,然后用字典窮舉法進(jìn)行攻擊�����。
這個(gè)破譯過程是由程序來完成的�。
大概十幾個(gè)小時(shí)就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會仔細(xì)地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞,伺機(jī)奪取目標(biāo)中存放口令的文件 shadow或者passwd���。
然后用專用的破解DES加密算法的程序來解析口令��。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理,如口令的位數(shù)盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統(tǒng)上使用同一口令;輸入口令時(shí)應(yīng)在無人的情況下進(jìn)行;口令中最好要有大小寫字母�����、字符����、數(shù)字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。
沒有規(guī)律的口令具有較好的安全性�。
4 結(jié)束語
當(dāng)然為了更好地解決內(nèi)網(wǎng)的安全問題,需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。
七分管理,三分技術(shù)�。
管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是安全管理的保證。
只有制定完整的規(guī)章制度�、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡(luò)系統(tǒng)的安全才會有最大的保障。
