企业内网安全管理策略研究

摘要：随着企业信息化步伐日益加快，其网络应用的规模与复杂度也不断增加。内网安全问题在安全体系中是至关重要的环节，解决内网安全问题必须从规划内网资源、规范内网行为、防止内网信息泄露等多方面入手，构建有效的安全管理机制，这样才能真正保证整个网络系统的安全。

关键词：企业内网，安全，管理策略

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)08-1pppp-0c

1 引言

内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中，假设内网的所有人员和设备都是安全和可信的，而外部网络则是不安全的。基于这种假设，产生了防病毒软件、防火墙、IDS等外网安全解决方案，部署在内网和外网之间的边界，防外为主。这种解决策略是针对外部入侵的防范，对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。

但是，随着各单位信息化程度的提高以及用户计算机使用水平的提高，安全事件的发生更多是从内网开始，由此引发了对内网安全的关注。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障，企业基于网络边界的安全防护技术就更是鞭长莫及了，由此危及到内部网络的安全。一方面，企业中经常会有人私自以Modem 拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面，黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络，发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究表明:超过80%的信息安全隐患来自组织内部,而大多数公司都没有设置相应的工具来监视和检测内部资源的使用和滥用。相对于外网安全来自互联网的威胁，内网安全的重点是数据和信息的安全，而这些数据和信息，才是企业真正有价值的资源。

2 企业内网安全隐患分析

现代企业的网络环境是建立在当前飞速发展的开放网络环境中，顾名思义，开放的环境既为信息时代的企业提供与外界进行交互的窗口，同时也为企业外部提供了进入企业最核心地带―企业信息系统的便捷途径，使企业网络面临种种威胁和风险：病毒、蠕虫对系统的破坏；系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏，导致企业安全策略不能真正的得到很好的落实，开放的网络给企业的信息安全带来巨大的威胁。内网安全威胁主要包括如下几个方面：

2.1 网络病毒

目前企业内部网络系统受到最多的安全威胁来自计算机病毒，病毒的传播形式越来越复杂、传播的速度越来越快，影响范围越来越大，其造成的损失已不仅限于个人计算机系统，还可以造成服务器系统瘫痪、主干网络拥堵，甚至崩溃。在企业内部网络系统中存在网络病毒对邮件服务器及个人操作系统的破坏，以及网络病毒造成的网速变慢，系统无法正常响应等情况，并且在病毒发作时不能及时处理，难以快速发现被病毒感染机器的IP地址。

2.2 非法入侵

网络黑客对内部网络系统的攻击随时都可能发生。因此，通常首要考虑的问题是如何有效地防范来自外部的攻击。来自外部的攻击通常只会影响采用合法IP地址的网络设备及服务器，或者说它们只对Internet上的可见设备进行攻击。但是这并非就意味着网络内部采用保留IP地址的网络就不会受到攻击。企业内部网络规模较大，网络用户较多，安全系统参差不齐，缺乏统一有效的控制手段。因此，在考虑外部入侵的同时，也要考虑来自Intranet内部的安全威胁。

2.3 系统安全漏洞、补丁修补不及时

随着各类网络和操作系统软件的不断更新和升级，由于边界处理不善和质量控制差等综合原因，网络和系统软件存在越来越多的缺陷和漏洞，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件。网络入侵行为的成功大多是利用了网络系统的安全漏洞，这些漏洞包括安全管理的漏洞、操作系统的漏洞、数据库系统的漏洞、应用系统的漏洞、网络管理的漏洞等。如果不及时修补补丁，其相关的漏洞就可能会被随之而来的攻击手段所利用，给整个计算机网络的安全性带来威胁。在实施网络安全策略时，很重要的一步就是查清各种漏洞并及时弥补。在上述所有漏洞中，操作系统漏洞及数据库系统漏洞多被外部黑客所利用，而来自内部的黑客则可能利用所有的漏洞。

2.4 IP地址管理和非法内联外联问题

企业内部网络由于没有严格的管理策略，IP地址使用存在一定混乱，部分员工随意设置IP地址，造成IP地址冲突，甚至导致关键设备的工作异常。一旦出现恶意盗用、冒用IP地址以谋求非法利益，后果将更为严重。

另外企业办公楼层规模化的网络接口方便了员工接入网络，同时也方便了外来计算机接入网络，接入内网的计算机应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其它活动, 或使用未经确认许可的计算机接入内网，管理人员对此类情况难以判定并加以监视和控制，造成内网安全的极大隐患。

随着企业信息化工作的开展和不断深化，越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据，也包括财务凭证、报表以及人事档案资料、公司内部公文，还包括合作伙伴的结算信息。这些信息有些是供电企业的行业机密和商业机密，有些用于企业的规范管理，有些用于辅助决策，它们对企业的生存和发展起到至关重要的作用。因此，管理信息系统的安全保密性成为系统开发中必须着重考虑的问题。这些机密数据和文件的外泄，造成的影响和危害非常严重，由于部分特定行业的特殊性，其造成的危害往往还涉及到国家的利益，因此严禁网络和专有网络与Internet互联。

2.5缺乏有效监控措施

目前一般企业内部网络与因特网之间采用物理隔离的安全措施，在一定程度上保证了内部网络的安全性，但是各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心, 信息管理中心如果对所管辖网络的用户和资源状况难以掌握, 对整个网络的管理工作也就无从谈起, 在发生违规事件时也很难及时将问题定位到具体的用户。网络安全存在着“木桶”效应，整个网络安全的薄弱环节往往出现在终端用户，单个用户计算机的安全性不足，时刻威胁着整个计算机网络的安全。常见的防火墙、入侵检测等系统主要针对的是网络运行安全，对于终端用户的监控始终是网络安全管理中的薄弱环节，对网络内部的安全威胁缺乏防护、监控和审计机制。

3 企业内网安全管理策略

企业内网安全管理策略能够极好地解决网络内部网络的安全管理问题，通过对终端节点进行严防死守，对网络层面进行系统联动，对内网平台进行整合管理，从而为企业提供一个自防御的内网安全管理平台，为网络管理员展现一个安全的、易使用的环境，帮助企业解决大量的内网安全隐患问题。

3.1 资产管理

资产管理模块自动收集被管理的计算机全面的软硬件信息，包括：计算机名、品牌、硬盘型号及大小、CPU、内存等配置信息；此外，还能定义包含合同采购保修在内的全面资产维护信息及使用者状态，自动收集计算机安装的各种应用软件，并根据需要动态导出管理报表。

3.2 进程管理

网络聊天软件、股票软件、网络电影软件等现象在办公室蔓延令许多管理者头痛，通过进程管理模块，能实时监控与查杀企业内部任何计算机当前运行进程，并通过黑白名单功能切实保障非法进程无法运行，此外还能对特殊进程设置详细说明信息，使计算机只运行指定的应用程序，规范桌面应用程序环境。

3.3 补丁管理及软件分发

不同版本的操作系统，不同应用软件专用补丁，庞大的计算机数量，仅仅依靠着网络维护管理人员手工安装的解决办法，只能让网络维护管理人员疲于奔命。系统补丁自动管理功能为补丁的自动安装及升级提供了解决方案；此外，通过系统软件分发功能，可以定制分发任务，从而极大地提高工作效率。

3.4 网络访问管理

网络访问管理可以部署企业内部计算机的网络访问规则，只允许或禁止某些计算机访问特定的资源。例如一般员工不能访问部门领导级的计算机资源、不能访问内部重要数据服务器等；另外，可以限制员工只能使用某些网络，或者只允许或禁止某些端口，从而合理地规划内网计算机的网络资源访问。

3.5 远程维护管理

企业跨楼层、跨地域的内部网络使得维护工作越来越繁琐。远程维护模块基于Java组件的实现方式，通过Internet Explorer浏览器让网络维护管理人员对计算机桌面远程接管，并且能提供连接时限的设置和分级授权等功能让远程维护管理省时省心。

3.6 外设管理

针对企业内的一些特殊业务要求，网络维护管理人员必须全部或部分禁止外部设备，相比较于对计算机进行硬件拆卸、外设端口贴封条的传统方法，内网安全管理解决方案的外设管理功能通过USB存储设备的控制策略、USB接口的键盘鼠标等输入设备例外管理策略及各种光驱、软驱等驱动器的控制策略完美地解决了上述问题。

3.7 桌面设置管理

由于非法修改IP地址，而造成网络冲突和网络安全隐患。针对此种情况，桌面设置功能提供是否允许管理共享控制、开Guest账号及自动登录等功能，并通过IP地址与计算机绑定功能，实现IP地址和网卡MAC地址的捆绑，机器就无法再更改IP地址，有效地控制网络内计算机的网络行为。

3.8 系统预警管理

如何进行全方位的系统预警是企业信息安全非常重要的一环。预警管理功能可以定义异常事件并及时向网络维护管理人员进行警告，它提供对一些特殊TCP/UDP端口访问的告警及非法外联警告，让网络维护管理人员实时地了解每台计算机的系统状态，及时地掌握网络数据，从而有充分的准备来应付可能的突发事件。

3.9 接入安全控制

企业越来越难以在保持网络资源可用性的同时确保企业网络的接入安全，接入安全控制功能提供了对非法接入计算机、卸载关键软件等进行了阻断或重定向等管理手段，使企业业务数据不轻易泄露，对私自改变IP地址和安装非法软件等安全隐患进行更加有效的预防。

4 结束语

网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施，必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范、使用人员安全意识等各个层面统筹考虑。内网安全问题在安全体系中是至关重要的环节，解决内网安全问题必须从规划内网资源、规范内网行为、防止内网信息泄露等多方面入手，构建有效的企业内网安全管理策略，这样才能真正保证整个网络系统的安全。

参考文献：

[1]叶代亮,孙钰华.内网的安全管理[J].计算机安全,2006.1.

[2]宁洁.内网安全建设的问题分析与解决方案[J].网络安全技术与应用,2006.10.

[3]宋弘,薛雯波.构建内网安全体系的几个要点[J].计算机与网络,2005.18.

[4]马先.信息网络安全防护分析[J].青海电力,2006.3.

[5]王为.内部网络中客户端计算机安全策略[J].计算机安全,2006.10.

[6]刘晔,彭宗勤,吴德志.浅论威胁企业网络信息安全的因素及防范对策[J].集团经济研究,2007.5.

[7]王迎新,牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版),2007.3.

[8]张一新.网络信息安全风险及需求分析[J].水利水电技术,2007.5.

[9]李亚平.局域网终端用户病毒特点与防护策略[J].商场现代化,2007.21.