近年來,在所有的網絡安全事件中,有超過70%的安全事件是發生在內網上的,并且隨著網絡的龐大化和復雜化,這一比例仍有增長的趨勢����。
因此內網安全一直是網絡安全建設關注的重點,但是由于內網以純二層交換環境為主、節點數量多、分布復雜��、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。
關鍵詞:內網;安全;網絡;管理;措施
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including onpne, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user apppcation level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內網安全的定義以及與外網安全的區別
既然要探討內網安全,首先要理解內網安全的含義,網絡安全主要包含兩部分,一個就是傳統網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全;另一個就是內網安全,它是對應于外網而言的����。
主要是指在小范圍內的計算機互聯網絡,這個“小范圍”可以是一個家庭,一所學校,或者是一家公司�����。
內網上的每一臺電腦(或其他網絡設備)內部分配得到的局域網IP地址在不同的局域網內是可以重復的,不會相互影響。
外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口��。
所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全����。
也就是說,網絡邊界安全技術防范來自Internet上的攻擊,主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。
網絡邊界防范減小了黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率�。
傳統的防火墻�����、人侵檢測系統和VPN都是基于這種思路設計和考慮的。
對眾多大型企業而言,隨著業務的發展,用戶希望ERP、OA、Intranet���、互聯網在一張網上實現,能夠同時使用有線�����、無線網絡,在一個網絡上實現Web�����、即時通信、協作、語音���、視頻的融合。
外網在某種程度上已經成為了內網的一部分。
而隨著移動辦公的興起,安全的邊界越發模糊,筆記本電腦���、手機都成為了企業OA網絡中的一部分,而這也增加了內網安全的管理難度。
內網安全的威脅模型與外網安全模型相比,更加全面和細致����。
它假設內網網絡中的任何一個終端��、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何―個節點上�。
所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節點和參與者進行細致的管理,實現―個可管理�、可控制和可信任的內網。
由此可見,相比于外網安全,內網安全具有以下特點:
1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系。
2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器�、網絡和使用者都進行更加具有針對性的管理�����。
3)對信息進行生命周期的完善管理。
2 內網安全的威脅
在所有的安全事件中,有超過70%的安全事件是發生在內網上的,并且隨著網絡的龐大化和復雜化,這一比例仍有增長的趨勢。
因此內網安全一直是網絡安全建設關注的重點,但是由于內網以純二層交換環境為主����、節點數量多��、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。
在實際應用當中,內網安全的威脅主要來自以下幾個方面:
1)移動設備(筆記本電腦等)和新增設備未經過安全過濾和檢查違規接入內部網絡。
未經允許擅自接入電腦設備會給網絡帶來病毒傳播�、黑客入侵等不安全因素;
2)內部網絡用戶通過調制解調器��、雙網卡、無線網卡等網絡設備進行在線違規撥號上網、違規離線上網等行為;
3)違反規定將專網專用的計算機帶出網絡進入到其它網絡;
4)網絡出現病毒��、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時���、快速�、精確定位�、遠程阻斷隔離操作。
安全事件發生后,網管一般通過交換機����、路由器或防火墻進行封堵,但設置復雜,操作風險大,而且絕大多數普通交換機并沒有被設置成SNMP可管理模式,因此不能夠方便地進行隔離操作;
5)大規模病毒(安全)事件發生后,網管無法確定病毒黑客事件源頭���、無法找到網絡中的薄弱環節,無法做到事后分析����、加強安全預警;
6)靜態IP地址的網絡由于用戶原因造成使用管理混亂�����、網管人員無法知道IP地址的使用���、IP同MAC地址的綁定情況以及網絡中IP分配情況;
7)針對網絡內部安全隱患,自動檢測網絡中主機的安全防范等級,進行補丁大面積分發,徹底解決網絡中的不安全因素;
8)大型網絡系統中區域結構復雜,不能明確劃分管理責任范圍;
9)網絡中計算機設備硬件設備繁多,不能做到精確統計���。
以上問題其實可以歸到兩個基本需求:安全與管理�����。
安全方面,需要保證在終端方面可以提供正常工作的基礎IT設施即計算機是可用的;而管理方面,則保證企業或都說組織的計算機是用來工作的,規范計算機在企業網絡里邊的行為。
3 加強內網安全管理的建議和措施
可管理的安全才是真正的安全�����。
雖然管理對于信息安全的重要性已經逐漸達成共識,但如何將安全管理規章和技術手段有效的結合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰����。
安全關注的趨勢由外而內,由邊界到主機,由分散到集中,由系統到應用,由通用到專用,由分離到整合,由技術到管理���。
從實際工作出發和借鑒兄弟單位成功經驗,我總結了加強內網安全的措施如下:
1)按照企業的管理框架,根據不同的業務部門或子公司劃成了不同的虛擬網(Vlan)�����。
通過劃分虛擬網,可以把廣播限制在各個虛擬網的范圍內,從而減少整個網絡范圍內廣播包的傳輸,提高了網絡的傳輸效率,同時,由于各虛擬網之間不能直接進行通訊,而必須通過路由器轉,為高級的安全控制提供了可能,增強了網絡的安全性,也給管理帶來了極大的方便性�。
特別是核心業務和重要部門根據安全的需要劃成了不同的虛擬網,采用完全隔離或者相對隔離的措施,保證了核心業務和重要部門的安全性����。
2)對企業網絡的物理線路進行規范化管理。
按照區域�����、樓層�、配線間、房間、具體位置規范化管理編號的原則,把所有的網絡線路編號,套上清晰的線標,配置可網管的交換機���。
同時對交換機����、配線架��、電腦等設備的物理配置����、存放的具體位置以及電腦的軟件系統和系統配置等基礎數據進行詳細的登記,同時還對IP地址進行統一管理,把電腦的IP地址��、MAC地址�、使用人和各種基礎數據進行關聯,當網絡或者電腦發生故障時,網管們能夠通過基礎數據管理系統實現快速定位�����、快速排查故障,極大地提高了網管們解決故障的工作效率。
3)部署桌面安全管理系統���。
企業部署一套桌面安全策略管理系統,是一個面向IT領域建設的專業安全解決方案。
它采用集成化網絡安全防衛體系,通過多種技術手段的融合幫助整個企業有效達成在物理訪問�����、鏈路傳輸����、操作系統、業務應用、數據保護���、網間訪問和人員管理等方面的安全策略制定、自動分發和自動實現,減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。
終端安全管理是基礎,它解決了終端計算機經常為病毒���、木馬困擾的問題,幫助管理員智能安裝系統與應用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權管理與控制”。
4)部署防病毒系統。
病毒�����、木馬�、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業防病毒系統是最有效的解決辦法。
防毒系統內嵌病毒掃描和清除、個人防火墻�����、安全風險檢測與刪除,可以檢測����、隔離、刪除和消除或修復間諜軟件���、廣告軟件���、撥號程序���、黑客工具���、玩笑程序等多種安全風險造成的負面影響�����。
通過防毒系統中心控制臺可以集中管理客戶端,統一部署防護策略����、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況���、病毒分布情況�����、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒���。
另外,還可以通過病毒隔離區控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離��。
5)部署網絡管理系統���。
隨著企業網絡規模的擴大,交換機�����、服務器的數量也逐漸增多,如何管理監控重點設備�、服務器的運行情況,不是一件容易的事。
為此部署一套網絡管理系統,可對網絡�、系統以及應用進行全面的監視���。
它可以提供完整的故障管理和性能管理功能,能自動發現網絡主動監視網絡����、系統和服務器并將關鍵參數保存在數據庫中�����。
通過綜合控制臺可實現對路由器����、交換機���、服務器��、URL��、UPS無線設備以及打印機等性能的監視,不僅提供了網絡設備的多種視圖,而且將收集的信息以豐富的圖、報表形式呈現給操作者����。
6)部署安全管理系統(SOC)���。
為了讓管理人員能夠實時了解網絡中動態和事件,滿足不斷變化的網絡安全管理(網絡設備����、服務器�、應用程序、應用服務�����、安全設備���、操作系統���、數據庫�、機房環境等發生的故障��、超閥值行為���、安全事件統稱為網絡安全問題)的要求,需要有一套專門的安全管理系統來完成���。
網絡管理系統是從事件驅動的目的出發強調系統運維����、系統故障處理和加強網絡的性能三個方面的內容��。
與網絡管理系統不同,安全管理系統最重要的是對威脅的管理,它的側重點關注在三個層次上:資產層面,關注安全威脅對業務及資產的影響;威脅層面了解哪些威脅會影響業務及資產;防護措施層面怎樣防護威脅,保護業務及資產�����。
一句話概括,就是安全管理是從保護業務及資產的層面進行的風險管理。
7)部署垃圾郵件防火墻�。
隨著電子郵件的普及,電子郵件的作用也越發重要,但是垃圾郵件卻是件令人煩惱的事,嚴重干擾了郵件收發的正常工作�����。
為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。
垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對重要資料進行備份��。
在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大�。
為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障��、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失����。
對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。
目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。
9)密鑰管理�。
在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步�����。
以Unix系統或Linux 系統為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。
這個破譯過程是由程序來完成的。
大概十幾個小時就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd�。
然后用專用的破解DES加密算法的程序來解析口令�����。
在內網中系統管理員必須要注意所有密碼的管理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符�、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全����。
沒有規律的口令具有較好的安全性�。
4 結束語
當然為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。
七分管理,三分技術���。
管理是企業網絡安全的核心,技術是安全管理的保證。
只有制定完整的規章制度、行為準則并和安全技術手段合理結合,網絡系統的安全才會有最大的保障。
