內網安全

對於國內的網絡管理者而言，現有的網絡安全防護手段大多強調對來自外部的主動攻擊進行預防，檢測以及處理，而授予內部主機更多的信任。但是，統計數字表明，相當多的安全事件是由內網用户有意或無意的操作造成的。為保護內網的安全，一些單位將內網與外網物理隔離，或者將內部通過統一的網關接入外網，並在網關處架設防火牆，IPS,IDS等安全監控設備。儘管如上述所示的各類安全措施都得到了實現，眾多管理者們卻仍然頭疼於泄密事件或其它各類內網安全事件的頻繁發生，這就充分説明了內網安全維護的複雜性。

總體上看，內網主機大多以LAN的方式進行接入，這些主機間以物理互連，邏輯隔離的方式共存，但為實現主機間的資料共享及數據通信需求，又不得不讓其之間建立各種互信關係，因此某台主機的有意或無意的誤操作都會對整網主機的安全性造成威脅，這些威脅點主要分為以下幾類：

無線技術的迅猛發展讓隨時隨地接入internet這一想法成為現實，在驚歎先進的無線技術為我們的生活帶來便利的同時，也對我們的網絡管理人員提出了更多的要求。在內外網隔離的環境中，如何確保內網邊界的完整性，杜絕不明終端穿越網絡邊界接入是眾多管理者面臨的一大難題。事實上，國內定義的網絡邊界防護由於《等保》的詮釋往往被理解為網絡出口保護，而在現實情況中的邊界早已超越了"出口"這一狹隘的概念，而真正擴展到全網，其中的關鍵就是內網的邊界--網絡的入口。換言之，邊界防護更應該是所有網絡邊界的防護--並側重於內網入口的防護。

對內部主機使用者缺乏特定的身份識別機制，只需一根網線或者在局域網AP信號覆蓋的範圍之內，即可連入內部網絡獲取機密文件資料。內網猶如一座空門大宅，任何人都可以隨意進入。往往管理者都比較注重終端訪問服務器時的身份驗證，一時之間，CA、電子口令卡、radius等均大行其道，在這種環境下，被扔在牆角的終端之間非認證互訪則成為了機密泄露和病毒傳播的源頭，而終端之間的聯繫恰巧就是--網絡。

許多單位的網絡大體上可以分為兩大區域：其一是辦公或生產區域，其二是服務資源共享區域，上述兩大邏輯網絡物理上共存，並且尚未做明確的邏輯上的隔離，辦公區域的人員往往可隨意對服務器區域的資源進行訪問。另外需要的注意的是，來賓用户在默認情況下，只要其接入內部網絡並開通其網絡訪問權限，相應的內部服務資源的訪問權限也將一併開通，內網機密文件資源此時將赤裸暴露於外部。

現有企業中大多采用微軟系列的產品，而微軟系列產品恰巧像蜜糖一樣不斷吸引着蜂擁而至的黑客做為嶄露頭角的試金石，調查顯示80%以上的攻擊和病毒都是針對windows系統而產生的，這也就引發了微軟一月一次的補丁更新計劃，包括IE補丁、office辦公軟件、以及操作系統等全系列產品都被納入這個安全保護之中。但空有微軟單方發佈的補救文件，也必定只是剃頭挑子一頭熱，如果由於用户處的設置不當導致補丁無法及時更新的話，一旦被黑客所利用，將會作為進一步攻擊內網其他主機的跳板，引發更大的內網安全事故，如曾經爆發的各種蠕蟲病毒大都是利用這種攻擊方式，這也是為什麼政府機構的信息安全檢查都極其重視操作系統補丁更新的原因。

對於管理者而言，內網安全的管理與外網相比存在一定的難度，究其主要原因就在於，內網的管理面比較大，終端數較多，終端使用者的IT技能水平層次不齊，而這在領導看來往往會歸結到管理的層面，因此實施起來壓力大，牴觸情緒多，並且會形成各種各樣的違規對策，單槍匹馬的"管理"往往身體懸在半空，心也懸在半空。技術人員往往亟需技術手段的輔助來形成一個立體化的安全模型，也需要有更為開闊的思路看待內網的安全問題。

這些常見的客户端安全威脅隨時隨地都可能影響着用户網絡的正常運行。在這些問題中，操作系統漏洞管理問題越來越凸現，消除漏洞的根本辦法就是安裝軟件補丁，每一次大規模蠕蟲病毒的爆發，都提醒人們要居安思危，打好補丁，做好防範工作——補丁越來越成為安全管理的一個重要環節。黑客技術的不斷變化和發展，留給管理員的時間將會越來越少，在最短的時間內安裝補丁將會極大地保護網絡和其所承載的機密，同時也可以使更少的用户免受蠕蟲的侵襲。對於機器眾多的用户，繁雜的手工補丁安裝已經遠遠不能適應大規模網絡的管理，必須依靠新的技術手段來實現對操作系統的補丁自動修補。

國內知名安全軟件廠商北信源公司通過對國內和國外近幾年來計算機客户端管理技術和發展趨勢的研究，將政府和企業內部網絡客户端安全管理概括的從客户端狀態、行為、事件三個方面來進行防禦，研製出北信源內網安全及補丁分發管理系統軟件。

明朝萬達Chinasec（安元）數據安全管理平台基於網絡和數據的安全管理產品，通過認證、加密、監控和追蹤等手段在傳統PC終端和移動終端提供系統數據保護、文檔加密、應用保護、系統管理、桌面管理和安全通訊等整體解決方案。系統採用C/S架構和B/S架構相結合，內外網相互通的架構思路，對內網安全、互聯網安全、物聯網安全和數據安全提供全IT架構的多套解決方案。

Chinasec（安元）內網安全管理注重從信息的源頭開始抓安全，對信息的存儲、交換和使用等環節實現全面保護，通過主動加密、事前控制、事中監視、事後審計等四種手段相結合，可以達到外部入侵進不來、非法外接出不去、內外勾結拿不走、拿走東西看不懂的效果，有效防止機密敏感信息的泄露，為企事業單位構建了一個可信可控的內網環境。

北信源內網安全及補丁分發管理（VRVEDP）遵循網絡防護和端點防護並重理念，對網絡安全管理人員在網絡管理、客户端管理過程中所面臨的種種問題提供解決方案，實現內部網絡客户端的可控管理，並能夠支持多級級聯廣域網構架，達到最佳的管理效果。

北信源內網安全及補丁分發管理（VRVEDP）系統強化了對網絡計算機客户端狀態、行為以及事件的管理，它提供了防火牆、IDS、防病毒系統、專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時的可控內網管理平台，並能夠同其它安全設備進行安全集成和報警聯動。

由廣東南方信息安全產業基地研發的新一代驅動層硬加密SecDocx數據安全保護系統是一款專業的企業內網安全管理系統，它將局域網內文件的透明加密、內網的有效管理有效地結合起來，功能強大，能滿足不同類型企業用户對信息安全的需求。

1、透明加解密保護內核過濾驅動： 在Windows操作系統中，存在一個管理系統輸入輸出的內核模塊，I/O 管理器。程序在發送操作請求（如讀寫請求）到目標設備對象（如文件）之前，I/O 管理器會檢查掛載在設備對象上的驅動程序，如存在這一對象，I/O 管理器把請求先發向驅動程序。驅動程序對象以棧的形式存在，因此可在驅動程序對象中加入定製的過濾驅動程序對象。

本系統使用內核過濾驅動技術，對管理員設置的文檔類應用程序，產生的數據文檔進行強制的透明加密保護，並在用户和程序訪問這些加密文檔時，校驗其合法性，如果合法，則進行透明解密，否則不對其解密。該加解密過程不會影響現有程序和用户習慣。

2.泄密保護

系統對指定的數據文檔提供了高強度的加密保護。為防止內部人員使用不當或其他非法工具手段竊取加密文檔內容，本系統提供了泄密保護控制功能。

（1）打印控制：系統在操作系統內核驅動層，控制加密文檔的打印，當程序向打印機發送打印請求時，內核驅動攔截該打印請求，若為可信的打印操作，驅動將允許打印，並記錄該打印事件，否則禁止打印並記錄該打印事件。

（2）內存竊取控制：系統在操作系統內核驅動層，保護應用程序的內存數據，當加密文檔數據被加載到內存中，內核驅動對存儲機密數據的內存區域進行讀寫保護，其他程序不能通過內存訪問竊取加密文檔數據，解決了內存竊取重要數據的問題。

（3）其他控制：系統在操作系統內核驅動層，防止用户利用操作系統的拖拽和複製功能，泄露加密文檔數據。當用户進行拖拽和複製操作時，驅動程序將分析該操作是否為策略進程，如果同為策略進程，則允許相互拖拽和複製否則禁止。

3.雙因子認證

WINDOWS操作系統在用户登錄時，通過GINA來進行登錄認證。這種方法只有身份和口令保護在高安全要求的業務環境中，這種身份認證並不安全。本系統強制客户端使用USB-KEY進行身份認證。當用户身份認證成功後，系統自動下載用户的安全策略。

4.安全通信協議

系統中，客户端與服務器的網絡通信採用了私有的安全通信協議，採用ECC算法簇的加密簽名算法確保網絡數據無法竊聽或篡改。網絡數據，無論是密鑰、日誌和策略等數據，都採用本協議傳輸，保障網絡通信的安全性。

本協議提供了以下特性：密鑰傳輸安全、密鑰訪問權限控制（只有正確的用户才能夠正確獲取密鑰）策略完整性、日誌機密性等。

SecGateway文檔安全網關，專用於企業數據中心與辦公網絡有效隔離的嵌入式專用設備。採用鏈路加密的方式，實現客户端的准入，從文件在企業的使用流程入手，將數據泄露防護與企業現有 OA 系統、文件服務系統、ERP 系統、CRM 系統等企業應用系統完美結合，對通過網關的文檔數據進行透明加解密工作，有效解決文檔在脱離企業應用系統環境後的安全問題。為企業部署的所有應用系統提供有效的安全保障。

1.完成安全網關和企業現有應用系統無縫集成，自動完成對經過網關的數據進行強制加解密——上傳解密，下載加密；

2.加密客户端通過 SecGateway，正常訪問應用系統服務器；

3.非涉密客户端計算機，在通過安全網關時，會被安全網關篩選和拒絕，無法通過 SecGateway 訪問 OA/PDM 服務器。

生產業務網：營業服務器，業務服務器，中間業務服務器彙集到中心交換機。中心交換機多采用雙機備份。營業服務器和業務服務器通過中心交換機與各地市行網絡中心以及分支網絡中心互聯。中間業務服務器從中心交換機與移動、聯通、金融等相連。另一方面，營業服務器和業務服務器從中心交換機通過前置機為各營業網點通過網絡辦理正常業務。還有就是通過 INTERNET 公網為公網用户提供網上銀行業務。主要應用諸如：儲蓄、信用卡、IC卡、國際業務、電子匯兑、電子郵件、電子公文、網上銀行、網上交易系統、新的綜合對公業務、國際業務信貸系統等生產業務。

辦公業務局域網：主要用於金融總部及下面各級網絡的辦公自動化系統，為了確保金融網絡的安全，辦公業務局域網和金融的業務系統隔離，相互獨立。金融辦公局域網整網結構設計一般為接入、匯聚、核心三層網絡結構。辦公業務局域網一般與一台中心交換機相連，由若干個 VLAN 組成，是用於正常辦公及處理內部業務的系統，它有領導用户、財務部、一般用户等各級別的客户端不同的安全需求。

u 內部合規管理難以落地：金融機構對內部的合規要求、安全操作等都缺乏實質有效的信息化管理手段，比如員工的肆意修改IP地址行為，造成的違規事件無法溯源，無法對員工的行為做有效管理；

u 外部終端缺乏准入控制：終端未經安全認證和授權即可隨意接入到內網，導致組織內部重要信息泄露或毀滅，終端接入後對內網的非授權訪問難以管理，造成不可彌補的重大損失；

u 移動存儲介質疏於管理：移動設備，包括筆記本電腦、便攜式PDA等和新增設備未經過安全檢查和處理違規接入，非法拷貝內網數據，甚至帶來病毒傳播、黑客入侵等不安全因素；

u 工具濫用危及網絡資源：員工在工作時間內聊天、遊戲、賭博、電影下載、登陸色情反動網站等行為大量存在，由於工具濫用行為，還包括客户端發送的違規欺騙包，使內部流量負載增加，影響了工作效率，影響網絡正常使用；

u 脆弱風險阻於行為審計：終端的脆弱點和違規溯源，需要對客户端的文件操作審計與控制、打印、網站訪問、異常路由、終端Windows登錄、在線違規撥號上網、違規離線上網等審計；

u 終端安全水平參差不齊：客户端的漏洞密佈、口令簡陋、缺少必要的關鍵補丁，缺乏必要的安全知識，同時無法及時掌握進程運行情況，木馬程序可能就混在其中，無從獲取管理員的幫助支持；

針對內網安全管理，遠望認為，首先要監測發現內網中存在的各種安全事件和風險，風險只有做到可知才能可控，要利用各種監測方式和手段，對內網中常見存在的各類安全風險如邊界安全、網站安全、敏感信息安全、移動存儲介質安全、基礎安全、運行安全、違規行為等予以第一時間發現，並結合相應的防護手段，予以及時處置，將風險帶來的危害降到最低。

其次，內網安全管理一定要結合本單位的實際情況，調動各方積極性，引起領導重視，明確三方責任，要和管理制度和規範有機的結合起來，建立起日常化、常態化的管理機制和平台。內網安全管理絕不僅僅是技術手段的堆積，更不只是安全管理員的責任，內網安全管理是一個系統工程，要通過人、技術、管理等多方面的手段多管齊下。

遠望信息與網絡安全管理平台，集成了各類信息安全監管、分析技術，實現對網絡邊界安全、保密安全、網站安全、主機基礎安全，以及各類威脅信息安全的違規行為、資源佔用行為的全面，有效地監測、處置和管理。同時結合工作流技術，實現了“監測、警示、處置、反饋、考核”五位一體的信息安全管理工作的信息化、網絡化、日常化、常態化和長效化。

1、邊界安全（級聯【遠望內網邊界檢查管理系統】）

對違規外聯行為以及網絡邊界點的實時發現和處置

2、保密安全（級聯【遠望內網計算機敏感信息監測系統】）

對計算機上存儲、處理敏感信息文件的實時發現和處置

3、網站安全：（級聯【遠望內網網站監管系統】）

對內網網站的全面發現和自動定位；網站的註冊管理；網站安全漏洞的實時發現和處置。

4、移動存儲介質：（級聯【遠望內網移動存儲介質註冊管理系統】）

對內網移動存儲介質、外網移動存儲介質以及交互式移動存儲介質的註冊和管理；對移動存儲介質上文件的讀寫行為進行安全審計。

5、主機基礎安全：

ü 主機異常賬户（弱口令賬户、過期賬户、無用賬户）的實時發現和處置；

ü 未打全系統補丁的實時發現和處置；

ü 未安裝殺毒軟件的實時發現和處置；

ü CPU和內存等主機資源使用情況的實時發現和處置；

ü 主機風險漏洞的實時發現和處置；

ü 主機硬件變更的實時發現和處置；

6、資源佔用行為：

對使用P2P下載工具、流媒體工具等佔用網絡資源行為的實時發現和處置；

7、安全隱患

對網絡上存在的病毒、木馬以及黑客攻擊等安全隱患的實時發現和處置；

8、違規行為：

對使用聊天工具，運行網絡遊戲等違規行為的實時發現和處置；

9、偷盜行為和筆記本丟失：

對於偷盜行為，和筆記本丟失等違規行為的預防；

內網是網絡應用中的一個主要組成部分，其安全性也受到越來越多的重視。據不完全統計，國外在建設內網時，投資額的15%是用於加強內網的網絡安全。在我國IT市場中，安全廠商保持着旺盛的增長勢頭。運營商在內網安全方面的投資比例不如國外多，但依然保持着持續的增長態勢。要提高內網的安全，可以使用的方法很多，本文將就此做一些探討。

由於內網的信息傳輸採用廣播技術，數據包在廣播域中很容易受到監聽和截獲，因此需要使用安全交換機，利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源，以加強內網的安全性。

從終端用户的程序到服務器應用服務、以及網絡安全的很多技術，都是運行在操作系統上的，因此，保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外，還需要建立一套對系統的監控系統，並建立和實施有效的用户口令和訪問控制等制度。

在內網系統中數據對用户的重要性越來越大，實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊，用户的一次錯誤操作，系統的一次意外斷電以及其他一些更有針對性的災難可能對用户造成的損失比直接的病毒和黑客攻擊還要大。

為了維護企業內網的安全，必須對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。

對數據的保護來説，選擇功能完善、使用靈活的備份軟件是必不可少的；現今應用中的備份軟件是比較多的，配合各種災難恢復軟件，可以較為全面地保護數據的安全。

使用代理網關的好處在於，網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。

在代理服務器兩端採用不同協議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。

防火牆的選擇應該適當，對於微小型的企業網絡，可從Norton Internet Security 、 PCcillin 、天網個人防火牆等產品中選擇適合於微小型企業的個人防火牆。

而對於具有內部網絡的企業來説，則可選擇在路由器上進行相關的設置或者購買更為強大的防火牆產品。對於幾乎所有的路由器產品而言，都可以通過內置的防火牆防範部分的攻擊，而硬件防火牆的應用，可以使安全性得到進一步加強。

為了保障網絡的安全，也可以利用網絡操作系統所提供的保密措施。以Windows為例，進行用户名登錄註冊，設置登錄密碼，設置目錄和文件訪問權限和密碼，以控制用户只能操作什麼樣的目錄和文件，或設置用户級訪問控制，以及通過主機訪問Internet等。

同時，可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由於文件組織形式的數據缺乏共享性，數據庫現已成為網絡存儲數據的主要形式。由於操作系統對數據庫沒有特殊的保密措施，而數據庫的數據以可讀的形式存儲其中，所以數據庫的保密也要採取相應的方法。電子郵件是企業傳遞信息的主要途徑，電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網絡部件的泄密渠道，如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等，也可以採取相應的保密措施。

從攻擊角度入手

計算機網絡系統的安全威脅有很大一部分來自拒絕服務(DoS)攻擊和計算機病毒攻擊。為了保護網絡安全，也可以從這幾個方面進行。

對付“拒絕服務”攻擊有效的方法，是隻允許跟整個Web站台有關的網絡流量進入，就可以預防此類的黑客攻擊，尤其對於ICMP封包，包括ping指令等，應當進行阻絕處理。

通過安裝非法入侵偵測系統，可以提升防火牆的性能，達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作，當竊取者入侵時可以立刻有效終止服務，以便有效地預防企業機密信息被竊取。同時應限制非法用户對網絡的訪問，規定具有IP地址的工作站對本地網絡設備的訪問權限，以防止從外界對網絡設備配置的非法修改。

從病毒發展趨勢來看，病毒已經由單一傳播、單種行為，變成依賴互聯網傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點：與Internet和Intranet更加緊密地結合，利用一切可以利用的方式(如郵件、局域網、遠程管理、即時通信工具等)進行傳播；所有的病毒都具有混合型特徵，集文件傳染、蠕蟲、木馬、黑客程序的特點於一身，破壞性大大增強；因為其擴散極快，不再追求隱藏性，而更加註重欺騙性；利用系統漏洞將成為病毒有力的傳播方式。

因此，在內網考慮防病毒時選擇產品需要重點考慮以下幾點：防殺毒方式需要全面地與互聯網結合，不僅有傳統的手動查殺與文件監控，還必須對網絡層、郵件客户端進行實時監控，防止病毒入侵；產品應有完善的在線升級服務，使用户隨時擁有最新的防病毒能力；對病毒經常攻擊的應用程序提供重點保護；產品廠商應具備快速反應的病毒檢測網，在病毒爆發的第一時間即能提供解決方案；廠商能提供完整、即時的反病毒諮詢，提高用户的反病毒意識與警覺性，儘快地讓用户瞭解到新病毒的特點和解決方案。

在現實中，入侵者攻擊Intranet目標的時候，90%會把破譯普通用户的口令作為第一步。以Unix系統或Linux 系統為例，先用“ finger遠端主機名”找出主機上的用户賬號，然後用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典裏的單詞都完成。

如果這種方法不能奏效，入侵者就會仔細地尋找目標的薄弱環節和漏洞，伺機奪取目標中存放口令的文件 shadow或者passwd 。然後用專用的破解DES加密算法的程序來解析口令。

在內網中系統管理員必須要注意所有密碼的管理，如口令的位數儘可能的要長；不要選取顯而易見的信息做口令；不要在不同系統上使用同一口令；輸入口令時應在無人的情況下進行；口令中最好要有大小寫字母、字符、數字；定期改變自己的口令；定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。

以上九個方面僅是多種保障內網安全措施中的一部分，為了更好地解決內網的安全問題，需要有更為開闊的思路看待內網的安全問題。在安全的方式上，為了應付比以往更嚴峻的“安全”挑戰，安全不應再僅僅停留於“堵”、“殺”或者“防”，應該以動態的方式積極主動應用來自安全的挑戰，因而健全的內網安全管理制度及措施是保障內網安全必不可少的措施。