走出认识误区 揭开内网安全系统真面目

作者：中关村在线 王允
第1页：了解什么是内网安全
    安全其实是一个界限非常不明显的一个领域。比如，我们总是分不清楚到底杀毒软件算不算内网安全系统的一部分，我们总是不知道内网安全、终端安全及文档安全的含义。尽管几乎所有的企业都开始对网络安全表示了重视，但是在解决了外部威胁之后却发现Intranet内部的攻击和入侵却依然猖狂，原来，来自内部的威胁要远远超过外部。
   
    不过在我们具体讲到内网安全的概念的时候一定要区别这几个概念：内网安全、终端安全和文档安全。这三者并不完全等同，却互相交叉。终端安全，当然指的就是服务器、网络设备甚至个人电脑等设备的安全，文档安全指的是文档的保密性，而内网安全却比较难理解，同一般的安全技术相比，这一概念及需求在国内更为广泛，不过到现在仍然没有具体的定义，一般认为，“内网”通常是指与互联网物理隔离的涉密局域网，而内网安全则主要针对内部安全，无论是军队还是政府等的涉密局域网，还是企业的内部网络，大多数人认为内外网的分界线在于路由器或者防火墙。
   
    当企业花费大量资金和精力构建起庞大的网络架构和安全防护体系时，殊不知，威胁企业生存和发展的是来自内部网络的安全隐患，而且其危害远大于一次黑客攻击或一次病毒骚扰。据FBI和CSI曾对484家公司进行的网络安全调查结果显示：超过85%的安全威胁来自公司内部，由于内部人员泄密所导致的资产损失高达6000多万美元，它是黑客所造成损失的16倍、病毒所造成损失的12倍。 
   
内网与外网的区别
   
    外网安全主要防范外部入侵或者外部非法流量访问，技术上也以防火墙、入侵检测等防御角度出发的技术为主。
   
　　内网在安全管理上比外网要细得多，同时技术上内网安全通常采用的是加固技术，比如设置访问控制、身份管理等。当然造成内网不安全的因素很多，但归结起来不外乎两个方面：管理和技术。
第2页：怎么保护内网安全

防护内网安全的措施
   
    限制VPN的访问
   
    虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。所以它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的，很明显VPN其实是对内网安全造成威胁的。

　　因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服务器或其他可选择的网络资源的权限。

    为网站建立内网型的边界防护
   
    很多企业都会有网络上的合作伙伴，例如合作的媒体或者是合作的厂商等，虽然安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。
   
    既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问，建立合作专区还是非常必要的。
   
    关掉无用的网络服务器

    大型企业一般在采购上由于人为原因重复性选择或者是不合理选择经常会出现，因此难免有一家企业上跑着四五台邮件服务器的情况，而实际的情况是两台机器即可完全解决。
   
    这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的，关掉该文件的共享协议。
   
    创建虚拟边界防护
   
    主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间的边界防护。
   
    身份认证设定访问等级
   
    采用双因素身份认证的方式，可以达到高强度的安全保护，身份认证可以通过智能卡、一次性口令，或者USB设备的方式进行。当然，启动前的授权方式必须是可定制的。用户可以选择使用密码或令牌做为授权的方式。真正好的硬盘加密技术，并不是要通过繁琐的加密步骤来困扰用户，而是为硬盘本身提供应有的保护。用户每天都要登录系统，因此在不影响用户使用的前提下，简单的操作和高强度的保护，才能为用户提供一个安全、便利的环境。 当然这基本上是针对文档加密。
   
    数据加密提供基础安全
   
    利用数据加密解决方案可保护

笔记本电脑、工作站和服务器等设备的硬盘上所有文件(包括

操作系统文件)的安全。即使硬盘被盗，企业依然可放心数据不会被非授权人浏览或获取。虽然黑客可以潜入企业的服务器，但是，也无法对服务器上的数据和信息资产造成破坏，因为这些资产都得到了安全的加密保护。

    虽然从目前来看，技术是解决安全问题的主要方法，但是从实际的情况来看，合理的安全机制与决策，意识上对安全的重视才是解决安全问题的正途。另外，也许安全问题更多的是来自于内部，仅仅是防范外网远远不能解决内部的混乱。