内网信息安全分析与探讨

摘要:对内网现存的信息安全问题进行分析,提出内网信息安全目标及其防御策略建议。

关键词:内网;信息安全;防御策略

Analysis&Discussion of Internal Network Information Security

Meng Haitao

(Guangxi Vocational&Technical Institute of Industry,Nanning530001,China)

Abstract:The internal network of existing information security analysis,information security within the network proposed objectives and

defense tactics.

Keywords:Internal network;Information security;Defense strategy

一、内网信息安全分析

(一)网络安全核心转向“内网”

内网信息安全是一个广泛的概念,包括了桌面管理、监控审计、授权管理和信息保密等内容。内网信息安全已经被证明是在高度信息化的情况下所有单位必须面对的问题,据国际权威调查,85%以上的安全事件出自内网,网络威胁绝大部分是来自内网,据美国CSI/FBI计算机安全调查的数据,虽然来自内部的攻击占总攻击次数的22%,但是破坏力却是外网攻击的10倍以上。

(二)内网存在的常见安全威胁

内网信息安全的威胁模型与外网安全模型相比,更加全面和细致,它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁可能来自外网,也可能来自内网的任何一个节点。一个完整的内网信息安全体系,需要考虑计算机终端、用户身份、计算机外设、应用系统、网络、存储和服务器以及管理制度和技术手段等各方面的因素。

1.大多数安全系统都只是针对来自于外部的入侵,但来自内网的安全威胁却很少被关注,对内网安全系统缺乏充分认识和实施方案。

2.缺乏完善的网络安全管理机制、执行机制和实施技术手段来保障网络信息安全。

3.内网信息资源授权管理体系不完善,缺乏细粒度的控制,造成内部人员越权访问资源,单位的涉密信息、重要资料或个人隐私容易被通过网络、移动存储设备有意或无意泄密。

4.盗版软件、移动存储介质的使用管理困难,造成局域网爆发病毒,木马泛滥,信息网络维护困难;并且存在受到盗版软件指控的隐患。

5.大量的、分散的桌面是内网信息安全潜在的重要威胁。几乎所有的攻击、安全威胁都是从桌面发起并完成的,桌面系统是安全事件的产生源、攻击的发起点。

二、内网信息安全目标

由此可见,内网信息安全应成为各单位信息系统规划中的重要目标内容。通常规划、设计、实施单位信息系统的安全体系的目标是:通过安全系统工程的实施,建立完整的单位信息系统的安全防护体系,在安全法律、法规、政策的支持和指导下,采用合适的安全技术和进行制度化的安全管理,从安全策略、安全域、安全系统、安全管理多层次多角度构建单位内网信息安全保障技术框架,在最小安全投资的前提下,最大限度的保证单位内网信息安全。单位内网信息安全应实现四个目标:

(一)保障单位内部信息与网络系统稳定可靠地运行

(二)确保单位内部信息与网络资源受控合法地使用

(三)确保单位内部重要信息的安全与保密。

(四)确保网络信息传输的有效监督控制。

内网安全体系是单位实现内网安全管理的基础,内网安全系统的建设主要依据单位网络信息系统统一的内部安全策略。内部安全策略是单位网络信息系统安全建设的指导原则、配置规则和检查依据,通常以一种规范、制度、流程等体现出来,用以指导快速、合理、全面的建设内网安全系统;同时所规划和实现的内部安全策略本身又是可扩展的,随着时间的推移和内部安全需求的进一步调整。而这种策略的实现除了制度外,重要的环节是采用先进的技术来辅助实现。

三、内网信息安全防御策略

(一)制度建设和人员安全意识和管理素质培养方面

1.网络安全管理制度的建设。

通常所说的网络安全建设“三分技术,七分管理”,就突出了“管理”在网络安全建设中所处的重要地位。制度及措施是保证内网安全的最主要的措施,因此,企业首先需要按相关标准制定出具有全面性、可行性、合理性的完善的内部安全管理制度,然后通过先进的技术手段,严格有效地实施并执行制度,从而达到真正意义的安全。

2.网络使用人员安全意识和管理素质的培养。

安全是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从管理、技术和应用三个层面上来看,提高网络工作人员的安全意识和管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育和业务技术培训,提高工作人员的责任心、安全意识、操作技能,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任,重视网络系统的安全管理,防止人为事故的发生。

(二)网络安全防护系统建设层面:

1.设置防火墙。

防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的主要措施之一。在内网中不同安全级别的安全域之间采用防火墙进行安全防护,不但能保证各安全域之间相对安全,同时对于网络日常运行中,各安全域中访问权限的调整提供了便利条件。

2.入侵检测。

入侵检测的出现,很大程度地弥补了防火墙防外不防内的特性。通过对网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,对网络内部的信息做到了实时的监控和预警,入侵检测系统与防火墙的联动,给内网中重要的安全域打造了一个动态的实时防护屏障。

3.划分网络安全域。

安全域是指根据一定的分类方法,将一定数量的主机划分在同一个范围,使这些主机从逻辑上是在同一个安全区域,并对该域的通信赋予一定通信限制权限,保障各个域的安全和通讯。对于一个大型的局域网络内部要根据安全管理和安全策略的实际需要,按照主机安全级别或行政范围,划分出多个安全等级不同的区域将“大量的、分散的”主机安置在不同的安全域,合理利用网络设备所提供的VLAN技术进行安全域的划分,实现对内部子网的物理隔离。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。

4.安全审计系统。

审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。利用安全审计系统的记录功能,对网络中所出现的操作和数据等做详细的记录,为事后攻击事件的分析提供了有力的原始依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。

5.数据库的保密防护。

数据库作为网络存储数据的主要形式,但由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,因此,数据库的保密也要采取相应的方法。

6.在线信息保护策略。

在线信息保护策略是指根据单位的实际情况,并结合相关的法规政策、单位制度,对单位内部暴露在网络上面的重要信息进行保护的内部安全策略,它指导单位如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程度制定不同的保护方案和访问控制规则,同时也保证了单位的内部网络资源得到最大化的合理应用。其另一重要方面是对在线信息数据传输的实时监控,从动态的角度来实时监控和记录网内各计算机上网通信的信息,达到“事先预防、事中记录与监控、事后追踪处理”的全程管理。

7.离线信息保护策略。

离线信息保护策略是指根据单位的实际情况,并结合相关的法规政策、单位制度,对单位内部可以通过可以离线方式传递的重要信息进行保护的内部安全策略,它指导单位如何定义自己的重要信息以及信息的密级,同时也可有效的将各种离线的信息传递设备(方式)进行统一的规划和控制。

8.病毒防范。

由于在网络环境下病毒都具有混合型特征,破坏性强、扩散快、注重欺骗性、利用系统漏洞传播,有着不可估量的威胁性和破坏力,因此,对内网进行实时的病毒监控和防范是网络安全建设中重要的一环。在内网选择防杀病毒产品要考虑:防杀毒方式要与互联网结合,有在线升级服务,不仅有传统的手动查杀与文件监控,对病毒经常攻击的应用程序提供重点保护,还必须对网络层、邮件客户端进行实时监控;产品厂商应具备快速反应的病毒检测网,能在病毒爆发的第一时间提供解决方案。

9.对系统及重要数据进行备份。

在内网系统中数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。同时备份亦是系统灾难恢复的前提,配合各种灾难恢复软件,可以较为全面地保护数据的安全。

四、小结

网络安全技术必须随着网络的发展,不断完善和发展,从单机孤立、分散安全向集成化、立体化安全机制发展是安全技术发展的必然趋势。以上仅是多种保障内网信息安全措施中的一部分,为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题,应该以动态的方式积极主动应用来自安全的挑战。

参考文献:

[1]乔正洪,葛武滇.计算机网络技术与应用[M].北京:清华大学出版社,2008

[2]薛质.信息安全技术基础和安全策略[M].北京:清华大学出版社,2007

作者简介:

1971-,男,海南省海口市人,广西工业职业技术学院讲师,从事自动化和网络技术教学与研究。