【51CTO.com獨家特稿】華X是一家業(yè)內知名的通訊公司，他們從事通信網(wǎng)絡技術與產(chǎn)品的研究、開發(fā)、生產(chǎn)與銷售，專門為電信運營商提供光網(wǎng)絡、固定網(wǎng)、移動網(wǎng)和增值業(yè)務領域的網(wǎng)絡解決方案，是中國電信市場的主要供應商之一，并已成功進入全球電信市場。

中X是全球領先的綜合性通信制造業(yè)上市公司，是近年全球增長最快的通信解決方案提供商，是通信設備領域承擔國家863課題最多的企業(yè)之一，在國內外有多個研究中心。

作為同在一個城市的競爭對手，華X和中X的戰(zhàn)爭是全方位的，從市場到研發(fā)，當然還少不了間諜戰(zhàn)和情報戰(zhàn)。雙方都在對方安插了臥底。華X高層會議剛開完，會議精神還沒傳達，中X的高層領導就拿到了會議紀要。當然，華X也馬上知道中X拿到了華X的紀要。華X的高層領導經(jīng)常會看到一份競爭對手動態(tài)，里面描述了中X活動的一舉一動……

[[8090]]

臥底們在活動時，大部分都在內網(wǎng)環(huán)境，因此避免了與防火墻和IPS直接過招的麻煩。而“防外不防內”也是很多企業(yè)網(wǎng)絡中普遍存在的問題。在激烈的商業(yè)競爭中，內網(wǎng)的交鋒日益成為焦點。2008年據(jù)美國FBI統(tǒng)計，83%的信息安全事故為內部人員和內外勾結所為，而且呈上升的趨勢。另據(jù)公安部最新統(tǒng)計，70%的泄密犯罪來自于內部，電腦應用單位80%未設立相應的安全管理，58%無嚴格的調存管理制度。

我們不妨來看看在內網(wǎng)中遇到的一些主要問題：

•數(shù)據(jù)和機密信息保護困難，文件容易通過網(wǎng)絡、移動存儲泄密；

•PC和員工數(shù)量多，無高效可靠的保護軟件，很多安全規(guī)定被漠視；

•移動存儲與外設不便管理，隱藏大量病毒，造成機密信息有意或者無意泄漏；

•帶寬被任意使用，員工使用BT或電驢等下載工具造成網(wǎng)絡風暴，通過網(wǎng)絡發(fā)布機密數(shù)據(jù)；

•軟件無限制安裝，信息網(wǎng)絡維護困難；

•通過無線網(wǎng)卡等私自建立網(wǎng)絡連接繞過單位統(tǒng)一網(wǎng)絡管理問題嚴重，私自將外部筆記本接入內部計算機信息系統(tǒng)；

•各種信息資源授權管理體系不完善，無權限劃分機制，造成內部人員隨意訪問資源和機密數(shù)據(jù)。

•很多系統(tǒng)漏洞以及第三方軟件漏洞導致的bug或被黑客攻擊。

解決內網(wǎng)安全問題的一些主要方法：

1、建立起良好的內網(wǎng)安全管理制度

一般來說，一套內網(wǎng)安全管理制度從形成到正式開始執(zhí)行，要經(jīng)歷一系列階段。從認識到有需要解決的內網(wǎng)安全問題或者內網(wǎng)存在安全問題開始，形成一份需求定義文檔。這份需求文檔應由信息安全部門和行政部門的管理人員進行評估，然后表決通過。

在此之后，應根據(jù)需求進行實際內網(wǎng)安全防護體系的構建，這其中通常還可以展開很多子步驟，例如進行安全體系的具體設計等。當一個內網(wǎng)安全體系經(jīng)過評估之后將融合到現(xiàn)有的信息基礎設施當中，同樣地，如果基礎設施發(fā)生變化，相對應的也要進行評估。而在這些工作完成之后，需要對已經(jīng)成型的安全體系進行評價和驗證，以證明其有效性。

2、采用內網(wǎng)安全管理系統(tǒng)和企業(yè)專用的防病毒軟件

一個可靠的內網(wǎng)安全管理系統(tǒng)需要將安全網(wǎng)管、內網(wǎng)審計與內網(wǎng)監(jiān)控有機地結合在一起，并能采用主動的安全管理和安全控制的方式將內部網(wǎng)絡的安全隱患以技術的手段進行有效的控制。全面保護網(wǎng)絡、系統(tǒng)、應用和數(shù)據(jù)，從源頭上阻止敏感信息泄漏事件的發(fā)生。而企業(yè)版防病毒軟件則能極大的提高各客戶端的工作效率，既能做到整體防毒、統(tǒng)一查殺、統(tǒng)一更新補丁，又避免了多客戶端重復升級，降低了運維的人力成本。

國內安全廠商圣博潤將內網(wǎng)安全歸納為四個要素：機密性、可信性、可控性和可靠性，解決上述問題的根本也就是維護內網(wǎng)的四個安全要素不被破壞。這里可以借鑒一下。

機密性：內網(wǎng)機密信息防護，保證內網(wǎng)機密信息的安全性，防止機密信息從內網(wǎng)中任何渠道泄漏到內網(wǎng)范圍之外。

可信性：內網(wǎng)可信管理，保證內網(wǎng)用戶和設備的可信性，確保只有受信任的用戶才能使用內網(wǎng)資源，只有受信任的設備才允許在內網(wǎng)中使用。

可控性：用戶行為監(jiān)控和審計，保證內網(wǎng)用戶行為的可控性，防止內網(wǎng)用戶濫用內網(wǎng)資源導致的資源緊張和工作效率下降。

可靠性：內網(wǎng)加固和運行監(jiān)控，對內網(wǎng)的安全漏洞進行及時修補和系統(tǒng)加固，保證內網(wǎng)系統(tǒng)運行的可靠性，防止內網(wǎng)網(wǎng)絡、服務器和個人終端因為各種原因（如病毒爆發(fā)、惡意攻擊、BT下載等）導致的服務中斷。

聯(lián)系上文來講，機密性解決的問題是“數(shù)據(jù)和機密信息保護困難，文件容易通過網(wǎng)絡、移動存儲泄密”，比較典型的代表是DLP數(shù)據(jù)防泄漏。

可信性解決的問題是“通過無線網(wǎng)卡等私自建立網(wǎng)絡連接繞過單位統(tǒng)一網(wǎng)絡管理問題嚴重，私自將外部筆記本接入內部計算機信息系統(tǒng)”

可控性解決的問題是“各種信息資源授權管理體系不完善，無權限劃分機制，造成內部人員隨意訪問資源和機密數(shù)據(jù)”?！皫挶蝗我馐褂?，員工使用BT或電驢等下載工具造成網(wǎng)絡風暴，通過網(wǎng)絡發(fā)布機密數(shù)據(jù)”、“軟件無限制安裝，信息網(wǎng)絡維護困難”。

可靠性解決的問題是“移動存儲與外設不便管理，隱藏大量病毒”和“很多系統(tǒng)漏洞以及第三方軟件漏洞導致的bug或被黑客攻擊”。在這一方面，卡巴斯基和趨勢科技等安全公司已把強大的殺毒功能和智能的管理工具集成到了他們的企業(yè)版里。有興趣的朋友可以研究一下……

綜上所述，大家在為自己內網(wǎng)做安全規(guī)劃時不妨根據(jù)實際的需求仔細挑選一番，比如軟硬件、價位、品牌、規(guī)模等等。相信在安全管理制度和安全管理系統(tǒng)、企業(yè)版防毒軟件的多重制約下，一個安全高效的內網(wǎng)環(huán)境很快可以呈現(xiàn)在員工的眼前。以后當你的企業(yè)也處在華X和中X那樣“諜影重重”的環(huán)境下時，這些工作都將給你的“防泄密、抓內鬼”的行動增添一份有力保障。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. 正反觀點驗證2010年10大安全挑戰(zhàn)
2. 賽門鐵克產(chǎn)品不能識別2010年 新年病毒特征碼標記為過期
3. 圖文詳解攻擊BitLocker引導過程 
4. SSL竊聽攻擊實操 拿下vip.sohu.com
5. Red Hat Enterprise Linux4.0功能與安全
6. 安全使用RedHat Linux系統(tǒng)
7. Red Hat PXE Server DHCP包遠程拒絕服務漏洞