內(nèi)網(wǎng)安全現(xiàn)狀分析

內(nèi)網(wǎng)安全理論的提出是相對于傳統(tǒng)的網(wǎng)絡(luò)安全而言的。在傳統(tǒng)的網(wǎng)絡(luò)安全威脅模型中，假設(shè)內(nèi)網(wǎng)的所有人員和設(shè)備都是安全和可信的，而外部網(wǎng)絡(luò)則是不安全的?；谶@種假設(shè)，產(chǎn)生了防病毒軟件、防火墻、IDS等外網(wǎng)安全解決方案。這種解決策略是針對外部入侵的防范，但對于來自網(wǎng)絡(luò)內(nèi)部的安全防護(hù)則顯得無可奈何。隨著各單位信息化程度的提高以及用戶計(jì)算機(jī)使用水平的提高，安全事件的發(fā)生更多是從內(nèi)網(wǎng)開始，由此引發(fā)了對內(nèi)網(wǎng)安全的關(guān)注。內(nèi)網(wǎng)面臨的安全隱患主要表現(xiàn)在以下幾個方面：

 內(nèi)網(wǎng)移動存儲等設(shè)備缺乏監(jiān)管

USB移動存儲介質(zhì)、筆記本電腦等設(shè)備在內(nèi)外網(wǎng)絡(luò)的交替使用，明密不分，隨意拷貝，計(jì)算機(jī)主機(jī)硬盤隨意拆卸、移動，進(jìn)出內(nèi)網(wǎng)監(jiān)控不嚴(yán)，損壞和廢舊存儲設(shè)備和帶有存儲功能的外設(shè)處理不當(dāng)，都會造成涉密信息的泄露丟失。同時導(dǎo)致病毒傳入。

涉密計(jì)算機(jī)非法外聯(lián)

內(nèi)部計(jì)算機(jī)通過電話線、ISDN、ADSL、無線網(wǎng)卡、GPRS、CDMA、雙網(wǎng)卡、代理服務(wù)器等多種方式進(jìn)行內(nèi)外網(wǎng)互聯(lián)，導(dǎo)致內(nèi)部重要機(jī)密信息泄露且難以監(jiān)控。

內(nèi)部攻擊和非法入侵

TCP/IP協(xié)議體系自身缺陷、口令身份認(rèn)證的脆弱性，使內(nèi)部人員利用系統(tǒng)漏洞，非法入侵公共的或他人的計(jì)算機(jī)信息系統(tǒng)，竊取管理員用戶名和密碼，進(jìn)入單位重要的業(yè)務(wù)和應(yīng)用服務(wù)器獲取內(nèi)部重要數(shù)據(jù)。

管理模式滯后，策略無法有效落實(shí)

內(nèi)部員工由于安全意識、安全知識、安全技能的匱乏，給信息安全帶來難以預(yù)知的潛在威脅，管理者通過禁用USB口，定期檢查等相對松散的管理方式，缺乏實(shí)時、靈活的手段保障，無法使管理措施得到有效落實(shí)。

內(nèi)網(wǎng)的安全問題絕大多數(shù)不是來源于內(nèi)部人員的惡意行為。更大程度上，漏洞出現(xiàn)在一些無意識、不規(guī)范的操作和網(wǎng)絡(luò)管理上的疏忽，給信息泄露創(chuàng)造了可乘之機(jī)。如果放松對內(nèi)網(wǎng)系統(tǒng)的監(jiān)管，內(nèi)部人員可能隨時都會有意或無意地造成安全事故。因此，和外網(wǎng)安全相比，內(nèi)網(wǎng)安全模型更加全面和細(xì)致，需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理，實(shí)現(xiàn)一個可管理、可控制和可信任的內(nèi)網(wǎng)。

內(nèi)網(wǎng)安全管理解決方案探討

網(wǎng)絡(luò)信息安全既不是純粹的技術(shù)，也不是簡單的安全產(chǎn)品的堆砌，而是管理，技術(shù)和策略的有機(jī)結(jié)合。信息系統(tǒng)安全體系框架如圖1所示，它由技術(shù)體系和管理體系組成。

圖1：信息安全體系結(jié)構(gòu)框架

技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)，其中技術(shù)機(jī)制從不同的層次來考慮內(nèi)網(wǎng)安全的實(shí)現(xiàn)，技術(shù)管理則是從技術(shù)的角度，通過策略和措施的實(shí)現(xiàn)來達(dá)到管理的目標(biāo)；管理體系是以安全策略為核心實(shí)施管理的過程，由法律、制度和培訓(xùn)三部分組成。

信息安全層次體系的建立

從物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全四個方面進(jìn)行考慮，針對各個層次安全內(nèi)容采取相應(yīng)的應(yīng)對措施。

物理層安全

主要包括通信線路安全、物理設(shè)備安全和機(jī)房安全等，其主要目標(biāo)就是要做到防盜、防火、防靜電、防電磁泄露等。

網(wǎng)絡(luò)層安全

主要體現(xiàn)在網(wǎng)絡(luò)設(shè)備及信息的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性等。

系統(tǒng)層安全

主要表現(xiàn)為操作系統(tǒng)本身的不安全和對操作系統(tǒng)的安全配置問題。

應(yīng)用層安全

該層次的安全問題主要考慮應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)的安全性，同時還包括病毒對系統(tǒng)的威脅。

安全管理策略實(shí)現(xiàn)

安全管理策略定制是一個相對細(xì)致和復(fù)雜的過程。策略的定制需要能夠?qū)φ麄€網(wǎng)絡(luò)進(jìn)行多層面的配置和調(diào)控。如果各種技術(shù)方法彼此之間功能分散，不能相互支撐，協(xié)同工作，將會導(dǎo)致難以維護(hù)且更新困難。因此最好能夠借助集成了多種管理功能的內(nèi)網(wǎng)安全管理軟件，實(shí)現(xiàn)對各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動，從而有效簡化網(wǎng)絡(luò)安全管理工作。安全管理主要涉及到以下幾個方面。

訪問控制

訪問控制是進(jìn)行授權(quán)、管理和監(jiān)控的基礎(chǔ)，通過口令身份認(rèn)證，PKI加密算法等多種方式對不同的用戶進(jìn)行授權(quán)管理，區(qū)分各個用戶以及不同級別的用戶組，針對不同級別的安全對象，提供多層次的安全技術(shù)、方法與手段，分層次的化解安全風(fēng)險，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。

信息保密

重點(diǎn)實(shí)現(xiàn)對移動存儲設(shè)備的注冊、認(rèn)證、策略控制，實(shí)現(xiàn)客戶端移動存儲設(shè)備的接入認(rèn)證、讀寫控制、加密管理、行為審計(jì)等。

資源管理

包括對計(jì)算機(jī)系統(tǒng)、各種外設(shè)、應(yīng)用程序、端口，網(wǎng)絡(luò)連接、文件等資源的控制，采用授權(quán)使用、違規(guī)記錄等多種手段結(jié)合，對使用資源的行為進(jìn)行管理，以確保資源使用中可控性。

監(jiān)控審計(jì)

主要對計(jì)算機(jī)終端訪問網(wǎng)絡(luò)、應(yīng)用使用、系統(tǒng)配置、文件操作以及外設(shè)使用等情況提供集中監(jiān)控和審計(jì)功能，并可以生成各種審計(jì)日志，在發(fā)生內(nèi)網(wǎng)安全事件后實(shí)現(xiàn)有效的取證。

管理體系的建立

嚴(yán)密、完整的管理體制，不但可以最大限度的在確保信息安全的前提下實(shí)現(xiàn)信息資源共享，而且可以彌補(bǔ)技術(shù)性安全隱患的部分弱點(diǎn)。管理體系的建立和實(shí)施能為網(wǎng)絡(luò)的管理和長期監(jiān)控提供有理可依的指導(dǎo)性理論。管理體系的組成可分為法律、制度和培訓(xùn)三部分。

法律

與安全有關(guān)的法律法規(guī)足信息系統(tǒng)安全的最高行為準(zhǔn)則，是制定管理制度參考的標(biāo)準(zhǔn)。

制度

依照安全需求制定一系列內(nèi)部規(guī)章制度，從責(zé)任、人員，部位、行為等多方面對需要保護(hù)什么、為什么需要保護(hù)以及怎樣保護(hù)涉密信息系統(tǒng)的安全進(jìn)行具體規(guī)定，并通過全面推行，使之貫穿到日常具體工作當(dāng)中。

培訓(xùn)

對所有與內(nèi)網(wǎng)安全有關(guān)的人員進(jìn)行安全培訓(xùn)。培訓(xùn)的內(nèi)容包括法律法規(guī)、內(nèi)部制度、安全意識和與崗位相關(guān)的重點(diǎn)安全防范技能等。  

總結(jié)

內(nèi)網(wǎng)安全管理體系中，內(nèi)網(wǎng)信息的安全保密和共享利用之間一直都存在著一種難以調(diào)和的矛盾，內(nèi)網(wǎng)信息安全產(chǎn)品要提供一種方便、有效、先進(jìn)的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案，而管理員在實(shí)施過程中往往需要在信息安全、業(yè)務(wù)效率、結(jié)構(gòu)功能之間尋找一個平衡點(diǎn)，力求從網(wǎng)絡(luò)業(yè)務(wù)、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)服務(wù)等各層面提出科學(xué)、可行的解決方案。而管理策略與技術(shù)的有機(jī)結(jié)合，則能從整個網(wǎng)絡(luò)安全建設(shè)、運(yùn)行和維護(hù)的全過程入手，真正保障內(nèi)網(wǎng)的安全穩(wěn)定運(yùn)行。