內(nèi)網(wǎng)安全問題大于外部問題，已經(jīng)成為業(yè)界共識(shí)。頻頻暴露出來的違規(guī)安裝軟件，私自撥號(hào)上網(wǎng)，私自帶入其他設(shè)備接入等情況使得內(nèi)網(wǎng)安全隱患重重，進(jìn)行內(nèi)網(wǎng)系統(tǒng)安全優(yōu)化建設(shè)已經(jīng)刻不容緩。

企業(yè)安全最容易從內(nèi)部攻破

一般而言，多數(shù)企業(yè)對(duì)于安全部署都普遍信奉“二八法則”，即內(nèi)網(wǎng)與外網(wǎng)安全投入比例約為2：8，將信息安全防御的重點(diǎn)放在防御外網(wǎng)威脅上。實(shí)際上，企業(yè)用戶的誤操作或U盤病毒導(dǎo)致的內(nèi)網(wǎng)故障，對(duì)業(yè)務(wù)系統(tǒng)帶來的危害越來越大。

長(zhǎng)期以來，客戶通常認(rèn)為信息安全主要源于外部因素，于是都希望在網(wǎng)絡(luò)接入處部署安全設(shè)備，把病毒和攻擊擋在門外，就能安全無(wú)憂。但是H3C安全產(chǎn)品相關(guān)負(fù)責(zé)人表示，網(wǎng)絡(luò)安全是無(wú)內(nèi)、外之分的，有許多重大的網(wǎng)絡(luò)安全問題正是由內(nèi)部引起，例如，在員工瀏覽非法網(wǎng)站、使用即時(shí)通訊或訪問購(gòu)物網(wǎng)站時(shí)，一些間諜軟件、木馬程序等惡意軟件就會(huì)不知不覺地被下載到電腦中，而且這些惡意軟件還會(huì)在企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行傳播，不僅會(huì)產(chǎn)生安全隱患，而且還會(huì)影響到網(wǎng)絡(luò)的使用率。特別值得注意的是，企業(yè)的機(jī)密資料、客戶數(shù)據(jù)等信息可能會(huì)由于惡意軟件的存在，不知不覺被盜取。

FBI曾對(duì)企業(yè)內(nèi)部信息泄露問題進(jìn)行了針對(duì)484家公司的調(diào)查，結(jié)果顯示，在來自企業(yè)內(nèi)部的安全威脅中，85%的安全損失是由企業(yè)內(nèi)部的原因造成的。這可能有些聳人聽聞，但是事實(shí)正是如此。

網(wǎng)域萬(wàn)通相關(guān)人士表示，局域網(wǎng)中經(jīng)常出現(xiàn)非法內(nèi)聯(lián)和非法外聯(lián)，帶寬惡性占用、終端不及時(shí)打操作系統(tǒng)補(bǔ)丁和升級(jí)殺毒軟件、ARP病毒攻擊泛濫、移動(dòng)硬盤等外設(shè)隨意使用、上網(wǎng)行為無(wú)管理等這些情況都會(huì)給企業(yè)帶來巨大的安全隱患。

從“被信任”用戶著手

從企業(yè)網(wǎng)絡(luò)安全事故的發(fā)生根源來看，內(nèi)網(wǎng)安全先于網(wǎng)絡(luò)邊界安全，大多數(shù)網(wǎng)絡(luò)安全事件都是先由內(nèi)網(wǎng)爆發(fā)引起，后影響到網(wǎng)關(guān)。如今，網(wǎng)絡(luò)管理員的工作量大多都集中在企業(yè)的終端維護(hù)上，若不對(duì)終端的系統(tǒng)安全、操作行為、網(wǎng)絡(luò)行為進(jìn)行規(guī)范與審計(jì)，企業(yè)網(wǎng)絡(luò)中的安全隱患將完全不可預(yù)知和控制。網(wǎng)域萬(wàn)通認(rèn)為，若想從根本上減少安全隱患，降低各種不可控安全意外的發(fā)生頻率，以及對(duì)員工進(jìn)行安全規(guī)范和操作實(shí)現(xiàn)監(jiān)管，做到明確的人員責(zé)任定位，我們就需要在邊界防護(hù)之前做好準(zhǔn)備。

目前客戶對(duì)于內(nèi)網(wǎng)安全的需求表現(xiàn)在多個(gè)方面，包括：終端補(bǔ)丁升級(jí)與病毒庫(kù)更新不及時(shí)，蠕蟲病毒利用漏洞在內(nèi)部大肆傳播；非法外聯(lián)難以控制，內(nèi)部重要機(jī)密信息泄露頻繁發(fā)生；攻擊方法日新月異，內(nèi)部安全難以防范；軟硬件設(shè)備濫用，資產(chǎn)安全無(wú)法保障；網(wǎng)絡(luò)應(yīng)用缺乏監(jiān)控和審計(jì)；管理制度缺乏技術(shù)依據(jù)，安全策略無(wú)法有效落實(shí)；多種安全設(shè)備各自為政，整網(wǎng)安全狀況無(wú)法掌控等。

但是H3C則認(rèn)為，內(nèi)網(wǎng)和外網(wǎng)需要的安全防護(hù)手段都是大同小異，但是內(nèi)網(wǎng)的防護(hù)對(duì)象主要是內(nèi)部“被信任”的用戶，如何保證這些不同類型用戶以合法身份接入網(wǎng)絡(luò)，獲得合法的權(quán)限，做合法的事情，不是將各種安全設(shè)備簡(jiǎn)單疊加就可以實(shí)現(xiàn)的。因此，內(nèi)網(wǎng)的防護(hù)更加強(qiáng)調(diào)的是各種安全設(shè)備形成基于用戶為對(duì)象的統(tǒng)一安全策略控制和智能管理。

點(diǎn)、線、面的安全模型

在“信息安全＝防火墻＋I(xiàn)DS＋防病毒”的“老三樣”時(shí)代，并沒有內(nèi)網(wǎng)安全的概念,業(yè)界一直在總結(jié)和分析內(nèi)網(wǎng)安全的需求，力爭(zhēng)找到內(nèi)網(wǎng)安全與終端用戶接受程度的平衡點(diǎn)，但是大多數(shù)廠商所能夠提供的只是在整個(gè)“端到端”的業(yè)務(wù)流程中某個(gè)關(guān)鍵點(diǎn)的安全防護(hù)措施，無(wú)法形成整網(wǎng)統(tǒng)一管理、智能聯(lián)動(dòng)的整體解決方案，當(dāng)業(yè)務(wù)發(fā)生調(diào)整時(shí)再進(jìn)行修改，無(wú)法滿足當(dāng)前靈活的移動(dòng)辦公、業(yè)務(wù)多樣性的需求。

為此，網(wǎng)域萬(wàn)通推出了一套內(nèi)網(wǎng)安全管理系統(tǒng)，其網(wǎng)絡(luò)安全模塊、桌面管理模塊、上網(wǎng)行為管理模塊、安全準(zhǔn)入管理模塊、網(wǎng)絡(luò)拓?fù)涔芾砟K等五大功能模塊分別對(duì)內(nèi)網(wǎng)安全準(zhǔn)入、桌面管理、上網(wǎng)行為管理、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)拓?fù)涔芾淼冗M(jìn)行管控，并且客戶可以根據(jù)自身的情況來任意選擇和搭配。

H3C也提出了從點(diǎn)、線、面的三個(gè)維度保障內(nèi)網(wǎng)安全的思路，“點(diǎn)”即終端安全準(zhǔn)入管理軟件，確保正確的人在正確的狀態(tài)下可以進(jìn)入網(wǎng)絡(luò)；“線”即嵌入式安全模塊，實(shí)現(xiàn)安全域劃分、安全策略控制、在線防護(hù)、內(nèi)容審計(jì)等功能，確保正確的人在做正確的事；“面”即智能管理中心，實(shí)時(shí)收集各個(gè)安全設(shè)備的告警信息，分析后與網(wǎng)絡(luò)和安全設(shè)備聯(lián)動(dòng)，控制攻擊來源，避免威脅的再次發(fā)生，并且為用戶提供整網(wǎng)安全審計(jì)報(bào)告。

H3C內(nèi)網(wǎng)安全方案已形成了終端準(zhǔn)入、區(qū)域隔離、病毒防護(hù)、網(wǎng)流分析、統(tǒng)一管理和安全聯(lián)動(dòng)等六大功能，從根本上實(shí)現(xiàn)了讓“正確的人”在“正確狀態(tài)”下做“正確的事”這一內(nèi)網(wǎng)安全核心目標(biāo)，實(shí)現(xiàn)了 “內(nèi)網(wǎng)控制 = 終端準(zhǔn)入（點(diǎn)）＋在線控制（線）＋智能管理（面）”的理想模型。

內(nèi)網(wǎng)安全建設(shè)是每一個(gè)企業(yè)都要應(yīng)該關(guān)注的事，那就要全面了解系統(tǒng)，評(píng)估系統(tǒng)安全性，認(rèn)識(shí)到自己的風(fēng)險(xiǎn)所在，從而迅速、準(zhǔn)確得解決內(nèi)網(wǎng)安全問題。

【編輯推薦】

1. 內(nèi)網(wǎng)安全管理方案探討
2. 規(guī)范認(rèn)證 保障企業(yè)內(nèi)網(wǎng)安全
3. 如何簡(jiǎn)單快速部署企業(yè)內(nèi)網(wǎng)安全管理系統(tǒng) 圖解