對于廣大的信息安全管理者而言，現(xiàn)有的網(wǎng)絡(luò)安全防護手段大多強調(diào)對來自外部的主動攻擊進(jìn)行預(yù)防，檢測以及處理，而授予內(nèi)部主機更多的信任。但是，2011年最新統(tǒng)計數(shù)字表明，相當(dāng)多的安全事件是由內(nèi)網(wǎng)用戶有意或無意的誤用造成的。為保護內(nèi)網(wǎng)的安全，一些單位將內(nèi)網(wǎng)與外網(wǎng)物理隔離，或者將內(nèi)部通過統(tǒng)一的網(wǎng)關(guān)接入外網(wǎng)，并在網(wǎng)關(guān)處架設(shè)防火墻，IPS,IDS等安全監(jiān)控設(shè)備，盡管各單位都加強了對內(nèi)網(wǎng)的安全管理，可泄密事件仍時有發(fā)生，這充分說明了對內(nèi)網(wǎng)安全監(jiān)測的復(fù)雜性。本文將全面分析機構(gòu)內(nèi)網(wǎng)面臨的諸多安全漏洞風(fēng)險，并簡要闡述相關(guān)漏洞的解決之道。

內(nèi)網(wǎng)安全的威脅分析

內(nèi)網(wǎng)主機間大多以局域網(wǎng)的方式進(jìn)行互連，這些主機形成以物理互連，邏輯隔離的方式共存，但為實現(xiàn)主機間的資料共享及數(shù)據(jù)通信需求，又不得讓其之間建立各種互信關(guān)系，因此某臺主機的有意或無意的誤操作都會對整網(wǎng)主機的安全性造成威脅。內(nèi)網(wǎng)安全威脅主要分為以下幾類：

內(nèi)網(wǎng)邏輯邊界不完整

無線技術(shù)的迅猛發(fā)展讓隨時隨地接入Internet這一想法成為現(xiàn)實，在驚嘆先進(jìn)的無線技術(shù)為我們的生活帶來便利的同時，也對我們的網(wǎng)絡(luò)管理人員提出了更多的要求。在內(nèi)外網(wǎng)隔離的環(huán)境中，如何確保內(nèi)網(wǎng)邊界的完整性，杜絕因網(wǎng)絡(luò)邊界被破壞，造成有不明終端穿越網(wǎng)絡(luò)邊界接入。網(wǎng)絡(luò)邊界的防護不能僅限于網(wǎng)絡(luò)出口的保護，而應(yīng)該是所有網(wǎng)絡(luò)邊界的防護，并更應(yīng)該側(cè)重于網(wǎng)絡(luò)入口處的保護。

缺乏有效身份認(rèn)證機制

內(nèi)部主機使用者缺乏特定的身份識別機制，只需一根網(wǎng)線或者在局域網(wǎng)AP信號覆蓋的范圍之內(nèi)，即可連入內(nèi)部網(wǎng)絡(luò)獲取機密文件資料。內(nèi)網(wǎng)猶如一座空門大宅，任何人都可以隨意進(jìn)入。

缺乏訪問權(quán)限控制機制

企業(yè)或政府單位網(wǎng)絡(luò)大體上可以分為兩大區(qū)域：其一是辦公或生產(chǎn)區(qū)域，其二是服務(wù)資源共享區(qū)域，目前上述兩大邏輯網(wǎng)絡(luò)物理上共存，并且尚未做明確的邏輯上的隔離。辦公區(qū)域的人員可隨意對服務(wù)資源共享區(qū)域的資源進(jìn)行訪問，另外需要的注意的是，來賓用戶在默認(rèn)情況下，只要其接入內(nèi)部網(wǎng)絡(luò)并開通其網(wǎng)絡(luò)訪問權(quán)限，相應(yīng)的內(nèi)部服務(wù)資源的訪問權(quán)限也將一并開通，內(nèi)網(wǎng)機密文件資源此時將赤裸暴露于外部。

移動存儲設(shè)備的濫用

隨著數(shù)字電路技術(shù)的發(fā)展，小體積大容量的U盤已成為備受人們喜愛的文件交換與共享工具，U盤的普遍應(yīng)用促使黑客開發(fā)出一種有針對性的惡意軟件，如臭名昭著的Conficker蠕蟲。這種蠕蟲能夠在連接到USB端口的時候自動執(zhí)行。更嚴(yán)重的是默認(rèn)的操作系統(tǒng)設(shè)置一般都允許大多數(shù)程序（包括惡意程序）自動運行。這相當(dāng)于你的鄰居每一個人都有一把你的電子車庫門的鑰匙，并且利用這個鑰匙打開其他人的車庫門。

內(nèi)網(wǎng)主機漏洞

現(xiàn)有企業(yè)中大多采用微軟系列的產(chǎn)品，而微軟系列產(chǎn)品的特點就是補丁特別多，包括IE補丁、office辦公軟件、以及操作系統(tǒng)等。如果這些補丁不及時打上的話，一旦被黑客所利用，將會作為進(jìn)一步攻擊內(nèi)網(wǎng)其他主機的跳板，引發(fā)更大的內(nèi)網(wǎng)安全事故，如近年來爆發(fā)的各種蠕蟲病毒大都是利用這種攻擊方式。

內(nèi)網(wǎng)安全的解決之道

在我們對內(nèi)網(wǎng)中所存在的安全漏洞進(jìn)行逐個分析后，我們不難發(fā)現(xiàn)內(nèi)網(wǎng)安全與外網(wǎng)安全管理一樣重要，相比之下更有難度，究其主要原因在于：內(nèi)網(wǎng)安全管理面比較大，終端數(shù)較多，終端使用者的IT技能水平層次不齊。這就對我們的內(nèi)網(wǎng)安全管理提出了一定的要求，例如可實現(xiàn)對全網(wǎng)的統(tǒng)一管理；對內(nèi)網(wǎng)所面臨的安全威脅能夠提供整體的、智能化的解決方案，能夠及時響應(yīng)內(nèi)網(wǎng)中存在的安全隱患問題等等。

盈高科技作為安全準(zhǔn)入國家標(biāo)準(zhǔn)制定者，其內(nèi)網(wǎng)安全的整體解決方案已廣泛應(yīng)用于政府、金融、運營商、能源、教育、制造、大型集團企業(yè)等眾多行業(yè)，自主研發(fā)的入網(wǎng)規(guī)范管理系統(tǒng)（ASM）在終端入網(wǎng)之前就可提供多樣化的身份驗證方式，有效拒絕了非授權(quán)的用戶對內(nèi)網(wǎng)資源的訪問。獨有的訪問控制功能，可根據(jù)不同的用戶角色分配相應(yīng)的訪問控制權(quán)限，做到身份與權(quán)限的完美結(jié)合。此外，ASM還具備業(yè)界領(lǐng)先的終端系統(tǒng)安全掃描引擎，全面系統(tǒng)的對終端的安全狀況進(jìn)行檢查，對檢查出現(xiàn)的相關(guān)安全隱患，可自動按管理員的設(shè)定進(jìn)行自動修復(fù)，這無疑大大提升了產(chǎn)品的附加值，將網(wǎng)管人員從繁瑣的工作中解放出來，省時省力。

2011年被IT業(yè)界喻為中國的內(nèi)網(wǎng)安全建設(shè)年，國家針對分級保護、密鑰管理和電子認(rèn)證系統(tǒng)建設(shè)均出臺了系列政策，要求切實加強推進(jìn)工作；一些政府部門或行業(yè)機構(gòu)也紛紛出臺了內(nèi)網(wǎng)安全的相關(guān)制度文件和行業(yè)標(biāo)準(zhǔn)。在即將到來的2012，內(nèi)網(wǎng)安全將進(jìn)一步作為各政府機構(gòu)和企事業(yè)單位的工作重點，對于內(nèi)網(wǎng)安全的綜合性解決方案也將幫助各管理者加固好網(wǎng)絡(luò)安全的最后一塊短板。

【編輯推薦】

1. 如何避免VPN安全漏洞
2. 內(nèi)網(wǎng)安全問題本質(zhì)談
3. 企業(yè)內(nèi)網(wǎng)安全管理的這十年
4. 安全談：有效管理是實現(xiàn)內(nèi)網(wǎng)安全的核心