企业内网的安全性研究

刘 颖

（中国石油大学胜利学院 信息与计算科学系，山东 东营257000）

随着全球信息化时代的到来，越来越多的信息系统被应用到日常工作。为提升企业的竞争实力，搭建统一便利的信息交换平台，方便内部员工办公以及资源的共享，建立企业内网已是形式所趋。然而，大量涉及技术和业务的相关机密信息存储在计算机网络中，如何有效地保护这些数据信息，成为企业内网急需解决的问题［1］。因此，需要对内网的安全性进行系统性分析，设计一个管理性强、信任度高、控制性好的内网安全体系，进而构建整体一致的内网安全管理平台。

1 内网安全性的双向威胁

企业内网的安全性直接影响到信息的保密程度，要做到内网的安全防范，必须对其特点有一个全面认识。

网络安全包括黑客的攻击和病毒的破坏等，但是这些来自网络外部的威胁，在现有的常规安全防御理念里已经进行了严密的监控。比如在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，将重要的安全设施集中于机房或网络入口处，设置防火墙、入侵检测系统和VPN等，这些举措使得来自网络之外的威胁大大降低了。在外网安全的威胁假设中内部网络都是安全可信的，威胁都来自于外部网络，其途径主要是内外网边界的出口［2］，所以只要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。

内网安全的威胁与外网安全的威胁相比，涉及的点面更广泛，即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的，威胁既可能来自外网，也可能来自内网的任何一个节点上。所以，在内网安全的威胁下，需要对内部网络中所有组成节点和参与者进行细致管理，实现一个可管理、可控制和可信任的内网。

因此，在探究内网的安全问题时应该从两个方面入手，一是从外到内的（交界、边界安全），要防范来自互联网的攻击，防范攻击者入侵到内部网络，控制远程接入的访问权限。另一方面是从内到外的，要控制从企业内网到外网的访问，内部移动设备的接入，分发管理等［3］。根据不同来源的安全问题，采取不同的防范措施。可见，内网安全具有一个双向交互的管理特点，仅就一方面的安全问题来维护是不全面的。

2 企业内网安全存在的问题

通过对近些年来网络安全性事件的分析，发现有超过70%的安全事件是发生在内网上的，并且随着网络的庞大化和复杂化，这一比例仍有增长的趋势［4］。由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因，内网安全也一直是网络安全建设的难点。同时内网安全涵盖了企业内部的所有信息安全问题，终端安全是内网安全的有机组成部分，过分地强调终端安全或者其他某一个领域的内网安全问题，是欠缺全面性的，将会导致安全防护不成体系，各个安全防护点、防护措施之间整合度不够，无法良好地协同［5］。目前，企业内网安全主要存在四类问题。

2.1 缺乏自动跟踪安全策略

自动执行智能实时跟踪这一安全策略是有效实现网络安全实践的关键手段，它不仅带来了商业活动中的一大改革，也极大地提升了手动安全策略的功效。企业内网的安全性现状迫切需要网络能利用自动检测的方法探测企业活动的各种变更，因此与之匹配的安全策略也必须应运而生。例如可以通过实时跟踪网络的利用情况，记录与该机对话的文件服务器，做到确保企业内网中每天的所有活动都遵循安全策略。

2.2 缺乏对重要资源的保护

大型企业网络拥有成千上万的用户终端，使用的网络应用层出不穷，期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的，所以大型企业网应采用择优的方法。在操作上，首先要对服务器做效益分析评估，然后对内网的每一台网络服务器进行检查、分类、修补和强化工作，找出重要的网络服务器（例如实时跟踪客户的服务器）并对其进行限制管理，这样就能迅速准确地确定企业最重要的资产，并做好在内网的定位和权限限制工作。

2.3 缺乏对VPN网络的安全防护

对于VPN网络，大多数企业认为，公司网络处于一道网络防火墙之后是安全的，员工可以拨号进入系统，而防火墙会将一切非法请求拒之其外。然而公司的防火墙虽然可以将侵入者隔离在外，但侵入者却可以通过一个被信任的用户进入网络。针对VPN的安全防护，一般可以采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术来进行安全保证。

2.4 无线网络的使用带来高安全风险

无线网络在企业中已被广泛使用，无线网络与有线网络相比，不需要物理上线路的连接，完全采用射频技术，借助无线电磁波进行网络连接，是一种传输的开放式物理系统，因此无线网络所面临的威胁也是多方面的。由于无线网络中最重要的设备之一就是无线路由器或中继器，而同一品牌的无线设备访问地址、默认的用户名、密码都是相同的，入侵者可以通过扫描工具找到这些设备并进入管理界面，获得设备的控制权。另外，可以通过禁止SSID广播，阻止入侵者建立连接。对固定用户客户端的环境，使其手工直接输入SSID标识符以建立连接即可。通过过滤设置将允许访问的无线客户端网卡的MAC地址添加进来，可以增添更高级的安全性。再者，对于企业内网中的小规模的无线网络，还可以手动为客户端分配IP地址。同时进行安全认证设置，设置密钥。有条件的企业还可以选择带防Ping的功能无线路由，来躲避扫描器主动搜索无线网络。

3 构建完整的内网安全体系

目前市面上出现了很多针对内网安全解决方案的产品，从技术上可以分成身份认证、授权管理、数据保密和监控审计四类，但这些产品都仅解决了内网安全的部分问题，并因目前技术的限制，存在各自的不足。要使企业内网真正做到可管理、可信任和可控制，可将以上四类技术的优势进行融合，构建一个整体的内网安全管理平台。搭建内网安全管理系统，可以从五个方面出发。

3.1 对进入企业内网的终端进行监控与管理

在安全接入管理方面，系统可以通过监听和主动探测等方式检测内部网络中所有在线的主机，来判别当前在线的主机是否为可信任主机，若探测到非法的可疑主机，则可以阻止其访问任何网络资源，防止非法主机对网络进行攻击或窃密。在网络安全平台的设计上可以通过设置防火墙系统来实现内网和外网的隔离防护。对远程办公的人员则可提供IPSec VPN接入，确保数据传输过程中的安全，实现用户对服务器系统的受控访问。同时也可采用入侵检测设备，作为防火墙的功能互补，用于提供对监控网段的攻击的实时报警与响应。

3.2 及时解决操作系统与应用程序的漏洞

漏洞是蠕虫病毒频繁爆发的主要原因，要使企业内网免受病毒侵害，就必须将补丁分发管理工作做到位。内网安全管理系统的扫描机制可分为网络扫描与主机扫描，扫描完成后根据扫描结果自动对系统漏洞下发补丁并警告。补丁分发管理主要完成客户端的补丁检测和安装，健壮企业客户端的安全性。同时还可以允许管理员自定义软件分发，完成用户自由系统的补丁管理。利用远程进行软件分发。结合对客户端防病毒程序安装和运行情况的检测，为安全接入管理系统提供授权认证的依据［6］。

3.3 对企业内网中的用户上网行为进行管理并设置网络行为监控系统

内网用户终端的非法上网外联行为是企业网络安全中最薄弱的环节，所以在系统的管理上要重点检测和管理企业内用户的非法自建通路连接非授权网络的行为，在企业内网中通过分区域和分部门地进行监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的下载。另外还可以通过对上网权限审计控制，对网络行为审计和邮件外发审计等控制行为，可使企业内网终端上网安全性可控［7］。设置带宽控制系统，使网络管理人员对实时数据流量情况能够清晰掌握，能定位网络流量的基线，从而及时发现网络是否出现异常流量并控制带宽。网络行为监控系统结构如图1所示。

图1 网络行为监控系统结构

3.4 对企业内网中的信息访问进行控制

企业内网业务繁忙，各终端难免随时要进行各种外接设备的应用，同时为各种网络应用需要打开系统的多个接口。比如企业中使用最广泛的即插即用设备，便捷携带可以很容易的将大量所需的重要数据转移，但同时U盘木马也可以轻而易举地通过该设备带进内网，这就给内网安全埋下了巨大的隐患。所以在内网中，要对终端上的各种外设和接口进行管理。比如禁用系统的外设和接口，防止用户非法使用。在外部存储设备的禁用方面，在禁止使用通用移动存储设备的同时，对经过认证的移动存储设备允许使用。管理系统还可以对终端用户的文8件操作控制，比如通过文件加密等功能，彻底解决在信息访问过程中带来的安全隐患。

3.5 对企业资产进行严格控制与管理

随着企业规模的不断扩大，网络技术的不断发展，软硬件设备都会面临不断被更新或淘汰。所以对于硬件资产，要详细记录用户计算机的硬件配置，如内存、处理器类型、处理器速度、处理器个数、数学协处理器、总线类型等参数，以方便管理员对内网中计算机硬件资产进行统计归档。对于软件资产，要详细记录用户计算机上安装的所有软件，定时分析终端计算机安装的软件信息，并通过多种条件进行查询和统计。由管理员对其审核，及时发现用户安装的不安全软件，减少内网中潜在的安全隐患，避免不必要的法律纠纷。

基于上述研究搭建的内网安全体系能够使企业内网真正做到可管理、可信任和可控制，具有一定的可行性和可操作性，能够基本解决企业内网存在的四类主要问题，能够满足当前市场需要，具有一定的应用前景。

4 结束语

当前，内网安全已经成为信息安全的焦点问题，内网安全技术和标准也在发展与成熟的过程中，随着企业对于安全性认识的不断加深，融合多项技术方案的内网安全解决体系建设将成为内网安全的主要发展目标。

［1］陆英南.企业内网安全管理策略研究［J］.电脑知识与技术，2008（8）：23-25.

［2］吴钰锋，刘泉，李方敏.网络安全中的密码技术研究及其应用［J］.真空电子技术，2004（6）：34-36.

［3］ANDREW ST.计算机网络［M］.4版.潘爱民，译.北京：清华大学出版社，2008：59-63.

［4］李硕.网络安全威胁因素及其常见网络安全技术分析［J］.信息与电脑：理论版，2012（8）：15-16.

［5］杨义先，钮心忻.网络安全理论与技术［M］.北京：人民邮电出版社，2003：76-89.

［6］李海泉，李健.计算机系统安全技术［M］.北京：人民邮电出版社，2001：73-79.

［7］MOHAN A.数字签名［M］.贺军，译.北京：清华大学出版社，2003：29-31.