内部网络环境下网络安全问题分析

乐文城

（北京天融信网络安全技术有限公司福州分公司 福建省福州市 350000）

随着我国科学技术的不断进步，信息智能化技术在单位生产、办公中的优势不断凸显。因此，为了提高生产效率，提高网络、数据安全性，不少单位基于计算机技术将各自重要业务信息系统部署在内部网络环境中。但网络安全建设的滞后现象，导致当前我国单位的内部网络环境潜在安全问题较多，诸如个人隐私、单位重要业务信息泄露等网络安全问题层出不穷，对办公环境构成了网络内部威胁。只有通过加强单位自身内网的安全保护等级，通过构建安全体系的方式来提高单位对网络安全的防御能力，对单位内网予以安全保护，方能营造出安全的网络办公环境，为单位的发展奠定一个良好的基础。

1 当前我国单位内部网络环境中存在的安全问题

对于网络安全，由于大众的印象多为外部互联网络中病毒、黑客攻击等，因此常规安全防御理念限制在网络级别和网关范围等网络外部的防御，这使得用户常常会忽略内部网络中所存在的各类安全性问题。对此，一方面通过增强单位经营者、管理层的网络安全风险防范意识，有助于解决单位内部网络安全方面的问题，同时采取有效的安全防护措施有利于从技术手段提升单位内部的网络安全监督管理能力，降低由于网络管理不到位造成的网络安全事故发生概率，进而有助于避免单位内部网络遭受非法侵害，确保单位内部网络安全。图1是各机关企事业单位边界网络安全现状（内部网络和外部网络）的对比情况。

图1：边界网络对比图

1.1 内部网络的脆弱

在信息化时代快速发展的今天，单位内部网络同样难免会受到安全威胁。因此，国内很多单位在信息化项目建设过程中重要课题之一就是网络安全防范建设，尤其是内部网络安全防范能力的提高。安全漏洞问题已成为网络安全防范不可回避的问题，一旦被黑客利用攻击，将使单位的重要信息系统遭受前所未有的灾难，例如Struts2 漏洞、OpenSSL（心脏出血）、勒索软件Wannacry 携“永恒之蓝”等都是黑客利用安全漏洞对信息系统发起恶意攻击行为。

就目前而言，大部分计算机终端面临的系统漏洞问题都是由于部分网络管理人员对单位内部网络安全防范的管理意识不强、漏洞检测技术手段的缺失或未对相关检测技术手段进行及时更新升级导致的。另外，随着大数据、云计算、移动互联网等新兴技术发展与使用，内部网络应用程序的类型、数量也不断增长，应用程序使用的编程语言自身缺陷、逻辑缺陷也致信息系统的漏洞风险加剧。不法分子往往擅于利用这些管理上的、防护措施、技术上的不足对内部网络实施攻击以达到其非法目的。

1.2 内部网络用户使用权限不同

单位内部管理往往很难实现对用户权限的统一管理。在表面上看每位工作员工有不同的工作权限是为了员工更方便地使用单位内部网络信息系统，然而这种做法增加了整个单位内部网络安全管理的难度，不法分子也可通过利用这种管理上的不合理性对内部网络进行密码修改获得权限或提权等方式使得内部网络里的应用程序很容易被攻击。同时，单位管理人员对内部服务器的管理往往是不完善的，在这种情况下，内部系统被不法分子攻击的可能性就更大了。

1.3 单位内部网络信息敏感系数分散

实际使用中不少单位会将工作资料、客户资料等相关敏感信息任意存放在不同的服务器甚至是个人终端上，这些相关数据并没有被统一寄存在同一个服务器中进行统一管理、安全防护也不符合要求。在网络传输过程中相关信息、尤其是敏感信息由于信息本身未采取加密处理、敏感文件缺乏科学管理手段，将进一步导致不法分子更加容易窃取单位内部数据和机密文件，例如棱镜门、CSDN 密码泄漏、如家开房信息泄漏、Sony 个人信息泄漏等事件都是由于对单位中涉及的重要业务数据重要性及敏感性认识不足、安全防护措施不到位而导致的，这些事件对组织造成重大的甚至无法弥补的经济损失与声誉损失。

1.4 USB闪存盘的使用问题

计算机终端是用户与信息系统进行交互的窗口，用户访问信息系统中的各种资源都是通过计算机终端实现的。由于内部网络相对独立性的特性，实现外部数据导入内部网络或内部计算机终端间进行数据交互常用的方式就是使用USB闪存，然而计算机感染病毒常见的方法之一就是USB 闪存盘（U 盘）感染，如伊朗核电站的震网病毒事件等。USB闪存盘由于其文件传输效率高、携带方便等优势在日常生活、办公中人们对它的使用频率很高，大部分单位也会通过USB 闪存盘进行文件拷贝等方面的处理。但是人们并没有注意到USB 闪存盘的特殊性，也并没有对USB 闪存盘的安全风险提高戒备。由于内部员工之间、甚至外部人员之间相互拷贝文件都需要用到U 盘，使得计算机之间的病毒相互感染。通常在使用U 盘时，使用者并没有对U 盘进行病毒查杀的习惯，这样加大了单位内部计算机病毒交叉感染的概率。通过合理的方式（如终端管控软件、特殊的USB 接口设计等）加强USB 端口的使用管理，可以有效解决由于U盘交叉使用导致病毒交叉感染带来的风险。

1.5 恶意代码、黑客攻击等的影响

现在有很多的单位为图使用方便，把自身的内部网络和外部网络直接打通来实现所谓的资源共享，这种做法也给了很多不法分子提供了获悉内部重要信息便利途径。并且单位内部的安全性也更容易直接被来自互联网的恶意代码和黑客严重冲击，进而影响了单位内部网络整体的安全性。

2 解决内部网络安全问题的对策

网络安全问题作为数字化建设里的重要组成部分也愈发受到重视。内部网络安全问题已成为当前很多政府机构和企事业单位网络信息化系统建设的核心问题。在实践中，很多方法可以有效保障内部网络安全，以下列举一些解决这些问题的常用做法，并且对其进一步进行探讨。

2.1 内部网络操作系统的安全

终端用户的程序和服务器中的应用程序等均可运行在操作系统上，因而保护各个操作系统的安全是维持各终端及服务器中所有应用程序安全运行的基础。对此技术上我们通常采用漏洞扫描及安全配置类检测工具去模拟黑客攻击以测试系统的防御能力，通过对主机进行存活判断、端口扫描、服务识别、操作系统识别，调用系统漏洞插件扫描目标主机，发现主机（通常包括各类常见数据库、国产数据库、移动设备、网络设备、互联网应用、中间件、系统应用、恶意程序、大数据组件等）上不同应用对象的弱点和漏洞，进而为修复漏洞、整改主机系统、应用程序以及相关数据库等的安全缺陷提供依据；同时制定合理的信息系统日常管理制度（如规定每半个月或一个月由专人对相关信息系统进行漏洞安全扫描、发现漏洞按规定的规划程序进行打补丁、验证等）、加强运维人员安全防护意思培养、提升运维人员综合能力。

2.2 使用安全的网络内部交换机

交换机（路由器）是内部网络中所有信息传输的必经场所，而且都用到了广播技术。在没有配置安全策略的情况下，数据包使用广播技术传输很容易被监听、不法截获，因此为了加强网络内部安全，需要采用交换机和虚拟网段相结合的方法实现从物理上隔绝网络资源，以达到数据包的安全传输目的。同时，可利用好交换机对全网络进行逻辑隔离域的划分，根据各部门实际访问需求设置访问权限，如为单位各个部门网络创建非军事区，各网络非军事区按实际需求分配需要访问的资源权限，同时禁止随意访问内部网络的其他资源，避免权限过大、权限不清造成过度访问、非法交叉访问等情况。

2.3 USB闪存盘等外设安全防范

合理的管理USB 闪存盘等外设使用是现阶段防范USB闪存盘等给内部网络安全带来潜在风险最为有效也是成本最低的办法。具体说来就是，通过部署一套终端管控软件对移动存储、终端行为、终端设备监控等进行统一安全管控，实现对所有计算机终端的有效保护。

终端管控软件可通过统一编制、下发安全策略并监控执行实现对计算机外设如光驱、打印机、调制解调器、网络适配器、图形图像设备、通讯端口、红外设备、蓝牙设备、1394 控制器、PCMCIA 卡、USB 设备进行控制，对移动存储设备进行标签化管理，区分内部介质和外部介质、对移动存储介质读写权限进行限定，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为并执行报警、断开网络、自动重启等管控措施等。终端管控软件通过这样的方式，可很好的管理终端USB 闪存盘等外设使用，避免USB 闪存盘等外设使用的不合理使用给终端带来诸如病毒感染、木马植入等潜在风险。

2.4 基于攻击设置内部网络安全防范设计

虽然单位内部网络相对独立于互联网等外部网络，但这并不代表它就可以免受拒绝服务（Dos）、病毒、僵木蠕等恶意程序的攻击，对此我们依然需要建立一套完整可行的网络安全防范设计。

网络区域边界作为数据交换的关键节点，不仅应能对网络访问控制规则进行控制，还应能够有效的防御网络攻击行为、对恶意代码进行检测和清除。因此需在安全防护区部署下一代防火墙，并启用入侵防御及病毒过滤网关模块，以满足合规性、安全性要求。下一代防火墙基于传统五元组、用户、应用、内容、时间等多元组一体化访问控制，同时默认规则禁止所有跨边界的数据访问，依据实际需求开放业务端口，将能够有效防止对单位内部的非法访问。下一代防火墙内置异常流量清洗ADS 引擎能够检测与防御流量型DDOS攻击（如UDP Flood、TCP SYN Flood 等）、应用型DDOS攻击（如CC、DNS Flood、慢速连接耗尽等）、DOS 攻击（如Land、Teardrop、Smurf 等）、非法协议攻击（如IP 流、TCP 无标记、无确认FIN、圣诞树等）四大类拒绝服务攻击，实现精准、快速地阻断攻击流量，保障单位内部网络通畅。通过下一代防火墙上的入侵防御模块，对网络的流量进行检测，防止从外部和内部发起的网络攻击行为；入侵防御能够实时检测和阻断实时检测来自不法分子利用网络和系统自身薄弱点进行的非法入侵和攻击、产生大量异常访问导致服务器资源耗尽DoS 攻击、DDOS 攻击（如ARP、DHCP 异常包及DHCP Flood、ARP Flood 攻击防御等），以及非法操作的木马、蠕虫等恶意程序，并对检测到的非法流量进行积极阻断，包括溢出攻击、RPC 攻击、WEBCGI 攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的网络攻击行为，有效保护用户网络IT 服务资源，使其免受各种外部攻击侵扰。下一代防火墙上的病毒网关模块基于内置的病毒检测引擎，能够实现网络层面的恶意代码（如普通病毒，电子邮件病毒、蠕虫病毒、特洛伊木马等）查杀，对不同协议数据流的检测方向可选双向、上传、下载以便灵活对网络病毒进行查杀，通过病毒过滤网关在病毒未进入内部网络造成损失之前进行阻断拦截，有效避免了病毒给用户带来的损失与影响。

同时，对于用户终端病毒防范，可通过部署终端防病毒系统对终端主机进行病毒查杀，实现基于系统层面的病毒防范，有效保障用户终端免受各类病毒攻击。

3 在内部网络环境下重点对单位业务数据的安全保密设计

单位业务数据作为单位最重要的信息资源，直接涉及到单位发展的核心机密，如果发生业务数据信息泄露轻则容易造成不良影响，严重的将会影响到单位正常运营。因此，在进行单位内部网络信息安全保护时，应把重点放在单位业务数据的安全保密设计上，以期防止单位业务数据的外泄。

3.1 运用PDR技术对单位内部网络中的业务数据进行安全保护

PDR 技术可以有效对单位内部的业务数据的安全保护系统漏洞进行检测、及时提供防护方案，确保单位业务数据系统能够正常运行。同时，PDR 技术也可以有效地阻止外部网络环境对内部网络系统的入侵，PDR 技术通过加大外界病毒入侵难度、延长入侵所需的时间为管理员赢得更多的系统修复时间，PDR 技术以这样的方式来减少病毒等对内部网络环境的侵害，提高单位内部业务系统的安全等级。另外，PDR 作为一项可循环技术，会在一定的固定时间周期内循环进行，并通过实验计算出系统是否达到了单位信息安全保护的要求等级，只要入侵所需时间大于系统循环时间的最小值，系统就会处于相对安全状态。因此，技术人员可以运用PDR 技术对单位内部网络中的业务系统来进行系统安全保护，以提高单位内部网络的安全性。

3.2 通过网络技术联机操作来实现对单位内部网络环境的安全保护

随着我国计算机技术的进步，部门间的协助更加密切、跨部门数据交互更加容易、频繁，但随之产生的使用上追求便利与管理上则要求安全的冲突和矛盾也不断凸显，这在某种程度上阻碍了单位健康、稳定、快速发展。网络技术的出现给解决这些矛盾带来了转机。通过网络技术的合理使用，可以在保障内部网络安全的前提下为单位各部门打造一个交互便捷的网络环境，实现各部门之间的信息及时传递与资源的协同，对业务信息及资源进行了集中化、自动化的管理。

通常单位内部网络环境中各应用系统中存储的数据具有一定的相互独立性，正是由于这种独立性才保障了各应用系统的数据安全。事实上，这种独立也存在于单位内部网络与外部网络之间，其信息的交换、传输也存在一定的相互独立和一定的保密性。在规划单位网络时，应充分利用这种独立，加强对单位内部网络安全进行严格的把控，在内网与外网之间建设牢固的安全防线，对外部危险信息进行安全识别，对病毒侵入进行及时的处理，来确保内部网络环境的安全。

在实际使用中内部网络经常需要同外部网络进行信息交互，尤其是外部网络经常需要将信息报送至内部网络，内部网络与外部网络实现跨网通信可大大节省信息网络维护投入的人力物力，但同时也给内部网络安全带来了新的安全问题。对此，我们可以在内、外部网络间通过信息单向传输模式来实现跨网的数据的安全传输。通过单向网闸技术实现数据安全单向传输的连接模式，单位可以实现安全接收、发送不同计算机网络系统间数据的安全交互，可以利用单向网闸接收、发送外部网中的业务信息，并通过交换机传输到单位内部网络系统当中。这种通过单向数据安全传输的模式可以大大提高单位内部业务信息的安全等级，也可以提高各部门的联机工作效率，降低跨网数据交换而导致的单位内部网络安全事件发生的概率。

图2为外部网络与单位内部网络实现单向数据交互的网络架构拓扑示意图。

图2：外部网络与单位内部网络实现单向数据交互的网络架构拓扑示意图

3.3 对单位内部网安全运维进行严格的控制

单位内部网络信息系统中的所有服务器、网络设备、安全产品、数据库等帐号的管理混乱往往给非法分子有机可乘，给网络信息系统带来了潜在风险。对此，可通过部署一套运维安全审计类产品，集中帐号管理包含所有服务器、网络设备、安全产品、数据库等账号信息，为信息系统运维提供统一的安全运维入口。

运维安全审计系统以单点登录为核心，通过集中化账号管理、高强度认证加固、细粒度授权控制和多形式审计记录，使内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下，规范运维的操作步骤，避免误操作和非授权操作带来的隐患，有效保障组织机构的服务器、虚拟机、网络设备、安全设备、数据库、业务系统等资产的安全运行和数据的安全使用，规避了运维操作给信息系统带来的风险。

3.4 加强单位内部重要数据的识别能力

信息技术快速发展，使得各组织大量的业务数据不断地迁移到网络环境中，各单位的业务运行也慢慢的离不开信息技术的支撑。业务数据已然成为各组织的重要资产，业务数据不仅对业务具体价值，同时也是组织作出判断决策的重要根据，可以说对整个组织战略规划都有着十分重要的意义，数据已经成为各组织的核心竞争力。因此，针对数据易复制、易流动、形态各异、难管理等特点，需要配置一套完善的重要（敏感）数据发现体系，以便通过数据识别、内容感知和事务安全关联分析技术手段来识别、监视和保护静止的数据、移动的数据以及使用中的数据。数据识别、内容感知技术通过关键字检测、文件类型检测、正则表达式检测、数据标识符检测、数字指纹检测等方式，可以对单位文件服务器、数据库、协作办公平台、终端设备等进行扫描检查并标识含有重要（敏感）数据以便单位信息系统维护人员可以有针对性的加强对重要（敏感）数据的统一管理，如对重要（敏感）数据进行统一存储、严格控制重要（敏感）数据的使用人、严格管控重要（敏感）数据管控访问权限等，同时可对传输中的数据进行重要（敏感）数据识别，发现非法传输、使用重要（敏感）数据的行为时立即作出阻断传输、提示告警等响应，并告警通知信息系统维护人员，以确保重要（敏感）数据在存储、使用、传输等过程中的可管可控。

4 结论

总之，随着计算机技术的不断发展，我国各单位的信息化水平也越来越高，网络安全防护便成为了各单位重点关心的问题。对单位内部网络环境的安全问题进行分析，提出相应的解决措施，不仅能确保单位把握住计算机技术发展所带来的机遇，也能充分保护单位自身的业务数据安全和信息安全，最终实现单位的安全、稳定、高速发展。