引言

    隨著信息技術(shù)的飛速發(fā)展和信息化建設(shè)的不斷推進(jìn)，網(wǎng)絡(luò)在各行業(yè)部門中的應(yīng)用日益普及。在為用戶帶來高效與便利的同時，網(wǎng)絡(luò)的信息安全也面臨著日益嚴(yán)重的威脅。特別是在政府、軍隊和金融等一些涉密部門的內(nèi)部網(wǎng)絡(luò)中，通常運行和存儲著大量的涉密信息。如果安全防護(hù)措施不當(dāng)，極易造成敏感信息的泄露，甚至發(fā)生嚴(yán)重的泄密事件，造成不可挽回的損失。為防止此類事件的發(fā)生，很多涉密內(nèi)部網(wǎng)絡(luò)通常與外網(wǎng)進(jìn)行物理隔離，雖然此舉能夠最大限度地阻止來自于網(wǎng)絡(luò)外部的直接攻擊，但并不能有效解決信息泄露問題。因此，在涉密內(nèi)網(wǎng)中確保網(wǎng)上信息資源的安全，防止網(wǎng)上泄密事件的發(fā)生，已成為一個非常重要的研究課題。

1 涉密內(nèi)網(wǎng)中面臨的主要威脅及原因

    涉密內(nèi)網(wǎng)在與外網(wǎng)進(jìn)行物理隔離后，其威脅主要來自以下幾個方面。

    1．1違規(guī)接入

    有些涉密內(nèi)網(wǎng)對入網(wǎng)計算機(jī)未進(jìn)行身份認(rèn)證，繼而無法進(jìn)行用戶身份合法性驗證。計算機(jī)只要設(shè)置了正確的網(wǎng)絡(luò)地址，在內(nèi)網(wǎng)中任何一處網(wǎng)絡(luò)接入點即可接入內(nèi)網(wǎng)。另外，內(nèi)網(wǎng)中的服務(wù)器如果對外提供撥號接入服務(wù)，也有可能被非法用戶使用，使得外部計算機(jī)接入內(nèi)部網(wǎng)絡(luò)。這些外部計算機(jī)一旦非法接入內(nèi)網(wǎng)，即可正常訪問內(nèi)網(wǎng)資源，對其中的涉密信息造成極大的威脅。

    1．2非法外聯(lián)

    非法外聯(lián)是指將涉密計算機(jī)非法接入外部網(wǎng)絡(luò)。通常，涉密網(wǎng)絡(luò)系統(tǒng)禁止與互聯(lián)網(wǎng)連接，但是有些用戶為圖便利，在斷開內(nèi)網(wǎng)的情況下違規(guī)將涉密計算機(jī)接入互聯(lián)網(wǎng)，甚至直接將接入涉密網(wǎng)的計算機(jī)同時又通過撥號、寬帶和無線等方式接入互聯(lián)網(wǎng)，破壞了內(nèi)網(wǎng)的物理隔離。另外，該條接入外網(wǎng)的鏈路通常防護(hù)能力較弱，容易被入侵并作為跳板，滲透到內(nèi)部網(wǎng)絡(luò)，給涉密網(wǎng)帶來非常嚴(yán)重的危害和后果。

    1．3網(wǎng)絡(luò)病毒

    計算機(jī)病毒有著巨大的破壞性，尤其是網(wǎng)絡(luò)病毒，無論是在傳播速度與破壞性，還是在傳播范圍等方面都遠(yuǎn)遠(yuǎn)超過了單機(jī)病毒。如當(dāng)今流行的蠕蟲病毒，往往通過電子郵件、網(wǎng)絡(luò)共享或主動掃描等方式在網(wǎng)絡(luò)中蔓延，而內(nèi)部局域網(wǎng)的帶寬較高，往往又給病毒的快速傳播提供了有利條件。病毒的肆虐往往造成網(wǎng)絡(luò)擁塞、主機(jī)效率低下，甚至造成服務(wù)器或整個網(wǎng)絡(luò)的癱瘓，嚴(yán)重影響了網(wǎng)絡(luò)運行的穩(wěn)定性和可靠性。

    1．4系統(tǒng)漏洞

    計算機(jī)操作系統(tǒng)是一個復(fù)雜而龐大的軟件，有時因為程序開發(fā)人員的疏忽或設(shè)計失誤，可能會留下一些漏洞，從而成為入侵者進(jìn)入主機(jī)或網(wǎng)絡(luò)的一個“后門”。而內(nèi)網(wǎng)用戶的計算機(jī)應(yīng)用水平和安全防范意識參差不齊，有些用戶不知道如何對這些漏洞進(jìn)行修補(bǔ)。另外，由于與互聯(lián)網(wǎng)物理隔離，內(nèi)網(wǎng)用戶不便于進(jìn)行系統(tǒng)補(bǔ)丁升級，導(dǎo)致這些漏洞無法得到及時修補(bǔ)，極易被黑客或網(wǎng)絡(luò)病毒所利用。

    1．5黑客攻擊

    在一些部門的內(nèi)部網(wǎng)絡(luò)中(如院校)，用戶數(shù)量多、類型復(fù)雜。由于某些用戶(如學(xué)生)的求知欲望和好奇心較強(qiáng)，善于學(xué)習(xí)計算機(jī)的新技術(shù)、新知識，個別用戶為了學(xué)習(xí)和實踐網(wǎng)絡(luò)安全技術(shù)，將內(nèi)部網(wǎng)絡(luò)作為學(xué)習(xí)和實驗的基地，而內(nèi)部網(wǎng)通常較廣域網(wǎng)帶寬大，網(wǎng)速高，更利于黑客實現(xiàn)攻擊和入侵行為，對網(wǎng)絡(luò)的安全性和穩(wěn)定性構(gòu)成威脅。

    1．6涉密載體交叉混用

    如果內(nèi)網(wǎng)沒有對入網(wǎng)計算機(jī)的外部接口進(jìn)行有效管控，也容易造成失泄密事故。有些用戶為了使用方便，將入網(wǎng)計算機(jī)與其他外網(wǎng)計算機(jī)的外部設(shè)備(如打印機(jī)等)和移動存儲設(shè)備(如優(yōu)盤、移動硬盤、軟盤與刻錄機(jī)等)交叉混用，導(dǎo)致內(nèi)網(wǎng)計算機(jī)或移動存儲設(shè)備中被植入木馬和病毒，從而發(fā)生“擺渡”泄密現(xiàn)象。

    1．7管理漏洞

    管理機(jī)構(gòu)的不健全、管理制度的不完善、管理人員素質(zhì)不高和管理技術(shù)的落后等管理因素也是產(chǎn)生內(nèi)網(wǎng)安全隱患的重要原因之一。例如有些網(wǎng)絡(luò)管理員責(zé)任心不強(qiáng)，安全意識淡薄，疏于對服務(wù)器或其他網(wǎng)絡(luò)設(shè)備的安全管理，如服務(wù)器操作系統(tǒng)的賬號和密碼設(shè)置過于簡單、系統(tǒng)補(bǔ)丁更新不及時、某些應(yīng)用系統(tǒng)使用默認(rèn)密碼，以及文件或目錄權(quán)限設(shè)置不當(dāng)?shù)�，使得網(wǎng)絡(luò)服務(wù)器容易被黑客入侵。

2 內(nèi)網(wǎng)信息安全防護(hù)建設(shè)實踐

    基于上述分析，按照有關(guān)規(guī)定和要求，并結(jié)合實際應(yīng)用需求，近期對某單位的內(nèi)部網(wǎng)絡(luò)進(jìn)行了升級改造，有針對性地在網(wǎng)絡(luò)信息安全防護(hù)方面進(jìn)行了重點整治。

    2．1入網(wǎng)身份認(rèn)證系統(tǒng)

    該單位內(nèi)部網(wǎng)絡(luò)改造前雖然用戶在申請接入內(nèi)網(wǎng)時需經(jīng)過注冊審批，但由于缺乏相關(guān)設(shè)備，未進(jìn)行IP地址與MAC地址的綁定，只能通過劃分vLAN的方式將用戶的IP地址限制在較小范圍內(nèi)，由此帶來兩方面的問題：一是同一個VLAN內(nèi)無法杜絕IP地址盜用和IP地址沖突的現(xiàn)象；二是無法防止非法接入內(nèi)網(wǎng)，任意一臺計算機(jī)足耍設(shè)置了此vLAN內(nèi)的IP地址，即可接入到內(nèi)網(wǎng)，使網(wǎng)上信息資源受到嚴(yán)重威脅。另外，沒有對入網(wǎng)用戶進(jìn)行身份認(rèn)證，無法實現(xiàn)實名上網(wǎng)。為徹底解決這一問題，此次升級改造時，在內(nèi)網(wǎng)部署了一套安全網(wǎng)絡(luò)管理平臺，在該平臺的管控下，入網(wǎng)用戶必須實名、實地址上網(wǎng)，且對用戶名、密碼、IP地址、MAC地址及交換機(jī)端口等多個元素進(jìn)行了綁定。用戶在接入網(wǎng)絡(luò)時，首先需要運行入網(wǎng)認(rèn)證客戶端程序，使用IEEE802．1x協(xié)議進(jìn)行合法性認(rèn)證。只要上述元素中的任何一個發(fā)生變化，均會導(dǎo)致認(rèn)證失敗，從而被拒絕接入網(wǎng)絡(luò)，徹底杜絕了IP地址盜用和非法接入的現(xiàn)象，大大提高了入網(wǎng)的規(guī)范性和安全性。

    2．2網(wǎng)絡(luò)版病毒防火墻

    計算機(jī)病毒一直是威脅內(nèi)網(wǎng)穩(wěn)定可靠運行的重要原因。改造前由于網(wǎng)絡(luò)內(nèi)未能統(tǒng)一部署網(wǎng)絡(luò)版病毒防殺系統(tǒng)，所以無法對內(nèi)網(wǎng)的病毒防范工作進(jìn)行統(tǒng)一部署，入網(wǎng)用戶只能各自為戰(zhàn)，根據(jù)自己的使用習(xí)慣安裝各種不同的病毒防殺產(chǎn)品。由于內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，多數(shù)用戶都存在病毒庫更新不及時的現(xiàn)象，使得病毒防殺效果大打折扣，導(dǎo)致內(nèi)網(wǎng)中時常會發(fā)生病毒肆虐的現(xiàn)象，嚴(yán)重影響內(nèi)網(wǎng)的穩(wěn)定性。為解決這一問題，此次升級改造在該網(wǎng)絡(luò)內(nèi)部署了一套網(wǎng)絡(luò)版殺毒軟件，入網(wǎng)計算機(jī)必須安裝該軟件，并自動靜默升級病毒庫。用戶運行入網(wǎng)認(rèn)證客戶端進(jìn)行認(rèn)證時，會對用戶計算機(jī)的端點防護(hù)狀態(tài)進(jìn)行檢測，如發(fā)現(xiàn)未安裝指定版本的防火墻或者病毒庫未升級，將拒絕該計算機(jī)接入網(wǎng)絡(luò)，實現(xiàn)了殺毒軟件與入網(wǎng)認(rèn)證的聯(lián)動，有效地解決了病毒防范問題，網(wǎng)絡(luò)的穩(wěn)定性得到了極大提高。

    2．3軟件補(bǔ)丁升級服務(wù)

    為了解決內(nèi)網(wǎng)計算機(jī)的操作系統(tǒng)等軟件不便于進(jìn)行在線補(bǔ)丁升級的問題，在內(nèi)網(wǎng)中部署了一套軟件補(bǔ)丁升級系統(tǒng)，由網(wǎng)絡(luò)管理員定期從互聯(lián)網(wǎng)上下載相關(guān)補(bǔ)丁，并遷移至內(nèi)網(wǎng)服務(wù)器。在進(jìn)行入網(wǎng)認(rèn)證時，通過端點防護(hù)檢測，自動對入網(wǎng)計算機(jī)系統(tǒng)進(jìn)行補(bǔ)丁升級，無需用戶進(jìn)行任何操作，確保所有接入內(nèi)網(wǎng)的計算機(jī)的系統(tǒng)漏洞能夠及時得到修補(bǔ)，降低了主機(jī)被入侵或被病毒感染的概率。

    2．4入侵檢測和行為審計系統(tǒng)

    針對在內(nèi)網(wǎng)中時有發(fā)生的網(wǎng)絡(luò)攻擊行為，部署了一套入侵檢測系統(tǒng)，能夠?qū)崟r分析內(nèi)網(wǎng)中數(shù)據(jù)通信情況，分辨入侵企圖。并與安全網(wǎng)絡(luò)管理平臺進(jìn)行聯(lián)動。當(dāng)入侵檢測系統(tǒng)檢測到某臺入網(wǎng)計算機(jī)對其所監(jiān)控的內(nèi)網(wǎng)服務(wù)器有攻擊行為或企圖時，自動阻斷該計算機(jī)的網(wǎng)絡(luò)連接，并以多種方式發(fā)出報警信息提示管理人員。能夠有效避免攻擊行為的持續(xù)進(jìn)行，最大限度地保護(hù)網(wǎng)絡(luò)的安全。另外，為了能夠?qū)��?nèi)網(wǎng)的非法入侵、傳播不當(dāng)言論及敏感信息資源失控等事件進(jìn)行追查與取證，以規(guī)范用戶的上網(wǎng)行為，還部署了網(wǎng)絡(luò)行為審計系統(tǒng)，可對用戶的上網(wǎng)行為進(jìn)行記錄和審計，一旦出現(xiàn)某些違規(guī)行為(如網(wǎng)絡(luò)攻擊和論壇不當(dāng)言論等)，可根據(jù)該系統(tǒng)追查違規(guī)行為責(zé)任人，從而對網(wǎng)絡(luò)安全與用戶的非法行為進(jìn)行有效的監(jiān)控和震懾。

    2.5計算機(jī)信息安全管理系統(tǒng)

    為了能夠?qū)θ刖W(wǎng)計算機(jī)的外部接口進(jìn)行有效管理，防止移動載體的交叉混用，所有的入網(wǎng)計算機(jī)均要求安裝計算機(jī)信息安全管理系統(tǒng)。該系統(tǒng)能夠按照入網(wǎng)計算機(jī)不同的涉密級別，對其外部接口、外部設(shè)備等進(jìn)行不同程度的管控。另外，對涉密移動載體進(jìn)行了加密處理，經(jīng)過加密的移動設(shè)備無法在未安裝該系統(tǒng)的計算機(jī)七使用。經(jīng)過這樣的部署，可以有效防止這些設(shè)備的交叉混用，杜絕了通過移動載體泄密的安全隱患。

    2.6漏洞掃描系統(tǒng)

    在升級改造過程中，網(wǎng)絡(luò)內(nèi)不僅安裝了防火墻和入侵檢側(cè)系統(tǒng)等被動性防御設(shè)備，還部署了漏洞掃描系統(tǒng)來主動探測網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。通過網(wǎng)絡(luò)安全性掃描，系統(tǒng)管理員能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)主機(jī)與服務(wù)器等網(wǎng)絡(luò)設(shè)備的各種漏洞和隱患，如端口和服務(wù)、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議。管理人員可根據(jù)掃描結(jié)果對這些漏洞和隱患進(jìn)行及時修補(bǔ)。

    2.7對原有設(shè)施進(jìn)行重新規(guī)劃部署

    除上述新增加的網(wǎng)絡(luò)安全設(shè)備外，對原有的防火墻、路由器等相關(guān)設(shè)備。進(jìn)行了重新調(diào)整和配置，使之與新增設(shè)備之間實現(xiàn)功能互補(bǔ)和聯(lián)動，從而進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)的安全性。升級改造完成后。該單位的內(nèi)網(wǎng)系統(tǒng)在入網(wǎng)用戶資格審查登記的前提下，實現(xiàn)了入網(wǎng)身份認(rèn)證和終端安全防護(hù)檢查等安全措施，認(rèn)證客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)硬件交換設(shè)備以及安全管理理平臺之間互相聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)行為，從而可以確保終端安全接入，實現(xiàn)了典有全局、立體、韌能和聯(lián)動特點的整體安全防護(hù)體系，如圖1所示，極大地提離了內(nèi)網(wǎng)的安全防護(hù)能力。

圖1 升級憲成后的整體安全防護(hù)體系

3 結(jié)語

    網(wǎng)絡(luò)安全防護(hù)的建設(shè)不是各種安全產(chǎn)品的簡單疊加，需要結(jié)合實際應(yīng)用和不同網(wǎng)絡(luò)的自身特點，對各種安全設(shè)備的功能進(jìn)行有機(jī)融合，形成一套經(jīng)濟(jì)、有效、全面的整體防御體系。而且網(wǎng)絡(luò)安全防護(hù)建設(shè)是一個長期、循序漸進(jìn)的過程，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，必然會出現(xiàn)各種新的威脅。因此，涉密內(nèi)網(wǎng)的信息安全防護(hù)建設(shè)也應(yīng)隨之不斷完善和調(diào)整，才能構(gòu)建一道保護(hù)網(wǎng)上信息安全的銅墻鐵壁。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：涉密內(nèi)網(wǎng)安全防護(hù)體系的研究與實踐

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112156497.html