内网的安全与管理

内网的安全与管理摘要：一直以来，安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小关键字：安全风险控制防御内网安全的首要任务:全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安一直以来，安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。然而，来自网络内部的安全威胁却渐渐地突显出来，网络的内部安全问题大于外部问题，已经成为业界共识。频频暴露出来的违规安装软件，私自拨号上网，私自带入其他设备接入等情况使得内网安全隐患重重，进行内网系统安全优化建设已经刻不容缓。然而要进行内网安全建设，第一步首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而迅速、准确得解决内网安全问题。经过多年的深入研究和技术积累，安天实验室于2010年8月推出了多维度智能主机安全检查系统（TDS），它是针对内网计算机进行全面的安全保密检查及精准的安全等级判定的软件系统，并有着强有力的内网安全检测分析能力和修复能力。如今企业或单位的网络内都存有众多重要数据，而这些网络交叉相连，操作系统混杂不一，主机型号多种多样的，内部网络规模庞大，应用系统复杂，加上工作人员庞杂，给企业内部信息安全管理带来了巨大压力。TDS解决了这一问题，它可以对主机进行自动化检查，检测内网安全隐患，实时查明内网节点安全漏洞。尤其是针对敏感部门、重点机构和信息化建设中的企事业单位。TDS的一键式运行操作，减少了企业部门在内网安全方面投入的人员数量，减轻操作人员的工作强度。TDS无需安装软件，检测后不留痕迹的特点，适合政府机关、企业单位机密数据的保密制度，防止机密泄漏、数据丢失的现象发生，保证了国家政府机关、企业单位的信息安全。前一阶段各企业为了保证内网安全，纷纷购买了独立的杀毒软件，检测工具。然而，随着经济发展所带来的人员流动性的不断增强，由于这些由不同厂商提供，不同种类的网络和安全设备之间，缺乏有效的信息整合，很容易形成信息孤岛，从而被各个击破。以往的检查产品扫描过程漫长、排查隐患不合理、问题定位不精确、扫描缺乏深度、安全结论模糊等一系列业内技术难题始终存在。TDS主机安全检查系统再一次突破以往的技术领域，它具有高性能的检测能力和多维度的检测角度的特点，能全面分析检测内网计算机保密安全性与系统脆弱性，对身份鉴别、安全标记、访问控制、安全审计、通讯保密性等进行全面检查，提取近百个检测点分析，还具有漏洞扫描探测、操作系统信息采集与分析、日志分析、木马检查、安全攻击仿真、网络协议分析、系统性能压力、渗透测试、安全配置检查、进程查看分析、数据恢复取证（涉密定制）、网络行为分析等多个方面评判计算机安全性能的能力，TDS将会引领新一代的主机安全检查潮流。2004年，通过网络快速自动传播的蠕虫病毒颠覆了内网安全的格局，所造成的经济损失首次超过信息被窃所造成的损失，跃居第一。为了防止灾难再次发生，TDS主机安全检查系统还提供病毒扫描快速通道，通过调用获得科技部创新基金的安天AVLSDK可嵌入反病毒引擎，可以检查系统中各种病毒、后门、木马、蠕虫、黑客工具、恶意程序、关注文件等有害数据和敏感程序，并能发现私自访问互联网行为，全面保护内网系统安全不再受病毒的侵害。二、内网安全风险分析现代企业的网络环境是建立在当前飞速发展的开放网络环境中，顾名思义，开放的环境既为信息时代的企业提供与外界进行交互的窗口，同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径，使企业网络面临种种威胁和风险：病毒、蠕虫对系统的破坏；系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏，导致企业安全策略不能真正的得到很好的落实，开放的网络给企业的信息安全带来巨大的威胁。1.病毒、蠕虫入侵目前，开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护，特别是对新类型新变种的病毒、蠕虫，防护技术总要相对落后于新病毒新蠕虫的入侵。病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于内部网络用户的各种危险应用：不安装杀毒软件；安装杀毒软件但不及时升级；网络用户在安装完自己的办公桌面系统后，未采取任何有效防护措施就连接到危险的网络环境中，特别是Internet；移动用户计算机连接到各种情况不明网络环境，在没有采取任何防护措施的情况下又连入企业网络；桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施，企业业务带来无法估量的损失。2.软件漏洞隐患企业网络通常由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者成为攻击整个企业网络媒介，危及整个企业网络安全。3.系统安全配置薄弱企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置，例如，账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的企业网络环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞，完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患，黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。4.脆弱的网络接入安全防护传统的网络访问控制都是在企业网络边界进行的，或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后，用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞，例如，企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP，以太网接入等等网络接入方式，在外网和企业内网之间建立一个安全通道。另一个传统网络访问控制问题来自企业网络内部，尤其对于大型企业网络拥有成千上万的用户终端，使用的网络应用层出不穷，目前对于企业网管很难准确的控制企业网络的应用，这样的现实导致安全隐患的产生：员工使用未经企业允许的网络应用，如邮件服务器收发邮件，这就可能使企业的保密数据外泄或感染邮件病毒；企业内部员工在终端上私自使用未经允许的网络应用程序，在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件，从而感染内部网络，进而造成内部网络中敏感数据的泄密或损毁。5.企业网络入侵现阶段黑客攻击技术细分下来共有8类，分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。对于采取各种传统安全防护措施的企业内网来说，都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说，安全保障就会严重恶化，当移动用户连接到企业内网，就会将各种网络入侵带入企业网络。6.终端用户计算机安全完整性缺失随着网络技术的普及和发展，越来越多的员工会在企业专网以外使用计算机办公，同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外，很有可能被黑客攻陷或感染网络病毒。同时，企业现有的安全投资（如：防病毒软件、各种补丁程序、安全配置等）若处于不正常运行状态，终端员工没有及时更新病毒特征库，或私自卸载安全软件等，将成为黑客攻击内部网络的跳板。三、内网安全实施策略1.多层次的病毒、蠕虫防护病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法，其中的原因是多方面的，有人为的原因，如不安装防杀病毒软件，病毒库未及时升级等等，也有技术上的原因，杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的，但我们可以控制它的危害程度，只要我们针对不同的原因采取有针对性的切实有效的防护办法，就会使病毒、蠕虫对企业的危害减少到最低限度，甚至没有危害。这样，仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。2.终端用户透明、自动化的补丁管理，安全配置为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个企业网络安全不至由于个别软件系统的漏洞而受到危害，完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略，定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全代理，安全代理执行这些策略，以保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。3.全面的网络准入控制为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患，以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题，除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题，同时对传统的网络边界访问控制没有解决的网络接入安全防护措施，而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时，检查客户端的安全策略状态是否符合企业整体安全策略，对于符合的外网访问则放行。一个全面的网络准入检测系统。4.终端设备安全完整性保证主机完整性强制是确保企业网络安全的关键组件。主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品，以确保企业网络和信息的安全，阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而，只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后，才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性，也就不能将该设备看成企业网络受信设备。参考文献：{企业内网管理}清华大学出版社2003版{计算机内网安全}吉林大学出版社2008版