浅谈企业内网安全建设

随着信息技术的发展，信息化在企业的生产经营活动中起到越来越重要的支撑作用。企业局域网的普及，办公自动化的广泛应用，企业内部ERP、MES、生产自动化等各种应用系统的实施，在给企业活动带来极大便利的同时，也带来了众多的安全隐患，如：病毒的传播、企业机密信息的泄漏、生产业务数据的丢失、网络的滥用等。而此时企业的防护手段还是主要以防火墙为代表的网络边界防护，一旦越过防火墙，来到企业局域网内部，就会对企业的内部网络造成极大的破坏和风险。

造成这种情况多是由于企业内大多数用户计算机知识有限，对信息安全认识程度不高，缺乏防护意识，加之企业网络防范技术措施的缺失，因而难以对局域网内的单点威胁爆发进行有效监控和防范。依靠单一的边界防火墙、防病毒软件无法应付病毒和其他信息安全的威胁，只有在将每个客户端都保护起来才能有效防止病毒入侵、信息泄露、蠕虫爆发，网络滥用等问题。因此，企业内网安全的管理显得日趋重要。

一、内网安全和管理概述

内网安全的概念：一般而言，我们通常以企业局域网的网络边界为限，将企业网络划分为内部网和外部网两个部分。因此，内网安全指的就是企业内部局域网的信息安全。具体地说，就是对企业局域网防火墙以内的网络的信息安全综合管理，进一步也包括局域网终端的综合管理。由于IT技术的快速发展变化，新的技术和新的安全威胁不断涌现，因此内网安全的概念自始至终就在不断的变化着。

二、内网安全现状

随着企业信息化建设的发展，企业生产经营的各种资料、数据80%以上都是以电子文档和数据的形式保存。这些信息包含了企业的核心生产技术、经营成本信息、日常生产数据等各方面的数据，对可靠性、保密性要求很高，如果发生数据丢失或泄密，将会给企业的生产经营活动造成无法估计的后果。

企业局域网的普及，为企业提高员工工作效率，提高企业整体竞争实力奠定了基础。但是，员工不规范的桌面行为，如上班时间炒股、网上玩游戏、在线看电影等行为严重影响了工作效率。同时由于BT下载、在线视频、迅雷应用等行为，造成企业局域网的堵塞，影响正常业务的开展。还有非法和不健康网站的浏览，可能会导致病毒、木马等被非法下载进入企业局域网内部，对企业网络的安全产生严重危害。

外来人员不能有效进行管理。企业合作和外协单位的工作人员来厂交流，由于不能及时对相关人员的计算机设备进行检查，容易由其计算机设备将病毒、木马等带入企业内部网络。同时，外来人员监控的缺失，也会造成企业内部资料的泄漏等情况。

由于企业的发展，办公地点分散，由此造成大量计算机系统分散布置，企业内部的资产统计工作非常繁琐。维护计算机系统的正常运转是IT部门的日常工作，但由于缺少适合的管理工具，企业内部动辄几百上千台计算机系统维护，也使得有限的IT管理人员要将有限的时间都投入到无限的系统维护工作上。

三、内网安全建设

1、内网安全建设原则

按照BS7799信息系统安全管理规范的要求，在设计信息安全系统时，必须掌握安全原则。

1.1 相对安全原则

       没有100%的信息安全，安全是相对的，在安全保护方面投入的资源是有限的。保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用。

1.2 分级/分组保护原则

       对信息系统分类，不同对象定义不同的安全级别，首先要保障安全级别高的对象。

1.3 全局性原则

       解决安全问题不只是一个技术问题，要从组织、流程、管理上予以整体考虑、解决。

2、内网安全建设架构

企业的内网安全系统建设应建立一个统一的集成化的管理平台，有整体的终端安全视图，呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。

通过统一的集成化的管理平台，管理员可以完成所有与终端安全管理维护相关的各种任务，包括用户身份认证，网络准入控制管理，网络拓扑发现及设备快速定位，终端安全策略设置（主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等），网络异常监控，移动介质管理，终端软件及补丁管理，终端的远程管理和维护，终端资产管理等多个方面。

3 安全功能模块

   3.1  准入控制管理

系统对于非法进入企业内网的终端进入进行监控与管理。管理员将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表。通过网络准入控制杜绝非法外来电脑接入内部网络；同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

对于非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法有意或无意的对网络进行攻击或者试图窃密。

   3.2  网络拓扑发现及IT资产管理

通过二层拓扑发现功能可以发现网络中的所有IT设备，包括网络设备、主机设备、网络打印机、终端设备等。实现跨网络、跨路由发现设备，支持不同厂商网络设备混合构建的异构网络设备发现。通过二层拓扑发现，能够获得网络设备之间、主机和网络设备之间的物理连接关系，获得设备的基本信息如IP地址、MAC地址、设备名、在线利用局域网终端计算机代理客户端的安装，系统可以自动终端详细的软硬件配置信息，包括CPU、主板信息、内存信息、硬盘信息、光驱信息、网卡信息、外设信息、操作系统信息等各种计算机系统信息。同时，系统可以自动收集分析终端计算机安装的软件信息，包括安装的软件名、软件厂商、版本、语言、安装日期等。

通过上述技术，管理员可以可以快速发现接入网络的所有设备（无需准入控制），无论接入网络的终端是否安装个人防火墙，均可以对其快速发现并予以定位，实现企业局域网设备的实时监控。系统智能实现自动监测系统软硬件资产的变动，记录日志并可以产生报警，同时可以根据策略自主采用响应措施，防止资产变更给客户端或者网络带来更大的危害。

  3.3  移动介质管理

移动介质的管理一直是企业IT管理中的难点，也是最容易出现安全问题的设备，对移动介质的管理主要在以下几点上进行控制：外部的或非法的移动存储设备不能随意的进入IT系统，必须经过一个安全的注册认证流程来实现对管理；经过注册的内部移动存储设备的使用要进行监管，未经授权无法到外部使用，进行加密存储；为了防御移动介质的自运行程序，在使用移动介质时，无法运行移动介质中的可执行程序；对移动介质的文件传输进行审计或禁止。

  3.4 客户端反卸载功能

终端计算机客户端代理具有自我保护功能，可以防止客户端用户随意卸载、停止代理或者删除代理的安装目录下文件。管理员必须有卸载口令才能对客户端进行卸载操作，而且卸载口令可以动态变化并下发到终端上。

即使终端客户通过格式化系统盘并重装操作系统来卸载客户端，系统也可以通过与网络准入控制功能的联动来实现对该终端的强制控制，当终端再次接入内网后，网络准入控制系统会自动把该终端划到访客区中，该终端必须重新安装客户端来实现进入网络。

  3.5 终端安全策略管理

系统可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏洞，并且也会通知管理员。

系统可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。

系统可以通过白名单、黑名单方式定义违禁软件，这些违禁软件被运行时可以产生告警事件通知管理员，或者直接禁止违禁软件的使用。

利用网络行为审计功能实现终端用户上网行为审计和控制，包括：通过白名单和黑名单，审计和控制Web网站的访问，可以禁止终端用户访问一些非法Web网站；通过白名单和黑名单，审计和控制通过POP3和SMTP服务器收发邮件，可以禁止终端用户通过外部邮箱收发邮件；对文件拷贝进行审计和控制；对MSN、QQ等聊天软件的使用进行审计和控制，可以禁止某个时间段内使用这些聊天工具；对BT、电驴等P2P软件的使用进行审计和控制，可以禁止这些P2P软件的使用。

  3.6 网络异常监控

系统客户端能够自动抵御ARP网关欺骗和DHCP欺骗，能够实现自动识别，并选用正确的网关MAC。当发现ARP网关欺骗时，能够自动向管理员报警。因为网络结构调整或者网络设备升级原因而更换网关设备时，无需更改终端的配置，终端能够自动适应，选择新的网关MAC地址。

  3.7 终端行为审计与控制

系统可以实现局域网内终端计算机的个人行为审计，包括：U盘控制功能，实现U盘的读写控制；定义终端设备能够通过哪些POP3和SMTP服务器收发邮件，禁止通过哪些POP3和SMTP服务器收发邮件，哪些需要进行审计；通过Web访问控制，可以限制桌面终端用户通过WebMail方式外传文件，从而防止文件非法外传；能够对桌面终端用户使用MSN/QQ等进行监控和管理，禁止其通过QQ/MSN外传文件，也能够防止桌面终端用户通过文件共享和FTP等的方式外传文件，从而保证了企业的核心机密数据不被泄漏。

另外，补丁分发、软件分发等功能较为简单，就不再详细描述。

4、 结束语

随着信息技术的不断发展和进步，内网安全的管理也在不断的发展。从最初的资产管理、补丁分发，到准入控制、设备加密、行为审计，再到数据防泄漏、透明加密，随着技术的进步和内网安全理念的不断深入发展，内网安全的建设也越来越全面，越来越成熟。

目前，内网安全管理已经进入了整体防泄漏时代。准入控制和加密不能解决所有的问题，单纯的行为审计也没有任何意义。我们只有从企业信息安全管理的全局视角出发，对信息安全进行全方位、多角度的设计，统筹规划、统一安排，全面整合利用准入控制、网络监控、安全审计、权限管理、透明加密等多种手段，根据企业局域网内安全等级的不同，涉密级别的不同，部署级别不同、力度不一的梯度式防护系统，将管理、技术、审计、人员进行有机的结合，在企业内部构建一个立体化的整体安全网络，才能实现真正意义上的内网安全。