企业内网安全分析与策略

1、企业内网平安分析与策略一、背景分析提起网络信息平安，人们自然就会想到病毒破坏和黑客攻击。其实不然，政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失，据权威机构调查：三分之二以上的平安威胁来自泄密和内部人员犯罪，而非病毒和外来黑客引起。目前，政府、企业等社会组织在网络平安防护建立中，普遍采用传统的内网边界平安防护技术，即在组织网络的边缘设置网关型边界防火墙、aaa认证、入侵检测系统ids等等网络边界平安防护技术，对网络入侵进展监控和防护，抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失，保证组织业务流程的有效进展。这种解决策略是针对外部入侵的防范，对于来自网络内部

2、的对企业网络资源、信息资源的破坏和非法行为的平安防护却无任何作用。对于那些需要经常挪动的终端设备在平安防护薄弱的外部网络环境的平安保障，企业基于网络边界的平安防护技术就更是鞭长莫及了，由此危及到内部网络的平安。一方面，企业中经常会有人私自以de拨号方式、或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了宏大的潜在威胁;另一方面，黑客利用虚拟专用网络vpn、无线局域网、操作系统以及网络应用程序的各种破绽就可以绕过企业的边界防火墙侵入企业内部网络，发起攻击使内部网络瘫痪、重要效劳器宕机以及破坏和窃取企业内部的重要数据。二、内网平安风险分析现代企业的网络环境是建立在

3、当前飞速开展的开放网络环境中，顾名思义，开放的环境既为信息时代的企业提供与外界进展交互的窗口，同时也为企业外部提供了进入企业最核心地带企业信息系统的便捷途径，使企业网络面临种种威胁和风险：病毒、蠕虫对系统的破坏；系统软件、应用软件自身的平安破绽为不良企图者所利用来窃取企业的信息资源;企业终端用户由于平安意识、平安知识、平安技能的匮乏，导致企业平安策略不能真正的得到很好的落实，开放的网络给企业的信息平安带来宏大的威胁。1.病毒、蠕虫入侵目前，开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成平安防护，特别是

4、对新类型新变种的病毒、蠕虫，防护技术总要相对落后于新病毒新蠕虫的入侵。病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络平安防护措施的破绽外，最大的威胁却是来自于内部网络用户的各种危险应用：不安装杀毒软件；安装杀毒软件但不及时晋级；网络用户在安装完自己的办公桌面系统后，未采取任何有效防护措施就连接到危险的网络环境中，特别是internet；挪动用户计算机连接到各种情况不明网络环境，在没有采取任何防护措施的情况下又连入企业网络；桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息根底设施，企业业务带来无法估量的损失。2.软件破绽隐患

5、企业网络通常由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广阔终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可防止的、潜在的或的软件破绽。无论哪一局部的破绽被利用，都会给企业带来危害，轻者危及个别设备，重者成为攻击整个企业网络媒介，危及整个企业网络平安。3.系统平安配置薄弱企业网络建立中应用的各种软件系统都有各自默认的平安策略增强的平安配置设置，例如，账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些平安配置的正确应用对于各种软件系统自身的平安防护的增强具有重要作用，但在实际的企业网络环境中，这些平安配置却被无视，尤其

6、是那些网络的终端用户，导致软件系统的平安配置成为“软肋、有时可能严重为配置破绽，完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强迫攻击就是利用了弱口令习惯性的使用平安隐患，黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。4.脆弱的网络接入平安防护传统的网络访问控制都是在企业网络边界进展的，或在不同的企业内网不同子网边界进展且在网络访问用户的身份被确认后，用户即可以对企业内网进展各种访问操作。在这样一个访问控制策略中存在无限的企业网络平安破绽，例如，企业网络的合法挪动用户在平安防护较差的外网环境中使用vpn连接、远程拨号、无线ap，以太网接入等等网络接入方式，在

7、外网和企业内网之间建立一个平安通道。另一个传统网络访问控制问题来自企业网络内部，尤其对于大型企业网络拥有成千上万的用户终端，使用的网络应用层出不穷，目前对于企业网管很难准确的控制企业网络的应用，这样的现实导致平安隐患的产生：员工使用未经企业允许的网络应用，如邮件效劳器收发邮件，这就可能使企业的保密数据外泄或感染邮件病毒；企业内部员工在终端上私自使用未经允许的网络应用程序，在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件，从而感染内部网络，进而造成内部网络中敏感数据的泄密或损毁。5.企业网络入侵现阶段黑客攻击技术细分下来共有8类，分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、回绝效

8、劳攻击、对防火墙的攻击、病毒攻击、假装程序/木马程序攻击、后门攻击。对于采取各种传统平安防护措施的企业内网来说，都没有万无一失的把握;对于从企业内网走出到平安防护薄弱的外网环境的挪动用户来说，平安保障就会严重恶化，当挪动用户连接到企业内网，就会将各种网络入侵带入企业网络。6.终端用户计算机平安完好性缺失随着网络技术的普及和开展，越来越多的员工会在企业专网以外使用计算机办公，同时这些移发动工需要连接回企业的内部网络获取工作必须的数据。由于这些挪动用户处于专网的保护之外，很有可能被黑客攻陷或感染网络病毒。同时，企业现有的平安投资如：防病毒软件、各种补丁程序、平安配置等假设处于不正常运行状态，终端员

9、工没有及时更新病毒特征库，或私自卸载平安软件等，将成为黑客攻击内部网络的跳板。三、内网平安施行策略1.多层次的病毒、蠕虫防护病毒、蠕虫破坏网络平安事件一直以来在网络平安领域就没有一个根本的解决方法，其中的原因是多方面的，有人为的原因，如不安装防杀病毒软件，病毒库未及时晋级等等，也有技术上的原因，杀毒软件、入侵防范系统等平安技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好似是无法防止的，但我们可以控制它的危害程度，只要我们针对不同的原因采取有针对性的实在有效的防护方法，就会使病毒、蠕虫对企业的危害减少到最低限度，甚至没有危害。这样，仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的

10、。2.终端用户透明、自动化的补丁管理，平安配置为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的平安破绽，使整个企业网络平安不至由于个别软件系统的破绽而受到危害，完全必要在企业的平安管理策略中加强对补丁晋级、系统平安配置的管理。用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁晋级、系统配置策略，定义终端补丁下载。将补丁晋级策略、增强终端系统平安配置策略下发给运行于各终端设备上的平安代理，平安代理执行这些策略，以保证终端系统补丁晋级、平安配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的费事和企业网络的平安风险，进步企业网络整体的补丁晋级、平

11、安配置管理效率和效用，使企业网络的补丁及平安配置管理策略得到有效的落实。3.全面的网络准入控制为理解决传统的外网用户接入企业网络给企业网络带来的平安隐患，以及企业网络平安管理人员无法控制内部员工网络行为给企业网络带来的平安问题，除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题，同时对传统的网络边界访问控制没有解决的网络接入平安防护措施，而采用边界准入控制、接入层准入控制等技术进展全面的实现准入控制。当外网用户接入企业网络时，检查客户端的平安策略状态是否符合企业整体平安策略，对于符合的外网访问那么放行。一个全面的网络准入检测系统。4.终端设备平安完好性保证主机完好性强迫是确保企业网络平安的关键组件。主机完好性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息平安业界已经开发出了多种基于主机的平安产品，以确保企业网络和信息的平安，阻止利用网络连接技