企业内网安全建设浅谈

企业内网安全建设浅谈【摘要】随着信息技术的发展，企业内网安全得到了越来越多企业的重视，如何建立一个合格的内网安全系统，如何进行网络安全策略设置，如何实施内网安全系统，如何保证企业内部核心数据安全，成为企业迫切需要解决的问题。本文从内网安全的概念，内网安全系统的实施原则、建设的架构、具体的实现功能和内网安全系统发展展望等方面进行了探讨，为企业内网安全系统的建设提供了参考指导和帮助。

【关键词】内网安全；准入控制；审计；安全策略

【abstract】withthedevelopmentofinformationtechnology,intranetsecurityhasbeenmoreandmoreimportant,howtosetupaeligiblesecuritysystem,howtosetupanetworksecuritypolicy,howtoimplementthesafetynetworksystem,howtoguaranteefthesecurityofcoredatafromcompany.thosearetheissuesneedtobesolvedimmediatelyaccordingtotheenterprisepressingrequirement.thisarticlestudiedsevealdirectionsfromtheinnernetworksecurityconceptandinnersafetynetsystemimplementationprinciples,structureframeandspecificfunctionandtheinnersafetynetsystemdevelopmentvision,thoseprovidedreferenceandhelpnessforenterpriseinnersafetynetsystemestablishment.

【keywords】intranetsecurity;accesscontrol;audit;securitystrategy

0引言

随着信息技术的发展，信息化在企业的生产经营活动中起到越来越重要的支撑作用。企业局域网的普及，办公自动化的广泛应用，企业内部erp、mes、生产自动化等各种应用系统的实施，在给企业活动带来极大便利的同时，也带来了众多的安全隐患，如：病毒的传播、企业机密信息的泄漏、生产业务数据的丢失、网络的滥用等。而此时企业的防护手段还是主要以防火墙为代表的网络边界防护，一旦越过防火墙，来到企业局域网内部，就会对企业的内部网络造成极大的破坏和风险。

造成这种情况多是由于企业内大多数用户计算机知识有限，对信息安全认识程度不高，缺乏防护意识，加之企业网络防范技术措施的缺失，因而难以对局域网内的单点威胁爆发进行有效监控和防范。依靠单一的边界防火墙、防病毒软件无法应付病毒和其他信息安全的威胁，只有在将每个客户端都保护起来才能有效防止病毒入侵、信息泄露、蠕虫爆发，网络滥用等问题。因此，企业内网安全的管理显得日趋重要。

1内网安全和管理概述

内网安全的概念：一般而言，我们通常以企业局域网的网络边界为限，将企业网络划分为内部网和外部网两个部分。因此，内网安全指的就是企业内部局域网的信息安全。具体地说，就是对企业局的安全运行状况。管理员不仅可以看到终端安全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。

通过统一的集成化的管理平台，管理员可以完成所有与终端安全管理维护相关的各种任务，包括用户身份认证，网络准入控制管理，网络拓扑发现及设备快速定位，终端安全策略设置（主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等），网络异常监控，移动介质管理，终端软件及补丁管理，终端的远程管理和维护，终端资产管理等多个方面。

3.3安全功能模块

3.3.1准入控制管理

系统对于非法进入企业内网的终端进入进行监控与管理。管理员将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式可以是vlan或者基于ip的访问控制列表。通过网络准入控制杜绝非法外来电脑接入内部网络；同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

对于非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法有意或无意的对网络进行攻击或者试图窃密。

3.3.2网络拓扑发现及it资产管理

通过二层拓扑发现功能可以发现网络中的所有it设备，包括网络设备、主机设备、网络打印机、终端设备等。实现跨网络、跨路由发现设备，支持不同厂商网络设备混合构建的异构网络设备发现。通过二层拓扑发现，能够获得网络设备之间、主机和网络设备之间的物理连接关系，获得设备的基本信息如ip地址、mac地址、设备名、在线

利用局域网终端计算机代理客户端的安装，系统可以自动终端详细的软硬件配置信息，包括cpu、主板信息、内存信息、硬盘信息、光驱信息、网卡信息、外设信息、操作系统信息等各种计算机系统信息。同时，系统可以自动收集分析终端计算机安装的软件信息，包括安装的软件名、软件厂商、版本、语言、安装日期等。

通过上述技术，管理员可以可以快速发现接入网络的所有设备（无需准入控制），无论接入网络的终端是否安装个人防火墙，均可以对其快速发现并予以定位，实现企业局域网设备的实时监控。系统智能实现自动监测系统软硬件资产的变动，记录日志并可以产生报警，同时可以根据策略自主采用响应措施，防止资产变更给客户端或者网络带来更大的危害。

3.3.3移动介质管理

移动介质的管理一直是企业it管理中的难点，也是最容易出现安全问题的设备，对移动介质的管理主要在以下几点上进行控制：外部的或非法的移动存储设备不能随意的进入it系统，必须经过一个安全的注册认证流程来实现对管理；经过注册的内部移动存储设备的使用要进行监管，未经授权无法到外部使用，进行加密存储；为了防御移动介质的自运行程序，在使用移动介质时，无法运行移动介质中的可执行程序；对移动介质的文件传输进行审计或禁止。

3.3.4客户端反卸载功能

终端计算机客户端代理具有自我保护功能，可以防止客户端用户随意卸载、停止代理或者删除代理的安装目录下文件。管理员必须有卸载口令才能对客户端进行卸载操作，而且卸载口令可以动态变化并下发到终端上。

即使终端客户通过格式化系统盘并重装操作系统来卸载客户端，系统也可以通过与网络准入控制功能的联动来实现对该终端的强制控制，当终端再次接入内网后，网络准入控制系统会自动把该终端划到访客区中，该终端必须重新安装客户端来实现进入网络。

3.3.5终端安全策略管理

系统可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用guest账号、账号口令是否很长时间没有修改、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏洞，并且也会通知管理员。

系统可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。

系统可以通过白名单、黑名单方式定义违禁软件，这些违禁软件被运行时可以产生告警事件通知管理员，或者直接禁止违禁软件的使用。

利用网络行为审计功能实现终端用户上网行为审计和控制，包括：通过白名单和黑名单，审计和控制web网站的访问，可以禁止终端用户访问一些非法web网站；通过白名单和黑名单，审计和控制通过pop3和smtp服务器收发邮件，可以禁止终端用户通过外部邮箱收发邮件；对文件拷贝进行审计和控制；对msn、qq等聊天软件的使用进行审计和控制，可以禁止某个时间段内使用这些聊天工具；对bt、电驴等p2p软件的使用进行审计和控制，可以禁止这些p2p软件的使用。

3.3.6网络异常监控

系统客户端能够自动抵御arp网关欺骗和dhcp欺骗，能够实现自动识别，并选用正确的网关mac。当发现arp网关欺骗时，能够自动向管理员报警。因为网络结构调整或者网络设备升级原因而更换网关设备时，无需更改终端的配置，终端能够自动适应，选择新的网关mac地址。

3.3.7终端行为审计与控制

系统可以实现局域网内终端计算机的个人行为审计，包括：u盘控制功能，实现u盘的读写控制；定义终端设备能够通过哪些pop3和smtp服务器收发邮件，禁止通过哪些pop3和smtp服务器收发邮件，哪些需要进行审计；通过web访问控制，可以限制桌面终端用户通过webmail方式外传文件，从而防止文件非法外传；能够对桌面终端用户使用msn/qq等进行监控和管理，禁止其通过qq/msn外传文件，也能够防止桌面终端用户通过文件共享和ftp等的方式外传文件，从而保证了企业的核心机密数据不被泄漏。

另外，补丁分发、软件分发等功能较为简单，就不再详细描述。

4结束语

随着信息技术的不断发展和进步，内网安全的管理也在不断的发展。从最初的资产管理、补丁分发，到准入控制、设备加密、行为审计，再到数据防泄漏、透明加密，随着技术的进步和内网安全理念的不断深入发展，内网安全的建设也越来越全面，越来越成熟。

目前，内网安全管理已经进入了整体防泄漏时代。准入控制和加密不能解决所有的问题，单纯的行为审计也没有任何意义。我们只有从企业信息安全管理的全局视角出发，对信息安全进行全方位、多角度的设计，统筹规划、统一安排，全面整合利用准入控制、网络监控、安全审计、权限管理、透明加密等多种手段，根据企业局域网内安全等级的不同，涉密级别的不同，部署级别不同、力度不一的梯度式防护系统，将管理、技术、审计、人员进行有