近幾年，隨著網(wǎng)絡安全事件的頻頻發(fā)生，人們對外部入侵和INTERNET的安全日益重視，但來自內(nèi)部網(wǎng)絡的攻擊卻有愈演愈烈之勢，內(nèi)網(wǎng)安全成為企業(yè)管理的隱患。信息資料被非法流露、拷貝、篡改，往往給企業(yè)、政府或軍隊部門造成重大損失。使內(nèi)部網(wǎng)絡始終處于安全、可靠、保密的環(huán)境下運行，幫助企業(yè)各類業(yè)務統(tǒng)一優(yōu)化、規(guī)范管理，保障各類業(yè)務正常安全運行，這就是內(nèi)網(wǎng)安全管理產(chǎn)品能夠帶給我們的價值。

　　一、 內(nèi)網(wǎng)面臨的主要安全威脅

　　國內(nèi)信息安全領(lǐng)導企業(yè)啟明星辰認為，內(nèi)網(wǎng)主要面臨的安全威脅有如下幾條：

　　單位資產(chǎn)，員工私產(chǎn)——資產(chǎn)管理失控：網(wǎng)絡中終端用戶隨意增減調(diào)換，每個終端硬件配備(CPU、硬盤、內(nèi)存等)肆意組裝拆卸、操作系統(tǒng)隨意更換、各類應用軟件胡亂安裝卸載，各種外設(shè)(軟驅(qū)、光驅(qū)、U盤、打印機、Modem等)無節(jié)制使用。

　　網(wǎng)絡無限，自由無限——網(wǎng)絡資源濫用：IP地址濫用，流量濫用，甚至工作時間聊天、游戲、賭博、瘋狂下載、登陸色情反動網(wǎng)站等行為影響工作效率，影響網(wǎng)絡正常使用。

　　蠕蟲泛濫，業(yè)務癱瘓——病毒蠕蟲入侵：由于補丁不及時、網(wǎng)絡濫用、非法接入等因素導致網(wǎng)絡內(nèi)病毒蠕蟲泛濫、網(wǎng)絡阻塞、數(shù)據(jù)損壞丟失，而且無法找到災難的源頭以迅速采取隔離等處理措施，從而為正常業(yè)務帶來災難性的持續(xù)的影響。

　　門戶大開，長驅(qū)直入——外部非法接入：移動設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入或者入侵內(nèi)部網(wǎng)絡，帶來病毒傳播、黑客入侵等不安全因素。

　　外賊好治，家賊難防——內(nèi)部非法外聯(lián)：內(nèi)部網(wǎng)絡用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等，或違反規(guī)定將專網(wǎng)專用計算機帶出網(wǎng)絡進入到其他網(wǎng)絡。

　　網(wǎng)絡無界，一損俱損——重要信息泄密：因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡濫用、外設(shè)濫用等各種原因與管理不善導致組織內(nèi)部重要信息泄露或毀滅，造成不可彌補的重大損失。

　　千里之堤，毀于蟻穴——補丁管理混亂：終端用戶不了解系統(tǒng)補丁狀態(tài)，不及時打補丁，也沒有辦法統(tǒng)一進行補丁的下載、分析、測試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道。

　　根據(jù)啟明星辰多年的經(jīng)驗，以下一些內(nèi)網(wǎng)安全問題容易被用戶忽略，主要是：

　　· 如何進行補丁自動分發(fā)部署和補丁控制(微軟公司SUS/SMS存在功能不足);

　　· 如何進行外來筆記本電腦隨意接入控制;

　　· 如何防范網(wǎng)絡物理隔離泄漏;

　　· 如何對未安裝防病毒軟件的終端進行統(tǒng)計;

　　· 如何對感染蠕蟲病毒的計算機快速定位，并強制其斷開網(wǎng)絡連接;

　　· 如何有效進行網(wǎng)絡IP設(shè)備資源管理;

　　· 如何對終端的安全策略進行統(tǒng)一配置管理;

　　· 如何審計終端的各種違規(guī)行為。

　　二、內(nèi)網(wǎng)安全管理應該實現(xiàn)哪些功能?

　　內(nèi)網(wǎng)安全管理產(chǎn)品應該具備終端基本管理、IT資產(chǎn)管理、終端桌面管理、終端安全管理、網(wǎng)絡主機運維、事件報表及報警處置、審計、補丁管理等功能。

　　以某商業(yè)銀行部署啟明星辰天玥內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)為例，該行是1992年經(jīng)人民銀行批準試營運，下轄數(shù)十個支行，共有營業(yè)網(wǎng)點上千個。該網(wǎng)絡較為復雜，需要部署省、市兩級內(nèi)網(wǎng)安全管理系統(tǒng)，對終端進行統(tǒng)一監(jiān)控和管理。系統(tǒng)需要在內(nèi)網(wǎng)部署一臺內(nèi)網(wǎng)安全管理服務器，由于系統(tǒng)管理采用B/S構(gòu)架，管理員可在網(wǎng)絡的任何終端通過登陸內(nèi)網(wǎng)管理服務器的管理頁面進行管理和各種信息查詢;所有的網(wǎng)絡終端需要安裝客戶端程序以對其進行監(jiān)控和管理;系統(tǒng)同時需要在外網(wǎng)部署一臺補丁下載服務器(部署于外網(wǎng)，和互聯(lián)網(wǎng)相連)，用來更新補丁信息(此服務器也可用來下載病毒庫升級文件)。

　　具體的部署和管理構(gòu)架如下：

　　天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)可以實現(xiàn)的功能主要有：

　　· 客戶端分組管理功能：可按客戶端各種軟、硬件特征、IP范圍、注冊信息等進行進行分組管理。

　　· 策略管理功能：可根據(jù)時間段和時間點定制策略使用或禁止使用的觸發(fā)條件，按照條件搜索的設(shè)備進行策略分組分發(fā)管理。

　　· 日志功能：記錄系統(tǒng)登陸、操作及客戶端違規(guī)日志，可進行模糊查詢，并支持按管理員自定義字段進行報表導出。

　　· 全網(wǎng)統(tǒng)一升級：管理中心升級后，全網(wǎng)客戶端程序既自動升級。

　　· 轉(zhuǎn)發(fā)代理功能：為在軟件分發(fā)(或補丁分發(fā))的過程，盡量減少消耗網(wǎng)絡資源，保證客戶端可從其他客戶端下載分發(fā)軟件。

　　· IP漂移功能：管理中心IP地址的可無縫切換。

　　· 支持雙機熱備：管理中心支持雙機高可用方案，配合雙機軟件可實現(xiàn)管理中心的雙機熱備。

　　· 終端代理掃描功能：各個VLAN中的注冊客戶端可觸發(fā)掃描功能發(fā)現(xiàn)網(wǎng)絡中的設(shè)備信息，并上報到服務器，減小了網(wǎng)絡復雜性帶來的部署難度，并可發(fā)現(xiàn)安裝個人防火墻的非法接入設(shè)備。

　　· 多級部署：管理中心可多級部署，由上級管理中心統(tǒng)一配置管理策略，由下級管理中心將違規(guī)報警信息的級聯(lián)上報。

　　對于金融、政府等重要行業(yè)來說，信息安全保障系統(tǒng)建設(shè)，不僅需要嚴格的“制度防內(nèi)”包括建立嚴密的計算機管理規(guī)章制度、運行規(guī)程，形成內(nèi)部各層人員、各職能部門、各應用系統(tǒng)的相互制約關(guān)系，杜絕內(nèi)部作案的可能性，并建立良好的故障處理反應機制，保障信息系統(tǒng)的安全正常運行;更需要成熟完善的“技術(shù)防內(nèi)”，通過技術(shù)手段上加強安全措施，防止內(nèi)部不合規(guī)行為，防止內(nèi)網(wǎng)的信息泄密，使正常業(yè)務與應用不受影響。“內(nèi)憂”勝于“外患”，企業(yè)不僅需要鑄造如同長城一般的邊關(guān)防御體系，同樣需要著重管理，打造安全和諧的內(nèi)部環(huán)境。