郭登明

【摘 要】本文分析了解影响内网安全的行为，并提出了相应的安全策略。

【关键词】内网；安全；策略

随着企业管理信息化和网络化的发展，企业中的各种信息都通过网络进行传递，因此如何保证企业内网信息的安全，已经越来越引起人们的重视。谈到网络安全，大部分人的思维还停留在病毒破坏和黑客攻击上，习惯于倾向外部入侵的防御，强化安全设备的部署和优化等，往往会忽略来自于网络内部的安全隐患。从目前公开报道的网络泄密案件来看，85%信息风险来自内部，由于内部员工保密意识的薄弱，或者恶意泄露，这些都给企业带来了信息的安全隐患。只有从数据源头保护了数据的安全才能真正的保证企业核心信息的安全。

一、企业内网存在的安全隐患：

企业内网存在的安全隐患一般存在如下几个方面：

1.明文保存

目前，多数企业内部的文件都是以明文保存，仅限制浏览文件的用户。如果不加密，则进行再多的防范都是不可靠的，同样会泄密。现在有很多手段防止文档非法拷贝，如堵塞电脑的USB接口，检查电子邮件发送，但是，只要是明文的文档，泄密的途径就防不胜防，变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等；

2.粗放的权限控制

内部涉密文档的访问缺少权限控制，对于公司的重要资料无法限制内部员工的传阅、使用方式、使用次数、及使用时间的限制。这将导致公司的核心信息资产一旦共享给员工后再无法控制员工对文件的使用范围；

3.内部工作人员故意泄密

内部工作人员为了经济利益或其它因素，将企业内部的涉密资料故意传播出去；

4.不良的网络行为造成的无意识泄密

终端用户网络行为是企业安全威胁的重要因素。无限制的浏览网站，下载文件极易使终端感染病毒、木马，从而造成无意识的泄密。

二、企业内网安全策略的分级实现：

针对以上分析，我们认为，企业内网的安全策略应该从应用层和系统架构两个方面去建立。应用层面主要是保证数据存储的安全可靠，系统架构是为了保证数据的传输安全。

1.完善应用层，保障数据安全可靠

（1）采用文档级动态加解密技术。在不同的操作系中（如WINDOWS、LINUX、UNIX等），应用程序在访问存储设备数据时，一般都通过操作系统提供的API 调用文件系统，然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个路径中，均可对访问的数据实施加密/解密操作，可以研制出功能非常强大的文档安全产品。有些文件系统自身就支持文件的动态加解密，如Windows系统中的NTFS文件系统，其本身就提供了EFS（Encryption File System）支持，但作为一种通用的系统，难以做到满足各种用户个性化的要求，如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满足用户的个性化需求，第三方的动态加解密产品可以看作是文件系统的一个功能扩展，能够根据需要进行挂接或卸载，从而能够满足用户的各种需求；

（2）采用磁盘级动态加解密技术。对于信息安全要求比较高的用户来说，基于磁盘级的动态加解密技术才能满足要求。在系统启动时，动态加解密系统实时解密硬盘的数据，系统读取什么数据，就直接在内存中解密数据，然后将解密后的数据提交给操作系统即可。

（3）建立企业内部的文档系统，限制内部员工的传阅、使用方式、使用次数、及使用时间以及使用范围。通过管理员权限设置下发文件，做到控制文件的查看次数以及时间段；

2.细化系统架构，确保传输安全

（1）细化网络划分，内网划分为一个或者多个保密子网。将内网划分为一个或者多个保密子网，同一个保密子网内部的计算机可以实现相互自由的数据交换（通过网络或者存储设备），不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换，除非获得管理员的授权。

通过保密子网的划分，可以在保障网络统一维护的前提下，对企业内部不同职能部门实现有效的数据隔离，例如财务部和其他部门独立开来，增加内网安全级别，降低安全风险。通过保密子网，还可以有效防止非法外连或者非法接入。非法外连不管是基于Modem、ADSL拨号或者双网卡，都能够有效防止；非法接入不管是通过交换机接入或者通过网线将两台计算机直连，也都能够有效防止。不同保密子网（VCN）之间可以设定信任关系，从而允许他们的计算机之间进行数据交换。

（2）服务器访问授权。构建安全服务器区域，受保护的服务器接入到安全网关后面，用户访问服务器要通过安全网关进行身份认证，通过建立安全服务器区可以用来保护单位重要的应用服务器和数据服务器。仅有授权的客户端计算机能够访问安全服务器区内相应的服务器，有效实现了安全授权，也实现了防止针对服务器的非法接入访问。

（3）强化移动存储设备管理。建立移动存储设备管理系统实现对移动存储设备的有效管理，避免出现非法拷贝。管理员可以设定没有注册的移动存储设备（U盘或者移动硬盘等）默认的使用策略，可选策略包括禁用（没有注册的磁盘禁止使用）、只读（可以将没注册磁盘数据拷入到网内的计算机，但不能拷出数据）或者加密读写（所有写入该未注册磁盘的数据自动加密，加密的数据只能在计算机所在的网内使用）。如果移动存储设备要在系统中获得默认策略以外的权限，则必须经过管理员注册，注册的权限包括：只读、加密读写和直接读写，并可以设定信任域是否也能够使用。加密读写可以有效控制数据的安全共享范围，并且不影响存储设备使用的方便性。

（4）强化防火墙的管理。选择的防火墙必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略，限制用户的一些网络行为。例如允许用户使用QQ的文本聊天、语音视频聊天但不允许进行文件传输功能，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化（俗称应用QoS）不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。

（5）主机监控审计。主机监控审计功能作为辅助，主要实现事后审计的功能，能够监督、跟踪、记录所有用户的全部操作，实时查看用户的使用情况，实现最高的系统安全。可以从庞大的记录数据中抽取有用的信息，对用户的某些操作进行分类整理，通过操作记录，回溯历史活动，从而发现泄密渠道。通过跟踪目前用户操作，能及时发现用户的危险操作，在泄密事件发现前就获得警报，制止泄密事件的发生。一旦泄密事件发生后，通过用户操作记录， 可以第一时间拿出最有力的证据。

三、总结

内网安全是一个系统工程，本文仅从技术层面做了一定的探讨。但是，我们也应该看到，安全管理的核心是限制人的行为。企业应该完善规章制度，强化管理，通过行政手段做出保障。