计算机和网络在我国的各个行业系统均承载了极大的作用，目前，内部网络的安全威胁给众多企事业单位所造成的损失是显而易见的，如何保护内部网络，使遭受的损失减少到最低限度是目前网络安全研究人员不断探索的目标。

一、内部网络的安全现状

目前很多企事业单位都加快了企业信息化的进程，在网络平台上建立了内部网络和外部网络，并按照国家有关规定实行内部网络和外部网络的物理隔离；在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展，逐步实现企业信息的高度集成，构成完善的企事业问题解决链。

在网络安全方面，大多企业或是根据自己对安全的认识，或是根据国家和系统内部的相关规定，购置部分网络安全产品，然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施，在内部网络上的使用虽然针对性强，但往往有很大的局限性。事实证明，来自内部的数据失窃和破坏，远远高于外部黑客的攻击。由于内部网络的高性能、多应用、涉密信息分散的特点，各种分立的安全产品通常只能解决安全威胁的部分问题，而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相互对立的局面，如何在其中寻找到一个平衡点，也是众多企业中普遍存在的焦点问题。

内网更易被破坏的原因笔者认为有以下几点：首先，在对Internet严防死守和物理隔离的措施下，对网络的破坏大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够，系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台，自然有更多的系统漏洞。其次，黑客工具在Internet上很容易获得，这些工具对Internet及内部网络往往具有很大的危害性，这是内部人员能够对内部网络造成巨大损害的原因之一。而且，为了简单和易用，在内网传输的数据往往是不加密的，这为别有用心者提供了窃取机密数据的可能性。再次，内部网络的用户往往直接面对数据库、服务器进行操作，破坏者可以利用内网速度快的特性，对关键数据进行窃取或者破坏。众多的使用者有不同的权限，管理上更加困难，系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格，对于那些如记录键盘敲击的黑客工具比较容易得逞。涉密信息不仅限于服务器，同时也分布于各个工作计算机中，目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。

二、构建内部网络的安全体系

笔者认为完整的内部网络的安全体系包括安全产品、安全技术和策略、安全管理以及安全制度等多个方面，整个体系为分层结构，分为水平层面上的安全产品、安全技术和策略、安全管理，其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度，从上至下地规定各个水平层面上的安全行为。

1、安全产品

安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度，还必须有好的安全工具把安全管理的措施具体化。目前市场上的网络安全产品林林总总，各个厂家的安全产品在遵守安全标准的同时，会利用厂家联盟内部的协议提供附加的功能。这些附加功能的实现是建立在全面使用同一厂家联盟的产品基础之上的，那么选择每个方面的顶尖产品在价格上会居高不下，而且在性能上并不能达到l+1等于2甚至大于2的效果。这是因为这些产品不存在内部之间的协同工作，不能形成联动的、动态的安全保护层，一方面使得这些网络安全产品本身所具有的强大功效远没有得到充分的发挥；另一方面，这些安全产品在技术实现上，有许多重复工作，这也影响了应用的效率。因此网络安全产品的选择应该是建立在相关安全产品能够相互通信并协同工作的基础上，即实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动，以实现最大程度和最快效果的安全保证。

2、网络安全技术和策略

内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向，那么安全技术和策略的实现也应从这三个方面来考虑。

积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测（甚至是内部入侵者）层面。内部安全漏洞在于人，而不是技术。因此，应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能，具体包括：不断地自动监视目录，检查用户权限和用户组帐户有无变更；警惕地监视服务器，检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏，真正的安全管理工具会通知相应管理员，并自动采取预定行动。在积极查询的同时，也应该采用必要的攻击防范手段。对于数据的安全保护，理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术，同时采用安全的密钥分发技术，这样既防止用户对业务的否认和抵赖，同时又防止数据遭到窃听后被破解，保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份，在发现遭受攻击后可以利用备份的数据快速的恢复；针对WWW服务器网页安全问题，实施对Web文件内容的实时监控，一旦发现被非法篡改，可及时报警并自动恢复，同时形成监控和恢复日志，并提供友好的用户界面以便用户查看、使用，有效地保证了Web文件的完整性和真实性。

3、安全管理

有了好的安全工具和策略，还必须有好的安全管理人员来有效的使用工具和实现策略。经过培训的安全管理员能够随时掌握网络安全的最新动态，实时监控網络上的用户行为，保障网络设备自身和网上信息的安全，并对可能存在的网络威胁有一定的预见能力并采取相应的应对措施，同时对已经发生的网络破坏行为在最短的时间内做出响应，使企业的损失减少到最低限度。企业领导应当投入相当的经费用于网络安全管理人员的培训，或者聘请安全服务提供商来维护内部网络的安全。

4、网络安全制度

要从网络安全的角度来实施对人的管理，企业的领导必须首先认识到网络安全的重要性，在此基础上制定相应的政策法规，使网络安全的相关问题做到有法可依、有据可查，最大限度地提高员工的安全意识和安全技能，并在一定程度上造成对蓄意破坏分子的心理震慑。

目前许多企业已认识到网络安全的重要性，已采取了一些措施并购买了相应的设备，但在网络安全法规上还没有清醒的认识，或是没有较为系统和完善的制度，这样往往会给不法分子以可乘之机。国际上，以ISO17799/BSI7799为基础的信息安全管理体系已经确立，并已被广泛采用，企业可以此为标准开展安全制度的建立工作。安全组织应当有企业高层挂帅，由专职的安全管理员负责安全设备的管理与维护，监督其他人员设备安全配置的执行情况，还应当形成定期的安全评审机制。只有通过以上手段加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用。

总之，要想保证内部网络的安全，在做好边界防护的同时，更要做好内部网络的管理。安全重在管理，没有好的管理思想、严格的管理制度、负责的管理人员和实施到位的管理程序，就没有真正的安全。在有了“法治”的同时，还要有“人治”，即经验丰富的安全管理人员和先进的网络安全工具，有了这两方面的治理，才能得到一个真正安全的网络。

作者简介：

樊恒舒（1980-），政工师，硕士研究生，天津市信息中心，从事信息服务工作.endprint