内网数据安全范文

内网数据安全范文（精选12篇）

内网数据安全 第1篇

在计算机与互联网发展快速节奏的影响下, 整个社会已步入了全球信息化时代。在网络带来各种便利时, 也不可豁免的存在潜藏威胁, 据数据统计我国有60%以上的大型企业都存在高度网络攻击风险, 而数据泄漏带来的损失高达上百亿。因此, 加强各大企业内网数据存储的安全, 成为当下最重要的技术课题。

1 内网安全概述

1.1 网络安全的定义

所谓的网络安全, 主要是指在整个网络系统中, 包括软件、硬件以及各项数据的保护, 避免来自外来的恶意破坏、更改以及数据泄漏等, 保证系统网络安全正常的不间断运行。从实质意义上讲, 它所重视的就是网络上各项信息数据的安全, 利用网络、通信、密码、安全应用等关键技术, 实现网络信息的保密、可用、完整、可控与真实[1]。

1.2 内网实现完全的设计原则分析

1.2.1 木桶原则

计算机系统中涉及内容最多, 最复杂的就是信息系统, 这使得内网本身信息数据就存在物理性的漏洞与缺失, 再加之网络操作管理过程中的疏忽, 使得网络信息数据的存储管理安全更是岌岌可危。一般的攻击者, 都会选择内网数据管理最薄弱的地方进行入侵, 侵入内网数据存储内部, 造成数据的破坏、泄漏等严重后果, 给企业带来巨大损失。而资源共享是数据泄漏的一个重要途径, 采用木桶原则进行内部数据安全攻击这是一个突破口。因此, 要对整个内网的数据信息的存储进行全面的管理, 检测, 计量减少外来侵略的可能。

1.2.2 实用与有效结合原则

在网络系统的运行过程中, 信息的有效管理以及共享实用是一个矛盾体[2]。在企业加大对内网数据存储安全的要求时, 就会采用各种先进技术对网络进行安全防护, 检测修补各种系统漏洞缺陷。但是, 在进行数据安全系统技术加强的过程中, 会给内网用户信息数据使用带来不便, 尤其是在网络节奏快速的时效性要求下, 由系统安全管理带来的数据扩张以及时间延迟, 是不被接受的。因此, 最大限度的确保内网系统安全, 并不影响数据的正常使用, 真正体现网络的实用与有效, 是网络信息数据安全技术解决的重难点。

2 内网数据存储安全的技术分析

对于提高内网数据存储安全的技术探析, 无论是网络硬件的设计, 还是软件的改善, 甚至整个网络结构的重新调节, 包括网络应用、网络管理等的设计考虑, 都是为了更好的提高内网数据的安全系数, 保证整个内网有效安全的运行。

2.1 分布式文件系统设计

对于内网数据存储的安全解决方案, 将所有信息数据进行分布式应用是一个基础的而解决技术。并且P2P对等网技术成本低, 负载信息数据均衡, 也是各大企业成功保护数据安全的主要应用技术。在P2P技术中最重要的就是资源的寻址, 而根据其定位文件分布方法的差异, 也分为中心化对等网、非结构化对等网以及结构化对等网三大类。

其中中心化对等网以集中文件目录为目的, 也是最早的网络结构技术, 它将分布各处的文件索引及目录有效的集中存储在内网服务器上, 具体位置则在用户节点上。在使用内网数据过程中, 通过服务器了解到文件地址, 找到所需文件的具体节点, 且进行文件数据下载, 不涉及服务器的功能影响, 只在节点间完成, 而没有中心结构的非结构化对等网在中心化P2P结构中, 取消了中央服务器, 通过用户节点在网络中的邻居相互连接, 共同形成覆盖整个内网的文件分布网。它的优势在于不存在瓶颈节点, 具有高度的可扩展性及容错性, 便于内网资源的共享[4]。在非结构化对等网技术的推动上, 逐渐的又形成了结构化对等网。它的基础技术是寻址算法的应用, 使整个内网结构都具有这一属性。例如: 将DHT技术的结构化对等网, 映射成坐标空间, 其中的用户节点属于坐标区域, 而存储的共享文件, 映射为坐标点, 遍布于坐标区域中, 决定了自身的存储节点位置。在使用文件时, 只需根据寻址算法找到相对应的坐标点, 以及区域中心, 就能利用两点间直线最短的原则, 确定文件存储具体位置。

2.2 透明文件解密过滤器设计

在提高内网数据存储安全的同时, 保证文件资源的共享, 其中一个技术就是对文件进行透明处理, 并设置解密过滤器, 实现内网数据的存储安全性。目前, 常见的内网数据安全保证都是网络端口现在、隔离, 或者手动操作加密, 转换文件格式、文件存储磁盘加密等, 这些手段对于内网数据的安全具有一定的保障, 但同时也存在一定的安全隐患。为了最大程度的杜绝这些隐忧, 提高内网数据存储的安全, 采取了一定的处理措施来改善这一现状。

该项技术利用API挂钩应用层设计能够快速实现, 同时这里的过滤器不是网络硬件设备, 而是驱动虚拟的软件扩展系统功能设备, 需绑定其他设备还能真正实现其解密过滤功能。

这项内网数据存储安全的关键技术, 是最新的文件加密技术。加密过后, 不仅对加密文件进行了安全防护, 也提高了泄密渠道的有效防护, 且使用文件透明也不影响用户平常的使用习惯。同时, 整个内网数据的存储加密钥匙, 统一由网络系统管理, 对用户专业知识要求不高, 数据防护代码运行过程, 由内核实现, 安全权限高, 不易被破解, 稳定性更高。使用透明文件解密过滤器设计来维护内网数据存储的安全, 还能够有效的根据文件类型的而不同而灵活进行相应安全防护, 是一项有效的新技术。

2.3 多协议并行安全文件系统设计

简单来说, 多协议文件系统是对分布式文件的提高与发展, 在加强安全防护的同时, 实现了文件的共享, 真正是实用与有效完美结合的内网数据存储安全技术。它通过提供文件存储的接口与具体方法, 用存储卷来进行文件存储模式的记录, 都是由元数据结构、操作接口、功能函数、优化方法、回收方法等组成的结构数据。同时也是整个企业内网系统的核心部分, 由各项网络板块共同形成

通过各个程序的映射能够找到文件存储的正确数据卷, 同时在使用文件前还需经过访问权限表的鉴定, 才能找到用户入口, 系统对其信息进行存储记录, 并提供视图进行验证检查。在身份以及访问权限经过认证后, 用户可以通过内容搜索引擎板块, 进行文件存储信息数据的优化管理, 帮助用户快速的找到所需正确文件信息。这样多重文件安全防护措施, 大大的提高了内网数据存储的安全性[5]。

3 结语

综上所述, 利用不同的内网数据存储安全技术, 能够有效的提高内网数据存储的可靠、安全以及实用, 为各大企业的信息数据防护提供了巨大帮助。

参考文献

[1]韩德志, 傅丰.高可用存储网络关键技术的研究[M].北京:科学出版社, 2009:7.

[2]程炜, 王小曼.局域网安全设计关键技术分析[J].北京:计算机光盘软件与应用, 2010 (5) :69, 99.

[3]解炜.内网数据安全存储关键技术研究[D].国防科学科技大学硕士学位论文, 2009:8-9.

[4]陈贵海等.对等网络:结构、应用与设计[M].北京:清华大学出版社, 2007:39.

内网数据安全 第2篇

来自：杭州集控

本文分析了现阶段我国制造行业内网安全的现状和需求，提出建立“以计算机安全防护为基础，以数据泄漏防护DLP为核心，以桌面运维、监控审计、接入控制为辅助，以管理制度为约束”的综合内网安全管理体系，并且对市场上的主流内网产品进行了分析。

1.制造业信息安全现状

近年来我国制造行业信息化发展迅速，大型制造业的网络和各类ERP系统信息化应用系统建设完善，其网络规模较大，信息化程度较高，安全建设相对完善，多数大型制造企业具有网络安全防护体系、计算机防病毒等体系，企业的信息化已经从“建设期”逐渐转入到“维护管理期”；我国制造业中，中小企业居多，在中小企业里，受多种条件限制，信息管理与信息安全没有建设到一个成熟的阶段，相当的一部分企业没有安全规划。在制造企业通过信息化“建设期”的投入逐渐转化为企业真正生产力的同时，对于企业内部网络的维护管理工作显得尤为重要，而首当其冲的就是内网安全管理问题。

2.制造业内网安全需求

经过对制造业信息系统的调研，制造企业最重要的信息资产是企业数字知识产权和企业商业信息，企业数字知识产权包括产品资料、设计文档、图纸、配方、源代码等，企业商业信息包括客户资料、项目资料、招投标文档等。企业数字知识产权和企业商业信息多数以文件形式存在，这些文件一部分集中存储在文件服务器上，更多的是广泛分布在员工的终端计算机上，这些重要数据分散保存，大多数制造企业针对员工的计算机没有统一有效的进行管理，企业重要数据的安全得不到保障，员工对电脑的滥用和对重要数据的泄密途径相当之多，公司内部核心数据被泄密的风险越来越大，必须采用信息安全防护技术手段，结合管理制度，对企业的重要数据实现有效的保护。

计算机病毒防护体系也是内网安全建设必备的内容。包括主机防病毒、主机防火墙、防木马、反间谍软件等，目前大多数的制造企业，都具建设有计算机病毒防护体系，也有很多小型制造业采用个人版杀毒软件，作为计算机病毒防护的措施。

对于地域广泛，计算机分散的大中型制造业，桌面运维也是一种普遍需求，桌面运维作为IT人员的助手，将手工的工作实现自动化，例如软件分发、远程协助等，提高工作效率。

由此可以总结出制造业内网安全的普遍需求：计算机安全防护是基础的需求，数据泄漏防护为核心的需求，桌面运维管理也是常见的需求。通过对制造业内网安全。

“防内胜于防外，技术管理并重，数据安全优先”是本文对制造业内网安全建设的思想，建立“以计算机安全防护为基础，以数据泄漏防护为核心，以桌面运维管理、主机监控审计、网络接入控制为辅助，以管理制度为约束”的综合内网安全管理体系。

1)数据泄漏防护（DLP）建设

数据泄露防护(Data leakage prevention,DLP)，是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。制造企业建设数据泄露防护的价值是既可以防止内部无意的泄密，又能够防止外部入侵的窃密，特别是防止内部员工故意泄密造成损失。

通过数据加密、权限控制来保证数据安全，防止泄密，已经成为国内外DLP厂商的共识，而且也是当前最有效的解决办法，并得到了众多用户的认可。目前市场上主流的数据泄漏防护产品对明文数据的防护，以数据加密、权限控制为主，功能包括：文件透明加解密、文件权限控制、文件授权管理、文件外发管理、文件操作审计等，对加密后的密文保护，也会结合访问控制、身份认证、日志审计、文档备份、系统容灾、业务流程审批、移动设备保护等多种手段进行管理，严密防止内部泄密和外部窃密。

2)计算机安全防护建设

制造企业建立计算机安全防护的价值是通过终端防护，防止外界对终端的入侵，确保终端及网络的可用性，同时也防止入侵造成信息资产外泄或受损。计算机安全防护是内网安全最基础的防护，其功能以主机防病毒和主机防火墙为核心实现安全防护，包括防病毒、防木马、主机防火墙、主机入侵防护、防ARP欺骗、反间谍软件等。

3)桌面运维管理建设

制造企业建设桌面运维的价值是通过自动化的方式，提高IT人员工作效率，节约成本，规范管理。桌面运维是网管产品在桌面的延伸，作为IT人员的工具，将以前手工的工作实现自动化，特别是针对地域广泛，计算机分散的大中型制造业，桌面运维的重要性更加明显，可以显著提高效率、节约成本。桌面运维的功能包括软件分发、补丁分发、远程协助、资产管理、消息群发等。

4)主机监控审计建设

制造企业建设主机监控审计的价值是对员工的操作进行合规控制、行为审计、违规报警，做到事前可控，事后可查，可追究责任。主机监控审计是管理终端上操作用户的活动，确保用户的活动符合法律法规和规章制度。基本功能包括文件操作控制及审计、主机外设接口控制及审计、网络访问控制及审计、打印控制及审计、移动存储管理及审计等。

5)网络准入控制建设

网络准入控制实现只有身份认证通过，且通过健康检查的计算机才能够接入网络，一般只有大中型制造企业有该需求。身份认证检测接入计算机的用户名、口令、IP、MAC等，健康检查检测的接入计算机的病毒软件、补丁状况，对不合格的计算机隔离修复。

6)内网管理制度建设

安全具有“三分技术，七分管理”的理念，对内网安全的制度建设和人员培训也是内网管理的重点。制造企业千差万别，各企业受信息化进程，行业性质，企业规模等诸多要素影响，在安全管理制度的要点可能并不相同，但人员培训、制度规章等都具有一定的共性。

3.国内外主流内网安全产品分析

目前，国内外的内网安全产品种类非常多，且各有特色，本文阐述了针对制造业的内网安全建设方案，下面将结合制造业的需求，对市场上主流的内网安全产品进行评估分析。

1)国外的内网安全与DLP产品

根据近两年的赛迪报告《中国信息安全产品市场研究报告》，在我国终端安全市场占有率排名第一的是美国Symantec公司的SEP产品，SEP产品集成病毒防护、主机防火墙、主机入侵防御、网络准入、DLP等功能为一体，成为终端市场占有率第一的品牌，但是国外DLP产品的设计并不以防止内部故意泄密为主，不能满足制造业内网安全管理中数据泄漏防护的需求。当前，数据泄露防护是当前制造业内网安全最重要的问题。而基于不同的法律环境、文化理念，国外数据泄露防护DLP与国内DLP要解决的具体问题是不同的。区别在于，国外DLP以防外部窃密和内部无意泄密，国外DLP产品（如Mcafee、Symantec）以数据加密、内容识别、出口检测、涉密信息警告和日志审计为主的数据泄露防护(DLP)能够做到的是防止外部网络黑客窃密，设备丢失泄密，或者是防止内部无意间泄密，但是对于那些处心积虑想盗窃内部重要数据信息的内部人员，是无法防止的，也无法进行有效审计。这源于西方发达国家的文化，对自己内部员工作为数据使用者本身是信任的，也不能对内部员工进行内容审计，会侵犯隐私权甚至触犯法律。国内DLP以防止内部故意泄密为主，兼防内部无意泄密、设备丢失泄密、外部入侵窃密。

2)国产的内网安全与DLP产品

国产的内网安全产品以中软公司、北信源公司、亿赛通等公司为代表，各自有专注的特长和优势，国内的产品专注于内网安全和DLP，一般不具有主机防病毒、主机入侵防护等杀毒软件的功能。以中软公司的统一终端安全管理产品为代表的综合内网安全产品，中软内网安全产品是国内最早的内网安全产品，至今有10年发展历史，集成了数据泄漏防护、终端安全管理、主机监控审计、桌面运维管理、网络准入控制等功能，中软产品是内网安全产品中功能“大而全”的代表，其功能设计包含了制造业、军工、军队、政府等各行各业的需求，能够很好的满足制造业内网安全管理的要求。

以北信源公司的VRVSpecSEC终端安全管理体系为代表的产品，该类产品以桌面运维和终端安全为其特长，北信源产品并曾经被赛迪报告评为我国终端安全市场占有率排名第二，但曾经缺乏数据泄漏防护DLP产品线，2010年北信源发布了数据装甲和电子文档安全管理系统，使其产品线拥有了DLP，能够满足制造业内网安全管理的要求。

以亿赛通公司为代表的专注于数据泄漏防护DLP的产品，该类产品专注于DLP，在以DLP为核心的基础上，逐渐扩展终端安全、网络准入、桌面运维等功能，以亿赛通为代表的国内DLP产品也能够满足制造业内网安全管理的要求。

总之，在制造业信息化快速发展的今天，制造企业千差万别，ERP系统信息安全建设各有千秋，笔者建议，在制造业内安全建设中，以数据泄漏防护满足信息资产保护的需求，以桌面运维满足自动化管理的需求，以计算机安全防护满足对终端保护的需求，以主机监控审计满足用户操作合规的需求，以网络准入控制满足终端接入管理的需求，以安全管理制度满足人员管理的需求，建立适合制造企业自身的内网安全管理体系。

内网:应用需求与安全保障 第3篇

重要支撑网络。基于电子政务内网的办公、视频会议、督查、应急指挥等应用逐步深入，由信息化建设杂志社主办、北京网御星云信息技术有限公司、北京启明星辰信息技术股份有限公司协办的第七期电子政务沙龙主题讨论“电子政务内网的应用需求与安全保障”在京举行。为了进一步深入探讨电子政务内网的应用发展，探索建立科学、完善的信息安全保障体系。本次沙龙邀请了国家信息化专家咨询委员会委员宁家骏、曲成义两位电子政务与信息安全专家分别就电子政务内网建设和应用发展、电子政务内网安全形势分析和保障体系建设做了精彩的主题发言。中共中央办公厅、国务院办公厅、中央编办以及北京、上海等有关单位的嘉宾在沙龙上讲述了对电子政务内网的认识和见解，并与主讲嘉宾展开了热烈的互动交流。

来自中央国家机关电子政务工作机构和部分地方政府电子政务工作机构的负责人共60余位代表参加了本次沙龙研讨。信息安全相关企业代表与沙龙嘉宾分享了对电子政务内网安全保障体系建设的认识、体会和从事信息安全建设的经验。

电子政务沙龙至今已经举办七期，得到了中央国家机关负责电子政务工作的相关领导和同志们的大力支持和肯定。参加对象也从以国务院部门的电子政务机构为主，发展到包括中办信息中心、中纪委信息中心、中央编办电子政务中心等党中央部门信息化机构的同志，甚至还吸引了北京以外的天津、上海、河北、内蒙古、江西等地方政府电子政务工作机构负责同志专程加入。沙龙形式轻松、活泼，主题鲜明、内容充实。交流得到了嘉宾们的欢迎和认同，目前已经成为电子政务工作者们沟通、交流、学习的一个新平台。今后，信息化建设杂志社将继续选择大家感兴趣的主题，不定期举办形式更新颖、内容更丰富的电子政务沙龙，以达到增进交流，增进了解，协作共进，助推电子政务发展的目的。

本期“特别策划”栏目将本次沙龙的精彩观点整理刊登，以飨读者。

内网数据安全 第4篇

近几年来,内网的信息安全问题成为各方热点。在内网的管理过程中,传统开放式的针对局域网已经不能满足日益增长的安全需要。在这种情况下,为了保障内网的信息安全,就需要更新内网的信息安全内涵及其管理手段。

当前内网系统面临的安全威胁主要有内网嗅探、内部人员利用网络途径主动泄密、拒绝服务(Dos)攻击、发送广播包攻击、超越权限访问以及病毒木马等。这些攻击手段主要源于网络内部,恶意攻击者首先控制内网中的一台主机,然后通过此主机向内网中的其他主机进行恶意攻击,通过内网传输的数据包就有可能被侦听并被转发到外部世界。虽然防火墙等防范手段在一定程度上提高了内网的安全性,但防火墙不能抵御未知类型的攻击,而且很可能被攻击者绕过,所以有必要对在内网中传播的数据进行监控以及对敏感信息采取传输范围和传输前密码授权控制,防止敏感信息的外泄。

从网络层次结构上看,可以在各种层次对内网的敏感信息提供安全保护,如IPSec安全协议是针对网际层数据包,而本文所设计的安全通信组件是在数据链路层对网络数据包进行保护。

2 组件设计

2.1 组件设计目标

组件的主要设计目标是为数据链路层数据包提供安全保护,并且对用户和上层应用透明,主要防止内网嗅探攻击和内部人员通过网络途径主动泄密。

组件通过对终端间发送与接收的链路层数据包进行动态加解密,保证内网中传输的数据为密文,并且自动协商共享会话密钥和对数据包进行加解密。组件在内网中的结构如图1所示。

组件核心由密钥管理模块、安全访问列表服务模块组成。密钥管理模块分为证书信息库和密钥协商模块,安全访问列表服务模块由建立安全访问列表模块、更新安全访问列表模块和安全访问列表组成。组件发送端拦截此终端网际层向下传递的MAC层数据包,并且在组件处理后,向外进行发送;组件接收端拦截此终端接收到的MAC层数据包,并且在组件处理后,向终端的网际层进行传递。组件内部结构如图2所示。

2.2 密钥管理模块

2.2.1 证书信息库

证书信息库包括内网其他终端的证书信息,而证书信息由终端的MAC地址和其公钥信息组成,记为Certi=(MACi,Pi),其中MACi表示终端i的MAC地址,Pi表示终端i的公钥参数。

(1)建立证书信息库

当新终端接入内网时,此终端向内网广播发送请求建立安全访问列表类型的数据包,收到此请求数据包的终端组件发送端则向新终端发送包括本机证书(MAC地址和公钥参数)的数据包,新终端根据收到的数据包在本地建立安全访问列表,过程如图3所示。其他终端则对本地的安全访问列表进行更新。

(2)更新证书信息库

当终端需要进行密钥对更新时,内网中其他终端就会更新其证书信息库。需要更换密钥对的终端首先计算出新的公共密钥和秘密密钥对,将公共密钥与本机的MAC地址一起构成新的证书,接着通过组件发送端向内网广播发送包括本机新证书的请求更新密钥的数据包,收到更新密钥请求的终端从数据包的特定字段取出终端的新公钥证书,并更新本地的证书信息库,然后通过组件发送端向提出更新证书请求的终端发送更新确认包,请求更新密钥对的过程如图4所示。

2.2.2 会话密钥协商

当终端A需要与终端B进行通信,终端A会向终端B发起会话密钥协商。会话密钥的协商过程会经历以下几个步骤,其中设置密钥生成算法ID对应的对称加密算法为ε。

(1)在终端A中的随机计算出某个大整数x,并发送包括以下数据信息的数据包给终端B

x,CertA,MACA和密钥生成算法ID

(2)终端B随机选取某个大整数y,并发送包括以下数据信息的数据包给终端A

y,CertB,εK(sigB(MACB,MACA,y))

(3)终端A发送包括以下数据信息的数据包给终端B

CertA,εK(sigA(x,y))

其中K=xy=yx,sigi(*)表示用i的秘密密钥对数据*进行加密操作,εK(*)表示以K为参数,使用对称加密算法ε对*进行加密操作。

在以上步骤完全结束后,终端A,B双方就可以通过共享密钥K加密MAC层数据包来进行安全通信。为方便以后的通信,终端A,B的组件分别将对方的公钥和MAC地址信息保存到本机的证书信息库,而将共享密钥K保存到本机的安全访问列表中。

2.3 安全访问列表服务模块

安全访问列表服务模块主要工作包括建立和更新安全访问列表,且与会话密钥协商密切相关。当终端之间会话密钥协商结束后,终端双方会在各自本机建立安全访问列表用于保存此次密钥协商的信息,包括协商的共享会话密钥以及密钥被使用的次数。当密钥使用次数超过预定值时,如果终端双方需要继续通信,则必须再次进行会话密钥的协商,即更新安全访问列表的信息。

3 组件实现

在Windows系统下,组件采用NDIS中间层过滤驱动的形式实现。组件初始化时,通过NDIS函数NdisIMRegisterLayeredMiniport和NdisRegisterProtocol将组件注册为NDIS中间层驱动接口。注册之后,组件就可以在数据链路层上拦截所有的数据包。

组件的实现主要分为接收端和发送端两部分,接收端拦截其他终端向本机发送的MAC层数据包,然后根据收到的数据包类型,通过组件发送端向其他终端发送相关类型的数据包进行回应。另外,组件发送端还应根据终端通信需要向外发送指定格式的数据包。

3.1 数据包类型定义

内网在数据链路层以IEEE802.3协议为基础,终端在数据链路层进行通信的数据包帧头是以明文的形式,如图5所示,这符合内部网络共享传输信道的特性,但同时也带来了安全隐患,如数据帧的源或目标地址被篡改或者敏感信息被截获、修改和转发。

通过设置MAC层数据包的Type字段,组件定义了5种类型的数据包,定义见表1。

其中类型为0x05的数据包属于组件定义的安全类型,具体帧格式如图6所示,阴影部分表示组件发送端或接收端使用对称加密算法ε以密钥K为参数对其原始SDU进行加解密后的数据。当终端之间协商好共享会话密钥K后,发送数据包终端的组件发送端使用会话密钥K对原SDU进行加密操作,而接收数据包终端的组件接收端使用会话密钥K对SDU进行解密,这样终端双方就可以实现安全通信。

3.2 组件接收端实现

组件接收端主要任务是截获由其他终端发送给本机的链路层数据包并判断其类型,如果为类型0x01,0x03或0x05数据包,则需通过组件发送端向源终端发送相应类型的数据包;如果为其他类型的数据包,接收端将数据包进行相关处理后完成。整个组件接收端处理数据包的具体流程如图7所示。

3.3 组件发送端实现

组件发送端的主要任务是根据具体需要向目标终端发送预定格式的数据包。当本机需要与其他终端进行通信或者组件接收端接收到类型为0x01,0x03或0x05数据包时,组件会通过发送端向目标终端发送相应类型的数据包。整个发送端具体处理流程如图8所示。

4 试验及结果说明

试验环境:用交换机将3台终端组成网络,3个终端具体系统信息和网络配置如表2所示。设定终端之间协商的共享会话密钥K为0x99,对称加密算法ε为对数据包的SDU字段(数据包的第14字节开始)与K进行逐字节异或操作。

试验过程:终端B,C加载安全组件,终端A不加载。终端C利用ping命令向终端B发送ICMP数据包,与此同时,终端A和终端B利用工具Sniffer Pro截获此ICMP数据包,试验结果记录如下。

试验结果:

(1)终端B收到的数据包数据如图9所示。

图结果表明终端可以正确的解析终端发送过来的数据包,且不影响正常的ping命令。

(2)终端A截获的数据包数据如图10所示。

图10结果表明终端A截获到数据包的SDU字段是原数据包与密钥0x99经过逐字节异操作后的数据。

实验结果说明:在内网环境中,终端A可以嗅探到终端C发送给终端B的数据包,但只能得到B、C双方通过共享会话密钥K对SDU字段进行加密后的数据包,如果没有共享密钥K,终端A不能对加密后的数据包进行解密,说明组件可以有效地防止内网嗅探攻击;另一方面,如果网络内部人员想要将敏感信息通过网络方式传到外网,外网终端得到的也是密文,说明组件可以防止网络方式的主动泄密。

5 结语

内网安全问题日趋严重,内网管理人员也逐渐重视。本文设计实现的安全通信组件,在一定程度上可以解决内网面临的安全威胁。从实际运行效果看,加载组件的终端运行良好,性能稳定。当然,安全是相对的,针对内网的安全研究也将继续。

参考文献

[1]IEEE802.3.IEEE Std 802.3,2000 Edition[S].

[2]Systems Network Architecture Formats[DB/OL].IBMdocument#GA27-3136-12.

[3][美]Russinovich M E,Solomon D A.深入解析Windows操作系统——Microsoft Windows Server 2003/Windows XP/Windows 2000技术内幕[M].4版.潘爱民,译.北京:电子工业出版社,2007.

[4]武安河.Windows 2000/XP WDM设备驱动程序开发[M].2版.北京:电子工业出版社,2005.

[5][英]毛文波.现代密码学理论与实践[M].王继林,译.北京:电子工业出版社,2004.

[6]Andrew G Mason,Mark J Newcomb.网络安全Cisco解决方案[M].詹文军,译.北京:电子工业出版社,2002.

Chinasec内网安全管理平台 第5篇

Chinasec（安元）内网安全管理平台是基于内网安全和可信计算理论研发的内网安全系列管理产品，以密码技术为支撑，以身份认证为基础，以数据安全为核心，以监控审计为辅助，可灵活全面的定制并实施各种安全策略，主要解决用户在传统PC架构下的数据安全问题，针对内部网络的用户身份和计算机终端管理、数据信息保密、数字知识产权保护、应用系统保护、文档安全保密以及网络状况监控维护等安全问题提出了整体的解决方案。

Chinasec（安元）内网安全管理平台系列产品是在Chinasec（安元）内网安全管理平台的基础上，由多个系统组成，分别是Chinasce（安元）终端数据防泄密系统、Chinasce（安元）文档安全管理系统、Chinasce（安元）应用保护系统、Chinasce（安元）桌面管理系统、Chinasce（安元）文件审批系统、Chinasce（安元）身份认证系统、Chinasce（安元）终端应用模式切换系统、Chinasce（安元）移动存储介质管理系统等。

内网信息安全之惑有望破解 第6篇

目前，很多内网安全产品造成了文件的损坏、丢失、死机，严重的甚至造成服务器瘫痪，由“保护神”变成了“损坏者”。 很多单位虽然有很强烈的内网安全需求，但是由于上述现象的存在，使得他们在选择内网安全产品时裹足不前。这就提出了一个新的课题：未来内网安全应该如何做？产品的出路在哪里？解决之道在哪里？

内网安全需求迫切

由中国计算机用户协会主办的“2012年春季重点行业信息化主管沙龙”日前在北京举行，与会的50多位国务院各部、委、局的信息化负责人和企业代表，围绕当前政府和企业所面临的信息安全挑战、信息安全领域迫切需要解决的问题和最新的信息安全技术展开了交流和讨论。

内网信息泄漏案例不在少数。知名的三维设计软件SOLIDWORKS“泄密门”事件发生后，国家相关部门已要求各军工企业停止使用该软件；CIQ手机软件窃取用户隐私，全球大量智能手机用户都有隐私机密泄露的风险；VISA承认信用卡数据泄密，或涉及150万个账户；美国银行职员盗卖客户资料损失千万⋯⋯据IDC的调查，85%以上的安全事件出自内网。

政府机构的核心机密、企业的敏感信息、经营数据、图纸等机密信息经常被员工通过U盘、移动硬盘、智能手机及互联网等途径泄漏出去。这些机密信息在企业内部也很容易被非法访问、篡改和删除。由此可见，内网信息安全是信息安全管理者迫切需要解决的问题。

“两个融合”解决之道

工业和信息化部信息安全协调司司长赵泽良在会上指出：“信息安全已经成为各国空前重视的、战略性的课题。信息安全开始向有目的、有针对性的防护转变。单一的防护已不够，需要形成一个整体的防护体系。”

在上海祥殷信息技术有限公司总经理宫兴隆看来，内网安全并不是某一项技术、软件，而是以内网的数据保密为中心，结合多种技术形成的信息防泄漏体系。内网安全的核心是数据防泄密，实现的手段是技术和管理。他提出了“两个融合”的概念：

第一是内网安全软件与其它安全软件的融合。应该在内网安全软件的设计之初充分考虑到信息技术的飞速发展状况，构建一个整体的信息安全平台，保证产品的高可扩展性。

第二是信息安全管理平台与其它管理平台的融合，组织机构可能已经或即将拥有多个管理平台，信息安全管理平台应该尽量和这些管理平台融合在一起。这样才能保证信息安全平台充分发挥其应有的效用，同时提高组织效率。

新需求催生新技术

随着虚拟化、云计算、移动互联网等技术的发展，内网信息安全防护面临着新的挑战。有些企业对内网中的涉密文档进行了透明加密保护，在PC机上可以正常访问这些文档，但是许多领导在使用iPad等设备移动办公，这就要求企业的内网信息安全系统能够从PC延伸到智能手机、平板电脑等设备上，否则就会影响它的业务运转。云计算也是当下一个热门的话题，有些企业在试用云存储等云计算服务时就有这样的担忧：“当我们把数据放到云上，如何才能保障其安全性呢”？这一系列IT行业的变革催生了新一代内网信息安全防护技术的发展。

上海祥殷信息技术有限公司副总经理宁连利认为，新一代的内网信息安全管理系统应该是一个基础设施统一、功能丰富、高度可扩展的管理平台。而且这个平台必须是以跨多个操作系统平台和多种终端设备的安全内核技术为核心，才能真正实现高强度的安全防护，与现有各种复杂软件环境兼容。所有的信息安全产品都是这个平台上的一个插件，平台化才能保证产品的高可扩展性。

与会专家认为，新一代内网信息安全防护平台化已是大势所趋，利用平台统一化、标准化、易扩展的能力，通过不断集成和创新，在为当前形势下内网信息安全提供稳定可靠保护的同时，又能应对信息化变革过程中新的安全威胁。

应用稳定才是王道

大连华锐重工集团股份公司企业管理部资深安全工程师张朝兰在接受记者采访时说，公司自2002年起进行了大规模的信息化建设，建成了覆盖企业的计算机网络，实施了PDM、ERP等业务管理系统，应用了多种二、三维设计软件和有限元分析软件，产生了大量的产品图纸等技术文件。

因技术人员需要携带笔记本电脑去用户现场进行技术服务，笔记本电脑中存储的图纸保护问题就凸显出来：为便于工作，笔记本电脑的端口不能控制，加之用户索取资料又不好拒绝，部分图纸易于失密。为确保“信息拷不出去，拷出去的看不了”，选用文档加密软件成为必然。经过需求分析和产品比较，发现了“透明加解密”方式，它不改变原有的应用习惯，也可以用于内网机器。后来，华锐重工在设计用机上启用了上海祥殷的SecureOne内网信息安全管理系统。

张朝兰表示，选择SecureOne的原因主要基于三点：一是其透明加解密技术比较成熟，能够保证系统的稳定性；二是有多个密钥且由用户自主设置，防止信息泄密后门的存在；三是支持Unix系统下复杂PDM系统的无缝集成。公司应用SecureOne内网信息安全系统主要是对各类产品设计文档的数字文件进行加密，现已在设计、工艺等业务领域全面使用，并且平稳运行超过7年。目前安装客户端数量为1000台左右，使用USB Key约200个。

信息安全涉及国家机密和安全，内网安全更是首当其冲。专家的共识是，首先要立法，做到有法可依。其次是关键安全技术必须做到国内自主研发。相关管理部门今年提出了最小化、全程化、精准化、自主化、法制化五项原则，其中就强调了法制化和自主化。

如此，内网信息安全之惑或将不在。

从“小内网安全”到“大内网安全” 第7篇

内网安全的过去

谈起内网安全, 业界普遍认为是在2001年前后, 信息安全领域开始出现内网安全的概念并逐渐引起了业界的关注, 但当时的内网安全产品功能较为单一, 未形成完整的内网安全解决方案。

那时, 互联网在中国方兴未艾, 大家更关注互联网的安全, 对内网安全知之甚少。随着一系列内网安全事件的出现, 大家开始认识到内网安全的重要性, 从某种意义上来说比外网安全更加重要。根据国际安全界的统计, 各种计算机网络、存储数据遭受的攻击和破坏, 80%是内部所为, 而不是大家通常所理解外部窃取或攻击造成的。

而传统的基于外网安全理论的老三样:防火墙、入侵检测和漏洞扫描等, 仅仅解决了信息安全的一个方面, 对于内部用户攻击和威胁事件显得无能为力, 内网防护逐渐成为信息系统安全建设的一个重要课题。

内网安全的现在

从当前来看, 内网安全对大家来说再熟悉不过, 分级保护和等级保护也已经在各行业开展的如火如荼, 而内网安全是其中最重要的内容之一。目前, 内网安全已从过去的网络边界防护发展到网络安全、应用安全和管理安全并重的综合安全防护体系。

内网安全需要进行全方位的安全防护, 包括木马及病毒防御、终端安全防护、身份认证与访问控制、电子文档安全管理、文件打印控制、服务器安全登录与进程控制、网络接入认证管理、移动办公安全管理、移动存储介质管理、主机监控与审计等多个方面。

针对内网安全发展的需求, 卫士通的“一Key通综合安全保护系统”应运而生。该系统设计思想是在等级防护、积极防御与综合防范的安全策略下, 以密码技术为核心, 以两个中心为支持, 构建的三重安全防护体系。“两个中心”是指安全管理中心和密钥管理中心, “三重防护体系”是指应用环境安全、应用区域边界安全和网络通信安全。该系统目前已成为国内内网安全领域应用最广的系统, 在军工、政府、金融等行业积累了数千家用户。

内网安全的未来

随着国家安全政策的完善、金融危机对企业冲击造成人员流动加剧、央视315曝光个人信息泄露等, 催生了内网安全产业的加速发展, 除了传统的行业用户, 数量更加庞大的大型企业、中小企业及个人用户将是未来潜在的大市场。目前内网安全将呈现两大发展趋势。

(1) 大内网安全

当前, 移动接入、无线接入技术进一步成熟且应用越来越广泛, 在家里及外地随时都可以登录公司的内部办公网络, 内网和外网划分边界变得更加模糊, 这样通常意义上的内网和外网就形成了一个更大的广域网。“小内网安全”将会变成“大内网安全”。

在这种“大内网安全”的背景下, 卫士通公司提出最核心的是保护数据安全。大家可能会产生疑惑:数据安全?此“数据安全”非彼“数据安全”, 通常所理解的数据安全即数据存储及备份、数据加密、数据访问控制等。而卫士通提出的数据安全除了包含通常意义上的数据安全, 更是涵盖了整个信息系统的安全:承载数据的硬件系统、软件系统、信息系统上的数据和数据相关的人。通过边界控制、身份认证、访问控制、移动介质管理、网络接入控制、审计与监控等各种安全技术手段从应用、管理和网络等各个方面共同保障数据安全。

(2) 统一标准

内网安全管理方案探讨 第8篇

随着信息技术的发展和网络技术应用的不断深入, 内部局域网已经成为企事业单位日常工作不可或缺的重要组成部分。网络的互联互通为资源的共享, 信息的交换提供了极为便捷的环境, 但是, 内部大量的涉密数据和信息也是通过内网进行传递, 网络开放共享的特点, 使得分布在各网络终端中的重要信息资源处于一种高风险的状态。如何加强网络内部的安全, 防止关键数据从网络中泄露出去, 成为网络安全领域内一个主要的发展方向, 也是当前很多政府部门和涉密单位普遍关注并努力解决的问题之一。

1 内网安全现状分析

内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中, 假设内网的所有人员和设备都是安全和可信的, 而外部网络则是不安全的。基于这种假设, 产生了防病毒软件、防火墙、IDS等外网安全解决方案。这种解决策略是针对外部入侵的防范, 但对于来自网络内部的安全防护则显得无可奈何。

随着各单位信息化程度的提高以及用户计算机使用水平的提高, 安全事件的发生更多是从内网开始, 由此引发了对内网安全的关注。内网面临的安全隐患主要表现在以下几个方面。

1.1 内网移动存储等设备缺乏监管

USB移动存储介质、笔记本电脑等设备在内外网络的交替使用, 明密不分, 随意拷贝, 计算机主机硬盘随意拆卸、移动, 进出内网监控不严, 损坏和废旧存储设备和带有存储功能的外设处理不当, 都会造成涉密信息的泄露丢失, 同时导致病毒传入。

1.2 涉密计算机非法外联

内部计算机通过电话线、ISDN、ADSL、无线网卡、GPRS/CDMA、双网卡、代理服务器等多种方式进行内外网互联, 导致内部重要机密信息泄露且难以监控。

1.3 内部攻击和非法入侵

TCP/IP协议体系自身缺陷、口令身份认证的脆弱性, 使内部人员利用系统漏洞, 非法入侵公共的或他人的计算机信息系统, 窃取管理员用户名和密码, 进入单位重要的业务和应用服务器获取内部重要数据。

1.4 管理模式滞后, 策略无法有效落实

内部员工由于安全意识、安全知识、安全技能的匮乏, 给信息安全带来难以预知的潜在威胁, 管理者通过禁用USB口, 定期检查等相对松散的管理方式, 缺乏实时、灵活的手段保障, 无法使管理措施得到有效落实。

内网的安全问题绝大多数不是来源于内部人员的恶意行为, 更大程度上, 漏洞出现在一些无意识、不规范的操作和网络管理上的疏忽, 给信息泄露创造了可乘之机。如果放松对内网系统的监管, 内部人员可能随时都会有意或无意地造成安全事故。因此, 和外网安全相比, 内网安全模型更加全面和细致, 需要对内部网络中所有组成节点和参与者进行细致的管理, 实现一个可管理、可控制和可信任的内网。

2 内网安全管理解决方案探讨

网络信息安全既不是纯粹的技术, 也不是简单的安全产品的堆砌, 而是管理、技术和策略的有机结合。信息系统安全体系框架如图1所示, 它由技术体系和管理体系组成。

技术体系是全面提供信息系统安全保护的技术保障系统, 其中技术机制从不同的层次来考虑内网安全的实现, 技术管理则是从技术的角度, 通过策略和措施的实现来达到管理的目标;管理体系是以安全策略为核心实施管理的过程, 由法律、制度和培训三部分组成。

2.1 信息安全层次体系建立

从物理层安全、网络层安全、系统层安全、应用层安全四个方面进行考虑, 针对各个层次安全内容采取相应的应对措施。

2.1.1 物理层安全

主要包括通信线路安全、物理设备安全和机房安全等, 其主要目标就是要做到防盗、防火、防静电、防电磁泄露等。

2.1.2 网络层安全

主要体现在网络设备及信息的安全性, 包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性等。

2.1.3 系统层安全

主要表现为操作系统本身的不安全和对操作系统的安全配置问题。

2.1.4 应用层安全

该层次的安全问题主要考虑应用软件和业务数据的安全性, 同时还包括病毒对系统的威胁。

2.2 安全管理策略实现

安全管理策略定制是一个相对细致和复杂的过程。策略的定制需要能够对整个网络进行多层面的配置和调控。如果各种技术方法彼此之间功能分散, 不能相互支撑、协同工作, 将会导致难以维护且更新困难。因此最好能够借助集成了多种管理功能的内网安全管理软件, 实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动, 从而有效简化网络安全管理工作。安全管理主要涉及到以下几个方面。

2.2.1 访问控制

访问控制是进行授权、管理和监控的基础, 通过口令身份认证, PKI加密算法等多种方式对不同的用户进行授权管理, 区分各个用户以及不同级别的用户组, 针对不同级别的安全对象, 提供多层次的安全技术、方法与手段, 分层次的化解安全风险, 以满足网络中不同层次的各种实际需求。

2.2.2 信息保密

重点实现对移动存储设备的注册、认证、策略控制, 实现客户端移动存储设备的接入认证、读写控制、加密管理、行为审计等。

2.2.3 资源管理

包括对计算机系统、各种外设、应用程序、端口、网络连接、文件等资源的控制, 采用授权使用、违规记录等多种手段结合, 对使用资源的行为进行管理, 以确保资源使用中可控性。

2.2.4 监控审计

主要对计算机终端访问网络、应用使用、系统配置、文件操作以及外设使用等情况提供集中监控和审计功能, 并可以生成各种审计日志, 在发生内网安全事件后实现有效的取证。

2.3 管理体系的建立

严密、完整的管理体制, 不但可以最大限度的在确保信息安全的前提下实现信息资源共享, 而且可以弥补技术性安全隐患的部分弱点。管理体系的建立和实施能为网络的管理和长期监控提供有理可依的指导性理论。管理体系的组成可分为法律、制度和培训三部分。

2.3.1 法律

与安全有关的法律法规是信息系统安全的最高行为准则, 是制定管理制度参考的标准。

2.3.2 制度

依照安全需求制定一系列内部规章制度, 从责任、人员、部位、行为等多方面对需要保护什么、为什么需要保护以及怎样保护涉密信息系统的安全进行具体规定, 并通过全面推行, 使之贯穿到日常具体工作当中。

2.3.3 培训

对所有与内网安全有关的人员进行安全培训。培训的内容包括法律法规、内部制度、安全意识和与岗位相关的重点安全防范技能等。

3 结束语

内网安全已成为信息安全的新热点。在内网的安全管理体系中, 内网信息的安全保密和共享利用之间一直都存在着一种难以调和的矛盾, 内网信息安全产品要提供一种方便、有效、先进的内网信息安全管理控制技术和解决方案, 而管理员在实施过程中往往需要在信息安全、业务效率、结构功能之间寻找一个平衡点, 力求从网络业务、网络行为、网络资源、网络安全、网络服务等各层面提出科学、可行的解决方案。而管理策略与技术的有机结合, 则能从整个网络安全建设、运行和维护的全过程入手, 真正保障内网的安全稳定运行。

参考文献

[1]赵洪彪.信息安全策略[M].北京:清华大学出版社.2004.

内网安全防护体系的设计 第9篇

笔者单位信息化建设中普遍存在内网信息系统需要和外部网络实现数据交换的现实需求, 本文从系统拓扑、安全策略设计、网络VLAN划分及防火墙配置、服务器配置等方面提出了完整的内网信息系统安全防护体系的设计方案。

目前, 在单位的网络应用当中, 经常遇到的一类问题就是部署在单位内网上的涉密业务系统, 需要向外部网络的指定用户提供信息服务。在此类应用场景下, 如何做好内外网互联中的边界安全防护, 确保内部网络的数据和信息安全, 成为网络管理人员所面临的现实问题。笔者结合某项目的经验, 提出一种内网信息系统安全防护体系的设计方案。

安全防护体系总体设计

根据分域保护安全策略来规划设计内网整体安全防护体系, 将其整个涉密信息系统划分为多个安全域, 对每个安全域分别采用相应的安全保护措施加以保护。在满足业务、功能和地域等特性的同时, 保证整体运行的可用性、保密性和完整性的基础上, 将内网涉密系统网络划分为服务区、内部用户区等安全区域, 服务区安全域进一步划分为公共服务区、秘密级应用服务区。

整体安全防护体系由防火墙、入侵检测、网络安全审计、防病毒、补丁分发等系统设备组成。在特定应用安全域利用分别配置防火墙设置进行边界防护, 设定严格访问控制策略, 对区域间通信进行审计, 记录日志信息。通过防火墙设置统一的认证功能, 在专网中建立应用层整体的身份认证体系, 建立统一的、可控的用户管理机制, 完成对信息的安全身份鉴别式访问。入侵检测系统对访问应用服务器的连接进行深层检测。网络安全审计系统对各级安全域的访问会话进行监控, 记录访问者的操作行为。补丁分发系统及时对系统中所有漏洞进行更新和升级。

整个网络拓扑采用星形结构, 如图1所示。边界防火墙为网络唯一出口。防火墙采用路由模式, 将ETH6配置成外网接口, ETH1接口连接病毒过滤网关。病毒过滤网关ETH1连接核心交换机, ETH2连接防火墙, 病毒过滤网关采取透明桥模式连接。

安全策略设计

首先, 从安全区域上, 将网络划分为:外网区, 服务器区, 内部办公区, 并通过核心交换机对上述各个区域划分VLAN, 以对各个区域之间的相互访问进行访问控制。并架设边界防火墙作为唯一出口, 从而实现对来自外部网络的入侵的防护。

其次, 为了保护重要数据, 特将应用服务与数据服务分开, 用核心交换机进行访问控制, 保护数据的安全。

第三, 在核心交换机上部署入侵检测系统IDS, 自动地对网络运行进行监控, 对可疑的事件给予检测和响应, 在主机和网络遭受破坏之前阻止非法的入侵行为。由于IDS是被动监听的特点, 所以不产生流量不会影响网络的带宽。

第四, 补丁服务器采用了360天擎安全管理系统解决方案, 部署一台服务器安装360天擎安全管理系统控制中心, 对网内终端进行统一补丁修复, 及时修复操作系统安全漏洞, 降低安全风险。

第五, 在网络中部署防病毒过滤网关系统, 采取与单机防护不同的基于网络的病毒防护方案。检测并记录多个网段内的病毒传输行为, 在病毒侵入网络之前进行实时阻止, 并且运用先进的检测技术解决了传统病毒网关

类产品会造成网络延时的问题。

第六, 在网络中部署网络安全审计系统, 针对网络行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督, 预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求, 提供完整的上网记录, 便于信息追踪、系统安全管理和风险防范。

网络VLAN划分及防火墙配置

对内网区域和服务器区域均采用私有IP地址, 使用防火墙的反向地址转换来对目的地址进行转换。外网访问防火墙的反向转换地址, 由内网使用保留IP地址的服务器提供服务。这样, 对外部网络来说, 访问全部是来自于防火墙转换后的地址, 并不认为是来自内部网的某个地址, 这样能够有效的隐藏内部网络的拓扑结构等信息。

在此次建设中, 防火墙网外网接口地址配置为27.126.242.110/25, 与核心交换机口地址配置为192.168.0.1/25, 内网VLAN配置为192.168.10.0/25, Web服务器VLAN配置为192.168.14.0/25, 通过IP地址192.168.14.15提供网络服务, 并由防火墙映射为27.126.242.110的公网地址。数据库服务器VLAN配置为192.168.28.0/25, 通过IP地址192.168.28.15提供数据服务。

同时开启防火墙的会话认证功能, 为每位用户建立帐号和密码, 实现只有通过认证的用户才能访问网络。具体策略为内网用户经认证通过防火墙的源地址转换功能对外网实现单向访问;外网指定用户经认证可以访Web应用服务器, 并对访问端口进行限制;除Web应用服务器 (27.126.242.110) 外其他所有资源外网用户均不能访问。

服务器配置

为了保证网络的高可用性与高可靠性, 服务器均通过HA软件实现双机热备功能, 即在同一个网络节点使用两个配置相同的服务器。热备模式采用AS模式, 即正常情况下一个处于工作状态, 为主服务器, 另一个处于备份状态, 为备服务器。当主服务器发生意外宕机、网络故障、硬件故障等情况时, 主备服务器自动切换工作状态, 备服务器自动代替主服务器正常工作, 从而保证了网络的正常使用。主备服务器均采用同一虚拟地址提供服务, 当主服务器发生故障时, 就可以透明地迁移到另一台服务器上, 网络使用者不会觉察到网络链路切换的发生。

数据库服务器通过光纤直接到主存储设备。主备存储通过网络进行数据备份, 备存储位于异地机房, 通过光纤直连到数据库服务器所在交换机。在核心交换机上将心跳线用的网络端口和存储设备用的网络端口分别加入到不同的隔离组。

在此次实际建设中, 主备Web服务器地址分别配置为 (192.168.14.11, 192.168.14.12) , 主备数据库服务器地址分别配置为 (192.168.28.11, 192.168.28.12) 。

每两台主备服务器均采用两对心跳线作为冗余检测, 应用服务器心跳线IP的配置为 (100.100.100.10, 1 0 0.1 0 0.1 0 0.1 1和2 0 0.2 0 0.2 0 0.1 0, 200.200.200.11) , 数据库服务器心跳线IP的配置为 (100.100.100.13, 1 0 0.1 0 0.1 0 0.1 4和2 0 0.2 0 0.2 0 0.1 3, 200.200.200.14) 。通过HA软件将进行数据交互的虚拟IP地址切换给提供服务的服务器, 再通过防火墙映射为27.126段的公网地址。

结语

提高内网安全的解决办法 第10篇

一般内网主机间大多以LAN的方式进行互连, 内部网络的安全级别最高, 是可信的, 这些内网主机通过分层的模式形成以物理互连, 虚报局域的方式共存, 但为实现主机间的资料共享及数据通信需求, 又不得让其之间建立各种互信关系, 因此内网某台主机的不正当的操作都会对整个内网主机的安全性带来威胁。

2 内网主机的漏洞

很显然, 现在内网的用户绝大多数采用微软系列的产品, 而微软一系列产品也就成了黑客做为崭露头角的试金石, 微软的每一个系统以及每一个办公软件从发布之后, 它都不是绝对安全的, 必须在用户使用过程中逐渐完善, 直到微软宣布不在对该产品进行技术支持, 因些这也就引发了微软一月一次的补丁更新计划, 包括办公软件、IE补丁、以及操作系统等全系列产品都被纳入这个安全保护之中。

对于网络管理者而言, 内网安全的管理与外网相比存在一定的难度, 究其主要原因就有如下几点: (1) 内网的管理面积比较大, 终端数太多; (2) 终端使用者的IT技能水平层次不齐, 这样给网络安全的知识普及带来很大的难度; (3) 领导不重视, 现在很多领导对网络不是很了解, 用得也很少, 更别是对网络安全知识。而这些在领导看来往往会归结到管理的层面, 因此实施起来压力大, 抵触情绪多, 并且会形成各种各样的违规对策, 技术人员往往亟需技术手段的辅助来形成统一的立体化的安全模型, 达到同时操作, 一步到位, 同样也需要有更为开阔的思路看待内网的安全问题, 不能急于求成, 需要更多的耐心。

3 内网安全的解决办法

3.1 有效的管理机制

其实很多安全问题都是内部管理造成的, 所以没有完善的管理制度, 任何先进的网络安全设备都不是一空话。为了保障网络信息管理系统的有效运转, 我们必须建立一整套有效的信息管理制度, 让这些制度得到有效的执行, 使信息管理规范化。安全问题对任何人都一样, 不论领导与员工, 都要遵守。而且出了问题一定要追究相应的责任, 因此网络安全管理工作也是建构在规范和严谨之上的一件工作。它需要前期的规划和设计以及后期的运营和支持。不会一步到位, 要在今后的工作一步一步完善。

3.2 有效身份认证机制

对任何一台接入内网的主机进行有效的身份认证, 并且对每一个新接入内网的主机有记录, 特别是当陌生的主机接入内网时, 有一定的审计。如果对接入内网的终端没有一定认证的话, 那内网对于黑客而言就成了一座没有门的大宅, 任何内网客户端都可以随意随时出入, 一般管理者都比较注重终端访问服务器时的身份验证, 而忽略了客户端的认证。在这种环境下, 终端之间非认证互访则成为了机密泄露和病毒传播的源头。

3.3 做好DMZ区域的安全

DMZ区域 (非军事化区) , 安全级别中等, 因为需要对外开放某些特定的服务和应用, 对外网而言, 相对开放一些端口, 是安全级别较低的区域, 包括对外提供WWW访问的WEB服务器和邮件服务器。所以恶性的黑客攻击事件一般都会先控制DMZ区域内的一台服务器, 然后以此为跳板, 对内网上其他主机再发起恶性攻击。对于黑客而言, DMZ区域的服务器更容易攻破, 只要知道服务器的IP地址, 再通过工具扫描服务器开放的端口以及系统漏洞, 对服务器进行控制。所以为了提高DMZ区域的安全, 必须及时给服务器打上补丁;闲置不用的服务器一定要断网或者直接关机;给每台服务器装上服务器安全狗, 当有可疑主机对服务器进行扫描试探的时候, 提醒网络管理员, 这样对可疑主机的IP进行一定的控制;服务器尽量对外尽量使用域名, 对外不直接把IP暴露;还有服务器的密码要复杂, 管理员的名称也必须改掉, 不用默认的administrator, 这样给黑客在破解用户账号和密码的时候带来难度。

3.4 对重要信息进行加密操作

对于非常重要的信息, 审计和权限管理还不足以让人放心, 还需要更为严格的保护措施, 如果将其做成密报, 即使文件被窃取也无法破解, 只有这样才让人足够安心。信息防泄漏中, 透明加密即可以做到这点, 它好比给每个重要的文档都配备一个专属的贴身保险柜, 没有经过授权的人无法访问和使用加密文档, 给机密信息带来终极防护。

3.5 用户桌面行为规范

现在基本的办公环境都配带有网络, 网络的使用, 无疑改善了员工的工作环境, 同时也提高了企业的办公效率。数字化办公现在已经是评估一个企业能力的标准。但是内网用户也存在着很大的安全隐患。有的用户对网络安全知识非常欠缺, 电脑从来不设置密码, 或者设置密码也是很简单很常见的密码, 而且有些用户的电脑到下班之后也不关机, 这样的主机是黑客最好猎取的猎物。

宠大的网络资源除了带来巨大的信息资源, 同时也包含一些反动类型、色情的网站及其带攻击的应用, 一部分员工的不良上网行为可能会导致木马、病毒被非法下载进入企业内部。对企业内部安全造成很大的威胁。

因此给内网的用户进行一些网络安全教育的培训是有必要的, 让他们认识到网络安全对自身和对企业的重要性;同时规范用户的桌面行为, 网络管理者可以对上网行为进行适当的管控和审计。通过对网络设备的配置, 过滤一些带病毒、带色情的网站, , 保证用户在一个健康的网络环境下使用网络, 而且在上班的时间控制他们的网络行为, 不允许他们玩游戏、炒股, 看视频, 做一些与工作无关的网络行为, 对内网的用户的行为有一定程度的监控和统计。

4 结束语

本文对内网安全的威胁进行了分析, 并从几个方面对如何提高内网安全进行了阐述, 现在内网安全越来越受到网络管理者的重视, 希望本文能对网络管理者在内网安全有一定的借鉴作用。

参考文献

[1]姚万鹏.浅谈DMZ主机及其安全[J].价值工程, 2011, 03:185.

[2]王海燕, 张华贵.内网安全管理探析.电脑知识与技术, 2013, 13:23.

电子政务内网安全保卫战 第11篇

安全问题区别对待

目前，政府、企事业和个人对网络的依赖程度越来越高，大到国家秘密，小到个人隐私，对网络安全的要求也会越来越高，不同层次对信息安全的要求也不一样。大多数的政务部门一般都将信息安全和网络安全等同来理解，事实上，网络安全和信息安全，在内容、技术和安全保障上都应该分开描述，分别提出要求。

以前，政务部门都是以纵向到底（中央、省、市县）的网络来开展本部门的业务，如金字工程等。在这种情况下，信息安全包括全国性的专用网络、数据和应用系统、身份认证等，这是一个系统。而如果是一个公共的政务网络来承载各政务部门的业务，按我们国家现在的分工负责制，政务网络（广域网络）的安全一般由信息化的主管部门负责或由政务网络的建设运维单位负责，包括网络信任体系等基础安全设施，而信息安全大多指本单位局域网络和应用系统的安全，由各单位自行负责。

目前政务部门传输涉密信息的网络与互联网及与互联网有连接的其他网络按要求都是物理隔离，中央级政务部门有一个内部局域网络处理涉密信息，而接入到一般的政务单位，可能是几台终端，而且不同部门的涉密网络均是相互不连通的。不同的涉密信息系统接入同一单位时，通过不同的专线接入到不同的终端上，其信息系统和网络都是不共享、相互独立的，如国办的二邮网系统、组织部门的组织工作系统等，这些信息系统均按机密定级，连接到31个省区市和新疆生产建设兵团及在京相关中央政务部门的业务对口厅室或办公室，这样的系统还有很多。

一般传输涉密信息系统的底层网络传输通道采用电信运营商的电路或光纤，两端采用端到端的加密设备，少数涉密系统的应用示范采用了身份认证。机密级和秘密级在网络传输上的要求基本上是一样的，但由于各信息系统之间在网络上不连通，无法实现网络信息资源和交换与共享，网络信任体系也无法共享，大多数的应用系统也没有采用分级保护。除了传输上加装普通密码设备外，在信息系统侧还需要安装防火墙、IDS、防病毒软件、安全审计等常规安全设备。

当前我国电子政务内网建设存在的主要问题有：

（1） 国家在信息安全方面没有明确的主管部门，缺乏总体的信息安全战略研究和统一的规划，各自为战，难以形成国家合力；

（2） 技术措施陈旧、以被动响应为主，无法对信息流的全过程实施有效的监控，IT设备的核心技术均来自国外，受制于人，大多数的问题存在于涉密终端，没有有效的技术措施和手段来控制信息不外泄；

（3） 涉密人员保密意识不强，管理制度执行检查不严，对移动存储介质不能全部做到强审计下载文件，网络信任体系尚未建立；

（4） 网络分开，意味着终端要分开，除投资增加外，相应的安全保障也要分别做；很多单位有的工作人员一个人有3台以上的终端，分别对应不同的应用系统，网络、线路和设备的使用效率低下，信息安全无法保障，管理分而治之，信息安全不可控，存在诸多隐患。

电子政务内网建设的五点建议

电子政务内网的信息安全关系到国家安全，能否针对当前我国涉密信息系统存在的问题，科学有效地制定国家的信息安全和保密方案，直接关系到能否真正保证信息的安全。因此，首先要有一个强有力的主管部门，根据业务的需要在全国建立一个统一的涉密内网，统一规划IP地址，分级负责，统一为各相关单位配备普通密码设备，建立统一的身份认证、授权管理和责任认定的机制，建立终端的按需要配置相关功能的标准规范和移动存贮介质强审计系统，在统一的电子政务基础网络平台上构建涉密内网。根据我国实际情况，现提出以下针对电子政务内网建设的具体建议：

一、 建设统一的单位涉密局域网。内网按国家保密局有关涉密计算机信息系统建设的要求进行建设，对不同涉密信息系统的不同密级进行分级保护，做好访问控制。在单位局域网的出口安装一台普通密码设备，不同业务进入一个单位时共用一台普密设备，以减少投资并对普密设备进行统一管理，而不是像现在这样一个系统配一台普密设备，系统之间的网络物理隔离。

二、 加强终端计算机的管理。在涉密網内，终端问题是最多的，因此要加强终端计算机的管理，对终端的行为进行审计，通过技术手段防止内网外联，加强移动存贮介质的管理，对终端按功能和要求进行配置，在现阶段对终端上没有用的功能进行删减，如删减无线网络连接、内置调制解调器、软件下载等功能，以减少网络和系统的脆弱性，而不是像现在这样用操作系统中提供的禁止方法来限制。

三、 加强网络信任体系的建设。通过统一的身份认证，做好信息系统的授权管理和责任认定，对每个应用系统进行访问控制和责任认定。

四、 实现信息资源的共享。党委、人大、政府、政协、法院、检察院之间需要资源共享时，统一建设数据共享与交换平台，通过网络信任体系和访问控制手段来实现政务资源信息的共享。基于中央城域网和全国的电子政务内网，传输涉密信息。其传输平台应该只有一个，便于进行管理和信息资源的共享与交换。

五、全国统一涉密内网的规划建设。在国家政务内网中的数据是加密传输的，应统一规划和管理，明确传输机密级（含）以下的涉密信息系统。

信息安全是一个在攻与防过程中不断完善提升的过程，无论从观念上，还是从技术上，都需要我们不断地研究。信息安全从现在的被动响应向主动防御的转变，还有很多工作要做。电子政务各部门从国家战略安全要求出发，结合国家各方面的力量，就一定能够把我国的信息安全工作做好。

作者简介：

浅谈内网终端安全管理 第12篇

关键词：内网安全,终端,管理

0 引言

在现实中,办公网络经常会存在个别计算机终端疏于更新操作系统安全补丁、防病毒软件未及时升级、防火墙规则设置过于宽松、可以随意下载和安装不明软件、滥用网络资源等现象,这使得计算机终端自身存在大量的安全漏洞和管理真空地带。

事实上,如果能够通过科学完善的技术管理手段,将企业已经制定的内网安全管理制度与流程在每一台计算机终端都有效贯彻和执行,及时修复计算机终端存在的安全漏洞,并实现计算机终端本地行为与网络行为的可控制、可管理和可审计,内网各项安全指标就可以达到企业所期望的安全管理目标和效果。

1 内网终端安全管理的必要性

员工如果通过不受监控的网络通道将企业的商业机密泄漏出去,会给企业带来经济损失。员工所使用的笔记本电脑等移动设备如果管理不当,很有可能携带有病毒或木马,一旦未经审查就接入企业内网,可能会对企业内网安全构成巨大的威胁,甚至使内网瘫痪,所有终端机不能正常使用。没有内网管理平台,员工可能会在工作时间上网聊天、玩网络游戏,使用电驴等工具下载电影、游戏、软件等大型文件,这些行为即影响自身的工作效率,又占用资源影响单位网络的正常应用。

不能对行为进行监控,那么随时都可能引入风险,威胁便有了可乘之机。内网资产(CPU、内存、硬盘等)被随意更换,计算机数量越来越多,无法集中管理软、硬件数量无法精确掌握,盘点困难。内部人员进入共享文档服务器,窃取机密文件,通过存储设备和通讯设备进行外泄,比如:USB存储;通过MAIL、FTP、BBS等途径将单位内部信息泄密到外网。同时硬件及管理上的安全漏洞随时会被作为内网攻击的入口或跳板,不仅计算机终端自身会遭受到攻击和破坏,更为严重的攻击,会造成内网阻塞并瘫痪、内网关键数据失窃,给企业带来巨大的经济损失。

2 内网终端安全管理的操作性

客户端准入在终端访问网络时检查自身是否符合安全策略,如果不符合,则阻断自身应用程序的网络访问;在终端接受访问时,必须确认对端是否是接受管理的终端,否则拒绝对方的访问,接受访问时也检查自身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗,阻扰其正常的网络访问,直到该终端正确安装了客户端软件。ARP准入因有较大的网络副作用,比如广播风暴,而且效果不理想,用户对它的使用也越来越少了。此外,客户端准入如果配合网络层准入或应用层准入一起使用,可使准入控制更加灵活和强大。

内网安全问题,实质上并不是因为威胁高深莫测,而是在于内网安全管理有章可循,如果内网安全管理制度能够科学有效执行下去,内网安全问题将得到根本解决。终端作为内网安全管理的主体,是否达到内网安全管理的目标要求,将是内网安全问题真正解决的关键,因此内网安全管理的核心是针对计算机终端的合规管理。合规管理主要包括以下几个方面的内容。

(1)准入控制

一般情况都是通过部署在网络关键路径(如网络出口等)的终端安全管理系统或其他安全设备来实现准入控制。准入控制划分为网络准入、应用接入、终端准入等多层控制。如图1所示网络准入主要采用基于802.1X和CISCO Eo U的方式对有线及无线方式网络接入进行控制;应用准入则是根据用户账户、访问设备所具备的访问权限和相关的访问策略,来判断某个网络应用是被允许或拒绝的控制手段;终端准入是指对接入网络的终端设备进行检查,如果没有安装终端安全管理客户端软件,则不允许接入(拒绝访问任何网络资源)。

系统对于非法进入企业内网的终端进入进行监控与管理。在安全接入管理方面,系统可以通过监听和主动探测等方式检测内部网络中所有在线的主机,并判别在线主机是否是信任主机,然后,对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络进行攻击或者试图窃密。

(2)终端安全检查

通过安装在终端上的终端安全管理客户端来实现,监控计算机终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。同时,提供操作系统补丁自动下载和升级。

基于角色的访问控制提供了一种简单灵活的访问控制机制,只给角色分配权限,用户通过成为角色的成员来获得权限。这与过去系统中直接给用户授权的管理模型相比更灵活方便。同时,管理人员可以通过控制台远程取得客户机的控制权,身临其境般进行操作。对于远端客户机出现的问题,管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。

(3)进程管理

实时检查终端上运行的进程,如果发现黑名单进程(不允许运行的进程)则自动杀掉,发现没有运行的白名单进程(规定必须运行的进程),则自动启动,从而有效地确保终端主机不会存在违规进行聊天、游戏、炒股、视频等活动,也不会存在未启动防病毒、防火墙接入网络的不安全行为。

(4)外设监控

可以对MODEM、红外、蓝牙、无线、USB、打印机等进行控制,有效杜绝终端重要信息泄密的隐患。在外部存储设备的禁用方面,可以在禁止使用通用移动存储设备的同时,对经过认证的移动存储设备允许使用。同时实现对终端用户的文件操作控制和文件加密等功能,彻底解决在信息访问过程中,每个能导致安全问题的隐患。

(5)终端审计

对终端进行安全策略事件、文件操作、打印、网络访问、一场路由、系统登录等操作进行审计。同时,计算机硬件技术发展迅速,经常需要进行更新和淘汰,或者配合软件的升级进行硬件的升级。财务或资产管理部门对企业的计算机的管理和统计经常处于一种无序及手工统计的状态,当设备更新频繁时,原本的资产记录往往会出现管理滞后和与实际情况不相符的情况,从而造成设备管理的混乱。

3 内网终端安全管理的硬件设备

内网终端安全管理除了需要完善的管理制度,也需要一些硬件管理产品有很多,叫法也多样,比如非法外联监控系统、内网安全管理系统、内网安全风险管理与审计系统和合规管理系统等。产品一般由以下几部件组成:

(1)客户端代理

客户端代理从管理服务器获取策略规则,在计算机终端执行策略规则,检查终端安全状态,执行终端综合防护,并将终端安全状态报告给管理服务器。客户端代理包含多种模块化的组件,以满足用户以一个客户端完成多种安全管理的需求。如图2所示,客户端是使用代理服务器来访问,那取到的是代理服务器的IP地址,而不是真正的客户端IP地址。高匿名代理服务器的PHP获取客户端IP情况,REMOTE_ADDR=代理服务器IPHTTP_X_FORWARDED_FOR=没数值或不显示,无论是REMOTE_ADDR还是HTTP_FORWARDED_FOR,这些头消息未必能够取得到,因为不同的浏览器不同的网络设备可能发送不同的IP头消息。因此PHP使用$_SERVER["REMOTE_ADDR"]、$_SERVER["HTTP_X_FORWARDED_FOR"]获取的值可能是空值也可能是“unknown”值。

(2)管理服务器

管理服务器用于配置管理计算机终端安全策略,下发策略给客户端代理及策略网关,分发补丁、病毒定义码或软件以修补计算机终端安全漏洞,并可通过管理控制中心查询企业网络任何一个计算机的安全状态。通过公钥基础设施促进安全行业各个部门致力于维护和改善与PKI技术相关的方方面面。从根证书颁发机构到X.509认证,都证明了其在保护服务器基础设施及数据方面的成功。

(3)策略网关

策略网关是执行应用准入的强制组件,策略网关从管理控制中心获取策略规则,以准入控制手段强制执行内网安全策略,拒绝不符合安全策略的计算机终端访问企业的关键系统及应用。通过Web访问过滤、网络应用控制、带宽流量管理、外发信息监控、互联网活动审计等功能,实现细化、量化的上网行为管理效果。网络安全同设备和邮件服务器组件一样,对移动安全同等重要。

(4)桌面虚拟化

桌面虚拟化是指将计算机的桌面进行虚拟化,类似Vmware,F5,以达到桌面使用的安全性和灵活性。可以通过任何设备,在任何地点,任何时间访问在网络上的属于我们个人的桌面系统。桌面虚拟化依赖于服务器虚拟化,在数据中心的服务器上进行服务器虚拟化,生成大量的独立的桌面操作系统(虚拟机或者虚拟桌面),同时根据专有的虚拟桌面协议发送给终端设备。用户只需要记住用户名和密码及网关信息,即可随时随地的通过网络访问自己的桌面系统,从而实现单机多用户。而远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。这就是远程桌面的最大功能,通过该功能网络管理员可以在家中安全的控制单位的服务器,而且由于该功能是系统内置的所以比其他第三方远程控制工具使用更方便更灵活。远程桌面是桌面虚拟化的前身,远程桌面技术加上操作系统虚拟化技术之后形成了桌面虚拟化技术。

4 结束语