内网安全防护体系研究

内网安全防护体系研究（精选8篇）

内网安全防护体系研究 第1篇

本论文将主要对内网中网络通信环节的安全监控体系进行设计与探讨, 以期和同行分享。

1 内网通信行为审计监控系统设计

1.1 总体功能设计

内网通信审计监控系统是一种分布式网络用户行为监控系统, 将用户访问控制、网络行为监管、主机安全审计等功能集为一体, 具有控制范围广、监控功能多、监控效率高、自身安全性高等特点, 主要在该系统中实现以下功能目标。

(1) 安全策略的访问控制。

基于安全策略的访问控制是由系统控制台和受控主机代理以分布式协同方式执行的: (1) 控制台提供安全策略的定义、描述、修改、存储和下载功能。 (2) 监控代理将从控制台下载安全策略, 执行访问控制, 处理违规事件。

(2) 远程实时监视。

远程实时监视主要实现对受控主机屏幕操作行为进行实时监视, 采集有关行为数据。由于远程实时监视将产生大量的数据, 并且随着受控主机的增多, 数据量将会成倍地增加, 对数据的采集、传输、处理和存储都会带来很大的负面影响。

为了降低不利的影响因素, 控制台应当对远程实时监视操作进行管理和控制。可选择监视项目、可随时启动或停止某一监视项目、可选择存储监视数据、可选择监视数据展开方式等, 另外采用了先进的数据压缩技术和网络过滤技术来减少监控的数据信息量。

(3) 控制台安全管理。

控制台安全管理主要涉及日志管理、安全审计、用户管理和系统管理等, 其中系统安全控制包含重要数据的加密传输和重要文件的完整性检查。

1.2 体系结构设计

该内网通信监控体系是一个内网行为监管审计系统, 运行于内部网中, 采用集中式管理、分布式控制结构对网络用户操作行为进行监管, 并提供事后安全审计功能。系统主要分为两个子系统:集中式管理中心称为控制台, 分布式控制节点称为监控代理, 可以在内部网中部署多个监控代理。

在该系统中, 控制台和代理之间是双向的C/S模式, 通信采用DES加密。代理程序作为服务, 随着操作系统的启动而启动, 向控制台进行登录, 并进行控制台的身份认证。控制台实时检测已经注册过的所有代理状态, 并提供安全管理功能。

(1) 监控代理:部署在内部网中需要安全保护的节点上, 当用户登陆进入操作系统时, 监控代理以系统服务的方式启动, 并对客户的各种行为进行权限控制和行为跟踪。用户身份使用用户名、用户机的硬盘序列号以及MAC地址和IP地址进行识别, 每个用户由管理员在监控管理平台上赋予不同的操作权限, 并在自己有效的权限内进行文件操作、网络访问操作、外设操作、系统登陆操作等行为。

(2) 控制台:作为网络通信监控系统的控制中心, 安装在内网中一台服务器中, 存储内网中各个PC用户机的访问操作权限和系统规则, 所有不在监控审计之下的PC用户和PC将不能访问网络资源和本地资源, 也不能进行各种操作行为。管理员可以在监控服务器管理平台上建立和修改用户信息, 建立和修改审计规则, 监控客户PC行为, 管理和审计日志, 在线分发升级信息等。

2 内网通信监控体系实现的关键技术分析

2.1 应用层数据内容过滤的实现

应用层数据内容过滤针对的是网络数据中包含的内容而进行的过滤, 该模块监控的网络行为包括:浏览Web页面行为, 收发邮件行为等网络通信。在安全策略设计上, 考虑到用户上网行为的频繁性, 多样性, 采取策略给出的都是禁止的, 没有给出的都是允许的这一策略模式。监控代理程序根据安全策略进行过滤监控, 记录违规行为, 并将违规行为作为日志信息保留, 供控制台察看审计。

应用层数据内容过滤模块主要是改变了系统基础服务提供者的顺序, 将自定义的服务提供者置于服务提供者链的最首当用户应用程序使用Winsock2 API函数时, Ws2_32.dll会调用自定义服务提供者的接口函数, 经过自定义接口函数的处理后再调用系统Winsock2 SPI函数, 执行所请求的服务。这实质上就是在Winsock2 API层和Winsock2 SPI层之间挂接一个自定义接口, 自定义服务提供者主要对系统服务提供者的6个关键函数进行HOOK, 从而完成通信内容的过滤功能。

2.2 传输层请求访问控制的实现

以往的基于传输层访问安全策略用户的可控制动作只有允许或禁止, 而这种模式存在缺陷:像系统有些访问网络的服务, 一旦禁止其访问网络, 系统会失掉一写本来必要且安全的功能。

本系统中的传输层访问请求控制模块在策略设置上对以往单一的模式进行了改进和补充, 即未允许表示禁止, 而允许并不是完全的允许。对一个进程而言, 该策略模式已不是简单的允许或禁止, 而是更具体, 更细致, 可以设置允许或禁止该进程使用本地的某个端口地址段, 也可以设置允许或禁止该进程访问某个远程IP地址段的某个端口地址段, 利用该过滤控制策略, 能够实现进程访问网络端口时的信息安全性。

3 结语

近几年网络安全事件频繁发生, 各种蠕虫病毒利用系统漏洞传播不断爆发, 严重影响网络正确运营, 甚至导致网络与系统瘫痪、重要信息泄密;而传统的安全技术与方案主要保证网络边界的安全, 内网安全成为企业管理的隐患。针对此问题, 本论文研究了内网通信行为审计监控系统, 此系统运行于内部网中, 采用集中式管理、分布式控制结构对网络用户操作行为监管, 并提供事后安全审计功能, 具有对网络应用 (如邮件行为) 和访问网络的应用程序 (包括用户进程和系统进程) 按照安全策略进行监控的功能, 对于进一步提高内网通信安全管理的研究和应用具有一定的推广和实践应用的价值。

摘要：针对目前网络安全体系普遍重视边界安全防护而忽略了内外通信安全的现状, 本论文对内网通信行为安全审计监控系统进行了设计与研究, 给出了内外通信安全监控体系的功能设计目标与系统结构方案, 并在此基础上重点对实现系统的关键技术展开了分析, 从应用层数据内容的过滤和传输层访问请求的控制两个角度进行了论述, 对于进一步提高内网中网络通信安全监控系统的研究和应用具有一定的借鉴和指导意义。

关键词：内网安全,网络通信,监控体系

参考文献

[1]王宏健, 邵佩英, 张籍.基于Linux防火墙Netfilter的安全应用的设计方法[J].小型微型计算机系统, 2001 (12) :32～34.

[2]Nicholas Wells[著], 张震宇[译].Linux网络与安全指南[M].北京:北京科学出版社, 2004.

电力企业内网信息安全管理技术研究 第2篇

关键词：电力企业；内网安全；管理现状；安全技术

中图分类号：TP393.1 文献标识码：A 文章编号：1671-864X（2016）05-0187-01

电力企业作为能源行业的重要组成，随着网络通信技术的广泛应用，逐渐形成完善的计算机网络信息管理系统。然而，由于电力企业地域性分布广泛，各类业务应用相对繁杂，特别是网络拓扑结构交错性强，加之来自网络内外的各类潜在病毒及黑客攻击的干扰，网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手，就其风险因素及防范技术展开探讨。

一、电力企业内网面临的完全威胁

内网是相对于外网而言，在电力企业内外建设上，根据不同应用领域和管理实际，内网建设多以核心交换机为中心，来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在：一是物理層面的风险，如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全，在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化，特别是未对接地电阻、独立接地体，以及线缆屏蔽层进行防护，对于重要服务器及重要网络设备未建立双UPS电源管理，对一些关键数据设备在出现故障时未进行容灾备份设计。二是网络架构安全因素，由于内网设计不同领域、不同部门的每一个员工，在不同站点之间采用不同的连接方式，如有些是光纤连接、有些是租赁专线，有些是VPN连接；在网络拓扑结构上因设备系统扩展，缺乏科学规划，导致逻辑网络子网划分不合理、子网间不安全连接问题突出。三是网络系统设置因素，对于不同主机系统、网络设备等硬件在安全配置上存在漏洞，有些系统补丁不健全，容易留下攻击隐患；有些配置管理操作不规范，如一些路由器配置不合理，特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题，都给系统管理带来影响。四是应用软件风险因素，从内网应用软件系统来看，一方面为办公系统软件，设计系统等通用软件，另一方面是电力系统协同软件，财务软件等行业类软件，再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件，营销系统等。由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足，而电力企业在内网应用软件管理上未能进行协同推进，特别是软件的口令授权、权限设置，软件系统数据管理及配置、备份管理等问题，都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足，对于内网，同样需要关注病毒侵害风险，特别是在一些文档传输中，对于病毒的形式、传播途径等未能进行专业防范，特别是风险意识不足，未能真正从制度上、管理上落实安全管理要求。

二、电力企业内网安全管理技术

（一）防火墙技术的应用。

在企业内外网最关键的安全防线就是防火墙，一方面防火墙阻止外网的未经许可的访问，另一方面实现对内网的安全防护。利用防火墙中的包过滤技术，可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全，数据传输端口是否正确；同时，防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法，并进行优化处理； 另外，利用防火墙，还可以实现IP地址的转换，特别是通过地址映射技术，实现对内网网络中的IP地址进行虚拟化管理，实现对内网的安全保护。

（二）漏洞扫描及入侵检测技术。

对于网络安全的检测与管理，通常需要从漏洞扫描技术应用中，来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描，分析安全日志并监测不同内网用户的操作行为是否合法，并从系统平台的安全策略检测上，对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性，提升内网安全管理效度。

（三）网络安全防护技术。

从内网安全管理实践来看，网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化，来抵御可能存在的内网安全风险。如在操作系统登录管理上，利用授权账户管理，并从密码及有效期限，以及操作权限上进行分级管理；在进行内网远程登录连接过程中，所有数据传输实施加密协议，如基于WEB的SSL、TLS加密技术；对于来自网络内的各类Dos攻击行为，利用路由器来设置拒绝服务模式，提升设备的可用性。

（四）防病毒软件技术。

计算机病毒是影响内网安全的重要风险，在病毒防御及控制上，需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性，在进行病毒防范上，需要结合病毒特征码、程序行为、关键字等进行检测，而病毒库的更新尤为重要。因此，在病毒防范技术上，一方面做好病毒库的升级更新，另一方面一旦发现病毒，需要从系统隔离、病毒清除、文件保护等方面进行处理，特别是针对一些常见的、恶意病毒，要实施全方位、多层次的病毒防御体系，确保每一台内网机器的安全。

三、结语

电力系统内网安全管理工作不容忽视，通过对内网安全管理中的问题进行分析，并从安全管理技术上，加强综合性防范。同时，内网安全管理要注重人的关键性，要不断加强安全意识教育，从制度上提升内网操作的安全水平，最大限度减少内网用户的安全威胁，保障内网的稳定、可靠运行。

参考文献：

[1]陈璐，陈华智，邓松，张涛，马媛媛.电力内网终端的安全接入控制方法研究[J]. 电力信息与通信技术. 2014（06）.

内网安全防护体系的设计 第3篇

笔者单位信息化建设中普遍存在内网信息系统需要和外部网络实现数据交换的现实需求, 本文从系统拓扑、安全策略设计、网络VLAN划分及防火墙配置、服务器配置等方面提出了完整的内网信息系统安全防护体系的设计方案。

目前, 在单位的网络应用当中, 经常遇到的一类问题就是部署在单位内网上的涉密业务系统, 需要向外部网络的指定用户提供信息服务。在此类应用场景下, 如何做好内外网互联中的边界安全防护, 确保内部网络的数据和信息安全, 成为网络管理人员所面临的现实问题。笔者结合某项目的经验, 提出一种内网信息系统安全防护体系的设计方案。

安全防护体系总体设计

根据分域保护安全策略来规划设计内网整体安全防护体系, 将其整个涉密信息系统划分为多个安全域, 对每个安全域分别采用相应的安全保护措施加以保护。在满足业务、功能和地域等特性的同时, 保证整体运行的可用性、保密性和完整性的基础上, 将内网涉密系统网络划分为服务区、内部用户区等安全区域, 服务区安全域进一步划分为公共服务区、秘密级应用服务区。

整体安全防护体系由防火墙、入侵检测、网络安全审计、防病毒、补丁分发等系统设备组成。在特定应用安全域利用分别配置防火墙设置进行边界防护, 设定严格访问控制策略, 对区域间通信进行审计, 记录日志信息。通过防火墙设置统一的认证功能, 在专网中建立应用层整体的身份认证体系, 建立统一的、可控的用户管理机制, 完成对信息的安全身份鉴别式访问。入侵检测系统对访问应用服务器的连接进行深层检测。网络安全审计系统对各级安全域的访问会话进行监控, 记录访问者的操作行为。补丁分发系统及时对系统中所有漏洞进行更新和升级。

整个网络拓扑采用星形结构, 如图1所示。边界防火墙为网络唯一出口。防火墙采用路由模式, 将ETH6配置成外网接口, ETH1接口连接病毒过滤网关。病毒过滤网关ETH1连接核心交换机, ETH2连接防火墙, 病毒过滤网关采取透明桥模式连接。

安全策略设计

首先, 从安全区域上, 将网络划分为:外网区, 服务器区, 内部办公区, 并通过核心交换机对上述各个区域划分VLAN, 以对各个区域之间的相互访问进行访问控制。并架设边界防火墙作为唯一出口, 从而实现对来自外部网络的入侵的防护。

其次, 为了保护重要数据, 特将应用服务与数据服务分开, 用核心交换机进行访问控制, 保护数据的安全。

第三, 在核心交换机上部署入侵检测系统IDS, 自动地对网络运行进行监控, 对可疑的事件给予检测和响应, 在主机和网络遭受破坏之前阻止非法的入侵行为。由于IDS是被动监听的特点, 所以不产生流量不会影响网络的带宽。

第四, 补丁服务器采用了360天擎安全管理系统解决方案, 部署一台服务器安装360天擎安全管理系统控制中心, 对网内终端进行统一补丁修复, 及时修复操作系统安全漏洞, 降低安全风险。

第五, 在网络中部署防病毒过滤网关系统, 采取与单机防护不同的基于网络的病毒防护方案。检测并记录多个网段内的病毒传输行为, 在病毒侵入网络之前进行实时阻止, 并且运用先进的检测技术解决了传统病毒网关

类产品会造成网络延时的问题。

第六, 在网络中部署网络安全审计系统, 针对网络行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督, 预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求, 提供完整的上网记录, 便于信息追踪、系统安全管理和风险防范。

网络VLAN划分及防火墙配置

对内网区域和服务器区域均采用私有IP地址, 使用防火墙的反向地址转换来对目的地址进行转换。外网访问防火墙的反向转换地址, 由内网使用保留IP地址的服务器提供服务。这样, 对外部网络来说, 访问全部是来自于防火墙转换后的地址, 并不认为是来自内部网的某个地址, 这样能够有效的隐藏内部网络的拓扑结构等信息。

在此次建设中, 防火墙网外网接口地址配置为27.126.242.110/25, 与核心交换机口地址配置为192.168.0.1/25, 内网VLAN配置为192.168.10.0/25, Web服务器VLAN配置为192.168.14.0/25, 通过IP地址192.168.14.15提供网络服务, 并由防火墙映射为27.126.242.110的公网地址。数据库服务器VLAN配置为192.168.28.0/25, 通过IP地址192.168.28.15提供数据服务。

同时开启防火墙的会话认证功能, 为每位用户建立帐号和密码, 实现只有通过认证的用户才能访问网络。具体策略为内网用户经认证通过防火墙的源地址转换功能对外网实现单向访问;外网指定用户经认证可以访Web应用服务器, 并对访问端口进行限制;除Web应用服务器 (27.126.242.110) 外其他所有资源外网用户均不能访问。

服务器配置

为了保证网络的高可用性与高可靠性, 服务器均通过HA软件实现双机热备功能, 即在同一个网络节点使用两个配置相同的服务器。热备模式采用AS模式, 即正常情况下一个处于工作状态, 为主服务器, 另一个处于备份状态, 为备服务器。当主服务器发生意外宕机、网络故障、硬件故障等情况时, 主备服务器自动切换工作状态, 备服务器自动代替主服务器正常工作, 从而保证了网络的正常使用。主备服务器均采用同一虚拟地址提供服务, 当主服务器发生故障时, 就可以透明地迁移到另一台服务器上, 网络使用者不会觉察到网络链路切换的发生。

数据库服务器通过光纤直接到主存储设备。主备存储通过网络进行数据备份, 备存储位于异地机房, 通过光纤直连到数据库服务器所在交换机。在核心交换机上将心跳线用的网络端口和存储设备用的网络端口分别加入到不同的隔离组。

在此次实际建设中, 主备Web服务器地址分别配置为 (192.168.14.11, 192.168.14.12) , 主备数据库服务器地址分别配置为 (192.168.28.11, 192.168.28.12) 。

每两台主备服务器均采用两对心跳线作为冗余检测, 应用服务器心跳线IP的配置为 (100.100.100.10, 1 0 0.1 0 0.1 0 0.1 1和2 0 0.2 0 0.2 0 0.1 0, 200.200.200.11) , 数据库服务器心跳线IP的配置为 (100.100.100.13, 1 0 0.1 0 0.1 0 0.1 4和2 0 0.2 0 0.2 0 0.1 3, 200.200.200.14) 。通过HA软件将进行数据交互的虚拟IP地址切换给提供服务的服务器, 再通过防火墙映射为27.126段的公网地址。

结语

医院内网安全管理实践与研究 第4篇

关键词：医院信息系统,医院内网,虚拟局域网,网络安全

0前言

随着医院信息系统 (HIS) 、实验室信息系统 (LIS) 、医学影像存档与通信系统 (PACS) 、电子病历等系统的推广使用, 医院的各项医疗活动对信息网络的依赖性不断增强, 一旦出现网络瘫痪、客户端故障、数据丢失, 都将影响医疗工作, 造成不可预期的损失。因此, 医院内部网络的安全性和稳定性对于医院的正常运营至关重要[1]。我院在用网络终端近1500台, 数量多、分布广、管理难度大, 据统计80%的安全问题是由网络内部引起的。另一方面, 作为地方医疗保险的定点医疗机构之一, 医院内网要与省市医保、新农合网络联接, 要保证医院内部网络不受来自外网的各类攻击并达到保密性要求, 必须做好网络和终端的安全管理, 以保障信息安全[2,3]。

1 医院内网安全管理需求分析

网络安全是指网络系统的软、硬件资源及数据不因偶然或恶意的原因而受到破坏、更改、泄露, 保证网络服务不中断, 系统能够连续可靠地正常运行, 使之具备保密性、完整性、可用性、可控性和可审查性。目前我院的内网安全管理需求主要有以下几个方面[4,5,6,7]。

1.1 内网风险

在局域网内由于蠕虫病毒、交换机端口故障、网卡故障或网线线序错误等原因都有可能带来广播风暴, 导致数据帧或包被传输到本地网段上的每个节点, 占用大量网络带宽, 消耗网络中的计算机CPU资源, 导致正常业务不能运行, 甚至彻底瘫痪。因此, 保障网络的连接能力和流通能力, 是确保业务系统正常运行的基础。

1.2 内网终端风险

医院内网中计算机用户数量众多, 存在着大量的危险因素, 迫切需要加强管理。主要表现在:①非法主机随意接入内网, 未经授权使用内网资源用于非法用途甚至导致信息外泄, 并且无法监控;②光盘、U盘、移动硬盘等存储介质极易导致病毒感染, 并在网内迅速传播, 造成客户端、服务器数据丢失和程序破坏;③用户非法安装程序、拷贝无关数据, 占用电脑资源, 影响工作秩序, 甚至随意修改、删除软件配置, 造成系统不能使用。

1.3 内外网通信安全管理

外部和内部网络进行通信时, 内部网络有可能会受到“陷门”、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁。因此, 外网与内网必须进行必要的隔离, 对外网的服务请求加以过滤, 只允许正常通信的数据包到达相应主机, 防止网络结构导致信息外泄。同时还要限定连接外网的内网用户及访问权限。

1.4 计算机资产管理

随着医院信息化规模的不断扩大, 计算机、网络设备的数量、型号、软硬件配置及分布位置难以进行及时有效的统计和管理, 还有可能发生计算机或网络设备配件的丢失或替换, 造成资产流失。

1.5 网络技术人员维护需求

医院计算机终端数量多、分布广, 一方面操作系统本身存在着安全漏洞, 需要及时安装补丁程序;另一方面各客户端应用程序需要不定期升级, 如果操作失误或程序缺陷, 客户端难免出现各种各样的问题, 需要及时到现场解决。这些使得网络技术人员面临大量、繁杂的维护工作。

2 内网安全管理实践

针对以上问题, 我们分别采取以下措施, 减少内网安全隐患, 提高维护水平, 保障了医院信息系统的稳定行与安全性。

2.1 局域网内划分VLAN并启用RSTP

目前, 我院网络主干线由16根光缆组成, 综合布线近万条, 核心层、汇聚层、接入层交换机共130余台, 主干支持万兆、桌面达到千兆速率。为防止广播风暴波及整个网络, 增强局域网安全管理, 对外科楼、内科楼、门诊楼、保健楼、西院区等楼宇, 根据楼层布局, 每两层或一层划分为1个虚拟局域网 (VLAN) , 不同VLAN间通信可通过路由器完成转发 (图1) 。每个VLAN内的用户不能和其他VLAN内的用户直接通信, 广播帧无法再传递到其他子网中, 从而达到隔离广播风暴的目的[8,9]。

启用快速生成树协议可以在网络结构发生变化时快速地收敛网络。当网络产生环路后, 可实现路径冗余, 将环路网络修剪成无环路的树型网络, 从而避免报文在环路网络中的增生和无限循环, 抑制网络风暴。

2.2 部署内网安全及补丁分发管理系统

我院内网采用了北信源内网安全及补丁分发管理系统VRV EDP (Enterprise Desk Planning) , 能够完全解决网络安全管理工作中遇到的常见问题[10,11,12]。VRV EDP强化对网络计算机终端的控制, 管理内容包括:补丁检测分发、终端安全策略、桌面风险审计、终端运行状态监控、资产管理以及终端行为审计等, 形成一个实时的安全监控系统, 并能够同其他网络安全设备或网络安全系统进行集成和报警联动。

2.2.1 软件环境

操作系统为Microsoft Windows Server 2003 R2, 安装Microsoft SQL Server 2005数据库系统和Internet服务管理器 (IIS) 。SQL Server数据库用于建立管理信息数据库列表项, IIS服务器提供Web服务, 用于安装Web网页管理配置平台。数据库管理系统、区域管理器、Web管理平台安装在同一服务器上, 作为监控服务器。区域管理器是系统数据处理中心, 内置网络扫描器, 接收注册程序提供的用户信息, 与管理信息数据库通讯, 将用户信息并行存入数据库, 并接受来自控制台的命令操作, 发送到客户端、扫描器执行。还可将设备最新状态信息同数据库中原有信息进行遍历搜索对比, 根据管理规则在管理平台上报警。

2.2.2 主要功能

(1) 终端注册管理。采用ARP阻断技术, 拒绝未注册终端入网, 包括终端接入交换机拓扑管理、IP和MAC绑定管理、禁止修改网关、禁用冗余网卡等。

(2) 终端安全管理。配置统一防火墙, 实现IE安全设置、注册表监控/保护、桌面密码权限管理等。

(3) 终端桌面管理。可以控制终端软件安装, 对外设及端口、进程运行、上网访问等进行点对点远程协助管理, 实现网内消息通知, 终端流量管理、系统自动关机、终端时间同步等。

(4) 硬件资源、移动存储管理。设置硬件设备控制策略, 对移动存储设备接入进行管理, 如进行分组、标签认证、读写控制以及使用行为审计。

(5) 补丁及文件分发管理。建立和分类补丁库, 补丁自动下载并增量更新导入, 对终端漏洞自动检测, 定制策略分发。还可以对漏洞情况、补丁安装情况汇总统计。同时提供对普通文件分发及文件自动执行功能, 以方便实现局域网内程序的更新分发及文件的拷贝等。

(6) IT资产管理。实现软、硬件资产管理, 记录软、硬件设备信息及变更情况, 对设备资源、设备信息进行统计。

(7) 网络主机运维。对运行资源监控、流量异常监控、进程异常监控、客户端文件备份监控;对客户端流量统计、排名, 运维异常监控情况查询统计。

(8) 事件报表及报警处置。对终端信息数据统计、分类, 以图形化信息、组态报表数据输出, 实现对阻断报警、IP绑定变化、违规外联、设备变化、流量异常、探头卸载、病毒行为等报警数据的查询统计, 并对报警结果进行处置, 远程阻断不安全事件源。

2.3 计算机终端使用管理

内网机器不安装光驱, 使用gpedit.msc或poledit对终端计算机注册表进行策略配置。包括系统控制面板、删除“运行”、“查找”命令, 隐藏驱动器、网上邻居等, 禁用注册表编辑工具等。

2.4 部署网络版杀毒软件

针对局域网络环境, 安装适用于Windows各种版本的北信源网络服务器和客户端防杀病毒软件, 有效防范病毒、木马、蠕虫对网络服务器、客户端文件系统侵袭。由服务器端、客户端、升级管理、杀毒监控等模块构成坚固的网络防病毒体系[13], 定期升级病毒库。

2.5 使用防火墙等技术进行内外网安全隔离

(1) 布设2条专用光纤, 分别与省、市医保服务器连接、通信。

(2) 办理医保业务的客户端安装数据加密卡, 确保只有指定的客户端才能与地方医保服务器进行业务数据交换。

(3) 在省市医保网、新农合网 (通过公共网络接入) 与内网间分别架设2道防火墙, 配置防火墙的WAN口, 分配内网LAN口地址, 通过设置NAT地址转换模式、路由表配置及包过滤规则, 保证网络通信畅通, 限定内网机器对外网的访问, 并且防止外网对内网的主动接入、非法入侵, 确保整个内网的安全。

3 结论

内网安全管理措施全面实施后, 解决了威胁网络安全的潜在危害, 整个内网环境干净、有序、顺畅, 最大程度上保障了信息系统的稳定安全运行, 提升了内网管理水平。

(1) 进一步保证网络畅通。通过划分VLAN启用RSTP、流量管理、异常运维监控, 极大地减少了网络拥堵事件, 提高了网络利用率。

(2) 有效杜绝了病毒感染、非法程序安装和软件配置的人为破坏。通过禁止移动存储设备的违规使用、阻断病毒和非法软件进入内网的途径、限制终端客户对软件配置的更改, 规范了使用者的行为, 保障了客户端良好健康的运行环境。

(3) 防止信息泄密、非法使用, 确保数据安全。非注册计算机一旦接入内网, 立刻阻断, 拒绝入网, 保障医患信息安全。

(4) 实现了外网与内网安全隔离。有效控制了外网对内网信息的访问、读写等操作, 同时只允许专用内网终端访问特定外网地址, 从而达到保密性要求。

(5) 计算机硬件资产有效管理。对硬件资产自动发现识别, 保证医院内网中的计算机数量和配置更加准确, 实现网络硬件资产的电子化跟踪和管理。

(6) 提高维护工作的质量和效率。通过向客户端分发软件和补丁、远程解决终端计算机的应用故障、监控和管理网络资源及运维信息, 提高了内网管理工作精度, 缩短了维护服务响应时间, 减少了网络技术人员的工作量, 提升了用户服务满意率。

数字化医院的建设离不开计算机网络的支持, 医院内网的安全管理是一项长期、重要的系统工作, 它不仅依靠技术手段的实施, 还有赖于安全管理制度的建立与执行、工作人员的规范化操作、日常维护的持续性改进等。今后在实际工作中, 还需要注重细节, 借助不断发展的先进的运维平台和技术措施, 全方位、多层次地进行综合管理与协调, 为数字化医院信息系统提供安全保障。

参考文献

[1]尚高峰.医院系统信息安全建设思路及模式研究[J].计算机安全, 2014 (5) :19-23.

[2]冀鑫, 沈岚.内网安全管理软件浅析[EB/OL]. (2013-11-25) [2014-12-02].http://www.cnki.net/kcms/detail/11.3571.TN.20131125.1714.383.html.

[3]赵山川, 弓波, 周林, 等.“终端安全管理系统”在医院内网安全管理中的应用[J].中国卫生信息管理杂志, 2010, 7 (3) :72-73.

[4]曾凡, 欧东, 黄昊, 等.医院应用内网安全管理系统的实践[J].中国医学教育技术, 2012, 26 (2) :197-199.

[5]路万里, 巩蕾.内网安全管理系统在医院网络中的作用[J].中国医疗设备, 2010, 25 (4) :72-74.

[6]赵锋, 侯杨, 张剑.军队医院内网安全管理系统的策略及应用[J].医疗装备, 2013, 26 (9) :17-19.

[7]王伟伟, 郭亮.医院内网安全管理系统的应用[J].中国卫生信息管理杂志, 2010, 7 (3) :74-76.

[8]欧志文, 宋俊.VLAN在医院局域网中的应用[J].现代医院, 2014, 14 (2) :138-139.

[9]赵新平, 朱海岩.应用VLAN技术提升内网管理水平[J].洛阳师范学院学报, 2014, 33 (8) :80-82.

[10]北信源公司.北信源内部网络安全防护技术方案—北信源内网安全管理系统[J].信息安全与通信保密, 2010, (2) :40-41.

[11]郭凌菱, 荣文英, 常建国, 等.医院网络安全解决方案——三重安全管理系统[J].医疗卫生装备, 2012, 33 (9) :45-46.

基于防火墙技术的内网安全研究 第5篇

随着ERP、OA和CRM等新型企业生产信息管理系统的普及,企业对内部信息网络的依赖程度越来越高,企业百分之九十的知识产权,如新发明、设计图纸、程序代码等,都是以电子信息的形式存在于企业的内部网络中,因此内网的安全和性能也显得越来越重要。据统计60%以上的企业组织都遭遇过内网安全问题,内网安全对于各种规模的企业来说也在逐渐引起重视。只有内部网络始终运行在安全、可靠、保密的环境,才能帮助企业统一优化、规范管理,保障各类业务正常安全运行。

1 内网安全问题威胁模型

在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全可信的,威胁均来自于外部网络。传统的防火墙、入侵检测系统和VPN都是基于这种思路设计和考虑的。对于来自网络内部对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。

内网安全威胁模型中,假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何一个节点上。所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的内网。由此可见,相比于外网安全,内网安全具有以下特点:

(1)要求建立一种更加全面、客观和严格的信任体系和安全体系。

(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者均进行更加具有针对性的管理。

(3)要求对信息生命周期进行完善管理。

2 内网安全隐患分析

(1)未经允许,随意安装各类应用软件,容易导致信息网络感染木马和病毒。

(2)计算机硬件设备被随意变更、操作系统随意更换,造成信息软硬件资源管理困难。

(3)上网行为没有有效监控管理,影响日常工作效率,员工自由进入不良网站或玩游戏,无法及时发现和阻断,使用BT等软件下载电影、游戏,大量占用带宽资源造成网络拥堵。

(4)非法变更IP地址或者MAC地址,导致地址冲突造成公司内部网络混乱。

(5)外部计算机非法接入内部网络,移动设备(笔记本电脑等)和新增设备未经过安全检查和处理违规接入或者入侵内部网络,带来病毒传播、黑客入侵等不安全因素。

(6)因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用、密码单一等各种原因与管理不善导致企业内部重要信息泄露或毁灭,造成不可弥补的重大损失。

(7)内网用户利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其它主机甚至是某台网络服务器的重要数据。

(8)蠕虫泛滥、网络阻塞、数据损坏丢失,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常业务带来灾难性的持续影响。

3 内网安全产品与技术

3.1 监控审计类

监控审计类产品主要对计算机终端访问网络、应用程序、系统配置、文件操作以及外设使用等提供集中监控和审计功能,并生成各种类型的报表。

3.2 桌面管理类

桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设、应用程序、网络、资产以及补丁管理等功能。

3.3 文档加密类

文档加密类产品主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利、财务、设计资料和图纸资料的泄密问题。

3.4 文件加密类

文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点。

3.5 磁盘加密类

磁盘加密类产品在磁盘驱动层对部分或全部扇区加密,对所有文件进行强制保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。

4 基于防火墙技术的内网安全解决方案

防火墙是一个内网监控系统,可以随时监控内部主机的安全状况。它充分利用透明加解密、身份认证、访问控制和审计跟踪等综合技术手段,对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程,实施安全保护,最大限度地防止信息泄漏、破坏和违规外传,并完整记录涉及信息的操作日志,以便日后审计以及追究相关的泄密责任。利用各种手段构建事前预防、事中保护、事后审计三个层面的信息防护体系,保障内网安全,防止信息泄密。内网安全防火墙系统主要从以下几个方面来构筑:

4.1 身份验证

防火墙系统提供了自身的身份验证,用户登录到防火墙客户端时,除需提供操作系统用户名和口令外,还需提供防火墙用户名和口令,用户口令长度为8位以上的数字和字母组合,保证了口令的可靠性,同时口令的验证与存放均使用哈希函数中的MD5算法,有效防止被暴力破解。

通过身份认证,可以解决非法主机进人。外来计算机即使通过网线接人,防火墙也可以根据策略进行报警和采取其它措施。对想访问系统和其数据的人进行识别,并检验其身份,以保证网络资源不被非法使用或访问,是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。

4.2 可信移动存储管理

可信移动存储管理提供了对可信移动存储介质从购买、使用到销毁整个过程的管理和控制。借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加解密、日志审计等技术手段,对可移动存储介质进行失泄密防护。

4.3 系统资源管理

防火墙系统能够查看所选节点客户端软硬件信息,实时监测、记录客户端软硬件的变化情况,并根据用户所设置的策略和使用状态的阈值,对客户端主机的运行状态进行监测。当发现某种指标超过设定阈值时,防火墙系统将记录相应的越阈信息。

4.4 网络监控

防火墙可以对内网计算机进行远程监控,抓取网上计算机界面。发现问题可以根据策略立即冻结远程计算机的操作。对内网计算机的联网、脱网和工作状况可以做到一目了然。它可以详细记录员工的所有网络活动,如所有浏览的网站(包括所有网页),收发的邮件,上传的文件(文件附件),QQ、MSN等聊天记录和内容等。可以预先对某些需要限制的员工的网络活动进行阻止,防止通过网络传送敏感资料或浏览某些无关工作的网站。从而提高员工的工作效率,使单位的网络资源得到更加有效的利用。

4.5 安全审计

防火墙系统提供的“黑匣子”和“审计平台”,能够快速对出现的安全事件进行审计。所谓“黑匣子”,是指安装于防火墙客户端、用于记录用户操作的加密文件系统,审计平台主要针对历史性的数据库备份文件和日志文件对应审计,进行更全面的问题追责。

4.6 文档安全服务

文档安全服务采用透明加解密技术彻底保护企业涉密数据。当用户进行读写磁盘操作,文件就自动进行加密或解密,但并不控制文件的传播共享,也不影响文件打开,文件在制作和传输过程中始终是密文。安全策略由企业统一制定,并集中发布,对于不同性质的用户群体(财务、研发、销售)可制定不同的策略,从根本上保护了企业数据的安全。文档安全服务根据应用场景不同,支持强制加密文件服务和自主加密文件服务,保证用户需求的完整性。

4.7 失泄密防护

泄密途径主要有网络传输、移动存储带出和打印到纸介质三种情况。防火墙系统针对这三种泄密途径做了全面的防护,可以根据实际情况选择启用或禁用,同时还可记录日志以备事后追踪。

5 结束语

随着用户对内网安全认识的加深,用户内网安全管理制度的完善,整体一致的内网安全解决方案和体系建设将成为内网安全的主要发展趋势。对于企业内网来说,企业不仅仅需要依靠技术构筑防御体系,同样需要行之有效的安全管理,以此打造安全和谐的内部环境。

摘要：探讨了企业内网安全问题,介绍了防火墙技术及其应用。

关键词：企业内网,安全,防火墙

参考文献

[1]陆英南.企业内网安全管理策略研究[J].合肥:电脑知识与技术,2008(8):1413-1415.

内网安全防护体系研究 第6篇

关键词：内网安全,信息安全,保障技术框架,内网信息管控

0 引言

近年来,由变种的木马、病毒等恶意代码造成的内网失泄密事件层出不穷,究其原因是因为内网安全保障体系不完善,信息安全保障措施不能形成无缝的统一整体,严重影响了其安全防护效果。为此,试图从内网安全保障框架理论模型研究入手,提出一个内网安全防护的整体方案。首先将安全威胁划分为网络接入、终端和人员3个方面,确定针对日益发展的信息攻击手段,积极防御是应对未知威胁、实现信息安全保障的有效解决方案;其次,将内网安全划分为边界、局域网和终端3个层次,构建以桌面安全为主的保障技术框架,给出基于用户与资源分离的内网信息管控模型及实现。

1 内网的安全威胁根源

信息安全专家指出“防内”是国家信息安全保障的重点和关键[1]研究界和业界近年来逐渐关注内网安全,出现了大量监控网络行为、加密网络信息的产品,文章力图以“三纵三横两个中心”积极防御的信息安全保障技术框架为基础,从内网系统整体出发,研究内网信息安全威胁产生的因素,从而给出完整的安全保障技术框架。

通常内网本身与其他网络是物理隔离的,如果发生安全威胁,在不考虑通信安全的影响情况下,则必然是通过与外界的信息交换产生的。当内网数据被未授权的外部用户得到则产生泄密事件,这种情况一般发生在外部终端或移动终端非法接入内网并读取数据,或内部终端或移动终端非法接入外网,被外部用户读取数据,或存储内网数据的移动介质连接到外部终端,被读取数据,最后一种情况是通过打印机等输出设备,由硬拷贝传送到外部。在这些情况下,技术因素和非技术因素共同造成内网的安全威胁,细化为以下3个方面:

(1)网络接入:通过上述分析,当内网终端私自连接到外网,或外部终端私自连接到内网,如绕过统一网络管理,通过Modem拨号、ADSL拨号或无线拨号方式将内网主机接入外网,将外部计算机设备(如笔记本和PDA等)通过交换机或者对等网接入内网,给涉密信息造成威胁;

(2)终端:外设(如红外、蓝牙、USB和打印等)尤其是移动存储介质使用管理困难,容易造成病毒泛滥,并且容易有意或者无意将涉密文件带出涉密网络和保密区域,造成泄密;涉密计算机的硬盘被盗,造成数据泄密;应用程序安装泛滥,造成信息网络维护困难,也容易造成木马和病毒感染,及产生侵犯知识产权的行为;

(3)人员:内网计算机和员工数量众多,对终端控制能力不强,存在大量安全隐患,一些安全规定的执行只能凭借主观自觉,对故意或无意造成的信息泄露或破坏行为缺乏技术制约。存在外来人员通过关系拷贝涉密文件的可能。

内网信息安全是一个广泛的概念,只有通过人、技术和操作3个方面的有机配合,才能构成积极防御的安全体系。

2 用户与资源分离的信息管控模型

基于上述理论,提出一种基于用户和信息分离的内网信息管控模型,可以为涉密电子文档和数据库等资源提供强制性的保护,避免秘密信息的泄露。

2.1 内网信息安全保密管理策略

在内网中,秘密信息由电子文档承载。电子文档包括用户的办公文档(如Office文档)、电子银行下发的证书和数据库系统的数据等等。近年来,内网主要泄密事件都是由于涉密电子文档的泄露,因此,电子文档的保护就成为内网信息保密的重要内容。要保护电子文档,就需要加强文档的使用管理和扩散控制,即对文档的原始性进行保护和记录。根据这一要求,可以确定电子文档保护思路:(1)根据文档属性和制空权限定操作人员行为;(2)将文档集中管理,用户终端与文档本身隔离,不能接触电子文档原件;(3)策略不受限于具体的网络环境和操作系统;(4)对文档从生成到存储、编辑和销毁的整个过程进行保护。如果这些约束条件能够满足,那么原来用于纸质文档保护的策略,同样在电子文档保护中有效。

2.2 模型描述

整个信息系统从本质上分为资源网和用户网2个部分。资源网是需要保护的信息资源和应用程序,用户网则是对信息资源及程序的访问与使用部分。从这个思路上来看,就容易理解如何保护信息资源。一方面,把资源网尽量收拢,这样看管起来比较容易;另一方面,控制用户网,也就是控制用户对资源网的访问,这个控制通过授权、监控和审计等措施来实现。内网信息安全管控模型如图1所示。

模型由用户网与资源网信息交换、资源网边界防护、应用代理、访问控制和内容接口及数据存储6个部分组成。

(1)用户网与资源网信息交换:用户网仅具有向资源网发出访问请求及接收资源网返回信息的功能。在这2个信息交换过程中,当用户网向资源网提交信息时,模型应能提供恶意代码控制和信道保护功能;而当资源网向用户返回结果时,应能提供信息复制阻断及信道保护功能;

(2)资源网边界防护:提供应用隔离,资源网与用户网间的任何数据交换,通过边界防护进行,一方面可过滤未经允许的信息,另一方面可进行数据交换日志管理;

(3)应用代理:是在两网分离、用户所有应用集中于资源网内后,在用户终端上并没有与保密信息相关的应用程序,所有应用程序集中于资源网,由应用代理统一管理调用;

(4)访问控制:将不同应用程序的访问控制策略,映射于一个统一的访问控制系统,以实施对用户网的统一访问控制;

(5)内容接口:负责处理计算通过访问控制的用户数据访问请求,并提交文件存储部分,再将文件存储部分返回的结果交付计算代理;

(6)文件存储:将系统中所有应用程序数据、数据库和文件集中存储。

2.3 模型实现

基于用户与资源分离的内网信息管控模型的实现,就是将所有的用户、应用和数据集中在服务器上进行管理,用户的所有操作都在服务器上进行,通过集中授权、终端控制和通信加密、访问控制和数据加密等遍布整个访问流程的安全措施,实现对信息操作流程的控制,从而实现对信息资源的保护。

用户网和资源网之间,通过IP阻断,切断从用户网到资源网的通用网络协议,而只有系统认可的应用通信才能通过,实现网络不通而应用相通的效果。应用接入服务器具有多个标准网络接口,用户网和资源网分接在不同的网络接口上,实现网络层及以上协议的阻断。这样,对于部署在资源网段的各类服务、应用及内容,有效地避免了来自于用户网的直接攻击,从而可以放心地打开业务所用的各类端口,而无需担心遭受非业务系统的恶意攻击。用户网需要对资源网的操作,均通过私有协议进行,而私有协议则在应用接入服务器中进行有效过滤,只有合法的访问才能通过。

应用代理实现键盘鼠标信息接收、解析及应用程序调用、参数输入功能,以及返回结果截屏、发送功能,控制恶意代码上传和信息复制。

2.4 信息管控效果分析

根据上述设计,基于用户与资源分离的内网信息管控模型的安全性分析如下:

强制性安全保护:系统的安全机制强行嵌入到每个功能,在不影响系统应用性能的基础上实现管控机制,用户能够使用的操作由资源网定义和生成,用户自身不能改变,也无法绕过,安全保护具有强制性特点

操作系统无关性:用户权限采用独立的管理体系,不采用具体某一个操作系统的用户管理机制;对集中管理的文件和数据,其存储、管理粒度,与操作系统和存储形式无关;与操作系统的无关性,也使得不必受限于操作系统的各种升级和变化,保护了本身功能和管理机制的整体性,具有良好的可移植性和可持续性。因此,这种安全防护可以方便、灵活地部署。

全生命周期保护:资源服务器内集中了数据内容以及相关的应用软件,对数据的操作完全在资源服务器内完成;数据从产生到销毁的全生命周期,均在封闭的环境内进行,保证信息无泄露;数据操作的主体和客体都根据安全策略设置敏感标记,可以实现细粒度的资源防护。在数据存储中,可以通过密文存储防止数据被管理员窥视。

终端无痕:编辑软件和用户文档、应用系统与数据库、浏览器和Web数据库都被安全隔离在资源网,应用程序的执行也是在资源网内部,用户看到的是通过应用服务器传输的影像信息,通过限制截屏、剪贴板功能,可以有效预防信息通过终端泄露。

3 结束语

从内网的安全威胁出发,从网络接入、终端和人员3个要素着眼,提出了内网安全保障框架理论模型,并对模型进行了形式化描述,进一步研究内网信息安全保障奠定了理论基础。研究了内网信息安全防泄露的一个应用模型:基于用户与资源分离的内网信息安全管控模型,并深入探讨了其实现架构。从理论和实践2个方面探讨了内网信息安全解决方案提出了重要信息系统的信息防范方案

参考文献

[1]沈昌祥.对当前信息安全系统的反思[C].北京:中国计算机学会信息保密专业委员会论文集,2003:211-212.

[2]DoD 5200.28-STD.Department of Defense Standard.DoDTrusted Computer SystemEvaluation Criteria[S].

[3]沈昌祥.基于积极防御的安全保障框架[J].中国信息导报,2003(10):50-51.

企业内网的安全问题及改进对策研究 第7篇

关键词：网络安全,管理

0 引言

随着信息化技术的发展,各类网络安全事件频频发生,当前网络安全形势已十分严峻,国家对网络安全高度重视,成立了以习近平主席为组长的中央网络安全和信息化领导小组,将网络安全和信息化上升到国家安全战略。新的形势对网络安全技术提出了新的要求。企业现有网络安全管理措施已逐渐无法满足要求,急需尽快开展安全改造及管理改善,增强安全保障能力。

1 企业内网安全改进需求分析

企业内网虽然是非涉密信息系统,但存在大量涉及工作秘密和商业秘密的信息。如果有人借助企业内网的漏洞对企业内网进行攻击,非法获取敏感数据,会对企业的利益产生重大影响,造成较为严重的损失。目前公安部正在推动信息系统等级保护建设,故借助此契机对企业内网存在的安全问题进行调研,并提出改进对策,以提高企业内网的安全水平。

2 存在的安全问题分析

企业内网存在的主要安全问题有:

(1)未成立企业网络安全管理机构,各部门未指定网络安全负责人。

(2)未正式下发网络安全管理制度,现有相关制度不完善。

(3)网络方面没有具体的网络节点清单及相应的网络拓扑图。网络具体情况主要根据主管人员口头描述。

(4)没有详细的网络设备、计算机、存储介质、打印机等设备清单,无法统计设备资产情况。

(5)虽然互联网与企业内网之间采用VPN+防火墙的方式进行隔离,但OPENSSL等高危漏洞会导致VPN用户名密码泄露,威胁企业内网的安全。

(6)企业内网虽然划分了VLAN,但各VLAN之间均没有设置任何的访问控制限制,无法防止非授权用户访问敏感网段。

(7)用户有计算机管理员权限,用户可随意安装卸载软件安装,甚至随意接入3G卡,安装相关驱动,使计算机直接连接互联网。

(8)未对存储介质进行管理,用户可随意接入私人存储介质、手机、MP3等,无法有效的阻止企业敏感数据的输出及防止病毒入侵等。

(9)用户的安全意识不够,离开办公室时,计算机未进行锁定,仍保存登录状态。

3 企业内网安全问题改进对策

针对企业内网目前存在的主要问题,应采取如下措施:

(1)成立企业网络安全管理机构

由企业信息化主管领导担任企业网络安全管理机构负责人,各部门负责人担任本部门网络安全管理第一责任人,明确各部门、人员的职责及权限。

(2)制定网络安全管理制度及作业指导书

制定各类网络安全管理制度,明确的信息安全要求,说明企业不同工作岗位员工在网络安全方面的职责和工作。编制各类作业指导书,规范每项业务的操作流程等。

(3)编写安全策略

编写安全策略,策略应分为运维人员策略和普通用户策略,指导不同层级的人员。针对不同的安全产品,进入产品配置和实施前,也要有相关的安全策略,指导产品的配置、实施和管理。域环境也应有相应的域策略文档,如账号锁定、屏幕保护、密码定期更改等策略的设置情况。

(4)整理资产清单

建立信息化设备台帐,网络设备、计算机、存储介质、打印机、扫描仪等所有信息化设备均录入台帐,实时更新。所有信息化设备均张贴标识,指定责任人。

(5)梳理网络情况

梳理网络拓扑图、光纤走向及节点情况、各汇聚点及信息点的布置情况;整理交换机和防火墙的详细配置,细化VLAN,对敏感网段设置访问控制策略。

(6)网络隔离

企业内网对互联网的实时需求较低,可将企业内网与互联网进行物理隔离。在指定地点配发少量与企业内网物理隔离的连接互联网计算机,只用于与外单位数据交换,不用于日常办公。

(7)用户权限控制

用户账号采用域账号,由运维人员统一开设,除运维人员外,其他所有用户只具备Users权限,禁止用户随意安装卸载软件,所有运维工作均由运维人员执行。

(8)存储介质管控

安装介质管理系统,所有存储介质在介质管理系统中注册后才能在企业内网中使用,已注册的存储介质在企业内网以外的计算机上不能读取数据,未注册的存储介质在企业内网计算机上不能使用。

(9)利用安全产品进行管理

部署网络版防病毒系统,及时升级病毒库,设置客户端定期查杀;部署安全评估系统,定期进行漏洞扫描,高危漏洞及时修补;部署主机监控与审计系统,设置监控策略,对用户的行为进行实时审计;部署身份认证系统对用户进行身份鉴别等。

(10)用户培训

开展针对不同用户的培训,管理人员侧重于加强对网络安全的认识及管理者的责任,普通用户侧重于增强用户的网络意识及日常操作方法,运维人员侧重于技能水平提升等。

(11)安全检查

开展定期网络安全检查和不定期的抽查工作,对执行较好的进行奖励,对违规事项进行惩处。

4 结束语

内网安全防护体系研究 第8篇

对数据保密性要求高的政府部门、金融机构等单位, 防止敏感信息泄露始终是一个严峻的课题。在信息安全保护实践中, 各单位往往对数据集中的后台服务端投入精力较多, 对来自终端的威胁重视不足。

来自终端的威胁主要为两方面:一是内部网络接入层侵入。二是内部计算机终端安全管理失控。信息安全事件调查经验表明, 多数信息泄露安全事件的突破口来自终端。因此, 各单位在防范敏感信息泄露时, 应对来自终端的威胁给予足够的重视, 牢牢把住终端“准入”、“管住”两个关键环节。

2 原理分析

2.1 网络准入与终端安全之间的关系

内部网络准入, 是指在人事管理层面识别用户身份后, 通过技术手段给予合法用户、合法设备接入的过程。计算机终端安全, 是指包含非法外联监控、移动存储管理等在内的一系列安全防范措施, 是一个单位信息安全管理制度的技术化实现, 构成了对合法接入终端的安全基线。

达到终端安全基线是目的, 网络准入是重要的前置保障手段。在实践中, 只有把网络准入与终端管控结合起来, 才能有效实现内网信息安全保护。

2.2 网络准入实现原理

当前国际主流的企业级实现技术主要有802.1x认证、安全网关认证等。

实施802.1x认证方式的前提是交换机支持802.1x认证协议。交换机与认证服务器联动, 根据认证服务器下发的认证结果, 提供基于端口的准入控制。这种认证方式的优势是若在接入层实施, 终端互访控制力度很强。认证前, 交换机接入端口关闭, 终端完全隔离。认证后, 接入端口开启, 相同VLAN内的终端可以互访。缺点是实施、维护过程中网络部门的工作量很大, 并且无法从原理上解决终端用户在交换机端口以下私接HUB的问题。

实施安全网关认证方式需要在生产网络中添加硬件安全网关 (防火墙) 设备, 旁路部署在核心交换机侧或汇聚交换机侧。然后通过在交换机上添加策略路由 (Policy based routing) , 将需要认证的IP地址范围内终端流量上拉至安全网关进行身份认证。安全网关接收认证服务器下发的动态ACL, 对流量选择回注至交换机或丢弃, 从而达到网络准入的效果。这种认证方式的优势是配置实施简单, 对现有生产网络改动要求小, 并且因为采取三层认证方式, 对人员、部门迁移支持性好, 同时还能够有效防止私接HUB的情况。缺点是由于控制点在核心侧或汇聚侧, 安全网关对终端之间的互访行为控制力度较弱。

2.3 终端安全实现原理

为确保管控效果, 企业级产品基本实现模式均为在计算机客户端驻留代理程序, 对信息保密要求较高的单位常见的需求包括以下几方面:

安全状态检查。最基础的要求包括是否安装了要求版本的杀毒软件, 病毒库定义是否保持更新等。此类功能主要通过安全代理软件读取系统注册表及扫描特定位置文件系统实现。

移动存储管理。根据各单位信息安全管理要求等级不同, 检查是否存在违规使用移动存储介质管理的情况。此类功能主要通过安全代理软件提升运行权限后向操作系统底层驱动注入代码实现。

非法外联监控。对信息保密要求高的单位, 接入内网的计算机终端通常都是禁止与互联网直接或间接连通的。检查非法外联的通常做法是安全代理软件定期检查与某个互联网地址的连通性, 若有连通便会触发监控报警。

3 项目实践案例

笔者作为项目负责人, 于近期完成了一次单位内网准入与终端管控项目建设工作。该项目实施环境为政府机构办公内网, 实施目标网络运行着单位内部办公系统以及大量对外服务的业务系统, 生产网络割接需要慎重。同时, 在严格管控USB存储介质等外设使用的制度要求下, 又因业务特点, 需要使用品种型号各异的Ukey等特种设备。因此该项目建设中必须遵循对现有生产网络及系统影响最小的原则。

为达到上述目标, 笔者在对网络准入及终端管控技术进行研究的基础上, 对市场相关主流产品进行了长达半年的多方调研与测试选型。根据单位综合布线基础设施现状、业务系统特点等实际情况, 最终确定了使用硬件安全网关实现准入, 在客户端驻留代理程序与安全网关联动实现终端管控的技术路线。

在项目实施中, 笔者总结了以下几点经验:

(1) 终端安全管控软件部署应严格遵循“充分测试, 稳步推进”的原则。由于终端安全软件本身原理决定的底层侵入性 (提权运行、操作系统驱动及协议栈注入等) , 部署过程必须先选取运行重要业务系统、特种外设部门的计算机为试点, 局部安装客户端, 排查兼容性风险, 积累部署经验。

(2) 网络准入实施应注意排查哑终端盲点, 细粒度开展网络割接。因网络准入控制功能需要在终端安装代理程序与防火墙交互实现, 对不能安装代理的哑终端 (如网络打印机等非PC类设备) , 需在硬件网关设备上做特殊策略放行。在利用策略路由进行流量上拉时, 本质是对生产网络的割接。为便于控制与回退, 建议采取细粒度方案, 以部门或楼层VLAN为单位逐个进行实施。

笔者实施的项目上线试运行后, 从功能、性能及兼容性几方面看, 均较好地实现了项目建设需求。同时笔者通过组织对现有内网在网设备管理制度开展修订完善, 以制度和技术相结合的方式, 形成了单位内网终端准入控制闭环, 进一步提高了内网信息安全保障水平。

4 结语

信息安全保障能否落实, 往往在于一个“细”字。要实现对信息安全闭环式管理, 仅仅重视信息系统服务端的保护是不够的, 必须重视对每个入网终端的安全管理。

同时, 我们也必须认识到, 对一个单位的信息安全管理而言, 永远是“三分技术, 七分管理”。再好的技术手段, 也只有和管理制度相结合, 并加以强力执行, 才能达到预定的安全目标。

摘要：为防范政府部门、金融机构等单位敏感信息泄露、提高信息安全保护能力, 本文从单位内网准入及终端管控技术入手, 在分析研究两者技术原理的基础上, 结合自身项目实践, 给出了一种把住终端“准入”、“管住”两个关键环节的技术方案。实践证明, 该方案有效提升了单位信息安全保护水平, 达到了预期目标。