解决内网安全问题的措施

来源:用户上传      作者:

　　摘要：说起网络安全，大家就会想到病毒破坏和黑客攻击，事实并非如此。常规安全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，在所有的安全事件中，高于70%的安全事件是发生在内网上的，并且随着网络的庞大化和复杂化，这一比例仍有增长的趋势，内网安全面临着前所未有的挑战。 因此文章针对几个方面的挑战提出了一些解决措施。
　　关键词：内网安全 防火墙 病毒
　　 1、内网安全面临的挑战
　　 1.1以太网交换机难担安全重任
　　 组建内网的主要设备是以太网交换机，其安全性较弱；虽然划分VLAN、ACL访问控制可以在一定程度上控制内网安全，但这种控制是比较粗的方式，难以做到比较精细的安全控制，同时也会影响到VLAN间用户的访问，从而影响网络的使用效率。另外在内网安全事件中，攻击对象也从攻击主机、网络设备而改为对网络资源进行攻击为主要特征，而以太网交换机的工作原理和开放特征难以对此类攻击进行有效的控制。
　　 1.2单一安全技术难以实现有效防控
　　 病毒和攻击手段的发展成就了防火墙、防病毒网关、IDS等安全设备，但是这几种设备均是基于对已知攻击手段的防范，无法有效防范未知攻击手段，尤其是对以网络资源为攻击对象的攻击手段进行防范。防火墙没有办法实现对内部用户安全攻击的控制；IDS不能实现对所有业务的监测和控制；防病毒软件没有办法控制病毒在网络内的传播；可以看出分别部署这些设备的网络在安全措施上缺乏系统性，防火墙、IDS、防病毒各自为政，难以对整网形成有效防控。
　　 1.3安全发展面临硬件平台的挑战
　　 由于全部工作在OSI参考模型的传输层之上，防火墙、IDS、防病毒等设备都要求复杂的算法、丰富的功能、不断的升级，这些特点注定防火墙、IDS、防病毒设备出生在x86平台上。而网络设备已经发生了非常大的变化，采用专有的ASIC芯片，核心交换机已经具备近千个G的交换处理能力。基于x86平台的安全设备，性能通常不到这些网络设备的1%，会成为整网性能的瓶颈。为了迎接以上挑战，产生了内部网络与安全的融合。
　　 2、内部网络与安全的融合
　　 内网与安全的融合可以从四个层面上来分析，包括技术层面的融合、产品层面的融合、方案层面的融合、安全管理的融合。
　　 2.1技术层面的融合
　　 技术层面的融合主要是在硬件平台技术。在CPU、NP、ASIC三种技术上，NP技术在性能和功能上可以满足安全设备下一步的发展，是一个比较好的选择，这也成为业界公认的必然趋势。
　　 2.2产品层面的融合
　　 大多数核心交换机都能够支持基于NP技术的接口模块，具备为安全功能提供硬件平台的基础，从而使安全和网络在设备层面的融合成为可能，采用防火墙模块的方式就是典型代表。通过在核心交换机上部署防火墙模块，可以实现多个VLAN间的安全控制，降低了安全部署的难度，同时降低了整体建设成本。此外IDS、防病毒等安全功能模块也可以融合到核心交换机中。
　　 2.3方案层面的融合
　　 对于已经部署安全产品网络而言，在方案层面进行融合是一个不错的选择。将以太网交换机、IDS、防病毒网关、防火墙这些分属于不同的设备实现联动已经成为一种趋势。
　　 2.4安全管理的融合
　　 无论是内网安全在设备层面的融合，还是在方案层面的融合，都涉及到管理的问题。网络管理通常包括设备管理、配置管理等，安全管理则包含审计管理、数据监控与流量管理、安全策略管理等。一旦设备或方案融合后，就必须要有统一的网管平台来对网络和安全设备进行统一的管理，这样才能实现安全对于网络的有效性。尤其是对于策略的制定与分发管理，要求网络设备与安全功能模块或设备进行密切的配合，才能实现对未知网络攻击/网络滥用行为的及时阻断。
　　 3、保障内网安全的措施
　　 内网是网络应用中的一个重要的组成部分，其安全性也受到越来越多的重视。据不完全统计，国外在建设内网时，投资额的15%是用于加强内网的网络安全。在我国IT市场中，安全厂商保持着旺盛的增长势头。运营商在内网安全方面的投资比例不如国外多，但依然保持着持续的增长态势。很多方法可以提高内网的安全，本文主要从以下几方面进行探讨。
　　 3.1操作系统的安全
　　 从终端用户的程序到服务器应用服务、以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外，还需要建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度。
　　 3.2对重要资料进行备份
　　 在内网系统中数据对用户的重要性越来越大，实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击，用户的一次错误操作，系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。 为了维护企业内网的安全，必须对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而遭受重大的损失。对数据的保护来说，选择功能完善、使用灵活的备份软件是必须的。目前应用中的备份软件可以说是五花八门，配合各种灾难恢复软件，可以较为全面地保护数据的安全。
　　 3.3信息保密防范
　　 为了保障网络的安全，也可以利用网络操作系统所提供的保密措施。同时，可以加强对数据库信息的保密防护。网络中的数据组织形式分为文件和数据库两种。由于文件组织形式的数据缺乏共享性，数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径，电子邮件的传递应该加密处理。针对计算机及其外部设备和网络部件的泄密渠道，如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等，也可以采取相应的保密措施。
　　 4、结语
　　 综上所述，以上几个方面仅是多种保障内网安全措施中的一部分，为了使内网的安全问题得到更好的解决，就要有更为开阔的思路看待内网的安全问题。在安全的方式上，为了应对比以往更严峻的“安全”挑战，安全不能再停留于“堵”、“杀”或者“防”，而应该以动态的方式积极主动应用来自安全的挑战，因此健全的内网安全管理制度及措施是保障内网安全必不可少的策略。

转载注明来源:https://www.xzbu.com/9/view-9319882.htm