随着信息技术的发展和网络技术应用的不断深入,内部局域网已经成为企事业单位日常工作不可或缺的重要组成部分。网络的互联互通为资源的共享,信息的交换提供了极为便捷的环境。但是,内部大量的涉密数据和信息也是通过内网进行传递,网络开放共享的特点,使得分布在各网络终端中的重要信息资源处于一种高风险的状态。如何加强网络内部的安全,防止关键数据从网络中泄露出去,成为网络安全领域内一个主要的发展方向,也是当前很多政府部门和涉密单位普遍关注并努力解决的问题之一。
一、内网安全现状分析
内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了防病毒软件、防火墙、IDS等外网安全解决方案。这种解决策略是针对外部入侵的防范,但对于来自网络内部的安全防护则显得无可奈何。随着各单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网安全的关注。内网面临的安全隐患主要表现在以下几个方面:
1.1 内网移动存储等设备缺乏监管
USB移动存储介质、笔记本电脑等设备在内外网络的交替使用,明密不分,随意拷贝,计算机主机硬盘随意拆卸、移动,进出内网监控不严,损坏和废旧存储设备和带有存储功能的外设处理不当,都会造成涉密信息的泄露丢失。同时导致病毒传入。
1.2 涉密计算机非法外联
内部计算机通过电话线、ISDN、ADSL、无线网卡、GPRS、CDMA、双网卡、代理服务器等多种方式进行内外网互联,导致内部重要机密信息泄露且难以监控。
1.3 内部攻击和非法入侵
TCP/IP协议体系自身缺陷、口令身份认证的脆弱性,使内部人员利用系统漏洞,非法入侵公共的或他人的计算机信息系统,窃取管理员用户名和密码,进入单位重要的业务和应用服务器获取内部重要数据。
1.4 管理模式滞后,策略无法有效落实
内部员工由于安全意识、安全知识、安全技能的匮乏,给信息安全带来难以预知的潜在威胁,管理者通过禁用USB口,定期检查等相对松散的管理方式,缺乏实时、灵活的手段保障,无法使管理措施得到有效落实。
内网的安全问题绝大多数不是来源于内部人员的恶意行为。更大程度上,漏洞出现在一些无意识、不规范的操作和网络管理上的疏忽,给信息泄露创造了可乘之机。如果放松对内网系统的监管,内部人员可能随时都会有意或无意地造成安全事故。因此,和外网安全相比,内网安全模型更加全面和细致,需要对内部网络中所有组成节点和参与者进行细致的管理,实现一个可管理、可控制和可信任的内网。
二、内网安全管理解决方案探讨
网络信息安全既不是纯粹的技术,也不是简单的安全产品的堆砌,而是管理,技术和策略的有机结合。信息系统安全体系框架如图1所示,它由技术体系和管理体系组成。
2.2 安全管理策略实现
安全管理策略定制是一个相对细致和复杂的过程。策略的定制需要能够对整个网络进行多层面的配置和调控。如果各种技术方法彼此之间功能分散,不能相互支撑,协同工作,将会导致难以维护且更新困难。因此最好能够借助集成了多种管理功能的内网安全管理软件,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作。安全管理主要涉及到以下几个方面。
2.2.1 访问控制
访问控制是进行授权、管理和监控的基础,通过口令身份认证,PKI加密算法等多种方式对不同的用户进行授权管理,区分各个用户以及不同级别的用户组,针对不同级别的安全对象,提供多层次的安全技术、方法与手段,分层次的化解安全风险,以满足网络中不同层次的各种实际需求。
2.2.2 信息保密
重点实现对移动存储设备的注册、认证、策略控制,实现客户端移动存储设备的接入认证、读写控制、加密管理、行为审计等。
2.2.3 资源管理
包括对计算机系统、各种外设、应用程序、端口,网络连接、文件等资源的控制,采用授权使用、违规记录等多种手段结合,对使用资源的行为进行管理,以确保资源使用中可控性。
2.2.4 监控审计
主要对计算机终端访问网络、应用使用、系统配置、文件操作以及外设使用等情况提供集中监控和审计功能,并可以生成各种审计日志,在发生内网安全事件后实现有效的取证。
2.3 管理体系的建立
严密、完整的管理体制,不但可以最大限度的在确保信息安全的前提下实现信息资源共享,而且可以弥补技术性安全隐患的部分弱点。管理体系的建立和实施能为网络的管理和长期监控提供有理可依的指导性理论。管理体系的组成可分为法律、制度和培训三部分。
2.3.1 法律
与安全有关的法律法规足信息系统安全的最高行为准则,是制定管理制度参考的标准。
2.3.2 制度
依照安全需求制定一系列内部规章制度,从责任、人员,部位、行为等多方面对需要保护什么、为什么需要保护以及怎样保护涉密信息系统的安全进行具体规定,并通过全面推行,使之贯穿到日常具体工作当中。
2.3.3 培训
对所有与内网安全有关的人员进行安全培训。培训的内容包括法律法规、内部制度、安全意识和与岗位相关的重点安全防范技能等。
三、结束语
内网安全已成为信息安全的新热点。在内网的安全管理体系中,内网信息的安全保密和共享利用之间一直都存在着一种难以调和的矛盾,内网信息安全产品要提供一种方便、有效、先进的内网信息安全管理控制技术和解决方案,而管理员在实施过程中往往需要在信息安全、业务效率、结构功能之间寻找一个平衡点,力求从网络业务、网络行为、网络资源、网络安全、网络服务等各层面提出科学、可行的解决方案。而管理策略与技术的有机结合,则能从整个网络安全建设、运行和维护的全过程入手,真正保障内网的安全稳定运行。
CIO之家 www.ciozj.com 公众号:imciow