坐而论道不如起而行之——论内网安全

　　引言：对于国内的网络管理者而言，现有的网络安全防护手段大多强调对来自外部的主动攻击进行预防，检测以及处理，而授予内部主机更多的信任。但是，统计数字表明，相当多的安全事件是由内网用户有意或无意的操作造成的。为保护内网的安全，一些单位将内网与外网物理隔离，或者将内部通过统一的网关接入外网，并在网关处架设防火墙，IPS，IDS等安全监控设备。尽管如上述所示的各类安全措施都得到了实现，众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生，这就充分说明了目前内网安全维护的复杂性。

　　总体上看，内网主机大多以LAN的方式进行接入，这些主机间以物理互连，逻辑隔离的方式共存，但为实现主机间的资料共享及数据通信需求，又不得不让其之间建立各种互信关系，因此某台主机的有意或无意的误操作都会对整网主机的安全性造成威胁，这些威胁点主要分为以下几类：

　　内网逻辑边界不完整

　　无线技术的迅猛发展让随时随地接入internet这一想法成为现实，，在惊叹先进的无线技术为我们的生活带来便利的同时，也对我们的网络管理人员提出了更多的要求。在内外网隔离的环境中，如何确保内网边界的完整性，杜绝不明终端穿越网络边界接入是众多管理者面临的一大难题。事实上，国内定义的网络边界防护由于《等保》的诠释往往被理解为网络出口保护，而在现实情况中的边界早已超越了”出口“这一狭隘的概念，而真正扩展到全网，其中的关键就是内网的边界--网络的入口。换言之，边界防护更应该是所有网络边界的防护--并侧重于内网入口的防护。

　　缺乏有效身份认证机制

　　对内部主机使用者缺乏特定的身份识别机制，只需一根网线或者在局域网AP信号覆盖的范围之内，即可连入内部网络获取机密文件资料。内网犹如一座空门大宅，任何人都可以随意进入。往往管理者都比较注重终端访问服务器时的身份验证，一时之间，CA、电子口令卡、radius等均大行其道，在这种环境下，被扔在墙角的终端之间非认证互访则成为了机密泄露和病毒传播的源头，而终端之间的联系恰巧就是--网络。

　　缺乏访问权限控制机制

　　许多单位的网络大体上可以分为两大区域：其一是办公或生产区域，其二是服务资源共享区域，目前上述两大逻辑网络物理上共存，并且尚未做明确的逻辑上的隔离，办公区域的人员往往可随意对服务器区域的资源进行访问。另外需要的注意的是，来宾用户在默认情况下，只要其接入内部网络并开通其网络访问权限，相应的内部服务资源的访问权限也将一并开通，内网机密文件资源此时将赤裸暴露于外部。

　　内网主机漏洞

　　现有企业中大多采用微软系列的产品，而微软系列产品恰巧像蜜糖一样不断吸引着蜂拥而至的黑客做为崭露头角的试金石，调查显示80%以上的攻击和病毒都是针对windows系统而产生的，这也就引发了微软一月一次的补丁更新计划，包括IE补丁、office办公软件、以及操作系统等全系列产品都被纳入这个安全保护之中。但空有微软单方发布的补救文件，也必定只是剃头挑子一头热，如果由于用户处的设置不当导致补丁无法及时更新的话，一旦被黑客所利用，将会作为进一步攻击内网其他主机的跳板，引发更大的内网安全事故，如近年来爆发的各种蠕虫病毒大都是利用这种攻击方式，这也是为什么政府机构的信息安全检查都极其重视操作系统补丁更新的原因。

　　对于管理者而言，内网安全的管理与外网相比存在一定的难度，究其主要原因就在于，内网的管理面比较大，终端数较多，终端使用者的IT技能水平层次不齐，而这在领导看来往往会归结到管理的层面，因此实施起来压力大，抵触情绪多，并且会形成各种各样的违规对策，单枪匹马的”管理“往往身体悬在半空，心也悬在半空。技术人员往往亟需技术手段的辅助来形成一个立体化的安全模型，也需要有更为开阔的思路看待内网的安全问题，从这一点上看，杭州盈高科技基于NAC架构下的新一代3C网络安全平台将提供给用户全局化的思路实现。