2012内网安全指南之威胁分析与解决方案

　　对于广大的信息安全管理者而言，现有的网络安全防护手段大多强调对来自外部的主动攻击进行预防，检测以及处理，而授予内部主机更多的信任。但是，2011年最新统计数字表明，相当多的安全事件是由内网用户有意或无意的误用造成的。为保护内网的安全，一些单位将内网与外网物理隔离，或者将内部通过统一的网关接入外网，并在网关处架设防火墙，IPS,IDS等安全监控设备，尽管各单位都加强了对内网的安全管理，可泄密事件仍时有发生，这充分说明了对内网安全监测的复杂性。本文将全面分析机构内网面临的诸多安全漏洞风险，并简要阐述相关漏洞的解决之道。

　　内网安全的威胁分析

　　内网主机间大多以局域网的方式进行互连，这些主机形成以物理互连，逻辑隔离的方式共存，但为实现主机间的资料共享及数据通信需求，又不得让其之间建立各种互信关系，因此某台主机的有意或无意的误操作都会对整网主机的安全性造成威胁。内网安全威胁主要分为以下几类：

　　内网逻辑边界不完整

　　无线技术的迅猛发展让随时随地接入Internet这一想法成为现实，在惊叹先进的无线技术为我们的生活带来便利的同时，也对我们的网络管理人员提出了更多的要求。在内外网隔离的环境中，如何确保内网边界的完整性，杜绝因网络边界被破坏，造成有不明终端穿越网络边界接入。网络边界的防护不能仅限于网络出口的保护，而应该是所有网络边界的防护，并更应该侧重于网络入口处的保护。

　　缺乏有效身份认证机制

　　内部主机使用者缺乏特定的身份识别机制，只需一根网线或者在局域网AP信号覆盖的范围之内，即可连入内部网络获取机密文件资料。内网犹如一座空门大宅，任何人都可以随意进入。

　　缺乏访问权限控制机制

　　企业或政府单位网络大体上可以分为两大区域：其一是办公或生产区域，其二是服务资源共享区域，目前上述两大逻辑网络物理上共存，并且尚未做明确的逻辑上的隔离。办公区域的人员可随意对服务资源共享区域的资源进行访问，另外需要的注意的是，来宾用户在默认情况下，只要其接入内部网络并开通其网络访问权限，相应的内部服务资源的访问权限也将一并开通，内网机密文件资源此时将赤裸暴露于外部。

　　移动存储设备的滥用

　　随着数字电路技术的发展，小体积大容量的U盘已成为备受人们喜爱的文件交换与共享工具，U盘的普遍应用促使黑客开发出一种有针对性的恶意软件，如臭名昭著的Conficker蠕虫。这种蠕虫能够在连接到USB端口的时候自动执行。更严重的是默认的操作系统设置一般都允许大多数程序(包括恶意程序)自动运行。这相当于你的邻居每一个人都有一把你的电子车库门的钥匙，并且利用这个钥匙打开其他人的车库门。

　　内网主机漏洞

　　现有企业中大多采用微软系列的产品，而微软系列产品的特点就是补丁特别多，包括IE补丁、office办公软件、以及操作系统等。如果这些补丁不及时打上的话，一旦被黑客所利用，将会作为进一步攻击内网其他主机的跳板，引发更大的内网安全事故，如近年来爆发的各种蠕虫病毒大都是利用这种攻击方式。

　　内网安全的解决之道

　　在我们对内网中所存在的安全漏洞进行逐个分析后，我们不难发现内网安全与外网安全管理一样重要，相比之下更有难度，究其主要原因在于：内网安全管理面比较大，终端数较多，终端使用者的IT技能水平层次不齐。这就对我们的内网安全管理提出了一定的要求，例如可实现对全网的统一管理;对内网所面临的安全威胁能够提供整体的、智能化的解决方案，能够及时响应内网中存在的安全隐患问题等等。

　　盈高科技作为安全准入国家标准制定者，其内网安全的整体解决方案已广泛应用于政府、金融、运营商、能源、教育、制造、大型集团企业等众多行业，自主研发的入网规范管理系统(ASM)在终端入网之前就可提供多样化的身份验证方式，有效拒绝了非授权的用户对内网资源的访问。独有的访问控制功能，可根据不同的用户角色分配相应的访问控制权限，做到身份与权限的完美结合。此外，ASM还具备业界领先的终端系统安全扫描引擎，全面系统的对终端的安全状况进行检查，对检查出现的相关安全隐患，可自动按管理员的设定进行自动修复，这无疑大大提升了产品的附加值，将网管人员从繁琐的工作中解放出来，省时省力。

　　2011年被IT业界喻为中国的内网安全建设年，国家针对分级保护、密钥管理和电子认证系统建设均出台了系列政策，要求切实加强推进工作;一些政府部门或行业机构也纷纷出台了内网安全的相关制度文件和行业标准。在即将到来的2012，内网安全将进一步作为各政府机构和企事业单位的工作重点，对于内网安全的综合性解决方案也将帮助各管理者加固好网络安全的最后一块短板。