罗黎明 (长江大学网络信息中心,湖北荆州434023)

目前,在我国的各个行业系统中,都有大量的技术和业务机密数据信息存储在计算机和网络中。为了有效地保护这些机密数据信息,很多企事业单位采取了相应防范措施,在网络平台上建立了内部网络和外部网络2套网络体系,其中1套仅用于内部员工资源共享,称为内部网络;另1套则用于连接互联网检索资料,称为外部网络,并案按照国家有关规定实行内部网络和外部网络的物理隔离。由于内部网络的多应用、涉密信息分散等特点,各种网络安全产品通常只能解决部分内部网络安全威胁问题,没有形成多层次的、严密的、相互协同工作的安全体系。为此,笔者对内部网络安全威胁进行分析,并提出加强内部网络安全的相关措施。

1 内部网络存在的安全威胁

目前,内部网络存在许多安全威胁,具体表现为如下几点:①为了方便使用,内部网络上传输的数据一般是不加密的,用户直接面对数据库对服务器进行操作,这给别有用心者提供了窃取或破坏机密数据的机会。②众多的使用者拥有不同的权限,导致管理困难,使系统容易遭到口令和越权操作的攻击。③由于人们对口令不重视,使用诸如生日、姓名等作为口令,因而在内部网络中,黑客的口令破解程序很容易奏效。④内部网络拥有许多不同的系统平台,因而可能存在许多系统漏洞,由于对内部网络安全不够重视,导致大量漏洞没有及时打上补丁。此外,由于涉密信息不仅仅限于服务器,同时也分布于各个工作计算机中,而目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。

2 加强内部网络安全管理的措施

由于存在上述内部网络安全威胁,因而如何保护内部网络成为目前网络安全研究者的重要课题。笔者根据多年内部网络安全管理经验,提出如下加强内部网络安全的措施。

2.1 使用性能优良的网络安全产品

网络安全产品是各种安全策略执行载体。对网络安全产品的选择应该建立在相关网络安全产品能够相互协同工作的基础上,即实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动,以实现最大程度的内部网络安全保证。

2.2 具备完善的内部网络安全技术

内部网络安全技术包括以下3个方面:①攻击检测技术。该技术包括不断地自动监视目录、检查用户权限和用户组帐户有无变更、监视服务器检查有无可疑的文件活动等。②攻击防范技术。网络中使用的一些应用层协议 (如H TTP、Telnet等),其中的用户名和密码的传递采用明文传递的方式,极易被窃听和获取。因而对于机密数据安全保护理想方法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术,同时采用安全的密钥分发技术,这样既防止用户对业务的否认和抵赖,同时又防止数据遭到窃听后被破解,保证了数据在网上传输的可靠性。③攻击后恢复技术。首先是数据的安全存储和备份,在发现遭受攻击后可以利用备份进行数据快速恢复;针对WWW服务器网页安全问题,实施对Web文件内容的实时监控,一旦发现被非法篡改,可及时报警并自动恢复,同时形成监控和恢复日志,并提供友好的用户界面以便用户查看使用,从而有效地保证Web文件的完整性和真实性。

2.3 培训高素质的安全管理人员

性能优良的网络安全产品和完善的内部网络安全技术必须由高素质的安全管理人员来进行有效使用。高素质的安全管理员能够随时掌握网络安全的最新动态、实时监控网络上的用户行为、保障网络设备自身和网上信息的安全、对可能存在的网络威胁有一定的预见能力并采取相应的应对措施,同时对已经发生的网络破坏行为能够在最短的时间内作出反应,使企业损失减少到最低程度。因此,应当重视内部网络安全管理人员的培训,使之成为高素质的网络安全管理人员。

2.4 建立完善的内部网络安全制度

国际上,以ISO17799/BSI7799为基础的信息安全管理体系已经确立并被广泛采用,企业可以此为标准开展内部网络安全制度的建立工作,从而做到有法可依、有据可查、有功必奖、有过必惩,最大限度地提高员工的内部网络安全意识。应当具体明确企业领导、安全管理员、财物人员、采购人员、销售人员和其他办公人员的内部网络安全职责。内部网络安全管理应当由企业高层挂帅,由专职的安全管理员负责安全设备的管理与维护。此外,各个单位还应形成定期的内部网络安全评审机制。

3 结 语

要解除内部网络安全威胁,在做好边界防护的同时,更要加强内部网络安全管理。所以,应该使用性能优良的网络安全产品,完善内部网络安全技术,培训高素质的安全管理人员,建立完善的内部网络安全制度。只有采取上述措施,才能真正建立完备的内部网络安全体系。