韩进喜

摘 要 随着网络技术发展，内网安全重要性日益凸显，安全防护产品大量涌现，如何合理有效综合利用，是个值得研究的问题。本文从用户终端区安全、内网全、服务器安全三个层次对如何构建安全可信的内部网络环境进行研究，并对内网用户间可控信息交换进行初步探讨。

关键词 企业内网;研究

中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2014）22-0171-02

随着网络和计算机技术的飞速发展，信息化程度快速提高，网络起到越来越重要的平台支撑作用。同时，各种网络安全威胁日益凸显。研究表明，安全威胁主要来自内部网络，内网安全显得愈发重要。内网信息安全越来越受到关注，针对信息控制、信息外泄、非法接入、存储管控、非法外联、身份认证等内网安全产品大量涌现，同时，网络产品和服务产品也增加了相关安全功能。如何更有效地综合运用这些产品，为企业构建安全可信的内部网络环境，是本文研究的重点。

本文主要从用户终端区安全、内网安全、服务器安全三个方面对如何构建安全可信的内网环境进行阐述。下面，我们从这三个方面来探讨如何加强企业内网安全并对常见安全防护手段进行介绍。

1 用户终端区安全防护措施

用户终端区安全防护，主要包括用户终端安全、用户身份合法性、用户行为安全三个方面。

用户终端安全包括病毒防护、系统安全、设备安全等。

对于病毒防护来说，针对已知病毒，主要通过网络版杀毒软件进行，应及时更新病毒库，并对客户端更新情况进行监控，及时查漏补缺，做到网内所有终端状态可控、可监管;其次，对于新出现的病毒，根据病毒特征（如端口号、协议等）结合软硬件防火墙配置相应规则进行防范。

对于系统安全来说，一般应具备漏洞扫描和补丁加固手段。漏洞扫描可以通过专用漏洞扫描设备进行，如绿盟公司的远程安全评估系统，也可以通过安全防护软件进行，如360安全卫士等;通过漏洞扫描发现操作系统或应用软件的漏洞，对系统或软件及时进行补丁加固，避免造成不必要的损失。操作系统补丁可通过架设补丁服务器实现，如Window平台下可以通过WSUS服务器实现，目前市面上也有很多相关产品。应用软件补丁可以通过及时更新软件版本或者安装软件提供的相应补丁实现。

设备安全，指硬件设备的安全，包括硬件设备自身安全以及存放环境安全等，硬件设备自身是否安全一般需要通过专业部门对硬件安全进行评估，存放环境安全可以通过各种监控手段或物联网技术实现，监控手段可以通过视频监控或带有入侵行为跟踪分析的监控系统实现，也可以在重要设备上安装电子标签，通过物联网技术对设备移动范围进行监控。

用户身份合法性可通过用户身份认证系统、接入控制系统等实现，一般通过用户与私有KEY绑定，或与一些具有唯一标识的硬件（如硬盘、CPU等）绑定的方式进行。

用户行为安全包括外联监控、内网行为管控等。外联监控在企业内网中用于防范用户非法外联、私自复制信息等，避免造成泄密。主要功能包括USB存储设备、光驱、串口、并口等禁用/启用、外联的各类设备（包括调制解调器、无线网络适配器、红外设备、蓝牙设备）的启用/禁用，硬件变更告警、安全审计等。内网行为管控产品技术和产品均比较成熟，如IP-guard、LanSecS内网安全管理系统、亿士安全监控系统等。

2 内网安全防护措施

内网一般由网络设备、接入控制设备、监控设备、安全防护设备、终端和服务器等组成。网络设备是网络的支撑平台，负责数据交换、路由寻址等。接入控制设备主要用于用户终端的合法接入、鉴别和授权。监控设备一般包括入侵监测设备、网络分流器、监控服务器等，负责内部网络中各种异常情况监测和报警。安全防护设备包括防火墙、接入控制系统、漏洞扫描系统、补丁加固设备等。

网络设备常见安全措施，包括访问控制列表、端口绑定、端口定向等。访问控制列表和防火墙中各种规则设置相似，均基于源地址、目的地址、协议、端口等进行，这里不再赘述。

通过防火墙、IDS、接入控制系统等安全防护设备，一般可实现入侵检测系统与防火墙等联动，及时阻止或隔断非法行为，也可在网络中部署蜜罐系统，对非法行为进行诱骗，从而起到保护作用。

监控设备通过在网络中部署监控点（探针），完成对网络各种状态的嗅探或监测，通过网络分流器、端口镜像或集线器等方式在网络中部署监控终端。

对于用户终端接入的控制，可通过端口绑定、划分VLAN、端口隔离等方式进行。交换机端口与终端IP或MAC地址绑定，避免用户终端随意接入的问题;通过交换机端口隔离功能，避免用户之间不可控交换信息的问题;通过为不同部门划分VLAN规避广播风暴，避免用户私自跨部门交换信息等问题。

3 服务器安全防护措施

服务器安全包括服务器自身安全和交换信息安全，服务器自身安全请参照用户终端自身安全部分。这里指的服务器安全指交换信息安全，即基于服务端交换信息的用户之间的信息安全。

通过前文对网络安全的各种措施，我们可以实现终端用户可信接入，且终端之间或用户之间交互信息只能通过服务端进行。用户之间的信息交互如何控制，是我们需要解决的问题，因为我们并不希望企业各部门人员之间随意发送一些涉及企业秘密的信息，有些信息是要控制在一定范围内的，比如程序源代码，财务报表，我们肯定希望程序源代码只在开发人员之间流通，而不是公司任何人都可以拿到源代码。类似的，我们只会希望财务报表在财务部门或决策层之间流通，而不是全公司的人都能看到。这时，我们希望用户间交互的信息是可控、可追溯的。

基于以上需求，用户信息可控交换按照如下思路实现：基于客户端实时或定时的监测用户终端的网络状况，发现用户有信息交换请求后，上报到服务端，服务端监听客户端请求，对客户端合法性进行确认，通过后，提交交互控制模块检测信息交互的权限，根据预定策略对客户端请求进行匹配和识别，并做出丢弃、阻断或者转发等操作。对所有操作均进行审计，便于追溯，对非法请求应告警或与其他安全设备联动进行相关处理。信息交互完成后，向客户端返回指定信息。按照上述思路，实现企业用户之间的可控信息交换，从而构建更加可信的网络环境。

在企业内部构建安全的网络，除在技术防范措施上合理配置使用各种安全防护设备和软件外，还需要对终端用户增强安全防护意识和观念、普及基本的安全防护常识，健全相关规章制度，让用户从思想上高度重视网络安全，只有这样，才能构建起真正安全的内部网络。

参考文献

[1]（美）Sean Convery著.网络安全体系结构[M].王迎春，谢琳，江魁，等，译.北京：人民邮电出版社，2005.

[2]邓志辉.内网安全监控技术的研究与实现[D].广东工业大学，2010.

[3]陈永府，杨朋.递进式网络数据包解析与过滤方法研究[J].计算机工程与设计，2011（32）.endprint