企业内网安全威胁分析及防护措施

2015-04-28陈玮

科技视界 2015年12期

陈玮

（龙岩烟草工业有限责任公司，福建龙岩 364000）

1 企业内网安全概述

企业内网安全的概念：通常以企业局域网的网络边界为限，将企业网络划分为内部网和外部网两个部分。因此，内网安全指的就是企业内部局域网的信息安全。具体地说，就是对企业级边界防火墙或路由器以内的网络信息安全综合管理。伴随着IT技术的快速发展和变化，新的安全威胁也层出不穷，因此企业内网将面临着新的调整和威胁。

2 企业内网安全威胁

2.1 接入威胁

在企业内网中，接入威胁是最直接、影响面最大、最容易受到攻击的接入威胁。接入的方式分为两种，有线接入和无线接入。

有线接入是指用户将电脑用网线接入座位上的信息位点从而接入网络的方式。

无线接入是指通过无线接入点发出的信号，连接进入网络。

不论是有线接入方式还是无线接入方式，都存在以下两个问题：（1）如何能够保证接入的电脑都是安全的、无病毒感染的？

（2）当外部用户确实需要使用到内部网络时，如何进行权限上的限制，以防止外部用户有意或无意对内部网络造成的威胁？

2.2 用户行为威胁

当下，使用计算机已经成为一项必备的基本技能。现在的用户基本掌握计算机的使用方法，能够轻松地登录OA门户、查看邮件和公告、审批文件。车间的工作人员还必须借助计算机对生产设备下达精确的生产指令，确保生产顺利进行。

但是，很多用户的上网安全意识比较淡薄，会无意识地登录一些视频、购物网站，导致计算机中毒，影响企业内部网络。最明显的例子就是登录某些视频网站，观看视频时，就中了该网站上被植入的广告木马。

2.3 运维人员的操作威胁

企业内各系统之间数据交互错综复杂，所有系统肩负着生产正常运行的重任。一旦系统出了问题就必须维护。这里又产生这样一个问题，对运维人员所做操作的管理。

由于运维人员的素质、责任心参差不齐，在处理完问题后，各自的做法不尽相同。责任心强的运维人员就会删除遗留在系统中的工具或补丁；责任心弱的运维人员则可能直接离开，更有甚者会在安装未完全结束时，就离开。这样导致的后果是，遗留的工具或未执行完成的脚本，极其容易导致数据库或应用系统出现新的问题。因此，运维人员对系统的操作也成为一种对内网安全的威胁。

3 内网安全防范原则

3.1 适度安全原则

依照信息系统因缺乏安全性造成损害后果的严重程度，来决定采取什么样的安全措施。

3.2 最小授权原则

内部网络中，涉及服务器及网络设备的访问权限要最小化，严格控制具有管理权限的用户数量。

3.3 注重管理原则

除了在技术层面对内网安全进行防护外，还应该注重对内网使用人员操作的管理。

4 内网安全防护措施

内网安全防护技术日新月异，在日常维护中，防护技术的堆叠是不可能做到一劳永逸。对于信息安全员而言，根据内网安全防范原则，从管理和技术两方面出发，采用最合适的技术手段，才能够达到预期的效果。

4.1 管理方面：制定内网安全管理制度

依据《信息安全等级保护管理办法》（公通字[2007]43号)、《烟草行业信息安全保障体系建设指南》（国烟办综[2008]147号）等国家和行业信息安全管理要求，分别从计算机终端、网络安全、VPN使用、计算机防病毒、服务器安全、信息系统账户管理等24个方面，制定相应的安全管理制度，约束管理人员和用户的使用规范。其中，涉及用户使用计算机安全规范的制度包括《计算机终端安全管理办法》、《网络安全管理办法》。

《计算机终端安全管理办法》主要用于规范终端操作系统、周边硬件、通信设备、应用系统的安全使用。明确用户计算机终端能够安装的软件、进行的操作。

《网络安全管理办法》主要用于规范对企业内网的使用，明确规定用户操作权限，确定用户对办公网络和生产网络的使用规范。

4.2 技术方面

4.2.1 接入威胁防护

针对接入威胁，根据《网络安全管理办法》，结合用户性质的不同，采取不同的防护措施。

1）内网用户

内网用户的个人笔记本需要接入网络时（不论是有线接入方式还是无线接入方式），必须先告知企业内专门维护硬件的技术人员，由技术人员将笔记本全盘杀毒并登记物理地址后，方可通知网络管理员开通上网服务。

此外，内网用户按照岗位不同，网络访问的权限也不同。例如，甲属于机关部门的科员，按照其岗位职能，只需要访问门户、邮件、办公OA等系统，而不需要访问例如制丝、卷包、物流等生产系统，因此在配置访问控制策略时，应当禁止访问生产系统，开放办公系统的访问权限。

2）外部用户

外部用户的个人笔记本需要接入网络时，按照相应的流程，必须先告知企业内专门维护硬件的技术人员，由技术人员将笔记本全盘杀毒并登记物理地址后，再通知网络维护员开通上网。网络维护员事先制定准入控制策略，控制终端对网络的访问，并划分好给外协人员使用的vlan。通过准入控制策略配合vlan划分的方法，将内网用户与外网用户分开，并限制常用端口，在技术上解决了外网用户具有访问内网权限的问题。

4.2.2 用户行为威胁防护

针对用户行为威胁，按照《计算机终端安全管理办法》，所有访问互联网的链接必须通过上网行为管理设备。网络管理员利用网上行为管理设备，对具有暴力、色情、血腥、反动等不良信息进行过滤。同时，边界防火墙必须开启防病毒和防入侵功能。一旦侦测外部链接的数据流中包含病毒和入侵行为时，阻断链接，保证内网安全。

此外，必须提高内部用户的安全意识，定期组织网络安全宣传讲座，请专业人员针对用户日常上网行为中存在的问题，进行分析和讲解。定期协助内部用户使用专门的工具，进行系统垃圾、插件的清理。并在杀毒软件服务器端设置闲时全盘扫描（一般是半夜）策略和病毒库实时更新策略，保证杀毒软件客户端病毒库是最新的。

4.2.3 运维人员操作威胁防护措施

针对运维人员操作威胁，按照《计算机终端安全管理办法》，严格要求运维人员通过堡垒机，才能够对服务器、数据库进行操作。坚决禁止运维人员直接使用笔记本连接服务器的行为。最后，系统管理员必须在各自系统完成登录处理结束后，进行系统检查，将遗留的工具、补丁、脚本等全部删除。对于采用主备机的服务器，还必须统一主备机之间的配置信息，保证主备机配置的一致性。