1、企業(yè)內(nèi)網(wǎng)平安分析與策略一、背景分析提起網(wǎng)絡信息平安，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業(yè)因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機構(gòu)調(diào)查：三分之二以上的平安威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。目前，政府、企業(yè)等社會組織在網(wǎng)絡平安防護建立中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界平安防護技術，即在組織網(wǎng)絡的邊緣設置網(wǎng)關型邊界防火墻、aaa認證、入侵檢測系統(tǒng)ids等等網(wǎng)絡邊界平安防護技術，對網(wǎng)絡入侵進展監(jiān)控和防護，抵御來自組織外部攻擊、防止組織網(wǎng)絡資源、信息資源遭受損失，保證組織業(yè)務流程的有效進展。這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡內(nèi)部

2、的對企業(yè)網(wǎng)絡資源、信息資源的破壞和非法行為的平安防護卻無任何作用。對于那些需要經(jīng)常挪動的終端設備在平安防護薄弱的外部網(wǎng)絡環(huán)境的平安保障，企業(yè)基于網(wǎng)絡邊界的平安防護技術就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡的平安。一方面，企業(yè)中經(jīng)常會有人私自以de撥號方式、或無線網(wǎng)卡等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡帶來了宏大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡vpn、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡應用程序的各種破綻就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡，發(fā)起攻擊使內(nèi)部網(wǎng)絡癱瘓、重要效勞器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。二、內(nèi)網(wǎng)平安風險分析現(xiàn)代企業(yè)的網(wǎng)絡環(huán)境是建立在

3、當前飛速開展的開放網(wǎng)絡環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進展交互的窗口，同時也為企業(yè)外部提供了進入企業(yè)最核心地帶企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡面臨種種威脅和風險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應用軟件自身的平安破綻為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于平安意識、平安知識、平安技能的匱乏，導致企業(yè)平安策略不能真正的得到很好的落實，開放的網(wǎng)絡給企業(yè)的信息平安帶來宏大的威脅。1.病毒、蠕蟲入侵目前，開放網(wǎng)絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點，即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成平安防護，特別是

4、對新類型新變種的病毒、蠕蟲，防護技術總要相對落后于新病毒新蠕蟲的入侵。病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡，除了利用企業(yè)網(wǎng)絡平安防護措施的破綻外，最大的威脅卻是來自于內(nèi)部網(wǎng)絡用戶的各種危險應用：不安裝殺毒軟件；安裝殺毒軟件但不及時晉級；網(wǎng)絡用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護措施就連接到危險的網(wǎng)絡環(huán)境中，特別是internet；挪動用戶計算機連接到各種情況不明網(wǎng)絡環(huán)境，在沒有采取任何防護措施的情況下又連入企業(yè)網(wǎng)絡；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡中，給企業(yè)信息根底設施，企業(yè)業(yè)務帶來無法估量的損失。2.軟件破綻隱患

5、企業(yè)網(wǎng)絡通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應用軟件等等，尤其是存在于廣闊終端用戶辦公桌面上的各種應用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可防止的、潛在的或的軟件破綻。無論哪一局部的破綻被利用，都會給企業(yè)帶來危害，輕者危及個別設備，重者成為攻擊整個企業(yè)網(wǎng)絡媒介，危及整個企業(yè)網(wǎng)絡平安。3.系統(tǒng)平安配置薄弱企業(yè)網(wǎng)絡建立中應用的各種軟件系統(tǒng)都有各自默認的平安策略增強的平安配置設置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些平安配置的正確應用對于各種軟件系統(tǒng)自身的平安防護的增強具有重要作用，但在實際的企業(yè)網(wǎng)絡環(huán)境中，這些平安配置卻被無視，尤其

6、是那些網(wǎng)絡的終端用戶，導致軟件系統(tǒng)的平安配置成為“軟肋、有時可能嚴重為配置破綻，完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強迫攻擊就是利用了弱口令習慣性的使用平安隱患，黑客利用各種網(wǎng)絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。4.脆弱的網(wǎng)絡接入平安防護傳統(tǒng)的網(wǎng)絡訪問控制都是在企業(yè)網(wǎng)絡邊界進展的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進展且在網(wǎng)絡訪問用戶的身份被確認后，用戶即可以對企業(yè)內(nèi)網(wǎng)進展各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網(wǎng)絡平安破綻，例如，企業(yè)網(wǎng)絡的合法挪動用戶在平安防護較差的外網(wǎng)環(huán)境中使用vpn連接、遠程撥號、無線ap，以太網(wǎng)接入等等網(wǎng)絡接入方式，在

7、外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個平安通道。另一個傳統(tǒng)網(wǎng)絡訪問控制問題來自企業(yè)網(wǎng)絡內(nèi)部，尤其對于大型企業(yè)網(wǎng)絡擁有成千上萬的用戶終端，使用的網(wǎng)絡應用層出不窮，目前對于企業(yè)網(wǎng)管很難準確的控制企業(yè)網(wǎng)絡的應用，這樣的現(xiàn)實導致平安隱患的產(chǎn)生：員工使用未經(jīng)企業(yè)允許的網(wǎng)絡應用，如郵件效勞器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡應用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡，進而造成內(nèi)部網(wǎng)絡中敏感數(shù)據(jù)的泄密或損毀。5.企業(yè)網(wǎng)絡入侵現(xiàn)階段黑客攻擊技術細分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、回絕效

8、勞攻擊、對防火墻的攻擊、病毒攻擊、假裝程序/木馬程序攻擊、后門攻擊。對于采取各種傳統(tǒng)平安防護措施的企業(yè)內(nèi)網(wǎng)來說，都沒有萬無一失的把握;對于從企業(yè)內(nèi)網(wǎng)走出到平安防護薄弱的外網(wǎng)環(huán)境的挪動用戶來說，平安保障就會嚴重惡化，當挪動用戶連接到企業(yè)內(nèi)網(wǎng)，就會將各種網(wǎng)絡入侵帶入企業(yè)網(wǎng)絡。6.終端用戶計算機平安完好性缺失隨著網(wǎng)絡技術的普及和開展，越來越多的員工會在企業(yè)專網(wǎng)以外使用計算機辦公，同時這些移發(fā)動工需要連接回企業(yè)的內(nèi)部網(wǎng)絡獲取工作必須的數(shù)據(jù)。由于這些挪動用戶處于專網(wǎng)的保護之外，很有可能被黑客攻陷或感染網(wǎng)絡病毒。同時，企業(yè)現(xiàn)有的平安投資如：防病毒軟件、各種補丁程序、平安配置等假設處于不正常運行狀態(tài)，終端員

9、工沒有及時更新病毒特征庫，或私自卸載平安軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡的跳板。三、內(nèi)網(wǎng)平安施行策略1.多層次的病毒、蠕蟲防護病毒、蠕蟲破壞網(wǎng)絡平安事件一直以來在網(wǎng)絡平安領域就沒有一個根本的解決方法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時晉級等等，也有技術上的原因，殺毒軟件、入侵防范系統(tǒng)等平安技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好似是無法防止的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的實在有效的防護方法，就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的

10、。2.終端用戶透明、自動化的補丁管理，平安配置為了彌補和糾正運行在企業(yè)網(wǎng)絡終端設備的系統(tǒng)軟件、應用軟件的平安破綻，使整個企業(yè)網(wǎng)絡平安不至由于個別軟件系統(tǒng)的破綻而受到危害，完全必要在企業(yè)的平安管理策略中加強對補丁晉級、系統(tǒng)平安配置的管理。用戶可通過管理控制臺集中管理企業(yè)網(wǎng)絡終端設備的軟件系統(tǒng)的補丁晉級、系統(tǒng)配置策略，定義終端補丁下載。將補丁晉級策略、增強終端系統(tǒng)平安配置策略下發(fā)給運行于各終端設備上的平安代理，平安代理執(zhí)行這些策略，以保證終端系統(tǒng)補丁晉級、平安配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的費事和企業(yè)網(wǎng)絡的平安風險，進步企業(yè)網(wǎng)絡整體的補丁晉級、平

11、安配置管理效率和效用，使企業(yè)網(wǎng)絡的補丁及平安配置管理策略得到有效的落實。3.全面的網(wǎng)絡準入控制為理解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡給企業(yè)網(wǎng)絡帶來的平安隱患，以及企業(yè)網(wǎng)絡平安管理人員無法控制內(nèi)部員工網(wǎng)絡行為給企業(yè)網(wǎng)絡帶來的平安問題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡接入方式接入企業(yè)網(wǎng)絡的訪問控制問題，同時對傳統(tǒng)的網(wǎng)絡邊界訪問控制沒有解決的網(wǎng)絡接入平安防護措施，而采用邊界準入控制、接入層準入控制等技術進展全面的實現(xiàn)準入控制。當外網(wǎng)用戶接入企業(yè)網(wǎng)絡時，檢查客戶端的平安策略狀態(tài)是否符合企業(yè)整體平安策略，對于符合的外網(wǎng)訪問那么放行。一個全面的網(wǎng)絡準入檢測系統(tǒng)。4.終端設備平安完好性保證主機完好性強迫是確保企業(yè)網(wǎng)絡平安的關鍵組件。主機完好性可確保連接到企業(yè)網(wǎng)的客戶端正運行著所需的應用程序和數(shù)據(jù)文件。信息平安業(yè)界已經(jīng)開發(fā)出了多種基于主機的平安產(chǎn)品，以確保企業(yè)網(wǎng)絡和信息的平安，阻止利用網(wǎng)絡連接技