第四章網(wǎng)絡(luò)安全技術(shù)-內(nèi)網(wǎng)監(jiān)管技術(shù)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)內(nèi)部攻擊與外部攻擊傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)（如防火墻等）主要考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊防火墻、入侵檢測(cè)系統(tǒng)和VPN等傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)都是針對(duì)這一目標(biāo)設(shè)計(jì)和實(shí)現(xiàn)外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的，威脅都來(lái)自于外部網(wǎng)絡(luò)，其途徑主要通過(guò)內(nèi)外網(wǎng)邊界出口只要將網(wǎng)絡(luò)邊界的安全控制措施做好，就可以確保整個(gè)網(wǎng)絡(luò)的安全內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)部攻擊與外部攻擊（續(xù)）內(nèi)部網(wǎng)絡(luò)用戶同樣會(huì)帶來(lái)安全威脅不誠(chéng)實(shí)的公司員工會(huì)通過(guò)移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備將公司機(jī)密或敏感信息拷貝帶出內(nèi)部用戶也可能因?yàn)閷?duì)公司不滿而從內(nèi)部發(fā)動(dòng)網(wǎng)絡(luò)攻擊內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)網(wǎng)監(jiān)管內(nèi)網(wǎng)監(jiān)管技術(shù)是針對(duì)局域網(wǎng)內(nèi)的用戶終端和網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)視和控制，規(guī)范內(nèi)部網(wǎng)絡(luò)用戶的行為、防止敏感信息的泄漏。假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的威脅既可能來(lái)自外網(wǎng)，也可能來(lái)自內(nèi)網(wǎng)的任何一個(gè)節(jié)點(diǎn)上內(nèi)網(wǎng)監(jiān)管技術(shù)在內(nèi)網(wǎng)安全的威脅模型下，需要對(duì)內(nèi)部網(wǎng)絡(luò)中的所有節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理，從而實(shí)現(xiàn)一個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。實(shí)現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法1、合理劃分和管理內(nèi)網(wǎng)與外網(wǎng)的邊界網(wǎng)絡(luò)邊界安全技術(shù)防范來(lái)自Internet上的攻擊為了防御內(nèi)部攻擊，必須首先知道內(nèi)網(wǎng)和外網(wǎng)的邊界內(nèi)網(wǎng)監(jiān)管技術(shù)隨著網(wǎng)絡(luò)連接方式的增加（如無(wú)線接入、移動(dòng)接入）和業(yè)務(wù)范疇的拓展，對(duì)網(wǎng)絡(luò)邊界的劃分往往非常復(fù)雜和困難?？梢愿鶕?jù)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)的重要性等來(lái)劃分網(wǎng)絡(luò)邊界實(shí)現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法2、限制VPN的訪問虛擬專用網(wǎng)（VPN）用戶可以從外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資內(nèi)部資源將不在內(nèi)部防御系統(tǒng)的管理范圍內(nèi)，從而帶來(lái)信息泄露等風(fēng)險(xiǎn)內(nèi)網(wǎng)監(jiān)管技術(shù)要盡量避免給VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限，從而防止VPN用戶濫用權(quán)限而帶來(lái)數(shù)據(jù)泄露等威脅。減少VPN訪問或者嚴(yán)格限制使用VPN的用戶的權(quán)限，并盡量采用網(wǎng)絡(luò)隔離等技術(shù)，將內(nèi)部網(wǎng)絡(luò)中重要的資源隔離在VPN用戶訪問權(quán)限之外實(shí)現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法3、實(shí)時(shí)、自動(dòng)跟蹤安全策略的變化隨著業(yè)務(wù)的變化其安全策略也會(huì)不斷變換安全策略的管理是一個(gè)動(dòng)態(tài)的過(guò)程，必須建立動(dòng)態(tài)、智能的安全策略變化跟蹤與管理機(jī)制內(nèi)網(wǎng)監(jiān)管技術(shù)例如，必須建立實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇的變化，以便當(dāng)員工離職時(shí)及時(shí)調(diào)整賬戶及權(quán)限等安全策略。實(shí)時(shí)跟蹤網(wǎng)絡(luò)資源利用情況并記錄，從而自動(dòng)地調(diào)整安全策略，確保資源不被濫用實(shí)現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法4、嚴(yán)格限制網(wǎng)絡(luò)服務(wù)和外設(shè)服務(wù)大型企業(yè)可能提供WEB、電子郵件、文件傳輸?shù)雀鞣N網(wǎng)絡(luò)服務(wù)應(yīng)該關(guān)閉不必要的網(wǎng)絡(luò)端口，防止攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行滲透性測(cè)試內(nèi)網(wǎng)監(jiān)管技術(shù)例如，如果不限制USB端口，則惡意用戶可以通過(guò)移動(dòng)存儲(chǔ)設(shè)備拷貝公司機(jī)密數(shù)據(jù)。必須嚴(yán)格限制各種網(wǎng)絡(luò)外設(shè)的使用再如，如果不限制電子郵件的使用，惡意用戶也可以通過(guò)發(fā)送電子郵件的方式將內(nèi)部文件發(fā)送到外部網(wǎng)絡(luò)。實(shí)現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法5、嚴(yán)格限制無(wú)線網(wǎng)絡(luò)連接訪問無(wú)限通信和移動(dòng)通信技術(shù)給網(wǎng)絡(luò)邊界的劃分帶來(lái)了困難為通過(guò)非法網(wǎng)絡(luò)連接傳輸數(shù)據(jù)提供了功能內(nèi)網(wǎng)監(jiān)管技術(shù)必須嚴(yán)格管理網(wǎng)絡(luò)連接，排除不必要的無(wú)線訪問點(diǎn)例如，惡意用戶通過(guò)手機(jī)提供了移動(dòng)通信服務(wù)，可以非常容易地將內(nèi)部數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)。實(shí)現(xiàn)內(nèi)網(wǎng)監(jiān)管的主要方法6、建立完善的用戶賬號(hào)管理機(jī)制對(duì)于合法用戶，必須加強(qiáng)安全教育和賬號(hào)管理，對(duì)口令長(zhǎng)度、口令復(fù)雜性、口令修改周期等進(jìn)行嚴(yán)格管理建立訪客臨時(shí)賬號(hào)，并對(duì)其權(quán)限進(jìn)行嚴(yán)格控內(nèi)網(wǎng)監(jiān)管技術(shù)確保訪客賬號(hào)無(wú)法訪問內(nèi)部關(guān)鍵資源對(duì)訪客賬號(hào)進(jìn)行跟蹤和監(jiān)控，確保其權(quán)限不被濫用。計(jì)算機(jī)資源審計(jì)和管理針對(duì)內(nèi)網(wǎng)安全域內(nèi)每臺(tái)計(jì)算機(jī)的資源，構(gòu)建本地或遠(yuǎn)程審計(jì)和管理功能，管理員能夠從本地或遠(yuǎn)程獲取計(jì)算機(jī)的各種資源信息計(jì)算機(jī)資源審計(jì)和管理。內(nèi)網(wǎng)監(jiān)管的主要功能內(nèi)網(wǎng)監(jiān)管技術(shù)系統(tǒng)安全防護(hù)使用PKI和電子證書等技術(shù)對(duì)用戶進(jìn)行身份認(rèn)證，確保用戶權(quán)限（尤其是管理員權(quán)限）不被濫用。內(nèi)網(wǎng)監(jiān)管的主要功能內(nèi)網(wǎng)監(jiān)管技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)防信息泄漏是防止安全域內(nèi)任何一臺(tái)計(jì)算機(jī)上的重要信息，通過(guò)有線網(wǎng)絡(luò)、無(wú)限網(wǎng)絡(luò)、移動(dòng)通信網(wǎng)絡(luò)等方式發(fā)送到安全控制域以外的網(wǎng)絡(luò)環(huán)境或計(jì)算機(jī)中。內(nèi)網(wǎng)監(jiān)管的主要功能內(nèi)網(wǎng)監(jiān)管技術(shù)計(jì)算機(jī)外設(shè)防信息泄漏是防止通過(guò)移動(dòng)存儲(chǔ)設(shè)備、紅外設(shè)備或者其他接口設(shè)備等，將計(jì)算機(jī)或者網(wǎng)絡(luò)內(nèi)部的信息非法復(fù)制出去。內(nèi)網(wǎng)監(jiān)管的主要功能（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)服務(wù)器安全增強(qiáng)是對(duì)關(guān)鍵的服務(wù)器提供安全增強(qiáng)功能：防止未經(jīng)授權(quán)用戶訪問敏感信息；防止內(nèi)部、外部用戶破壞服務(wù)器的正常運(yùn)行；防止管理員、超級(jí)用戶的權(quán)限被濫用。內(nèi)網(wǎng)監(jiān)管的主要功能（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)系統(tǒng)輔助功能包括策略生命周期管理、系統(tǒng)自動(dòng)安裝和遠(yuǎn)程卸載、雙機(jī)熱備、審計(jì)分析報(bào)告和安全文件管理等內(nèi)網(wǎng)監(jiān)管的主要功能（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)監(jiān)控審計(jì)類主要對(duì)計(jì)算機(jī)終端訪問網(wǎng)絡(luò)、應(yīng)用使用、系統(tǒng)配置、文件操作以及外設(shè)使用等提供集中監(jiān)控和審計(jì)功能，并可以生成各種類型的報(bào)表。內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)網(wǎng)監(jiān)管系統(tǒng)現(xiàn)有產(chǎn)品類型桌面管理類計(jì)算機(jī)終端實(shí)現(xiàn)一定的集中管理控制策略，包括外設(shè)管理、應(yīng)用程序管理、網(wǎng)絡(luò)管理、資產(chǎn)管理以及補(bǔ)丁管理等功能。內(nèi)網(wǎng)監(jiān)管技術(shù)內(nèi)網(wǎng)監(jiān)管系統(tǒng)現(xiàn)有產(chǎn)品類型文檔加密類主要解決特定格式主流文檔的權(quán)限管理和防泄密問題，可以部分解決專利資料、財(cái)務(wù)資料、設(shè)計(jì)資料和圖紙資料的泄密問題。內(nèi)網(wǎng)監(jiān)管系統(tǒng)現(xiàn)有產(chǎn)品類型（續(xù)）內(nèi)網(wǎng)監(jiān)管技術(shù)文件加密類提供了一種用戶主動(dòng)的文件保護(hù)措施，針對(duì)單個(gè)文件加密，或文件目錄的加密