1、關(guān)于局域網(wǎng)內(nèi)網(wǎng)絡(luò)信息安全的探討 【摘要】信息技術(shù)的發(fā)展和信息化建設(shè)的高速推進(jìn)，為信息安全產(chǎn)業(yè)的發(fā)展帶來(lái)了前所未有的機(jī)遇。本文通過(guò)對(duì)內(nèi)部局域網(wǎng)安全現(xiàn)狀的分析，提出了針對(duì)內(nèi)網(wǎng)安全的解決思路，從內(nèi)網(wǎng)安全體系構(gòu)建的過(guò)程和管理策略定制的方法等方面闡述了在內(nèi)網(wǎng)安全管理方案制定中的關(guān)鍵問(wèn)題。 【關(guān)鍵詞】?jī)?nèi)部局域網(wǎng)；網(wǎng)絡(luò)；安全 隨著信息化建設(shè)的深入，各單位、各部門(mén)已經(jīng)廣泛使用計(jì)算機(jī)網(wǎng)絡(luò)開(kāi)展日常工作和業(yè)務(wù)，但是越來(lái)越龐大的網(wǎng)絡(luò)及其不斷更新的相關(guān)技術(shù)也帶來(lái)了不斷增長(zhǎng)的安全威脅，計(jì)算機(jī)網(wǎng)絡(luò)各方面的安全已經(jīng)成為一個(gè)急待解決的問(wèn)題，信息化的發(fā)展必然要求信息安全技術(shù)同步發(fā)展作為保障。 一、關(guān)于內(nèi)網(wǎng)的信息安全 內(nèi)網(wǎng)信息安全

2、是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國(guó)家的政府、軍事、文教等諸多領(lǐng)域，存儲(chǔ)、傳輸和處理的許多信息是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。其中有很多是敏感信息，甚至是國(guó)家機(jī)密，所以難免會(huì)吸引來(lái)自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改

3、、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。 通常利用計(jì)算機(jī)犯罪很難留下犯罪證據(jù)，這也大大刺激了計(jì)算機(jī)高技術(shù)犯罪案件的發(fā)生。計(jì)算機(jī)犯罪率的迅速增加，使各國(guó)的計(jì)算機(jī)系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會(huì)問(wèn)題之一。隨著對(duì)信息安全的重視，企業(yè)部署了大量的安全產(chǎn)品，但是大量的昂貴安全產(chǎn)品并沒(méi)有起到理想的效果，這又是為什么呢？ 信息安全建設(shè)是一個(gè)系統(tǒng)工程，需要有統(tǒng)一的協(xié)同作戰(zhàn)和聯(lián)合監(jiān)控的管理平臺(tái)，才能整合現(xiàn)有的信息安全資源，達(dá)到資源利用最大化，最大限度的降低信息安全分析，從而保護(hù)您的信息系統(tǒng)安全。 內(nèi)網(wǎng)安全理論的提出是相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)安全而言的。在傳統(tǒng)的網(wǎng)絡(luò)安全威脅模型中，假設(shè)內(nèi)網(wǎng)的所有人員和設(shè)備都是安全

4、和可信的，而外部網(wǎng)絡(luò)則是不安全的?；谶@種假設(shè)，產(chǎn)生了防病毒軟件、防火墻、IDS等外網(wǎng)安全解決方案。這種解決策略是針對(duì)外部入侵的防范，但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的安全防護(hù)則顯得無(wú)可奈何。隨著各單位信息化程度的提高以及用戶(hù)計(jì)算機(jī)使用水平的提高，安全事件的發(fā)生更多是從內(nèi)網(wǎng)開(kāi)始，由此引發(fā)了對(duì)內(nèi)網(wǎng)安全的關(guān)注。 二、內(nèi)網(wǎng)信息安全與管理 由于相關(guān)網(wǎng)絡(luò)主管部門(mén)缺乏有效的技術(shù)手段，不能形成完善的管理機(jī)制，使得企業(yè)的內(nèi)網(wǎng)管理長(zhǎng)期處于被動(dòng)管理的局面，發(fā)生信息網(wǎng)絡(luò)安全事件后的快速處置能力薄弱。內(nèi)網(wǎng)信息安全已經(jīng)被證明是在高度信息化的情況下所有單位必須面對(duì)的問(wèn)題。 1、內(nèi)網(wǎng)信息安全 據(jù)FBI和CSI曾對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安

5、全調(diào)查結(jié)果顯示：超過(guò)85%的安全威脅來(lái)自?xún)?nèi)部網(wǎng)絡(luò)，由于內(nèi)部人員泄密所導(dǎo)致的資產(chǎn)損失高達(dá)6000多萬(wàn)美元，它是黑客所造成損失的16倍、病毒所造成損失的12倍。 內(nèi)網(wǎng)信息安全是一個(gè)廣泛的概念，包括了桌面管理、監(jiān)控審計(jì)、授權(quán)管理和信息保密等內(nèi)容，一個(gè)完整的內(nèi)網(wǎng)信息安全體系，需要考慮計(jì)算機(jī)終端、用戶(hù)身份、計(jì)算機(jī)外設(shè)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、存儲(chǔ)和服務(wù)器等各方面的因素。 內(nèi)網(wǎng)的安全問(wèn)題絕大多數(shù)不是來(lái)源于內(nèi)部人員的惡意行為。更大程度上，漏洞出現(xiàn)在一些無(wú)意識(shí)、不規(guī)范的操作和網(wǎng)絡(luò)管理上的疏忽，給信息泄露創(chuàng)造了可乘之機(jī)。如果放松對(duì)內(nèi)網(wǎng)系統(tǒng)的監(jiān)管，內(nèi)部人員可能隨時(shí)都會(huì)有意或無(wú)意地造成安全事故。因此，和外網(wǎng)安全相比，內(nèi)網(wǎng)安

6、全模型更加全面和細(xì)致，需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理，實(shí)現(xiàn)一個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。 2、內(nèi)網(wǎng)信息安全管理 內(nèi)網(wǎng)信息安全管理主要應(yīng)考慮以下方面的因素：內(nèi)網(wǎng)邊界安全監(jiān)管、內(nèi)網(wǎng)網(wǎng)站安全監(jiān)管、內(nèi)網(wǎng)敏感信息監(jiān)管、內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)監(jiān)管、內(nèi)網(wǎng)基礎(chǔ)安全監(jiān)管、內(nèi)網(wǎng)運(yùn)行安全監(jiān)管、內(nèi)網(wǎng)違規(guī)行為監(jiān)管，通過(guò)建設(shè)統(tǒng)一的內(nèi)網(wǎng)安全管理平臺(tái)，來(lái)全面監(jiān)管內(nèi)網(wǎng)信息安全所面臨的風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)安全隱患，結(jié)合內(nèi)網(wǎng)信息安全管理制度和規(guī)范的建設(shè)，建立內(nèi)網(wǎng)信息安全管理體系。 3、數(shù)據(jù)安全保護(hù)系統(tǒng) 數(shù)據(jù)安全保護(hù)系統(tǒng)依據(jù)國(guó)家重要信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)和法規(guī)，以及企業(yè)數(shù)字知識(shí)產(chǎn)權(quán)保護(hù)需求，自主研發(fā)的產(chǎn)品。它以全面

7、數(shù)據(jù)文件安全策略、加解密技術(shù)與強(qiáng)制訪(fǎng)問(wèn)控制有機(jī)結(jié)合為設(shè)計(jì)思想，對(duì)信息媒介上的各種數(shù)據(jù)資產(chǎn)，實(shí)施不同安全等級(jí)的控制，有效杜絕機(jī)密信息泄漏和竊取事件。 數(shù)據(jù)安全保護(hù)系統(tǒng)的保護(hù)對(duì)象主要是政府及企業(yè)的各種敏感數(shù)據(jù)文檔，包括設(shè)計(jì)文檔、設(shè)計(jì)圖紙?jiān)创a、營(yíng)銷(xiāo)方案、財(cái)務(wù)報(bào)表及其他各種涉及國(guó)家機(jī)密和企業(yè)商業(yè)秘密的文檔，可以廣泛應(yīng)用于政府研發(fā)、設(shè)計(jì)、制造等行業(yè)。 4、數(shù)據(jù)安全保護(hù)技術(shù)的特點(diǎn) （1）透明加解密技術(shù)：提供對(duì)涉密或敏感文檔的加密保護(hù)，達(dá)到機(jī)密數(shù)據(jù)資產(chǎn)防盜竊、防丟失的效果，同時(shí)不影響用戶(hù)正常使用。 （2）泄密保護(hù)：通過(guò)對(duì)文檔進(jìn)行讀寫(xiě)控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和內(nèi)存竊取控制等技術(shù)，防

8、止泄漏機(jī)密數(shù)據(jù)。 （3）強(qiáng)制訪(fǎng)問(wèn)控制：根據(jù)用戶(hù)的身份和權(quán)限以及文檔的密級(jí)，可對(duì)機(jī)密文檔實(shí)施多種訪(fǎng)問(wèn)權(quán)限控制，如共享交流、帶出或解密等。 （4）雙因子認(rèn)證：系統(tǒng)中所有的用戶(hù)都使用USB-KEY進(jìn)行身份認(rèn)證，保證了業(yè)務(wù)域內(nèi)用戶(hù)身份的安全性和可信性。 （5）文檔審計(jì)：能夠有效地審計(jì)出，用戶(hù)對(duì)加密文檔的常規(guī)操作事件。 （6）三權(quán)分立：系統(tǒng)借鑒了企業(yè)和機(jī)關(guān)的實(shí)際工作流程，采用了分權(quán)的管理策略，在管理方法上采用了職權(quán)分離模式，審批，執(zhí)行和監(jiān)督機(jī)制。 （7）安全協(xié)議：確保密鑰操作和存儲(chǔ)的安全，密鑰存放和主機(jī)分離。 5、數(shù)據(jù)安全保護(hù)技術(shù)的應(yīng)用 （1）密指定程序生成的文檔 強(qiáng)制加密指定程序編輯的文檔。用戶(hù)訪(fǎng)問(wèn)加

9、密文檔時(shí)，需要連接服務(wù)器（在線(xiàn)，非脫機(jī)狀態(tài)），并且具有合適的訪(fǎng)問(wèn)權(quán)限。該加密過(guò)程完全透明，不影響現(xiàn)有應(yīng)用和用戶(hù)習(xí)慣。 （2）泄密控制 對(duì)打開(kāi)加密文檔的應(yīng)用程序進(jìn)行如下控制：打印、內(nèi)存竊取、拖拽和剪貼板等，用戶(hù)不能主動(dòng)或被動(dòng)地泄漏機(jī)密數(shù)據(jù)。 （3）審批管理 支持共享、離線(xiàn)和外發(fā)文檔，管理員可以按照實(shí)際工作需求，配置是否對(duì)這些操作進(jìn)行強(qiáng)制審批。用戶(hù)在執(zhí)行加密文檔的共享、離線(xiàn)和外發(fā)等操作時(shí)，將視管理員的權(quán)限許可，可能需要經(jīng)過(guò)審批管理員審批。 （4）離線(xiàn)文檔管理 客戶(hù)端需要連接服務(wù)器才能訪(fǎng)問(wèn)加密文檔。通過(guò)本功能制作離線(xiàn)文檔，即使客戶(hù)端未連接服務(wù)器，用戶(hù)也可以閱讀這些離線(xiàn)的文檔。根據(jù)管理員權(quán)限許可，離線(xiàn)文檔可能需要經(jīng)過(guò)審批管理員審批離線(xiàn)時(shí)，可以控制客戶(hù)端的離線(xiàn)時(shí)間和離線(xiàn)時(shí)是否允許打印。 （5）外發(fā)文檔管理 外部人員不能閱讀加密文檔的內(nèi)容。本功能制作外發(fā)文檔，即使在未安裝客戶(hù)端的機(jī)器上，也可以閱讀這些外發(fā)的文檔。根據(jù)管理員權(quán)限許可，外發(fā)文檔可能需要經(jīng)過(guò)審批管理員審批外發(fā)的文檔，和內(nèi)部使用一樣，受到加密保護(hù)和泄密控制，不會(huì)造成文檔泄露，同時(shí)增加口令和機(jī)器碼驗(yàn)證，增強(qiáng)外發(fā)文檔的安全性。 結(jié) 語(yǔ) 本文通過(guò)對(duì)內(nèi)部局域網(wǎng)安全現(xiàn)狀的分析，提出了針對(duì)內(nèi)網(wǎng)安全的解