??????? 概述

??????? 內(nèi)網(wǎng)管理廣義上指防火墻以內(nèi)的網(wǎng)絡(luò)的綜合管理；狹義上指企業(yè)內(nèi)部網(wǎng)絡(luò)的終端的綜合管理。

??????? 對于管理方面，綜合管理通常包含行為監(jiān)控、補丁分發(fā)、ip等遠程設(shè)置、進程封殺和禁用U盤等外設(shè)的眾多話題。從技術(shù)上可以理解為在操作系統(tǒng)、殺毒之外，對三不管的空間采用的防護管理措施。 客觀上來說，內(nèi)網(wǎng)管理促進了網(wǎng)絡(luò)的運營安全、穩(wěn)定性、可靠性、網(wǎng)絡(luò)的封閉性、可管理性等作用。所以有很大的實用價值。

??????? 對于內(nèi)網(wǎng)安全方面，提起網(wǎng)絡(luò)安全，人們自然就會想到病毒破壞和******，其實不然。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。

??????? 內(nèi)部網(wǎng)絡(luò)面臨的安全問題

??????? 自2003年來，以SQL蠕蟲、“沖擊波”、“震蕩波”等病毒的連續(xù)性爆發(fā)為起點，到計算機文件泄密、硬件資產(chǎn)丟失、服務(wù)器系統(tǒng)癱瘓等諸多客戶端安全事件在各地網(wǎng)絡(luò)頻繁中發(fā)生，讓政府機關(guān)和企業(yè)單位的網(wǎng)絡(luò)管理人員頭痛不已。總結(jié)起來，政府機關(guān)和企業(yè)單位的內(nèi)部網(wǎng)絡(luò)管理大致面臨著以下一些常見：

? 如何發(fā)現(xiàn)客戶端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補丁。

? 如何防范移動電腦和存儲設(shè)備隨意接入內(nèi)網(wǎng)。

? 如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián)。

? 如何管理客戶端資產(chǎn)，保障網(wǎng)絡(luò)設(shè)備正常運行。

? 如何在全網(wǎng)制定統(tǒng)一的安全策略。

? 如何及時發(fā)現(xiàn)網(wǎng)絡(luò)中占用帶寬最大的客戶端。

? 如何點對點控制異常客戶端的運行。

? 如何防范內(nèi)部涉密重要信息的泄露。

? 如何對原有客戶端應(yīng)用軟件進行統(tǒng)一監(jiān)控、管理。

? 如何快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲、***的引入點，及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡(luò)。

? 如何構(gòu)架功能強大的統(tǒng)一網(wǎng)絡(luò)安全報警處置平臺，進行安全事件響應(yīng)和事件查詢，全面管理網(wǎng)絡(luò)資源。

??????? 這些常見的客戶端安全威脅隨時隨地都可能影響著用戶網(wǎng)絡(luò)的正常運行。在這些問題中，操作系統(tǒng)漏洞管理問題越來越凸現(xiàn)，消除漏洞的根本辦法就是安裝軟件補丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提醒人們要居安思危，打好補丁，做好防范工作——補丁越來越成為安全管理的一個重要環(huán)節(jié)。***技術(shù)的不斷變化和發(fā)展，留給管理員的時間將會越來越少，在最短的時間內(nèi)安裝補丁將會極大地保護網(wǎng)絡(luò)和其所承載的機密，同時也可以使更少的用戶免受蠕蟲的侵襲。對于機器眾多的用戶，繁雜的手工補丁安裝已經(jīng)遠遠不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，必須依靠新的技術(shù)手段來實現(xiàn)對操作系統(tǒng)的補丁自動修補。

??????? 行業(yè)內(nèi)網(wǎng)安全面臨的威脅

• 內(nèi)部合規(guī)管理難以落地：金融機構(gòu)對內(nèi)部的合規(guī)要求、安全操作等都缺乏實質(zhì)有效的信息化管理手段，比如員工的肆意修改IP地址行為，造成的違規(guī)事件無法溯源，無法對員工的行為做有效管理；
• 外部終端缺乏準入控制：終端未經(jīng)安全認證和授權(quán)即可隨意接入到內(nèi)網(wǎng)，導致組織內(nèi)部重要信息泄露或毀滅，終端接入后對內(nèi)網(wǎng)的非授權(quán)訪問難以管理，造成不可彌補的重大損失；
• 移動存儲介質(zhì)疏于管理：移動設(shè)備，包括筆記本電腦、便攜式PDA等和新增設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入，非法拷貝內(nèi)網(wǎng)數(shù)據(jù)，甚至帶來病毒傳播、******等不安全因素；
• 工具濫用危及網(wǎng)絡(luò)資源：員工在工作時間內(nèi)聊天、游戲、×××、電影下載、登陸×××反動網(wǎng)站等行為大量存在，由于工具濫用行為，還包括客戶端發(fā)送的違規(guī)欺騙包，使內(nèi)部流量負載增加，影響了工作效率，影響網(wǎng)絡(luò)正常使用；
• 脆弱風險阻于行為審計：終端的脆弱點和違規(guī)溯源，需要對客戶端的文件操作審計與控制、打印、網(wǎng)站訪問、異常路由、終端Windows登錄、在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等審計；
• 終端安全水平參差不齊：客戶端的漏洞密布、口令簡陋、缺少必要的關(guān)鍵補丁，缺乏必要的安全知識，同時無法及時掌握進程運行情況，***程序可能就混在其中，無從獲取管理員的幫助支持；

?????? 九個方面保障內(nèi)網(wǎng)安全的措施

?????? 內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個主要組成部分，其安全性也受到越來越多的重視。據(jù)不完全統(tǒng)計，國外在建設(shè)內(nèi)網(wǎng)時，投資額的15%是用于加強內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。在我國IT市場中，安全廠商保持著旺盛的增長勢頭。運營商在內(nèi)網(wǎng)安全方面的投資比例不如國外多，但依然保持著持續(xù)的增長態(tài)勢。要提高內(nèi)網(wǎng)的安全，可以使用的方法很多，本文將就此做一些探討。

?????? 采用安全交換機

?????? 由于內(nèi)網(wǎng)的信息傳輸采用廣播技術(shù)，數(shù)據(jù)包在廣播域中很容易受到監(jiān)聽和截獲，因此需要使用安全交換機，利用網(wǎng)絡(luò)分段及VLAN的方法從物理上或邏輯上隔離網(wǎng)絡(luò)資源，以加強內(nèi)網(wǎng)的安全性。

??????? 操作系統(tǒng)的安全

??????? 從終端用戶的程序到服務(wù)器應(yīng)用服務(wù)、以及網(wǎng)絡(luò)安全的很多技術(shù)，都是運行在操作系統(tǒng)上的，因此，保證操作系統(tǒng)的安全是整個安全系統(tǒng)的根本。除了不斷增加安全補丁之外，還需要建立一套對系統(tǒng)的監(jiān)控系統(tǒng)，并建立和實施有效的用戶口令和訪問控制等制度。

????? 對重要資料進行備份

?????? 在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大，實際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠超出了可知的病毒或惡意的***，用戶的一次錯誤操作，系統(tǒng)的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和******還要大。

??????? 為了維護企業(yè)內(nèi)網(wǎng)的安全，必須對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和***的破壞等原因?qū)е孪到y(tǒng)崩潰，進而蒙受重大損失。

??????? 對數(shù)據(jù)的保護來說，選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的，配合各種災難恢復軟件，可以較為全面地保護數(shù)據(jù)的安全。

?????? 使用代理網(wǎng)關(guān)

??????? 使用代理網(wǎng)關(guān)的好處在于，網(wǎng)絡(luò)數(shù)據(jù)包的交換不會直接在內(nèi)外網(wǎng)絡(luò)之間進行。內(nèi)部計算機必須通過代理網(wǎng)關(guān)，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務(wù)器上對網(wǎng)絡(luò)內(nèi)部的計算機訪問外部網(wǎng)絡(luò)進行限制。

在代理服務(wù)器兩端采用不同協(xié)議標準，也可以阻止外界非法訪問的***。還有，代理服務(wù)的網(wǎng)關(guān)可對數(shù)據(jù)封包進行驗證和對密碼進行確認等安全管制。

???? 設(shè)置防火墻

???????防火墻的選擇應(yīng)該適當，對于微小型的企業(yè)網(wǎng)絡(luò)，可從Norton Internet Security 、 PCcillin 、天網(wǎng)個人防火墻等產(chǎn)品中選擇適合于微小型企業(yè)的個人防火墻。而對于具有內(nèi)部網(wǎng)絡(luò)的企業(yè)來說，則可選擇在路由器上進行相關(guān)的設(shè)置或者購買更為強大的防火墻產(chǎn)品。對于幾乎所有的路由器產(chǎn)品而言，都可以通過內(nèi)置的防火墻防范部分的***，而硬件防火墻的應(yīng)用，可以使安全性得到進一步加強。

??????? 信息保密防范

??????? 為了保障網(wǎng)絡(luò)的安全，也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施。以Windows為例，進行用戶名登錄注冊，設(shè)置登錄密碼，設(shè)置目錄和文件訪問權(quán)限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設(shè)置用戶級訪問控制，以及通過主機訪問Internet等。同時，可以加強對數(shù)據(jù)庫信息的保密防護。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫兩種。由于文件組織形式的數(shù)據(jù)缺乏共享性，數(shù)據(jù)庫現(xiàn)已成為網(wǎng)絡(luò)存儲數(shù)據(jù)的主要形式。由于操作系統(tǒng)對數(shù)據(jù)庫沒有特殊的保密措施，而數(shù)據(jù)庫的數(shù)據(jù)以可讀的形式存儲其中，所以數(shù)據(jù)庫的保密也要采取相應(yīng)的方法。電子郵件是企業(yè)傳遞信息的主要途徑，電子郵件的傳遞應(yīng)行加密處理。針對計算機及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道，如電磁泄露、非法終端、搭線竊取、介質(zhì)的剩磁效應(yīng)等，也可以采取相應(yīng)的保密措施。

?????? 從***角度入手

???????目前，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅有很大一部分來自拒絕服務(wù)(DoS)***和計算機病毒***。為了保護網(wǎng)絡(luò)安全，也可以從這幾個方面進行。

??????? 對付“拒絕服務(wù)”***有效的方法，是只允許跟整個Web站臺有關(guān)的網(wǎng)絡(luò)流量進入，就可以預防此類的******，尤其對于ICMP封包，包括ping指令等，應(yīng)當進行阻絕處理。

??????? 通過安裝非法***偵測系統(tǒng)，可以提升防火墻的性能，達到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔截動作以及分析過濾封包和內(nèi)容的動作，當竊取者***時可以立刻有效終止服務(wù)，以便有效地預防企業(yè)機密信息被竊取。同時應(yīng)限制非法用戶對網(wǎng)絡(luò)的訪問，規(guī)定具有IP地址的工作站對本地網(wǎng)絡(luò)設(shè)備的訪問權(quán)限，以防止從外界對網(wǎng)絡(luò)設(shè)備配置的非法修改。

?????? 防范計算機病毒

??????? 從病毒發(fā)展趨勢來看，現(xiàn)在的病毒已經(jīng)由單一傳播、單種行為，變成依賴互聯(lián)網(wǎng)傳播，集電子郵件、文件傳染等多種傳播方式，融***、***等多種***手段為一身的廣義的“新病毒”。計算機病毒更多的呈現(xiàn)出如下的特點：與Internet和Intranet更加緊密地結(jié)合，利用一切可以利用的方式(如郵件、局域網(wǎng)、遠程管理、即時通信工具等)進行傳播；所有的病毒都具有混合型特征，集文件傳染、蠕蟲、***、***程序的特點于一身，破壞性大大增強；因為其擴散極快，不再追求隱藏性，而更加注重欺騙性；利用系統(tǒng)漏洞將成為病毒有力的傳播方式。

??????? 因此，在內(nèi)網(wǎng)考慮防病毒時選擇產(chǎn)品需要重點考慮以下幾點：防殺毒方式需要全面地與互聯(lián)網(wǎng)結(jié)合，不僅有傳統(tǒng)的手動查殺與文件監(jiān)控，還必須對網(wǎng)絡(luò)層、郵件客戶端進行實時監(jiān)控，防止病毒***；產(chǎn)品應(yīng)有完善的在線升級服務(wù)，使用戶隨時擁有最新的防病毒能力；對病毒經(jīng)常***的應(yīng)用程序提供重點保護；產(chǎn)品廠商應(yīng)具備快速反應(yīng)的病毒檢測網(wǎng)，在病毒爆發(fā)的第一時間即能提供解決方案；廠商能提供完整、即時的反病毒咨詢，提高用戶的反病毒意識與警覺性，盡快地讓用戶了解到新病毒的特點和解決方案。

???? 密鑰管理

????????在現(xiàn)實中，***者***Intranet目標的時候，90%會把破譯普通用戶的口令作為第一步。以Unix系統(tǒng)或Linux 系統(tǒng)為例，先用“ finger遠端主機名”找出主機上的用戶賬號，然后用字典窮舉法進行***。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。

??????? 如果這種方法不能奏效，***者就會仔細地尋找目標的薄弱環(huán)節(jié)和漏洞，伺機奪取目標中存放口令的文件 shadow或者passwd 。然后用專用的破解DES加密算法的程序來解析口令。

???????在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理，如口令的位數(shù)盡可能的要長；不要選取顯而易見的信息做口令；不要在不同系統(tǒng)上使用同一口令；輸入口令時應(yīng)在無人的情況下進行；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令；定期用破解口令程序來檢測shadow文件是否安全。沒有規(guī)律的口令具有較好的安全性。

?????? 結(jié)語

??????? 以上九個方面僅是多種保障內(nèi)網(wǎng)安全措施中的一部分，為了更好地解決內(nèi)網(wǎng)的安全問題，需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。在安全的方式上，為了應(yīng)付比以往更嚴峻的“安全”挑戰(zhàn)，安全不應(yīng)再僅僅停留于“堵”、“殺”或者“防”，應(yīng)該以動態(tài)的方式積極主動應(yīng)用來自安全的挑戰(zhàn)，因而健全的內(nèi)網(wǎng)安全管理制度及措施是保障內(nèi)網(wǎng)安全必不可少的措施。

??????? 常見的內(nèi)網(wǎng)安全管理軟件主要有北信源內(nèi)網(wǎng)安全及補丁分發(fā)管理系統(tǒng)VRVEDP（國內(nèi)高新技術(shù)企業(yè)，代碼完全自有，可以根據(jù)客戶需要進行修改），哈默瑞斯DeskMaster（國內(nèi)高新技術(shù)企業(yè)，代碼完全自由，自主開發(fā)，可以根據(jù)用戶需求進行修改和二次開發(fā)），LANDESK（國外公司），LanSecS（國內(nèi)公司（圣博潤）（其內(nèi)網(wǎng)安全產(chǎn)品在2005年被計算機報評為優(yōu)秀內(nèi)網(wǎng)安全產(chǎn)品），捷普內(nèi)網(wǎng)綜合審計監(jiān)管系統(tǒng)（國內(nèi)公司（西安交大捷普網(wǎng)絡(luò)科技有限公司）），StopHacker守護神（國內(nèi)公司（南京金稅網(wǎng)安系統(tǒng)軟件有限公司）），通軟軟件（國內(nèi)公司），“清揚”網(wǎng)絡(luò)綜合管理系統(tǒng)（北京清揚創(chuàng)新網(wǎng)絡(luò)科技有限公司）

轉(zhuǎn)載于:https://blog.51cto.com/yuntaoliu/543711

總結(jié)

以上是生活随笔為你收集整理的内网终端安全管理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。