内网安全：规划与管理并重

■

认识内网安全威胁

一个单位内网的安全威胁，除了来自外网病毒攻击、数据窃取外，主要来自单位内部的威胁，这种威胁表现在以下几个方面：一是内网网络自身可能存在的威胁，包括内网网络运行环境较差、内网网络受到病毒干扰等方面。二是内网应用系统自身可能存在的威胁，包括内部人员的疏忽和失误造成的数据丢失、信息泄露等。三是组成内网的实体自身存在的威胁，包括终端计算机自身的故障、重要网络设备的运行不稳定等因素。上面无论哪一种因素的威胁，管理员如果对它们不加以足够重视，都有可能产生不堪设想的安全后果。所以，想方设法保护单位内网安全稳定运行，已经是势在必行。

注重内网安全统一规划

内网安全的防范是一项系统性工程，从单点预防到整体预防应有尽有，不过，要是通过单点技术去预防组网复杂的内网安全威胁，或者利用常规的整体预防产品来部署单位内网的安全平台，都是不太现实的。要构建单位内网安全防护体系，一定要注重按需统一规划。

1.从实际出发规划安全体系

在规划设计单位内网组网方案时，必须从业务角度去评判单位业务系统内容与重要程度，并根据评判结果将内网安全体系，作为规划设计方案的重要组成部分之一，在初始组网时就必须同步启动安全体系建设，兼顾全局来实施组网建设和安全部署。

单位内网的安全防护体系应该包括技术、审计、流程、人等几个方面，有效地对各个方面进行平衡，同时兼顾监控、检测、管理、分析等，就能做到在安全事故发生时有的放矢。从整体规划角度来看，单位内网安全防护体系应该包含安全管理平台、安全预防系统、外网隔离模块等几部分组成，通过安全管理平台及时收集单位内网安全信息，实时定制安全管理策略，智能向安全预防系统下达操作指令，使得安全防御系统和外网隔离模块协同工作，达到网络安全动态保障效果。安全预防系统主要从技术角度，实现安全保障功能，具体应该包括监测、预防、响应等功能，不同功能之间除了要完成各自的安全防护任务外，还应该能向下收集管理下级子网安全信息，为子网安全运行带来帮助，而且该系统还应该能为安全管理平台提供相对独立的管理数据。外网隔离模块要能够实时监测外网安全状态，同时将监测结果及时反馈给安全管理平台；另外一方面，该模块还必须要智能地执行来自安全管理平台的命令，及时在内外网之间架起隔离墙，以预防内外网之间的相互入侵和攻击。总之，安全管理平台、安全预防系统、外网隔离模块这三者，每个部分的建设都要从系统安全、数据安全、网络安全角度，来综合考虑，而不应该单一、独立地进行建设、部署。“统一规划，综合考虑”将有利于更好地保证单位内网运行安全。

2.从长远出发制定安全策略

网络运行安全策略是单位内网安全的管理标准，安全策略的制定一定要从长远角度出发，并要有前瞻性，以应对网络技术日益发展需求带来的短期性影响。网络安全策略的制定也要具有动态性，以适应不断的变化。组网结构是多维的而且不断扩延的，所以安全策略的制定也不能是一次性行为，必须要动态调整，来动态适应不断变化的网络。网络安全策略的制定，还必须从管理角度和用户类别出发，按照核心管理员、普通管理员、上网用户等几个层次，进行统筹设计制定。

注重内网安全管理维护

面对网络病毒木马的入侵和复合式攻击，不少单位用户认为部署好的安全防御体系可以一劳永逸，而对日常的管理维护考虑较少，或者做得不够，从而造成了单位内网安全整体防御能力的下降。为此，我们需要加强平时的管理维护，充分发挥安全防御体系应有的作用。

1.加强后期管理维护

有一部分单位用户，在刚刚开始组建单位内部局域网以及设计网络功能时，对内网的安全防范事项是相当重视的。不过，他们在这方面的认识存在着一定的误区，片面认为前期的安全防范措施会一劳永逸，而对后期的安全管理工作缺乏追踪、分析机制，甚至根本就不闻不问。例如，在管理单位内网的文件服务器安全时，网络管理员可能在文件服务器安装、配置的时候，设计了非常安全的权限访问机制以及其他一些安全措施，但是在后期管理方面没有启用安全访问审核机制，这么一来网络管理员日后就不能准确判断之前启用的安全措施是否能够正常发挥作用，也不能分析出是否存在恶意用户攻击内网的嫌疑。在这种情况下，只有在内网发生重大安全事故的时候，网络管理员才可能发现之前安全措施的种种不足。

基于这一点，我们建议除了要做好前期的安全规划与配置外，还要对内网的安全进行后期追踪分析。一旦看到之前的安全措施无法满足单位内网日益提高的安全要求时，一定要根据实际情况进行及时完善。例如，我们要想看看是否有恶意访问Web服务器的嫌疑时，那就应该及时启用服务器的审核功能，让系统自动追踪、记录未授权用户的访问痕迹，同时要对日志数据进行认真分析，如此一来就能大概判断出是否有攻击服务器的行为了。

2.明确管理权利义务

网络管理员是决定单位内网是否安全、稳定运行的根本因素，单位需要健全内网管理机制，明确网络管理人员在日常运维工作中的权利和义务，确保有专人负责管理、维护重要网络设备。另外一方面，要定期组织相关技术人员进行一些高层次培训教育，不断提升他们的日常运维水平，保证单位发生安全问题时能快速有效应对。

3.加大管理服务投入

单位内网安全防御体系是一个复杂的系统工程，它由技术、设备、服务等若干方面组成，这就造成单位很多时候并没有足够能力自行解决内网安全问题。这就特别要求单位在内网的后期管理中，要持续加大管理服务投入，定期邀请设备厂商技术人员对内网安全风险进行分析评估，并为本单位技术人员提供针对新设备、新技术的培训，为预防突发性内网安全问题提供技术支持。同时购买更多更深层次的网络安全服务，全面提升内网安全运行可靠性。