关于内网的安全管理的方案

1 / 5 关于内网的安全管理的方案 【摘要】文章对内网安全现状问题进行分析 ,对内网安全问题的本质进行探讨以及构建构建完整的内网安全方案提出建议。 【关键词】内网；安全现状；本质探讨；安全方案 一、内网安全现状 进入 21世纪后，随着国内信息化程度的快速提高和 ERP、OA 和 CAD 等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个 单单位的生命线。而内部 信信息网络由大量的终端 、服务器和网络设备组 成成，形成了统一有机的 整整体，任何一个部分的 安安全漏洞或者问题，都 可可能引发整个网络 的瘫 痪痪。因此，加强内网的 安安全管理是企业或单位 面面临的重要课题。 二 、内网安全问题的本质 探探讨 外网对内网的安 全全威胁模型是假设内部 网网络都是安全可信的， 威威胁都来自于外部网络 ，其途径主要通过内外 网网边界出口。从本质来 说说，此类网络安全考虑 的的是防范外网对内网的 攻攻击，其安全包括传统 的的防火墙、入侵检察系 统统和 VPN都是基于这 种种思路设计和考虑的。 所所以，在外网安全的威 胁胁模型假设下，只要将 网网络边界处的安全控制 措措施做好，就可以确保 整整个网络的安全。 内 网网本身安全的威胁模型 与与外网对内网的安全威 胁胁模2 / 5 型相比，更加全面 和和细致，它即假设内网 网网络中的任何一个终端 、用户和网络都是不安 全全和不可信的，威胁既 可可能来自外网，也可能 来来自内网的任何一个节 点点上。所以，在内网安 全全的威胁模型下，需要 对对内部网络中所有组成 节节点和参与者的细致管 理理，实现一个可管理、 可可控制和可信任的内网 。 三、构建完整的内 网网安全方案 (一 )访 问问控制 访问控制可以 通通过如下几个方面来实 现现：建立健全的内部规 章章制度，并严格执行， 加加强安全意识。制度及 措措施是保证内网安全的 最最主要的措施。任何技 术术都无法保障信息完全 的的安全 ，因此企业首先 需需要建立完善的内部安 全全管理制度，然后通过 先先进的技术手段，有效 的的实施并执行制度，从 而而达到真正意义的安全 。常言道“三分技术， 七七分管理”就是这个道 理理。采用各种安全技术 ，配备相应的安全设备 ，构筑防御系统。在内 部部网与外部网之间，设 置置防火墙实现内外网的 隔隔离与访问控制是保护 内内部网安全的最主要、 同同时也是最有效、最经 济济的措施之一。防火墙 设设置在不同网络或网络 安安全域之间信息的唯一 出出入口。防火墙具有以 下下五大基本功能：过滤 进进、出网络的数据；管 理理进、出网络的访问行 为为；封堵某些 禁止的业 务务；记录通过防火墙的 信信息内容和活动；对网 络络攻击的检测和告警。 3 / 5 内部网不同网络安全 域域的隔离 在这里，主 要要利用 VLAN技术来 实实现对内部子网的物理 隔隔离。通过在交换机上 划划分 VLAN 可以将整 个个网络划分为几个不同 的的广播域，实现内部一 个个网段与另一个网段的 物物理隔离。这样，就能 防防止影响一个网段的问 题题穿过整个网络传播。 针针对某些网络，在某些 情情况下，它的一些局域 网网的某个网段比另一个 网网段更受信任，或者某 个个网段比另一个更敏感 。通过将信任网段与不 信信任网段划分在不同的 VVLAN 段内，就可以 限限制局部网络安全问题 对对全局网络造成的影响 。 网络安全检测 网络系统的安全性取 决决于网络系统中最薄弱 的的环节。如何及时发现 网网络系统中最薄弱的环 节节？如何最大限度地保 证证网络系统的安全？最 有有效的方法是定期对网 络络系统进行安全性分析 ，及时发现并修正存在 的的弱点和漏洞。网络安 全全检测工具就具有解决 此此类问题的能力。网络 安安全检测工具通常是一 个个网络安全性评估分析 软软件，其功能是用实践 性性的方法扫描分析网络 系系统，检查报告系统存 在在的弱点和漏洞，建议 补补救措施和安全策略， 达达到增强网络安全性的 目目的。 审计与监控 审计是记录用户使用 计计算机网络系统进行所 有有活动的4 / 5 过程，它是提 高高安全性的重要工具。 它它不仅能够识别谁访问 了了系统，还能看出系统 正正被怎样地使用。对于 确确定是否有网络攻击的 情情况，审计信息对于去 定定问题和攻击源很重要 。同时，系统事件的记 录录能够更迅速和系统地 识识别问题，并且它是后 面面阶段事故处理的重要 依依据。另外，通过对安 全全事件的不断收集与积 累累并且加以分析，有选 择择性地对其中的某些站 点点或用户进行审计跟踪 ，以便对发现或可能产 生生的破坏性行为提供有 力力的证据。 网络防 病病毒与 网络备份系统 由于在网络环境下，计 算算机病毒有不可估量的 威威胁性和破坏力，一次 计计算机病毒的防范是网 络络安全性建设中重要的 一一环。网络反病毒技术 包包括预防病毒、检测病 毒毒和消毒三种技术：预 防防病毒技术：它通过自 身身常驻系统内存，优先 获获得系统的控制权，监 视视和判断系统中是否有 病病毒存在，进而阻止计 算算机病毒进入计算机系 统统和对系统进行破坏。 这这类技术有，加密可执 行行程序、引导区保护、 系系统监控与读写控制。 检检测病毒技术：它是通 过过对计算机病毒的特征 来来进行判断的技术，如 自自身校验、关键字、文 件件长度的变化 等。清除 病病毒技术：它通过对计 算算机病毒的分析，开发 出出具有删除病毒程序并 恢恢复原文件的软件。备 份份系统为一个目的而存 在在：尽可能快地全盘恢 复复运行计算机系统所需 的的数据和系统信息。根 据据系统安全需求可选择 的的备份机制有：场点内 高高速度、大容5 / 5 量自动的 数数据存储、备份与恢复 ；场点外的数据存储、 备备份与恢复；对系统设 备备的备份。备份不仅在 网网络系统硬件故障或人 为为失误时起到保护作用 ，也在入侵者非授权访 问问或对网络攻击及破坏 数数据完整性时起到保护 作作用，同时亦是系统灾 难难恢复的前提之一。 系统安全说与应用安 全 系统的安全主要是指操 作作系统、应用系统的安 全全性以及网络硬件平台 的的可靠性。对于操作系 统统的安全防范可以采取 如如下策略：对操作系统 进进行安全配置，提高系 统统的安全性；系统内部 调调用不对 Interneet 公开；关键性信息 不不直接公开，尽可能采 用用安全性高的操作系统 。在应用安全上，主要 考考虑通信的授权，传输 的的加密和审计记录。这 必必须加强登录过程的认 证证，确保用户的合法性 ；其次应该严格限制登 录录者的操作权限，将其 完完成的操作限制在最小 的的范围内。另外，在加 强强主机的管理上