企业内网安全

1、内网安全需求分析及解决方法研究内网安全需求分析及解决方法研究 目录目录 1.内网安全概述内网安全概述.5 1.1.内网安全研究意义.5 1.2.内网安全概述.5 1.3.内网安全问题威胁形式.6 1.4.内网安全目标及策略.7 2.内网安全风险评估内网安全风险评估.8 2.1.信息安全风险管理.9 2.2.传统的分析方法.9 2.2.1.FTA.9 2.2.2.FMECA.10 2.2.3.HazOp.11 2.2.4.Markov.11 2.3.传统方法在信息安全风险中的应用.12 3.内网系统安全内网系统安全.12 3.1.内部安全管理需求.12 3.2.信息泄密途径和方法分析.13 3.

2、3.内网信息防泄漏系统功能设计.14 3.4.敏感信息泄漏防护.14 3.5.文件安全服务.16 3.6.系统运行状况监控和管理.17 3.7.系统资源管理.17 3.8.系统日志分析.17 3.9.策略管理.18 4.内网应用安全内网应用安全.19 4.1.内网身份认证.19 4.2.数字证书的概念.19 4.3.数字证书需求分析.19 4.4.功能组成结构.20 4.5.数字证书基础设施的建立.21 4.6.统一授权管理.21 4.6.1.授权模型.22 4.6.2.权限控制逻辑结构.23 4.6.3.集中授权管理.25 .授权存在的问题.25 .基于角色的授权

3、管理模式.26 .授权管理策略设计.27 .用户定义策略.28 .资源定义策略.29 .权限定义策略.30 .角色定义策略.31 .基于 ACL 的访问控制.32 .系统使用流程描述.32 4.7.安全中间件平台.32 4.7.1.安全中间件平台建设的必要性.33 4.7.2.安全中间件平台逻辑结构.33 4.7.3.安全数据交换平台.34 4.7.4.组件化安全服务.36 4.8.安全监控.37 4.8.1.监控功能.37 4.8.2.终端监控代理防卸载.38 4.8.3.离线状态下对设备禁用的

4、有效性.39 4.8.4.对打印文件的监控.39 4.8.5.对非法外联的监控.39 4.8.6.网络拓扑图绘制.40 4.8.7.新设备的监控.40 4.8.8.网络管理.40 4.8.9.策略定制.40 4.8.10.日志审计与查询.41 4.8.11.违规操作报警.41 4.8.12.网络主机接入发现.41 4.9.电子文档安全.42 4.9.1.结构和功能.42 .硬件结构.42 .软件结构.44 .系统功能.45 4.9.2.文件保护系统.47 .系统控制中心.48 .文件制作分发.50 .文件下载阅

5、读.51 .加密通讯.52 .文件加解密.52 4.10.安全终端.52 4.10.1.安全登录控制.53 4.10.2.安全虚拟磁盘.54 4.10.3.数据安全防火墙.54 结束语结束语:.57 参考文献：参考文献： .58 摘要摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信 息安全管理体系已成为目前安全建设的首要任务。内网安全是网络信息安全研 究的热点。本文对内网安全在理念、理论、思路、技术、实现、应用等方面进 行综合研究。 关键词关键词：信息安全风险评估、操作系统加固、电子文档安全、内网应用安全， 集中授权、统一身份认证、监控。 1.

6、内网安全概述内网安全概述 . 内网安全研究意义内网安全研究意义 随着网络技术的发展和网上各种应用的不断丰富，网络安全问题日益成为 人们关注的焦点。人们在网络安全部署策略中更多地注重网络边界的安全，如 将内外网物理隔离、采用防火墙、入侵检测系统等，但据统计超过 50%的网络 及信息安全问题源于内部人员所为，其次才是外部黑客的攻击。由于内网是一 个由网络设备与信息系统组成的复杂环境，连接便捷、应用系统多、重要数据 多是其显著特点,如果疏于对内网的安全防范,那么就极易出现应用系统被非法使 用、数据被窃取和被破坏等情况，因此内网安全系统建设、有效防范源自内部 的安全问题，其意义较之于外网

7、安全防范更为重大。 . 内网安全概述内网安全概述 内网即 Intranet，是相对于外网 Extranet 而言的。广义的讲，是所有党政机 关、企事业单位的内部网络都称为内网。狭义的讲，对于我国电子政务建设， 中办发号文件中电子政务内网的定义为：主要是副省级以上政务部门的办公网， 与副省级以下政务部门的办公网物理隔离，也与政务外网和互联网物理隔离。 随着信息化的不断推进，信息安全将面临更多的挑战，加强信息安全保障 工作刻不容缓。据国际权威机构提供的统计数据，在众多的攻击行为和事件中， 最主要的、最多的安全事件是信息泄漏事件；攻击者主要来自企业单位内部， 而不是来自外部的黑客等攻击

8、者；安全事件造成的经济损失最大的，也是最主 要的是内部人员有意或无意的信息泄漏事件造成的经济损失。在美国，据 FBI 调查结果：2002 年各种安全漏洞造成的损失中，30%-40%是由电子文件的泄露 造成的；而 Fortune 排名前 1000 家的公司中，每次电子文件泄露所造成的损失 平均是美元。 当前各个企业单位建设网络越来越多，一般情况，内网与外网是物理隔离 的，根据国信办的要求，副省级以上单位的内网需与外网物理隔离，副省级以 下单位可以实现逻辑隔。但是随前信息化发展，随着医疗卫生事业发展，社保、 医保、商业医疗保险、公共卫生信息化发展以及医疗机构自身发展，各企业单 位内部网络不得不与其

9、他外部网络进行数据交换，内部网与外部网络的数据交 换可以通过隔离网闸进行，来保证数据安全。通常各种病毒、系统陷井、隐蔽 的访问通道、黑客攻击、WEB 站点瘫痪等问题，通过在网络的边缘设置防火墙、 入侵检测系统、防病毒系统等构网安全体系架构，将非法入侵者拒之门外，检 测恶意的可执行的程序和阻绝网络的滥用。但是对于内部信息的保密安全管理 无任何作用。对于一个机构来说，通常的人为控制、教育加监督的安全管理方 式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密，如利 用 Email、FTP、笔记本、光盘、可移动硬盘、打印机等，这都是安全管理人员 必须考虑的问题。 . 内网安全

10、问题威胁形式内网安全问题威胁形式 许多企业，例如会计事务所、学校、政府、金融机构、高科技研究所等企 事业单位，经常利用网络来提高业务效率。但同时使用者能很轻松地把企业的 许多重要信息流通到网络外部，从而使企业重要的知识财产受到严重损害。通 过 Internet 泄密，在我国已经有很多的泄密案例，有资料表明，目前超过 70% 的互联网泄密事件是通过内部有意或无意的信息泄漏造成的。这些机密数据和 文件的外泄，造成的影响和危害非常严重，特别是对于一些要害部门如政府机 关、军队、金融、电信、电力等部门，其造成的危害往往还涉及到国家的利益。 这些企业和单位应该尽早采取一些内网安全措施，对网络中所有计算机

11、用 户的行为进行监视，发现并制止其不该有的行为，同时限制所有计算机的使用 范围和输出渠道，防止机密信息的泄露。对于各机器硬件设备和软件系统的变 动也能及时发现，帮助系统管理人员发现异常的现象，保证信息系统资源的不 被非法的占有、破坏和利用。 在大量安全事件中,最为严重的是内部员工直接造成或参与非法信息外泄事 件,并且在内部员工对于内部的组织结构、人员部署、机构设置相对于外部人员 要熟悉的多，因此，内部员工造成致使的信息外泄事件往往情节严重，并且损 失巨大。一般情况下，内网安全隐患主要表现以下几个方面： （一）计算机工作人员由于对专业知识不熟悉而泄密。对电子信息保密的意 识还不强，常常由于专业知

12、识不熟悉而泄密。如有些人由于不知道计算机的电 磁波辐射会泄露信息，计算机工作时未采取任何措施，因而给他人提供窃密的 机会；有些人由于不知道计算机软盘上的剩滋可以提取还原，将曾经存贮过秘 密信息的软盘交流出去，因而造成泄密；有此有因事离机时没有及时关机，或 者没有采取屏幕保加密措施使各种输入信息、输出信息暴露在界面上。 （二）单位内部计算机分散，无法达到可控管理。一般医疗卫生单位的计算 机一般都有达到 100 多台以上，这些分散的计算机，对信息、网络管理部门很 难做到一种可控管理。如有些人，私自用拨号上互联网，将整个网络暴露互联 网；有些人私自安装一些软件导致原有应用系统崩溃，或者系统不能正常运

13、行。 （三）无法有效对移动设备的管理。由于计算机技术飞速发展，各种计算 机移动设备层出不穷，如 U 盘、移动硬盘、手提电脑、PDA、手机、打印机等， 都很容易接入各自使用的计算机，一是可能将病毒带入内部网络，二是利用这 些移动存贮设备下载一些系统信息、一些工作资料，导致无意中信息泄露。特 别是医院 HIS 系统中，虽然没有涉及到有关国家安全的秘密资料，但是存大量 的资料如：病人个人资料、各种用药信息等都是需要保密的。如果管理不善， 导致信息资料泄露，造成后果可想而知的。 （四）内网发起攻击，故意泄密。由于电子信息文档不象传统文档那样直 观，极其容易复制，且不会留下痕迹，所以窃取信息很容易。内部

14、工作人员徇 私枉法，受亲朋好友委托，通过正常的身份验证和密码欺骗技术，从网络和计 算机查询有关信息资料（如个人资料档案、涉密信息等） 。 . 内网安全目标及策略内网安全目标及策略 在内网建设时，要根据实际情况，为单位内部信息规划一个安全目标，在 最小安全投资前提下，最大限度的管理单位信息网络内部信息的安全。一个单 位信息安全的目标是：通过安全工程的实施，建立完整的单位信息系统的安全 防护体系，在安全法律、法规、政策的支持下，通过制定客户化安全策略，采 用合适的安全技术和进行制度化安全管理，从安全策略、安全域、安全系统、 分全管理多个层次、多个角度构建单位内部信息安全保障技术框架，

15、实现内部 网络的失、泄密管理，阻止单位内部用户通过各种方式泄露敏感信息，并对计 算机合进管理，保障内部网络稳定可靠运行，确保内部信息与网络资源受控合 法使用，确保内部重要信息的安全与保密。 内网安全策略是实现内网安全管理的基础，内网安全策略是信息系统安全 建设的指导原则、配置规则和检查依据，同时规划的安全策略是动动态的，是 可扩展的，可根据时间的推移和内部安全需求的变化而进行调整。内网安全策 略主要分为以下几种： 1个人计算机资源的审计和保护。主要是对个人计算机资源进行收集所有 相关信息资源，对不同的个人计算机资源制定不同的保护用段和管理制度。 2在线信息保护。根据内部网实际情况，并结合相关的

16、法律政策、内部管 理制度，定义各种信息的重要性，区分不同信息的重要程度，并制定不同的保 护方案和访问控制规则，同时要保证内部网络最大化的合理利用。 3离线信息保护。根据内部信息系统实际情况，并结合单位内部的管理制 度，对可以通过离线方式（移动设备、打印设备等）进行传递的重要信息进行 保护，通过定义重要信息以及信息的密级程度后，对离线信息传递设备、方式 进行统一规划和控制。 2. 内网安全风险评估内网安全风险评估 最初风险管理的概念是指企业为了应对来自社会经济生活各个方面的不确 定性，以及企业自身经营活动带来的动态风险的手段。目前，风险管理的研究 对象可以从广义和狭义两方面界定：从广义上讲，风险

17、管理是研究人类社会活 动中的种种不确定性；从狭义上说，风险管理则是研究造成人类生命和财产损 害的不确定性。风险管理的概念已经存在了很长的时间，在很多传统行业，形 成了多种风险分析方法。如上世纪 50 年代应用于飞机制造业的失效模式及效果 /危害程度分析方法（FMEA&FMECA） ，上世纪 70 年代应用于化工行业的危害 及可操作性研究分析方法（HazOp） ，Markov 分析法和故障树分析法（FTA） 等。 随着信息技术的发展，信息安全风险分析方法也逐渐发展起来。最早发表 的信息安全风险分析方法是由 1979 年美国标准局发布了 FIPS 65，自动的数据 处理风险分析指南。该指南基于年损

18、失率 ALE 为大型数据处理中心提出了风险 评估标准，在上世纪 80 年代末到 90 年代初，市场上开发了很多与基于该指南 的商业工具， 如Risk，BDSS，及 Buddy 等。由于 ALE 风险分析方法过于侧 重细节而影响了其可行性，导致该方面没有获得广泛应用。整个上世纪 90 年代， 对于信息安全风险分析方法的研究并没有取得实质进展，更多的研究侧重于风 险评估的流程研究，所采取的方法大多是调查问卷方式，如 OCTACVE。 本文根据信息安全风险管理的特征，在分析各种传统风险分析方法有缺点 的基础上，提出了一种在信息安全风险管理过程中组合采用传统风险分析方法 的思路。 . 信

19、息安全风险管理信息安全风险管理 信息 系统安全风险管理过程包括五个子过程：系统特征识别、风险识别、 风险分析、风险评估、风险处理。系统特征识别子过程包括识别系统风险评估 边界，组织机构，系统网络结构、业务流程等信息，该子过程同时还包括制定 风险评估准则，定义系统与环境之间的关系确定组织内与信息安全相关的干系 人等任务。风险识别子过程就是确定目标信息系统中关键资产面临的威胁，并 且分析脆弱性，将威胁和脆弱性进行组合，产生信息安全事件（风险）列表。 风险评估子过程则对上一个子过程所产生的信息安全事件（风险）具体分析其 发生的频率和后果，依据频率和后果排列风险的优先级，即风险的大小。

20、. 传统的分析方法传统的分析方法 本节依次介绍故障树分析法（FTA） ，失效模式及效果/危害程度分析方法 （FMECA） ，危害及可操作性研究分析方法（HazOp）和 Markov 分析法。 2.2.1. FTA 故障树最初是 20 世纪 60 年代为便于 Minuteman 火箭系统的分析而提出的， 后来这种方法在航天工业、电子设备、化学工业、机械制造、核工业及一般电 站的可靠性分析中得到了广泛应用，并且取得了不少成果。目前它主要用于分 析大型复杂系统的可靠性及安全性， 被公认为是对复杂系统可靠性、安全性进 行分析的一种有效的方法。 故障树分析是一种 top-down 方法，通过对可能造成系

21、统故障的硬件、软件、 环境、人为因素进行分析，画出故障原因的各种可能组合方式和/或其发生概率， ，由总体至部分，按树状结构，逐层细化的一种分析方法。故障树分析采用树 形图的形式，把系统的故障与组成系统的部件的故障有机地联系在一起。故障 树分析首先以系统不希望发生的事件作为目标（称顶事件） ，然后，按照演绎分 析的原则，从顶事件逐级向下分析各自的直接原因事件（称基本事件） ，根据彼 此间的逻辑关系，用逻辑门符号连接上下事件，直至所要求的分析深度。所以 执行故障树分析，首先需要故障树建模。故障树建模，就是寻找所研究系统故 障和导致系统故障的诸因素之间逻辑关系，并且用故障树的图形符号（事件符 号与逻

22、辑门符号） ，抽象表示实际系统故障组合和传递的逻辑关系。在故障树模 型构造完成之后，为了准确计算顶事件发生的概率，需要简化故障树，消除多 余事件，特别是在故障树的不同位置存在同一基本事件时，必须利用布尔代数 描述并进行整理，然后才能计算顶上事件的发生概率，否则就会造成定性分析 或定量分析的错误。 2.2.2. FMECA FMECA（故障模式影响及危害性分析）由两部分工作构成，即故障模式影响 分析（Failure Mode and Effects AnalysisFMEA）和危害性分析 （Criticality AnalysisCA） 。FMECA（Failure Mode Effects a

23、nd Criticality Analysis）是一种可靠性、安全性、维修性、保障性分析与设计 技术，用来分析、审查系统及其设备的潜在故障模式，确定其对系统和设备工 作能力的影响，从而发现设计中潜在的薄弱环节，提出可能采取的预防改进措 施，以消除或减少故障发生的可能性，提高系统和设备的可靠性、安全性、维 修性、保障性水平。 FMECA 是一种 bottom-up 分析方法，按规定的规则记录产品设计中所有可能 的故障模式，分析每种故障模式对系统的工作及状态（包括整体完好、任务成 功、维修保障、系统安全等）的影响并确定单点故障，将每种故障模式按其影 响的严重度及发生概率排序，从而发现设计中潜在的薄

24、弱环节，提出可能采取 的预防改进措施（包括设计、工艺或管理） ，以消除或减少故障发生的可能性， 保证系统的可靠性。 2.2.3. HazOp HazOp 是 Hazard and operability study 的简称，即危害及可操作性研究。 HazOp 分析是由专家组来进行的，它是一种系统潜在危害的结构化检查方法。 专家们通过脑风暴会议方式，确定系统所有可能偏离正常设计的异常运行问题， 并分析这种偏离正常运行的原因、可能性和可能造成的后果及后果的严重性等。 而这种偏差是通过将一系列标准的引导词(guidewords)应用到正常的系统设计 之上而产生，因此只要分析出造成偏差的原因，采取适当

25、的措施防止偏差的产 生就可以防止系统的失效以及进一步可能引起的后果和危害。HazOp 是一个定 性的标准危害分析技术，可用于一个新的系统或已有系统在更改后的初步安全 风险评估。HazOp 分析方法的主要目标是识别出存在的问题，而不是解决问题。 其生成结果是一个可能危害的列表。对每个危害，需要对可能的原因及后果进 行进一步地评估。 2.2.4. Markov 有两个基本的 Markov 分析方法：Markov 链和 Markov 过程。Markov 链是一 个随机变量的序列，将来的随机变量只决定于当前的随机变量，但与当前随机 变量之前的随机变量无关。这与其他随机事件是不相同的，因为很多随机事件

26、将来的事件发生是要受到以前发生事件的影响的，它们前后存在着较大的相关 性，不是相互独立的。Markov 链可以是齐次的，也可以是非齐次的。齐次的 Markov 链的特征是状态间的转移率是常量，而非齐次 Markov 链的特征则相反， 状态间的转移率是变量，是时间的函数。 Markov 模型根据系统的初始配置状态，估计从一个已知状态转移到下一逻 辑状态的概率，直到系统到达一个最终或完全失效的状态。Markov 过程的一个 基本假设是在每个状态，系统的行为是不会被记忆的。Markov 过程完全由其转 移概率矩阵所确定。一个无记忆系统的特征就是系统的将来状态只取决于其当 前状态，而与过去无关。一个稳

27、态系统就是其状态转移概率不随时间变化而改 变的系统，即无论何时，系统的 A 状态转移到 B 状态的转移概率都是一个常量。 模型的状态是由系统组件失效所定义的，状态间的转移概率是各个系统组件失 效率的函数。Markov 状态转移过程可使用差分方程来表示，差分方程的阶数等 于模型中状态的数目。 . 传统方法在信息安全风险中的应用传统方法在信息安全风险中的应用 从上节对于几种传统风险分析方法的介绍，可以发现各种方法各有特点，均 可以在风险管理过程的不同阶段发挥作用。 将上述各种风险分析方法进行比较，它们的特点可以归纳如下： 失效模式与效应/后果分析方法(FMECA - Failure

28、Mode and Effect Analysis) 是从危害的原因出发进行分析，直到最终的后果及严重程度为止。 而故障树分析方法(FTA - Fault Tree Analysis)是从危害造成的后果逆向进行 分析，追溯到造成危害的原因，从而导出相应的防范措施。 HAZOP 分析方法则是从中间(危害)开始，既逆向追溯分析危害的原因，同时正 向分析危害可能造成的后果。 Markov 分析法是一种定量分析方法，与 FTA 和 FMECA 组合使用，可以分析 各类风险事件的概率。 3. 内网系统安全内网系统安全 内网系统安全包括容灾备份、操作系统加固、主机入侵检测系统（HIDS） 、 网络入侵检测系

29、统（NIDS） 、漏洞扫描和系统防毒。 . 内部安全管理需求内部安全管理需求 失泄密安全问题的出现，绝大多数在于内部人员。存在保密需求的单位急 需成熟的技术手段解决日益增长的内部人员的有意识或无意识的失窃密事件的 发生，需要解决如下问题： 1.如何有效控制内部人员网络化失泄密； 2.如何有效控制内部人员存储媒体/介质失泄密； 3.对已经造成是泄密的事件如何进行取证（追溯性） ； 4.如何对敏感文件进行访问控制（读、写、打印、传递等） ； 5.如何有效控制内部人员间的文件来往； 6.如何有效管理大量的内部人员的桌面计算机； 7.如何控制桌面计算机系统安装和启动哪些硬件； 8.如何控

30、制桌面计算机系统安装和执行哪些软件； 9.如何保证不该带回家的移动计算机不被带回家； 10. 如何有效监控内部人员目前的工作状况。 . 信息泄密途径和方法分析信息泄密途径和方法分析 内部人员泄露信息有两个主要途径，一是计算机网络化造成的失、泄密， 二是计算机系统的外部设备泄密。 在计算机网络结构中，数据是共享的，主机与用户之间、用户与用户之间 通过线路联络，而且目前系统中安装了大量的网络应用系统，这些为通信提供 了便利条件。同时，一方面给内部人员制造了信息泄密的机会；另一方面也为 外部黑客提供了攻击的基本条件，黑客可以通过利用网络安全中存在的问题进 行网络攻击，进入联网的信息系统

31、进行窃密。 此外，内部人员在应用互联网服务，如网站访问、邮件系统、FTP 远程访 问和登录也可能有意无意地将企业内部敏感信息传送到外部造成失、泄密。计 算机系统的外部设备泄密是信息泄露事件发生的又一重要根源。如今越来越多 的敏感信息、秘密数据和档案资料被存贮在计算机里，大量的秘密文件和资料 变为磁性介质、光学介质，存贮在无保护的介质里，媒体（外设）的泄密隐患 相当大。如内部人员非法拷贝敏感信息和涉密信息到磁盘、光盘，ZIP 盘，U 盘或其他介质中；在对磁盘的报废时，存贮过秘密信息的磁盘，操作人员认为 已经清除了信息，而给其他人使用；计算机出故障时，存有秘密信息的硬盘不 经处理或无人监督就带出修

32、理，或修理时没有懂技术的人员在场监督，而造成 泄密；媒体管理不规范，将秘密信息和非秘密信息放在同一媒体上，明密不分， 磁盘不标密级，不按有关规定管理保存秘密信息的媒体甚至导致失窃，这些行 为都容易造成严重的后果和不可弥补的损失。 . 内网信息防泄漏系统功能设计内网信息防泄漏系统功能设计 内网信息防泄漏系统功能从整体上分为 8 大部分：敏感信息泄漏防护、文 件安全服务、系统运行状况监控、系统资源管理、增强身份认证、系统日志分 析、策略管理以及综合审计分析。该系统以信息安全技术为核心，安全服务平 台为基础，多重防御体系结构。 . 敏感信息泄漏防护敏感信息泄漏防护 1)网

33、络化失泄密保护网络化失泄密保护 网络信息防泄密是通过必要得技术手段，防止机密的信息通过各种网络应 用泄漏出去，以进一步满足企业内部信息管理得需求，网络信息防泄密管理主 要包括： 网络层控制：IP 地址管理 传输层控制：TCP/UDP 及其任意端口管理 网络层和传输层组合控制：结合 IP 地址和端口进行管理 应用层控制：HTTP 控制策略、SMTP-Mail 邮件配置管理、Web-Mail 邮件配置管理、FTP 文件传输配置管理、PSTN（通过 Modem）配置管 理、各类即时通讯程序管理（如 QQ、MSN 等） 、基于 NETBIOS 文件 共享配置管理、远程登录（TELNET）配置管理等。 网络服务器访问的认证 关键信息传输的加密保护 基于资源的访问控制（角色） 访问控制方式： 禁止 开发 条件禁止 条件开放 不论处在哪种访问控制方式