局域網技術從真正實現商用的第一天起，就一直采用一種以開放和共享資源為主的模式。在追求較高便利性的同時，安全性必然會受到一定的影響，這也是內網安全問題自始難以解決的最重要內因。 

管理上的細度和深入程度，往往決定了一套內網安全體系最終的層次。而往往那些層次較高的解決方案，在管理和應用上反而更加簡單。眾所周知，一個使用起來復雜的安全工具往往會因為誤用而帶來更多的安全問題。真正理想化的內網安全狀態，應該是通過對管理的精益化，而將本就繁復的內網安全問題簡單化。

文/河南信陽供電公司  黃文  張昕楠

就各種公布的調查數據來看，即使在最樂觀的情況下，內網安全問題所造成的損失也超過了外網安全問題。將近四分之三的安全問題是由組織內部原因引起的，這其中主要包括了對企業信息設施的非授權訪問和電子文檔的泄漏。

這種情況一方面反應了部署在內網、外網邊界的安全防護措施確實阻斷了大量的外部攻擊，而從另一方面也不難得出這樣的結論，內網安全在時下已經成為信息安全領域最重要也是最難解決的課題。

當各個組織都在對游弋于互聯網空間的黑客們百般擔憂恐懼之時，殊不知正是那些被信任的人們，因為自身的失誤甚至是物質誘惑，為攻擊者們打開了方便之門。從流行的網絡安全問題及其攻擊手段也可以看出，利用內網安全問題已經成為主流趨勢。

知名的特洛伊木馬程序幾乎都內置了感染內網計算機之后再向外網發起反彈式連接的機制，這對于那些允許員工相對自由接入互聯網的組織來說，堪稱百試不爽。而更是有大量疏于防范的內網計算機被攻擊者占領，被用作實施拒絕服務攻擊等大規模迫害行為之用。

內網安全問題所具有的普遍性和嚴重性，使得我們無法再停留在重視內網安全問題的層面上，而必須要對其有徹底而清醒的認識，這樣才能進一步對問題進行妥善的解決。

內網安全問題上的一個謬誤是，人們經常無法正確區分內網安全所涉及的范圍。例如，經常有人會將內網安全和終端安全等概念等同視之，事實上內網安全和終端安全還是有著比較明顯的區別的。一般來說，終端是指內網中的服務器、客戶端、網絡設備等節點。這些節點雖然代表了內網安全防護的主要目標，但是絕不是內網安全的全部。

從比較廣泛的認識來看，內網是指與互聯網相連但是中間有安全隔離設備的局域網絡。內網安全應該涵蓋了整個組織內部的信息安全問題，終端安全是內網安全的有機組成部分，過分地強調終端安全或者其它某一個領域的內網安全問題，是欠缺全面性的。

這個謬誤往往造成內網安全的一個最重要問題，就是安全防護不成體系，各個安全防護點、防護措施之間整合度不夠，無法良好地協同。對于一個完善的內網安全防護體系來說，不單單只要強化每個終端節點的安全性，還要監控在內網中傳輸的網絡流量、確認數據存取是否符合權限規定、處理硬件和軟件環境的變更等，工作內容甚是繁雜。

而且，隨著信息安全意識的進步，企業的關注點已經不再局限于對信息節點進行單純的監控管理，同時也考慮到應用效率和管理效率等更多的因素。也就是說，用戶對于內網安全的認識正在變得更加健全和健康，也更加的全面。這就對內網安全技術和產品提出了很多新的要求，就像UTM類型的整合式安全設備正在越來越獲得認可一樣，在內網安全領域整合式的產品服務無疑也將會受到用戶的歡迎。

正如鼎普科技的技術總監王海洋女士所言：“我們不光提供產品，我們要提供的是一整套解決方案，包括介質的使用管理、終端的非法外聯管理、補丁的增發等等”。所謂三流的公司賣產品，二流的公司賣服務，一流的公司賣標準，只有體系健全、技術規范、需求把握準確的產品才能真正提升用戶的內網安全防護質量。

另外一個必須引起重視的問題，還是信息安全領域的老生常談，那就是管理層面的問題。這不僅僅是指管理層提供的重視和支持，也不完全是管理制度的重要性，而更多的表現于內網安全體系所具備的管理職能乃至管理“智能”。以實際的例子來說，很多內網安全產品確實具有很多的功能組件，但是對于不同的用戶，安全需求往往是不同的。

相比來說，一個能夠靈活根據不同用戶需求進行功能定制和管理的產品，無疑能爆發出更大的安全效能。又比如內網安全常見的端口管理，一些產品只能做到限制USB、網絡等端口的訪問，而一些先進的產品則還可以實現對這些端口使用狀態的監控并實時地返回告警信息。

一、技術篇：內網安全問題尋求技術良方

引言：對于關注內網安全的人們來說，他們或者是要親身處理組織中的內網安全問題，或者是每天都在受到內網安全問題的困擾。正所謂“工欲善其事，必先利其器”，在本篇內容中將以更加貼近一線戰場的視角為眾位讀者分析內網安全領域各種常見問題和相關處理方法。

在真實的世界里，確實有很多因技術因素而造成的內網安全困局，其中最重要的就是混雜平臺問題。即使在一些小企業當中，也可能存在著超過一種以上的操作系統環境。比如那些需要Windows操作系統處理日常辦公業務，同時又需要iMac進行設計工作的廣告公司。而一些組織雖然只使用一個廠商提供的操作系統，由于計算機硬件配置參差不齊，很難保證使用相同版本的操作系統。

就我們所見的一個酒店客戶來說，Novell的服務器系統是經常用來支撐酒店業務軟件運行的，而相匹配的終端甚至包括了遺留的DOS系統。通常文件服務和Web服務的控制要由Windows 2003 Server或更高版本的服務器操作系統來完成，而辦公區域則混合著從Windows 98到Windows XP等不同版本的桌面操作系統。

最直接的一點，由于混雜的操作系統種類，該酒店的管理員在處理防病毒、補丁更新、數據備份乃至各種內部應用服務的時候，都需要為這種情況付出大量的額外努力。

而在設備管理和跟蹤的過程中，也經常會出現一些死角，導致偶有未被登錄在案的計算機節點在網絡中工作而卻茫然不知?？梢哉f，投入到信息安全的成本有很大一部分都因為混雜平臺問題而被浪費掉了，這導致的最直接結果就是沒有更多的資源來真正提升內網安全防護的質量，從而形成了一個內網安全泥潭。

在看到羅列與此的這些問題時，安全管理員一定會有似曾相識的感覺。這個列表中的問題都相當常見而且流行，可以作為內網安全的優先關注點，也可以作為在選擇內網安全工具和技術解決方案時的映射目標，最重要的是我們需要正確地認識使用哪些技術可以有效地處理這些問題。

目前，國內也有很多CIO選擇TIPS安全防護平臺，對內網進行有效管理。通過建立四級的防護體系：首先就是以硬件級防護為基礎，建立可信可控的信息系統；其次，建立四級可信認證機制的縱深防御體系；接著是實現身份鑒別、介質管理、數據保護、安全審計、實時監控等一系列基本防護要求；最后，安全性、管理性并重，系統既突出安全性，更注重可管理性

系統安全補丁自動分發

很多管理員都知道微軟提供了應用于企業內部網絡的產品補丁更新解決方案，但是卻不見得都部署和使用過這種方式的更新，畢竟接入互聯網下載安全更新實在是太方便了。然而，在現實的應用環境中，并不是所有時候都可以簡單地讓所有終端計算機都不受控制地接入互聯網。

Windows服務器更新服務(WSUS)是相對常用的補丁更新工具，運行于服務器操作系統上，能夠向各種版本的、包含更新代理機制的桌面Windows操作系統傳遞和部署更新文件。而對于需要重啟控制、計劃安排、更新清單和更豐富管理界面的用戶來說，付費的系統管理服務器(SMS)將是一個不錯的選擇。

不過，在遇到混雜平臺環境時，微軟的產品就無法滿足需要了，企業可能需要求助于CA的Unicenter這樣的第三方商業產品來管理各種不同操作系統的補丁更新。對于Linux等非微軟操作系統來說，對面向企業應用環境的更新分發工具的需要似乎還沒有那么迫切，不過隨著這些操作系統使用比例的提高，也是該重視起來的時候了。

加密電子文檔同時不影響正常使用

對于數據安全來說，根據數據所對應的安全等級進行適當的加密保護是最基本的手段之一。就那些相對公開化的業務應用來說，基于公鑰加密和證書認證等手段的體系是相對比較成熟和流行的，而PKI則是其中最典型的代表。一般常用的CA體系架構相對簡便，也具有絕大多數用戶所需的功能。

從存儲數據的各個計算機節點來說，現在有大量免費的加密工具和數據擦除工具可用。不過其提供的保密級別往往較低，而且在操作系統層以及應用層進行加密，往往會衍生出其他的安全問題。對于密級較高的電子文檔，應該盡可能應用BIOS防護卡等硬件設備，限制數據的存取，并通過芯片級加密保護硬盤上的數據。

另外，目前基于USB接口的存儲設備比如U盤、移動硬盤等，也可以通過智能判斷和權限控制功能，來對其中的數據進行更好的安全管理。在更加高端的領域，用戶可能需要對數據的流向采取非常嚴格的控制，甚至規定必須使用簽收刻錄光盤的方式來交換某些數據。對于這類問題國內廠商已經提出了不少有效的解決方案。

例如鼎普科技的數據單向導入管理系統就相當具有創新意義，這個系統利用了光纖單向傳輸的特性，在物理層保證數據的流向正確。在使用過程中，鼎普科技的設備一端連入存儲涉密數據的計算機終端，一端連入U盤等數據源，即可實現數據的安全存入，而不會出現涉密數據被非法泄漏的問題。從中可以看出，作為以文檔加密作為內網安全起點的國內用戶來說，也許確實只有國內的廠商才真正了解國內用戶的需求。

防止擴散的無線信號泄漏組織的有價值數據

以Wi-Fi為代表的無線局域網技術似乎已經成為便利性與安全性相互制約的一個經典示例了。盡管Wi-Fi本身的安全性一直相對脆弱，但是在內部網絡中提供無線接入能力仍舊成為越來越多企業的選擇。對于Wi-Fi無線接入點的管理應該具有相對較高的安全強度和級別，至少不能將其與其它普通的網絡節點等同視之。

應用WPA加密無線數據通信是必要的，盡管只要攻擊者有足夠的耐心，還是可能從嗅探到的數據中破解密鑰，但是其難度相對于WEP等舊有加密方式來說無疑要困難得多。如果需要更高的安全級別，可以考慮在無線鏈路上增加令牌驗證和VPN訪問控制等手段，以提供較強的安全控管能力。

對各種移動終端進行接入控制

對于筆記本電腦以及越來越多的智能手機終端，企業所能做的安全管理似乎總顯得有些力不從心。除了對無線局域網接入進行控制之外，這類終端可能引起的問題還有很多。藍牙作為極為通用和具有時尚意味的連接方式，安全性卻存在一些脆弱點。

為了更好地和其它藍牙設備進行連接，藍牙往往被設置成相對較低的安全認證等級，而事實上很多設備在出廠時默認就被設為最低的級別，比如大部分的手機產品都是如此。由于僅在鏈路層提供有限的安全控制，所以藍牙安全更多地依賴于上層協議甚至應用層來進行安全管理。

想真正實現藍牙安全應該強制性地在藍牙傳送數據時結合其它安全驗證措施。雖然這通常很難處理，但不應該被忽視。對于手持設備來說，WAP站點訪問是提供業務處理和辦公信息獲取的通行方式之一。WTLS協議雖然出于性能考慮已經做了一些簡化，但是仍是一種具有較高安全性的解決方案。

另外一個通行的原則是盡量將WAP網關置于防火墻保護之后，因為數據在到達WAP網關后往往會被解密而失去了WTLS的保護，在其流出WAP網關之后往往容易被俘獲。

二、技術篇：管理是內網安全的硬道理

引言：從近期就安全事件的原因所做的一些調查結果可見，75%的管理員都勾選了安全意識淡薄和安全管理不到位的選項，而軟件或網絡配置錯誤也有接近百分之五十的受調查者選擇，管理已經成為內網安全問題的重中之重。

結合內網安全的種種現狀和問題來看，單純在技術上先進已經無法保證競爭力，甚至已經無法保證實際的防護效果了。這些引起內網安全問題的核心原因，只有在安全管理手段以及安全產品的管理能力達到一定的層次之后才有望解決。面對日益復雜的應用環境，管理員需要具有更深、更精、更高智慧程度的工具來開展自己的工作，否則難免被淹沒于安全威脅的浪濤之中。

放之四海：具有通用性的內網安全管理體系

盡管很多時候人們不可遏止地覺得守護目標不讓黑客對其進行攻擊是一件很酷的事情，但是在絕大多數情況下，安全管理都是建構在規范和嚴謹之上的一件工作。這其中不但需要正確的應用安全技術，同時也需要前期的規劃和設計以及后期的運營和支持。在這里我們將嘗試給出一個內網安全管理體系的基本模型，我們希望它具有廣泛和長期的適應性，同時覆蓋內網安全各個主要的問題域。

一般來說，一個內網安全解決方案從形成到正式開始運行，要經歷如圖所示的一系列階段。從認識到有需要解決的內網安全問題或者內網存在安全問題開始，首先需要形成一份需求定義文檔。這份需求文檔應由信息安全部門和行政部門的管理人員進行評估，然后表決通過。

在此之后，應根據需求進行實際內網安全防護體系的構建，這其中通常還可以展開很多子步驟，例如進行安全體系的具體設計等。當一個內網安全體系經過評估之后將融合到現有的信息基礎設施當中，同樣地，如果基礎設施發生變化，相對應的也要進行評估。而在這些工作完成之后，需要對已經成型的安全體系進行評價和驗證，以證明其有效性。

如果不存在漏洞和考慮不周之處，該內網安全體系將投產于實際的工作環境，而后續的針對應用環境變更所做出的調整、日常的安全管理、發生安全事件時的應急響應和支持等工作將會有序地開展。

按部就班：如何操作內網安全管理

從管理目標來說，內網安全所處理的主要問題還是內網中的信息也即數據。雖然說Web、電子郵件、即時通信、業務管理系統等建構在局域網和互聯網上的應用為企業帶來了大量的效率提升，但是并不是所有的人都明白這些應用會給企業的數據帶來什么風險，更不知道如何來控制這種風險。

通過對信息進行分級并映射其可能的安全風險，以及在這些安全風險變成現實時可能遭受的損失，在擁有這些基礎素材之后安全管理人員才能開發出有效的控制措施來將風險降低到可以接受的程度。在形成了完善的信息分級系統之后，組織就可以著手形成自己的基本安全策略。

安全策略除了確認信息作為受保護資產的地位之外，更重要的價值在于規定當信息依照其所在等級的風險情況應該受到何種程度的保護。而在預期的成本和目標效果的指導之下，安全管理人員應選擇與之相適應的技術和產品來構建安全防護措施。

當然，在一切都被搭建起來之后，還有很多安全管理工作需要被周而復始地執行。然而不得不承認的是，很多情況下安全管理人員都直接將構建安全設施作為內網安全管理的起點，同時以很低的效率和很盲目的姿態來開展后續的工作，這樣做最可能的結果就是形成一個可能發生安全事件的內部網絡。從下面提供的一份示例清單中可以看出，這種未經足夠準備就開始的安全工作到底遺漏了多少有益的要素。

見著拆招：實例解析內網安全管理

也許在95%的講解內網安全管理的文章中，內網都用來代指與互聯網相對的局域網絡。但是在實際的安全管理情景中，內網往往還需要被劃分成不同的區域。有的時候是因為組織業務的需要，網絡已經被進行切割；而有的時候則是為了讓安全體系更加具有層次，所以令不同安全等級的數據只能在自己的區域中流動。

有相當多的技術可以實現網絡隔離，例如防火墻設備、中繼網關、應用代理、三層交換機、VLAN等等。盡管很多企業都應用低層的物理隔離設備來分割網絡，但是事實上應用最廣泛的仍舊是防火墻類型的設備。而另外一個較為明顯的趨勢是，大部分組織都應用了一種以上的技術或設備來進行網絡區域的劃分和管理。

然而，如果只是利用這些傳統的、基本的設施來進行網絡隔離管理是相當低效的，也很難與數據隔離、應用隔離等安全管理手段相互融合。所以更加受到推崇的方式，是在一個統一的管理平臺之下，將面向各種層面和各種方向的防護機能整合起來。

以鼎普科技面向防泄漏的產品解決方案為例，通過BIOS等硬件芯片級別的可信認證來保持終端的安全性，只授權那些可信、可控、處于健康狀態的計算機才允許訪問內網中的數據，并在此監控和認證的過程中對信息和訪問信息的終端進行分級、分層、分組管理，這樣才能實現真正意義上的安全管理通暢。

另外，對于那些出現安全問題同時可能對內網其它節點造成破壞的計算機，整個安全管理體系可以智能識別并將其與內網切斷。這樣的體系可以簡化安全管理員的負擔，甚至每一臺計算機都可以被視為內網中的一個內網，管理彈性可見一斑。

鏈接：在安全體系被實際搭建起來之前應獲得如下的一些文檔資料

《業務應用清單》

《信息分級制度》

《風險評估報告》

《業務影響分析表》

《安全要求清單》（包括服務器、終端、網絡、應用、密碼、人員等）

《安全策略》（包括訪問定義和控制策略、密碼管理策略、網絡應用策略、隱私策略、行動程序規劃等等）

《安全基礎設施設計》

三、趨勢篇：當內網安全遇上云

引言： “當我們望向未來的時候，我們可以更好地了解現在”，在信息安全領域亦是如此，帶有一點前瞻意味的分析可能更有助于我們了解在安全問題的巨浪中應該賴何為生。主流安全技術與內網安全的融合？新興內網安全工具的興起？當面對一個問題時如果我們能夠有很多可供選擇的答案，雖有點煩惱卻也是一種不折不扣的幸福。

如果我們將云安全體系的主要特性展開，會發現其與內網安全訴求有著驚人的鏡面效應。從核心模式上來說，云安全有能力構建不同種類終端到安全云的統一防御體系，這是而體系性正是目前內網安全解決方案最亟待提高的方面。

從防病毒這個最傳統也是最為人熟知的安全防護領域來看，云安全體系的應用雖然起步時日尚短但仍以極快的速度進入成熟期。由此獲得的成功經驗即是對其它內網安全領域的啟示，同時也是一種莫大的鼓舞。也許用不了太長時間，就能夠看到有其它的產品開始通過云安全來提升自己的防護能力，又或者為自己造勢。

不得不令人關注的一點是，云安全是否會成為防病毒廠商進一步擴張自己勢力范圍的契機呢？讓我們來看看堪稱云安全“先驅者”的趨勢科技，其最新推出的云安全2.0技術架構中所包含的文件信譽和多協議關聯分析等技術，全都是將矛頭指向了終端安全和內網安全。

云客戶端文件信譽（CCFR）將海量病毒特征碼交付給云端服務（比如內網的一臺服務器）進行管理，終端計算機進行文件訪問時，將直接連接該云服務檢查文件的安全性，而不必一定將更新文件分發到各臺計算機。

這樣做不但解放了各個計算機節點的性能和網絡帶寬，而且在及時性上也有著更充分的保障，對于防護質量具有非常顯見的提高。而多協議關聯分析技術能夠全面支持檢測2~7層的惡意威脅，對于時下流行的基于Web頁面的惡意攻擊、網絡釣魚欺詐等典型的內網安全問題，有著較為全面的解決能力。

從這些情況不難看出，由于具備了體系上的優勢和功能上的切入點，本身就是致力于終端保護的防病毒廠商，特別是像趨勢、賽門鐵克、卡巴斯基這樣在技術和企業市場方面有很多前期積累的廠商，很有可能成為內網安全領域的一支奇兵。

如果延伸一點來看，云安全體系不但能夠融合終端與云，網關也可以被納入安全云的保護，形成“終端->網關”、“終端->云端”、“網關->云端”這樣層次豐富且完整的防護體系。如果云安全能夠真正滲透到內網安全領域，那其彌合所有計算機設備的特性和目標，甚至有望實現互聯網與內網的融合，實現安全的統一化和簡約化。

生物識別技術剛剛興起之時，是一種幾乎被所有人看好的用于進行身份驗證的技術，但是時至今日，居高不下的成本以及其他一些零散的問題仍讓這種技術遠離主流。這帶給我們一些明確的啟示，單純的技術因素永遠不？能決定一個安全產品的未來，所以我們當然不應該單純地從技術角度出發來考慮內網安全問題。內網安全在需要適合當前安全環境的工具和產品同時，更需要那些適應長遠發展的理念和架構，有了堅實的基礎，才有真正的未來。  

【編輯推薦】

1. 為內網安全提供四級認證 立體布控才是出路
2. 安全公司為創維家電打造可信內網安全
3. 網關準入控制—初探內網安全的新思路