內(nèi)網(wǎng)安全問題對(duì)于企業(yè)來說，應(yīng)該從四個(gè)層次入手，綜合考慮企業(yè)的內(nèi)網(wǎng)安全問題，在IT運(yùn)維方面即是確定用戶的行為安全;最后當(dāng)用戶經(jīng)過層層的安全檢查，又如何保障登機(jī)的安全，企業(yè)還需要對(duì)其基礎(chǔ)設(shè)施的配置安全性進(jìn)行檢驗(yàn)。以上四方面對(duì)應(yīng)起來就是IT運(yùn)維管理中的接入安全、桌面安全、行為安全和配置安全，要做好內(nèi)網(wǎng)安全管理工作，企業(yè)應(yīng)該采用一套嚴(yán)格的運(yùn)維安全軟件來把把控好內(nèi)網(wǎng)所有網(wǎng)絡(luò)參與者的安全合法性。

第一道閘門接入安全

企業(yè)要最大限度保障內(nèi)網(wǎng)安全性，首先應(yīng)該明確內(nèi)網(wǎng)用戶身份，通過非法接入內(nèi)網(wǎng)而造成內(nèi)網(wǎng)安全事故的案例已經(jīng)屢見不鮮。所以IT部門的管理人員也應(yīng)該從安全身份認(rèn)證入手，確保內(nèi)網(wǎng)使用人員的合法性。具體應(yīng)該如何進(jìn)行接入安全的管理，我建議從兩方面來進(jìn)行，首先管理員對(duì)內(nèi)網(wǎng)的IP進(jìn)行合理的規(guī)劃和分配，加強(qiáng)對(duì)于IP地址資源的管控。例如，固定用戶分配一定數(shù)量的IP，而預(yù)留一部分IP給臨時(shí)訪問用戶，同時(shí)對(duì)臨時(shí)訪問用戶設(shè)定權(quán)限，在指定時(shí)間段訪問指定的網(wǎng)絡(luò)，從而有效提高了IP資源的利用率和內(nèi)網(wǎng)的安全等級(jí)。

另一個(gè)方面則是進(jìn)一步強(qiáng)調(diào)登記合法IP用戶，因?yàn)閮?nèi)網(wǎng)雖然匹配好IP和設(shè)備，但使用人員并不一定會(huì)尊守IP規(guī)則，即有可能私自篡改IP地址，或者非法使用他人設(shè)備，這種情況同樣需要進(jìn)行防范。管理人員通過運(yùn)維管理軟件，設(shè)定相應(yīng)的規(guī)則，當(dāng)有人非法占用他人IP時(shí)就發(fā)出告警，則能確定非法終端，從而采取斷網(wǎng)措施，有效避免了搶占IP資源帶來的內(nèi)網(wǎng)秩序混亂問題。

第二道閘門桌面安全

桌面是所以內(nèi)網(wǎng)參與者的活動(dòng)場(chǎng)所，因此規(guī)范好終端桌面的使用成為管理員的又一重要責(zé)任。而具體操作中，管理員可以通過對(duì)安全使用區(qū)域的控制、增強(qiáng)安全運(yùn)行的輔助、安全事件的統(tǒng)計(jì)分析、安全規(guī)范的使用這四個(gè)方面來落實(shí)。首先內(nèi)網(wǎng)對(duì)于不同的用戶要確定其可以訪問的范圍，即對(duì)其可訪問區(qū)域的管控。例如，一業(yè)務(wù)人員可以對(duì)ERP系統(tǒng)和INTERNET資源進(jìn)行合法訪問，而對(duì)于財(cái)務(wù)系統(tǒng)，他是無法進(jìn)行訪問的。通過用戶級(jí)別的劃分規(guī)范了整個(gè)網(wǎng)絡(luò)的使用范圍，有效杜絕了非法訪問事件的發(fā)生。

其次，管理員需要經(jīng)常對(duì)增強(qiáng)安全運(yùn)行采取一些輔助措施，主要是指對(duì)于終端的系統(tǒng)漏洞、軟件漏洞、環(huán)境漏洞進(jìn)行時(shí)刻監(jiān)測(cè)，一旦有新的漏洞產(chǎn)生，則立即下載最新的補(bǔ)丁文件進(jìn)行全內(nèi)網(wǎng)范圍的安裝，提高了內(nèi)網(wǎng)終端設(shè)備的安全等級(jí);再次，安全統(tǒng)計(jì)分析功能，對(duì)于內(nèi)網(wǎng)發(fā)生的安全問題進(jìn)行歷史記錄對(duì)比分析，從而總結(jié)出內(nèi)網(wǎng)可能存在的安全隱患，采取解決方案一次性解決問題;最后就是執(zhí)行安全等級(jí)規(guī)范，通過一系列的安全等級(jí)設(shè)置，管理人員可以實(shí)時(shí)查看全網(wǎng)所有裝備的安全情況總覽，從而掃除了安全盲點(diǎn)，對(duì)于改善企業(yè)內(nèi)網(wǎng)的安全等級(jí)起到了積極的導(dǎo)向作用。

第三道閘門行為安全

顧名思義，我們從終端的合法性以及使用者身份的合法性方面都經(jīng)過了嚴(yán)格的確認(rèn)，那進(jìn)一步則需要規(guī)范使用者的操作行為，從而真正達(dá)到內(nèi)網(wǎng)的安全無憂。管理人員通過管理軟件預(yù)置的多種安全分析模式，運(yùn)用數(shù)據(jù)流分析工具，通過IP異常幀流量、IP掃描捕捉、掃描端口的IP三個(gè)層次進(jìn)行分析，可以智能識(shí)別內(nèi)網(wǎng)的異常數(shù)據(jù)流行為，并最終分析其數(shù)據(jù)來源，定位到終端設(shè)備，便于管理員直接采取措施，切斷異常設(shè)備的網(wǎng)絡(luò)，恢復(fù)內(nèi)網(wǎng)的正常運(yùn)行。

第四道閘門配置管理

內(nèi)網(wǎng)系統(tǒng)賴以正常運(yùn)行的一個(gè)重要條件就是設(shè)備的配置參數(shù)，內(nèi)網(wǎng)安全管理同樣也需要關(guān)注此環(huán)節(jié)。一般來說，管理軟件會(huì)對(duì)內(nèi)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的配置參數(shù)進(jìn)行自動(dòng)備份，同時(shí)對(duì)于配置參數(shù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，當(dāng)有參數(shù)更改時(shí)則發(fā)出告警，管理人員能夠根據(jù)備份的配置參數(shù)恢復(fù)設(shè)備的配置，從而確保內(nèi)網(wǎng)所有設(shè)備正常運(yùn)行，也從硬件平臺(tái)上為整個(gè)內(nèi)網(wǎng)系統(tǒng)運(yùn)轉(zhuǎn)提供了支撐。

以上四個(gè)方面可謂環(huán)環(huán)相扣，層層深入，企業(yè)的IT部門運(yùn)用管理軟件嚴(yán)格按照以上四個(gè)步驟進(jìn)行安全管理，必將提高內(nèi)網(wǎng)安全等級(jí)，將內(nèi)網(wǎng)安全事故發(fā)生幾率降到最低，真正成為企業(yè)網(wǎng)絡(luò)安全的“守護(hù)神”。

內(nèi)網(wǎng)安全問題逐漸成為企業(yè)所關(guān)注的話題，一旦企業(yè)的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全問題則帶來的影響可能是致命性的。所以企業(yè)應(yīng)該予以重視。

【編輯推薦】

1. 企業(yè)內(nèi)網(wǎng)安全的精益化管理
2. 解決內(nèi)網(wǎng)安全問題尋求技術(shù)良方
3. 終端審計(jì)如何更好地服務(wù)內(nèi)網(wǎng)安全