近幾年，隨著網(wǎng)絡(luò)安全事件的頻頻發(fā)生，人們對外部入侵和INTERNET的安全日益重視，但來自內(nèi)部網(wǎng)絡(luò)的攻擊卻有愈演愈烈之勢，內(nèi)網(wǎng)安全成為企業(yè)管理的隱患。信息資料被非法流露、拷貝、篡改，往往給企業(yè)、政府或軍隊部門造成重大損失。使內(nèi)部網(wǎng)絡(luò)始終處于安全、可靠、保密的環(huán)境下運行，幫助企業(yè)各類業(yè)務(wù)統(tǒng)一優(yōu)化、規(guī)范管理，保障各類業(yè)務(wù)正常安全運行，這就是內(nèi)網(wǎng)安全管理產(chǎn)品能夠帶給我們的價值。

一、 內(nèi)網(wǎng)面臨的主要安全威脅

國內(nèi)信息安全企業(yè)啟明星辰認(rèn)為，內(nèi)網(wǎng)主要面臨的安全威脅有如下幾條：

單位資產(chǎn)，員工私產(chǎn)——資產(chǎn)管理失控：網(wǎng)絡(luò)中終端用戶隨意增減調(diào)換，每個終端硬件配備（CPU、硬盤、內(nèi)存等）肆意組裝拆卸、操作系統(tǒng)隨意更換、各類應(yīng)用軟件胡亂安裝卸載，各種外設(shè)（軟驅(qū)、光驅(qū)、U盤、打印機(jī)、Modem等）無節(jié)制使用。

網(wǎng)絡(luò)無限，自由無限——網(wǎng)絡(luò)資源濫用：IP地址濫用，流量濫用，甚至工作時間聊天、游戲、賭博、瘋狂下載、登陸色情反動網(wǎng)站等行為影響工作效率，影響網(wǎng)絡(luò)正常使用。

蠕蟲泛濫，業(yè)務(wù)癱瘓——病毒蠕蟲入侵：由于補丁不及時、網(wǎng)絡(luò)濫用、非法接入等因素導(dǎo)致網(wǎng)絡(luò)內(nèi)病毒蠕蟲泛濫、網(wǎng)絡(luò)阻塞、數(shù)據(jù)損壞丟失，而且無法找到災(zāi)難的源頭以迅速采取隔離等處理措施，從而為正常業(yè)務(wù)帶來災(zāi)難性的持續(xù)的影響。

門戶大開，長驅(qū)直入——外部非法接入：移動設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入或者入侵內(nèi)部網(wǎng)絡(luò)，帶來病毒傳播、黑客入侵等不安全因素。

外賊好治，家賊難防——內(nèi)部非法外聯(lián)：內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等，或違反規(guī)定將專網(wǎng)專用計算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)。

網(wǎng)絡(luò)無界，一損俱損——重要信息泄密：因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等各種原因與管理不善導(dǎo)致組織內(nèi)部重要信息泄露或毀滅，造成不可彌補的重大損失。

千里之堤，毀于蟻穴——補丁管理混亂：終端用戶不了解系統(tǒng)補丁狀態(tài)，不及時打補丁，也沒有辦法統(tǒng)一進(jìn)行補丁的下載、分析、測試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道。

根據(jù)啟明星辰多年的經(jīng)驗，以下一些內(nèi)網(wǎng)安全問題容易被用戶忽略，主要是：

• 如何進(jìn)行補丁自動分發(fā)部署和補丁控制(微軟公司SUS/SMS存在功能不足)；
• 如何進(jìn)行外來筆記本電腦隨意接入控制；
• 如何防范網(wǎng)絡(luò)物理隔離泄漏；
• 如何對未安裝防病毒軟件的終端進(jìn)行統(tǒng)計；
• 如何對感染蠕蟲病毒的計算機(jī)快速定位，并強制其斷開網(wǎng)絡(luò)連接；
• 如何有效進(jìn)行網(wǎng)絡(luò)IP設(shè)備資源管理；
• 如何對終端的安全策略進(jìn)行統(tǒng)一配置管理；
• 如何審計終端的各種違規(guī)行為。

二、內(nèi)網(wǎng)安全管理應(yīng)該實現(xiàn)哪些功能？

內(nèi)網(wǎng)安全管理產(chǎn)品應(yīng)該具備終端基本管理、IT資產(chǎn)管理、終端桌面管理、終端安全管理、網(wǎng)絡(luò)主機(jī)運維、事件報表及報警處置、審計、補丁管理等功能。

以某商業(yè)銀行部署啟明星辰天玥內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)為例，該行是1992年經(jīng)人民銀行批準(zhǔn)試營運，下轄數(shù)十個支行，共有營業(yè)網(wǎng)點上千個。該網(wǎng)絡(luò)較為復(fù)雜，需要部署省、市兩級內(nèi)網(wǎng)安全管理系統(tǒng)，對終端進(jìn)行統(tǒng)一監(jiān)控和管理。系統(tǒng)需要在內(nèi)網(wǎng)部署一臺內(nèi)網(wǎng)安全管理服務(wù)器，由于系統(tǒng)管理采用B/S構(gòu)架，管理員可在網(wǎng)絡(luò)的任何終端通過登陸內(nèi)網(wǎng)管理服務(wù)器的管理頁面進(jìn)行管理和各種信息查詢；所有的網(wǎng)絡(luò)終端需要安裝客戶端程序以對其進(jìn)行監(jiān)控和管理；系統(tǒng)同時需要在外網(wǎng)部署一臺補丁下載服務(wù)器（部署于外網(wǎng)，和互聯(lián)網(wǎng)相連），用來更新補丁信息（此服務(wù)器也可用來下載病毒庫升級文件）。

具體的部署和管理構(gòu)架如下：

天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)可以實現(xiàn)的功能主要有：

•客戶端分組管理功能：可按客戶端各種軟、硬件特征、IP范圍、注冊信息等進(jìn)行進(jìn)行分組管理。

•策略管理功能：可根據(jù)時間段和時間點定制策略使用或禁止使用的觸發(fā)條件，按照條件搜索的設(shè)備進(jìn)行策略分組分發(fā)管理。

•日志功能：記錄系統(tǒng)登陸、操作及客戶端違規(guī)日志，可進(jìn)行模糊查詢，并支持按管理員自定義字段進(jìn)行報表導(dǎo)出。

•全網(wǎng)統(tǒng)一升級：管理中心升級后，全網(wǎng)客戶端程序既自動升級。

•轉(zhuǎn)發(fā)代理功能：為在軟件分發(fā)（或補丁分發(fā)）的過程，盡量減少消耗網(wǎng)絡(luò)資源，保證客戶端可從其他客戶端下載分發(fā)軟件。

•IP漂移功能：管理中心IP地址的可無縫切換。

•支持雙機(jī)熱備：管理中心支持雙機(jī)高可用方案，配合雙機(jī)軟件可實現(xiàn)管理中心的雙機(jī)熱備。

•終端代理掃描功能：各個VLAN中的注冊客戶端可觸發(fā)掃描功能發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備信息，并上報到服務(wù)器，減小了網(wǎng)絡(luò)復(fù)雜性帶來的部署難度，并可發(fā)現(xiàn)安裝個人防火墻的非法接入設(shè)備。

•多級部署：管理中心可多級部署，由上級管理中心統(tǒng)一配置管理策略，由下級管理中心將違規(guī)報警信息的級聯(lián)上報。

對于金融、政府等重要行業(yè)來說，信息安全保障系統(tǒng)建設(shè)，不僅需要嚴(yán)格的“制度防內(nèi)”包括建立嚴(yán)密的計算機(jī)管理規(guī)章制度、運行規(guī)程，形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系，杜絕內(nèi)部作案的可能性，并建立良好的故障處理反應(yīng)機(jī)制，保障信息系統(tǒng)的安全正常運行；更需要成熟完善的“技術(shù)防內(nèi)”，通過技術(shù)手段上加強安全措施，防止內(nèi)部不合規(guī)行為，防止內(nèi)網(wǎng)的信息泄密，使正常業(yè)務(wù)與應(yīng)用不受影響。“內(nèi)憂”勝于“外患”，企業(yè)不僅需要鑄造如同長城一般的邊關(guān)防御體系，同樣需要著重管理，打造安全和諧的內(nèi)部環(huán)境。