构建可信可控的内网防御体系.pdfVIP

／加10．05 ■doi：10．3969／j．issn．1671—1122．2010．05．005 1网络安全的基本理论 是对数据进行高强度加密。 获取账号、光盘引导等方式非法登陆； 通过系统漏洞和不安全设置入侵；通 绝对安全与可靠的信息系统并不存 2内网安全存在的主要问题 过病毒和木马入侵；非法设备接入网络 在。一个所谓的安全系统实际上应该是 经调研发现，对于任何一名内部网 进行攻击；内网计算机接入外网造成泄 “使入侵者花费不可接受的时间与金钱， 络的管理员来说，当在网关层次的安全 密；通过电子邮件等方式泄密；涉密文 并且承受很高的风险才能闯人’叫21系统。 防范达到了认可之后，普遍对终端管理 件管理无序；通过对存储介质进行盗 安全性的增加通常会导致建设费用的增 感到无从下手。这些问题主要体现在以 取、文件恢复窃密；通过网络进行监听 长，这些费用包括系统性能下降、系统 下方面。 等等。 复杂性增加、系统可用性降低和操作与 1)安全策略审计不完善。使用弱口 这些网络管理方面的问题举不胜 维护成本增加等等。安全是一个过程 令、用户权限分配不合理，无法监控终 举，为病毒泛滥、黑客入侵等行为的发 而不是目的。弱点与威胁随时间变化。 端用户操作电脑的信息和攻击行为。 生搭建了温床。作为攻击者来说，普遍 如果在制定安全需求规范和设计阶段以 2)系统漏洞修补不及时。没有进 都在使用“最易渗透原则”PJ,即对系统 及IT产品采购之前就考虑到了信息安 行客户端操作系统补丁漏洞检测和补丁 中最薄弱的地方进行攻击。端点安全技 全的控制措施，那么信息安全控制的成 自动分发部署控制。 术是整个信息安全中非常重要的一环。 本会很低，并更有效率。 3)资产管理不准确。由于不断添 端点安全早已走出离散的、完全独立运 “木桶理论”：信息安全的可靠度 置硬件和应用平台，容易造成资产管理 行于单个主机的模式，而是与中央管理 取决于整个安全体系中最弱部分的可靠 的死角，无法生成详细的资产统计报告； 产品综合在一起，为网络提供了完善的 度。信息系统中信息产品、技术中的任 无法控制用户绕过防火墙等边界设施直 全方位、多层次的安全保障体系，为消 何潜在缺陷、漏洞将会导致整个信息安 接联入互联网，造成物理隔离网络失效； 除“短板”效应提供了强有力的支持。 全系统的崩溃，使信息安全空泛化而流 外来笔记本电脑以及其他移动设备的随 3内网安全可控总体策略 于形式。 意接人造成整体安防体系遭到破坏；分 “人本理论”：信息安全系统最终要 支机构虽然通过VPN连接到内网信息 安全可控策略确定网络安全保护工 万方数据 2010D5＼ 作的目标和对象。内网安全策略涵盖面 网络的安全问题，并制定具体措施。一 2)外设与端口使用控制。可启用 很多，如总体安全策略、网络安全策略、 个较好的安全措施往往是多种方法适 或禁用各计算机的外围设备，如软驱、 应用系统安全策略、部门安全策略以及 当综合应用的结果。只有从系统综合的 光驱、u盘、串口、并口、红外、1394 设备安全策略