企业内外网信息安全常见问题和应对建议.docVIP

企业内外网信息安全常见问题和应对建议 　　【 摘 要 】 安全便利的计算机网络，是企业生产经营信息化的必要条件。本文对企业计算机内外网中常用的虚拟局域网隔离、访问权限隔离、移动存储介质等方法的安全隐患进行了分析。为应对各种隐患带来的数据泄密的威胁，我们建议内外网采用完全物理隔离的架构，同时使用完全物理隔离的双网计算机，并根据企业需要的安全等级使用相应的数据交换方式，监控和限制内网到外网的数据传递，确保企业经营活动具备安全可靠的网络和计算机环境。 【 关键词 】 安全；内网；外网；物理隔离 1 引言 随着计算机和网络技术的迅猛发展和广泛普及， 企业经营活动的各种业务系统越来越依赖于Internet/Intranet环境。随之而来的安全问题也在困扰着用户。一旦网络系统安全受到威胁，处于瘫痪状态，将会给企业带来巨大的经济损失。 为了解决计算机系统的安全问题，很多企业的信息部门将企业网络分为相互隔离的内网和外网，外网连接互联网，用于访问外部的信息和接受来自外部用户的访问。内网连接企业内部的各个业务部门，如财务生产行政等，不连接互联网，这样可以保证内部涉密信息不会泄露到外部去。 然而实践中发现，有些企业虽然遵循内外网隔离的原则，但实际采用的网络配置方式和技术常常在某些情况下破坏了内外网的隔离。企业内部网络安全事故仍然时有发生，并呈增长趋势。在此，本文对企业内外网的配置中常见问题进行描述和分析，并给出应对措施的建议。 2 虚拟局域网隔离 如图1所示是一种典型的企业网络架构，主要利用路由器或三层交换机的VLAN功能，把接入到一个或者多个路由器多个端口的不同计算机设置成一个虚拟局域网，分配给一个部门使用。图1中设置了两个个虚拟局域网VLAN1和VLAN2，可以分别分配给内网和外网。 通过这样的网络划分使不同的虚拟局域网实现了网络层协议的隔离。这样做虽然方便灵活，但是存在一系列安全隐患。 一是使用虚拟局域网进行的逻辑隔离是非常脆弱的。网络管理员无意或有意的疏忽，或者网络管理员权限的泄露，可以被使用远程配置或者攻击的方式修改路由器配置，在本来不该连接的两个虚拟局域网形成一个逻辑的通路，造成隔离失败。 二是以路由器为基础的网络架构本身就是易受攻击的。众所周知，目前相当一部分路由器由国外厂商制造，即便是国内厂商制造的路由器，其中的交换芯片和路由协议也基本为国外厂商所垄断。像微软的Windows操作系统一样，路由器以及其中的交换芯片和路由协议也存在很多无意或有意的缺陷和漏洞，很容易让一些个人和组织使用远程攻击的方式进行侦听而导致泄密。 三是虚拟局域网实现了虚拟子网的分割，一般情况下，对于应用层的数据交流却是无法阻挡的，达不到隔离的目的。 3 访问权限隔离 另外一种常见的网络配置是把有不同访问需求的部门划成不同的子网（网段），如图2所示。其中，LAN1分给管理部门，LAN2分给财务部门。通过路由器和防火墙的配置访问策略，实现不同部门的不同访问权限，例如管理部门既可以访问财务部门又可以访问互联网，而财务部门只能访问部门内部的资源，不允许向外发送数据。 这样做表面上实现了既隔离又达到了不同等级访问权限的目的，实际上依然存在许多隐患。 首先，使用路由器的配置进行的逻辑隔离存在前述的三个安全隐患。 其次，内网上原来被限定不能访问互联网的计算机，可以人为修改IP/MAC地址绕过路由器的访问限制，从而访问互联网，造成数据泄露。 再次，由于管理部门与外部互联网连接，其中的计算机和设备很容易被恶意程序和木马病毒攻击和感染。一旦被攻陷或植入病毒，就可以获取财务部门的数据后，泄露到互联网，虽然此时财务部门并没有遭受外部的直接攻击。 4 移动存储介质的泄密 有些企业为了杜绝上述两种情况造成的数据泄密，采用了内外网完全物理隔离的方法，这样可以有效地防范网络侧的安全隐患。但是如果没有制定严格的保密制度，或者有制度而没有采取有效的技术手段来确保执行，仍然会产生很多安全隐患。 例如，目前以U盘、光盘和软盘为代表的移动存储介质被广泛使用，如果不加限制地用于有安全保密需求的内网，会轻易造成机密数据的泄露和外部病毒的侵入。另外，计算机附带的WiFi、USB、1394接口、蓝牙、红外、串口、并口等外设接口，很容易用来和外部设备如手机等交换数据，同样可以造成机密数据的泄露和外部病毒的侵入。 5 建议的组网方式 为了解决上述问题，我们建议采用完全物理隔离的方式实现内外网的组网，同时使用具有完全物理隔离功能的一机双网物理隔离计算机或2台完全独立的计算机分接不同的网络并尽可能不使用KVM切换器（目前市场上的KVM切换器良莠不齐，很多切换器在切换的同时，会造成键鼠U口的泄