构建安全可靠的企业内网.docVIP

构建安全可靠的企业内网 　　【摘要】最近几年，由于网络安全事件的频频发生，各企业对外部入侵和Internet的安全日益重视，但来自内部网络的攻击却有愈演愈烈之势，内网安全成为企业管理的隐患。信息资料被非法泄露、拷贝、篡改，往往给企业造成重大损失。如何使内部网络始终处于安全、可靠、保密的环境下运行，一直是各大企业面临的最大问题。 　　【关键词】内网安全；防火墙；防病毒网关 　　提及企业内网安全，首先就要解决网络边缘的安全问题。只有网络边缘安全了，才能防止病毒、蠕虫、恶意威胁、木马透过网络边缘进入企业内网。于是，许多企业开始在网络边缘部署防病毒软件、防火墙、防病毒网关、IDS、IPS、UTM等安全设备。虽然大多数企业都意识到这一点，认为只要提高了这一块的防护安全，那内网就能风平浪静。其实不然，只做好网络边缘安全，并不等于内网就安全了。因为企业虽然有良好的硬件保护，但是如果不注意内网管理，那么内网安全只是纸上谈兵。内网安全不仅是产品功能上的叠加，更多的是网管人员管理的水平与能力。虽然有的企业拥有了价格不菲、功能过硬的硬件设备，然而企业内网还是三天两头出现问题，那么问题出在哪里？ 　　“知己知彼，百战不殆”。企业要想找到安全体系失控的原因，不仅需要了解外网安全的环境，更要清楚地了解影响企业内网安全的因素，以及内网安全所面临的问题。只有弄清了外网安全和内网安全的相互关系，以及各自所面临的安全环境和安全问题，才能制定出清晰的可控的整体安全策略、合理地部署安全产品，内外呼应，实现企业网络的整体安全。 　　以下内容是企业内网常见威胁及解决思想，希望能对各企业网管人员有所帮助。内网主要面临的安全威胁有如下几方面： 　　一、资产管理失控：网络中终端用户随意增减调换终端硬件配置（CPU、硬盘、内存等），肆意组装拆卸、操作系统随意更换、各类应用软件胡乱安装卸载，各种外设（光驱、U盘、移动硬盘、打印机等）无节制使用。 　　二、网络资源滥用：网络的稳定性、可靠性和可用性是保障企业业务顺利进行的基础。然而，目前大部分企业没有合理利用网络资源的策略和机制，只是等着问题的出现，问题出来了，网络不稳定了，才去查找原因，这是一种被动的思想。正是这种被动的策略环境，使得员工无法控制自己的上网行为，不仅浪费了大量的网络资源，甚至还可以导致网络瘫痪。 　　三、病毒蠕虫入侵：终端主机的系统漏洞，防病毒软件不升级，U盘无法管理，补丁不及时、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失，而且无法找到灾难的源头以迅速采取隔离等处理措施，从而为正常业务带来灾难性的、持续的影响。 　　四、外部非法接入：移动设备（笔记本电脑、移动存储设备等）和新增设备未经过安全检查和处理违规接入或者入侵内部网络，带来病毒传播、黑客入侵等不安全因素。 　　五、内部非法外联：内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网等，或违反规定将专网专用计算机带出网络进入到其他网络。 　　六、重要信息泄密：因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭，造成不可弥补的重大损失。 　　七、补丁管理混乱：终端用户不了解系统补丁状态，不及时打补丁，也没有办法统一进行补丁的下载、分析、测试和分发，从而为蠕虫与黑客入侵保留了通道。 　　八、交换机安全至关重要：企业信息化安全管理人员在设计企业的安全架构的时候，大部分只注重企业终端主机的安全，如服务器、用户终端电脑的安全，但是，对于不怎么起眼的交换机就没有给与足够多的重视。其实，交换机在企业网络安全中也是一颗定时炸弹，一不小心，企业网络安全就可能被其破坏掉。交换机常见安全有如下几种： 　　（一）生成树攻击 　　生成树协议可以防止冗余的交换环境出现环路。使用生成树协议的交换机都通过一种叫做网桥协议数据单元（BPDU）来相互通信。并用BPDU的相关机能来动态选择根桥和备份桥。但是因为从根桥到任何网段只有一个路径存在，所以桥环路被消除。而常见的拒绝服务攻击就可以利用这个漏洞，进行生成树攻击。 　　（二）MAC地址攻击 　　我们都知道，在交换机中，有一张MAC地址表，在这表中，记录着某个MAC地址所对应的端口。在交换机中，一般是把MAC地址存储在内容可寻址存储器中，英文简称为CAM，它是一个128K大小的存储器，专门用来存储MAC地址以及对应的端口号，以便交换机快速查询。现在如果病毒向CAM（内容可寻址存储器）发送大量的数据包，就会导致交换机开始向各个端口发送大批量的广播信息，占用网络流量，使网络拥塞。 　　针对以上问题，从机密性、可信性、可控性及可靠性等四方面提出以下解决方案： 　　数据加密提供基础安全 企业除了利用防火墙、I