企业内网安全的策略的探讨智勇.docVIP

企业内网安全的策略的探讨智勇 　　【摘 要】本文分析了解影响内网安全的行为，并提出了相应的安全策略。 　　【关键词】内网；安全；策略 　　随着企业管理信息化和网络化的发展，企业中的各种信息都通过网络进行传递，因此如何保证企业内网信息的安全，已经越来越引起人们的重视。谈到网络安全，大部分人的思维还停留在病毒破坏和黑客攻击上，习惯于倾向外部入侵的防御，强化安全设备的部署和优化等，往往会忽略来自于网络内部的安全隐患。从目前公开报道的网络泄密案件来看，85%信息风险来自内部，由于内部员工保密意识的薄弱，或者恶意泄露，这些都给企业带来了信息的安全隐患。只有从数据源头保护了数据的安全才能真正的保证企业核心信息的安全。 　　一、企业内网存在的安全隐患： 　　企业内网存在的安全隐患一般存在如下几个方面： 　　1.明文保存 　　目前，多数企业内部的文件都是以明文保存，仅限制浏览文件的用户。如果不加密，则进行再多的防范都是不可靠的，同样会泄密。现在有很多手段防止文档非法拷贝，如堵塞电脑的USB接口，检查电子邮件发送，但是，只要是明文的文档，泄密的途径就防不胜防，变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等； 　　2.粗放的权限控制 　　内部涉密文档的访问缺少权限控制，对于公司的重要资料无法限制内部员工的传阅、使用方式、使用次数、及使用时间的限制。这将导致公司的核心信息资产一旦共享给员工后再无法控制员工对文件的使用范围； 　　3.内部工作人员故意泄密 　　内部工作人员为了经济利益或其它因素，将企业内部的涉密资料故意传播出去； 　　4.不良的网络行为造成的无意识泄密 　　终端用户网络行为是企业安全威胁的重要因素。无限制的浏览网站，下载文件极易使终端感染病毒、木马，从而造成无意识的泄密。 　　二、企业内网安全策略的分级实现： 　　针对以上分析，我们认为，企业内网的安全策略应该从应用层和系统架构两个方面去建立。应用层面主要是保证数据存储的安全可靠，系统架构是为了保证数据的传输安全。 　　1.完善应用层，保障数据安全可靠 　　（1）采用文档级动态加解密技术。在不同的操作系中（如WINDOWS、LINUX、UNIX等），应用程序在访问存储设备数据时，一般都通过操作系统提供的API 调用文件系统，然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个路径中，均可对访问的数据实施加密/解密操作，可以研制出功能非常强大的文档安全产品。有些文件系统自身就支持文件的动态加解密，如Windows系统中的NTFS文件系统，其本身就提供了EFS（Encryption File System）支持，但作为一种通用的系统，难以做到满足各种用户个性化的要求，如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满足用户的个性化需求，第三方的动态加解密产品可以看作是文件系统的一个功能扩展，能够根据需要进行挂接或卸载，从而能够满足用户的各种需求； 　　（2）采用磁盘级动态加解密技术。对于信息安全要求比较高的用户来说，基于磁盘级的动态加解密技术才能满足要求。在系统启动时，动态加解密系统实时解密硬盘的数据，系统读取什么数据，就直接在内存中解密数据，然后将解密后的数据提交给操作系统即可。 　　（3）建立企业内部的文档系统，限制内部员工的传阅、使用方式、使用次数、及使用时间以及使用范围。通过管理员权限设置下发文件，做到控制文件的查看次数以及时间段； 　　2.细化系统架构，确保传输安全 　　（1）细化网络划分，内网划分为一个或者多个保密子网。将内网划分为一个或者多个保密子网，同一个保密子网内部的计算机可以实现相互自由的数据交换（通过网络或者存储设备），不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换，除非获得管理员的授权。 　　通过保密子网的划分，可以在保障网络统一维护的前提下，对企业内部不同职能部门实现有效的数据隔离，例如财务部和其他部门独立开来，增加内网安全级别，降低安全风险。通过保密子网，还可以有效防止非法外连或者非法接入。非法外连不管是基于Modem、ADSL拨号或者双网卡，都能够有效防止；非法接入不管是通过交换机接入或者通过网线将两台计算机直连，也都能够有效防止。不同保密子网（VCN）之间可以设定信任关系，从而允许他们的计算机之间进行数据交换。 　　（2）服务器访问授权。构建安全服务器区域，受保护的服务器接入到安全网关后面，用户访问服务器要通过安全网关进行身份认证，通过建立安全服务器区可以用来保护单位重要的应用服务器和数据服务器。仅有授权的客户端计算机能够访问安全服务器区内相应的服务器，有效实现了安全授权，也实现了防止针对服务器的非法接入访