内网终端安全管理

        概述

        内网管理广义上指防火墙以内的网络的综合管理；狭义上指企业内部网络的终端的综合管理。

        对于管理方面，综合管理通常包含行为监控、补丁分发、ip等远程设置、进程封杀和禁用U盘等外设的众多话题。从技术上可以理解为在操作系统、杀毒之外，对三不管的空间采用的防护管理措施。 客观上来说，内网管理促进了网络的运营安全、稳定性、可靠性、网络的封闭性、可管理性等作用。所以有很大的实用价值。

        对于内网安全方面，提起网络安全，人们自然就会想到病毒破坏和******，其实不然。常规安全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。

        内部网络面临的安全问题

        自2003年来，以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发为起点，到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络频繁中发生，让政府机关和企业单位的网络管理人员头痛不已。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见：

? 如何发现客户端设备的系统漏洞并自动分发补丁。

? 如何防范移动电脑和存储设备随意接入内网。

? 如何防范内网设备非法外联。

? 如何管理客户端资产，保障网络设备正常运行。

? 如何在全网制定统一的安全策略。

? 如何及时发现网络中占用带宽最大的客户端。

? 如何点对点控制异常客户端的运行。

? 如何防范内部涉密重要信息的泄露。

? 如何对原有客户端应用软件进行统一监控、管理。

? 如何快速有效的定位网络中病毒、蠕虫、***的引入点，及时、准确的切断安全事件发生点和网络。

? 如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。

        这些常见的客户端安全威胁随时随地都可能影响着用户网络的正常运行。在这些问题中，操作系统漏洞管理问题越来越凸现，消除漏洞的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危，打好补丁，做好防范工作——补丁越来越成为安全管理的一个重要环节。***技术的不断变化和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。

        行业内网安全面临的威胁

• 内部合规管理难以落地：金融机构对内部的合规要求、安全操作等都缺乏实质有效的信息化管理手段，比如员工的肆意修改IP地址行为，造成的违规事件无法溯源，无法对员工的行为做有效管理；
• 外部终端缺乏准入控制：终端未经安全认证和授权即可随意接入到内网，导致组织内部重要信息泄露或毁灭，终端接入后对内网的非授权访问难以管理，造成不可弥补的重大损失；
• 移动存储介质疏于管理：移动设备，包括笔记本电脑、便携式PDA等和新增设备未经过安全检查和处理违规接入，非法拷贝内网数据，甚至带来病毒传播、******等不安全因素；
• 工具滥用危及网络资源：员工在工作时间内聊天、游戏、×××、电影下载、登陆×××反动网站等行为大量存在，由于工具滥用行为，还包括客户端发送的违规欺骗包，使内部流量负载增加，影响了工作效率，影响网络正常使用；
• 脆弱风险阻于行为审计：终端的脆弱点和违规溯源，需要对客户端的文件操作审计与控制、打印、网站访问、异常路由、终端Windows登录、在线违规拨号上网、违规离线上网等审计；
• 终端安全水平参差不齐：客户端的漏洞密布、口令简陋、缺少必要的关键补丁，缺乏必要的安全知识，同时无法及时掌握进程运行情况，***程序可能就混在其中，无从获取管理员的帮助支持；

       九个方面保障内网安全的措施

       内网是网络应用中的一个主要组成部分，其安全性也受到越来越多的重视。据不完全统计，国外在建设内网时，投资额的15%是用于加强内网的网络安全。在我国IT市场中，安全厂商保持着旺盛的增长势头。运营商在内网安全方面的投资比例不如国外多，但依然保持着持续的增长态势。要提高内网的安全，可以使用的方法很多，本文将就此做一些探讨。

       采用安全交换机

       由于内网的信息传输采用广播技术，数据包在广播域中很容易受到监听和截获，因此需要使用安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源，以加强内网的安全性。

        操作系统的安全

        从终端用户的程序到服务器应用服务、以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外，还需要建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度。

      对重要资料进行备份

       在内网系统中数据对用户的重要性越来越大，实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的***，用户的一次错误操作，系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和******还要大。

        为了维护企业内网的安全，必须对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和***的破坏等原因导致系统崩溃，进而蒙受重大损失。

        对数据的保护来说，选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的，配合各种灾难恢复软件，可以较为全面地保护数据的安全。

       使用代理网关

        使用代理网关的好处在于，网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关，进而才能访问到Internet ，这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。

在代理服务器两端采用不同协议标准，也可以阻止外界非法访问的***。还有，代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。

     设置防火墙

       防火墙的选择应该适当，对于微小型的企业网络，可从Norton Internet Security 、 PCcillin 、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。而对于具有内部网络的企业来说，则可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言，都可以通过内置的防火墙防范部分的***，而硬件防火墙的应用，可以使安全性得到进一步加强。

        信息保密防范

        为了保障网络的安全，也可以利用网络操作系统所提供的保密措施。以Windows为例，进行用户名登录注册，设置登录密码，设置目录和文件访问权限和密码，以控制用户只能操作什么样的目录和文件，或设置用户级访问控制，以及通过主机访问Internet等。同时，可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性，数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径，电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道，如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等，也可以采取相应的保密措施。

       从***角度入手

       目前，计算机网络系统的安全威胁有很大一部分来自拒绝服务(DoS)***和计算机病毒***。为了保护网络安全，也可以从这几个方面进行。

        对付“拒绝服务”***有效的方法，是只允许跟整个Web站台有关的网络流量进入，就可以预防此类的******，尤其对于ICMP封包，包括ping指令等，应当进行阻绝处理。

        通过安装非法***侦测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者***时可以立刻有效终止服务，以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。

       防范计算机病毒

        从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为，变成依赖互联网传播，集电子邮件、文件传染等多种传播方式，融***、***等多种***手段为一身的广义的“新病毒”。计算机病毒更多的呈现出如下的特点：与Internet和Intranet更加紧密地结合，利用一切可以利用的方式(如邮件、局域网、远程管理、即时通信工具等)进行传播；所有的病毒都具有混合型特征，集文件传染、蠕虫、***、***程序的特点于一身，破坏性大大增强；因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；利用系统漏洞将成为病毒有力的传播方式。

        因此，在内网考虑防病毒时选择产品需要重点考虑以下几点：防杀毒方式需要全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒***；产品应有完善的在线升级服务，使用户随时拥有最新的防病毒能力；对病毒经常***的应用程序提供重点保护；产品厂商应具备快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；厂商能提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性，尽快地让用户了解到新病毒的特点和解决方案。

     密钥管理

        在现实中，***者***Intranet目标的时候，90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例，先用“ finger远端主机名”找出主机上的用户账号，然后用字典穷举法进行***。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。

        如果这种方法不能奏效，***者就会仔细地寻找目标的薄弱环节和漏洞，伺机夺取目标中存放口令的文件 shadow或者passwd 。然后用专用的破解DES加密算法的程序来解析口令。

       在内网中系统管理员必须要注意所有密码的管理，如口令的位数尽可能的要长；不要选取显而易见的信息做口令；不要在不同系统上使用同一口令；输入口令时应在无人的情况下进行；口令中最好要有大小写字母、字符、数字；定期改变自己的口令；定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。

       结语

        以上九个方面仅是多种保障内网安全措施中的一部分，为了更好地解决内网的安全问题，需要有更为开阔的思路看待内网的安全问题。在安全的方式上，为了应付比以往更严峻的“安全”挑战，安全不应再仅仅停留于“堵”、“杀”或者“防”，应该以动态的方式积极主动应用来自安全的挑战，因而健全的内网安全管理制度及措施是保障内网安全必不可少的措施。

        常见的内网安全管理软件主要有北信源内网安全及补丁分发管理系统VRVEDP（国内高新技术企业，代码完全自有，可以根据客户需要进行修改），哈默瑞斯DeskMaster（国内高新技术企业，代码完全自由，自主开发，可以根据用户需求进行修改和二次开发），LANDESK（国外公司），LanSecS（国内公司（圣博润）（其内网安全产品在2005年被计算机报评为优秀内网安全产品），捷普内网综合审计监管系统（国内公司（西安交大捷普网络科技有限公司）），StopHacker守护神（国内公司（南京金税网安系统软件有限公司）），通软软件（国内公司），“清扬”网络综合管理系统（北京清扬创新网络科技有限公司）