內部網絡環境下網絡安全問題分析

樂文城

（北京天融信網絡安全技術有限公司福州分公司 福建省福州市 350000）

隨著我國科學技術的不斷進步，信息智能化技術在單位生產、辦公中的優勢不斷凸顯。因此，為了提高生產效率，提高網絡、數據安全性，不少單位基于計算機技術將各自重要業務信息系統部署在內部網絡環境中。但網絡安全建設的滯后現象，導致當前我國單位的內部網絡環境潛在安全問題較多，諸如個人隱私、單位重要業務信息泄露等網絡安全問題層出不窮，對辦公環境構成了網絡內部威脅。只有通過加強單位自身內網的安全保護等級，通過構建安全體系的方式來提高單位對網絡安全的防御能力，對單位內網予以安全保護，方能營造出安全的網絡辦公環境，為單位的發展奠定一個良好的基礎。

1 當前我國單位內部網絡環境中存在的安全問題

對于網絡安全，由于大眾的印象多為外部互聯網絡中病毒、黑客攻擊等，因此常規安全防御理念限制在網絡級別和網關范圍等網絡外部的防御，這使得用戶常常會忽略內部網絡中所存在的各類安全性問題。對此，一方面通過增強單位經營者、管理層的網絡安全風險防范意識，有助于解決單位內部網絡安全方面的問題，同時采取有效的安全防護措施有利于從技術手段提升單位內部的網絡安全監督管理能力，降低由于網絡管理不到位造成的網絡安全事故發生概率，進而有助于避免單位內部網絡遭受非法侵害，確保單位內部網絡安全。圖1是各機關企事業單位邊界網絡安全現狀（內部網絡和外部網絡）的對比情況。

圖1：邊界網絡對比圖

1.1 內部網絡的脆弱

在信息化時代快速發展的今天，單位內部網絡同樣難免會受到安全威脅。因此，國內很多單位在信息化項目建設過程中重要課題之一就是網絡安全防范建設，尤其是內部網絡安全防范能力的提高。安全漏洞問題已成為網絡安全防范不可回避的問題，一旦被黑客利用攻擊，將使單位的重要信息系統遭受前所未有的災難，例如Struts2 漏洞、OpenSSL（心臟出血）、勒索軟件Wannacry 攜“永恒之藍”等都是黑客利用安全漏洞對信息系統發起惡意攻擊行為。

就目前而言，大部分計算機終端面臨的系統漏洞問題都是由于部分網絡管理人員對單位內部網絡安全防范的管理意識不強、漏洞檢測技術手段的缺失或未對相關檢測技術手段進行及時更新升級導致的。另外，隨著大數據、云計算、移動互聯網等新興技術發展與使用，內部網絡應用程序的類型、數量也不斷增長，應用程序使用的編程語言自身缺陷、邏輯缺陷也致信息系統的漏洞風險加劇。不法分子往往擅于利用這些管理上的、防護措施、技術上的不足對內部網絡實施攻擊以達到其非法目的。

1.2 內部網絡用戶使用權限不同

單位內部管理往往很難實現對用戶權限的統一管理。在表面上看每位工作員工有不同的工作權限是為了員工更方便地使用單位內部網絡信息系統，然而這種做法增加了整個單位內部網絡安全管理的難度，不法分子也可通過利用這種管理上的不合理性對內部網絡進行密碼修改獲得權限或提權等方式使得內部網絡里的應用程序很容易被攻擊。同時，單位管理人員對內部服務器的管理往往是不完善的，在這種情況下，內部系統被不法分子攻擊的可能性就更大了。

1.3 單位內部網絡信息敏感系數分散

實際使用中不少單位會將工作資料、客戶資料等相關敏感信息任意存放在不同的服務器甚至是個人終端上，這些相關數據并沒有被統一寄存在同一個服務器中進行統一管理、安全防護也不符合要求。在網絡傳輸過程中相關信息、尤其是敏感信息由于信息本身未采取加密處理、敏感文件缺乏科學管理手段，將進一步導致不法分子更加容易竊取單位內部數據和機密文件，例如棱鏡門、CSDN 密碼泄漏、如家開房信息泄漏、Sony 個人信息泄漏等事件都是由于對單位中涉及的重要業務數據重要性及敏感性認識不足、安全防護措施不到位而導致的，這些事件對組織造成重大的甚至無法彌補的經濟損失與聲譽損失。

1.4 USB閃存盤的使用問題

計算機終端是用戶與信息系統進行交互的窗口，用戶訪問信息系統中的各種資源都是通過計算機終端實現的。由于內部網絡相對獨立性的特性，實現外部數據導入內部網絡或內部計算機終端間進行數據交互常用的方式就是使用USB閃存，然而計算機感染病毒常見的方法之一就是USB 閃存盤（U 盤）感染，如伊朗核電站的震網病毒事件等。USB閃存盤由于其文件傳輸效率高、攜帶方便等優勢在日常生活、辦公中人們對它的使用頻率很高，大部分單位也會通過USB 閃存盤進行文件拷貝等方面的處理。但是人們并沒有注意到USB 閃存盤的特殊性，也并沒有對USB 閃存盤的安全風險提高戒備。由于內部員工之間、甚至外部人員之間相互拷貝文件都需要用到U 盤，使得計算機之間的病毒相互感染。通常在使用U 盤時，使用者并沒有對U 盤進行病毒查殺的習慣，這樣加大了單位內部計算機病毒交叉感染的概率。通過合理的方式（如終端管控軟件、特殊的USB 接口設計等）加強USB 端口的使用管理，可以有效解決由于U盤交叉使用導致病毒交叉感染帶來的風險。

1.5 惡意代碼、黑客攻擊等的影響

現在有很多的單位為圖使用方便，把自身的內部網絡和外部網絡直接打通來實現所謂的資源共享，這種做法也給了很多不法分子提供了獲悉內部重要信息便利途徑。并且單位內部的安全性也更容易直接被來自互聯網的惡意代碼和黑客嚴重沖擊，進而影響了單位內部網絡整體的安全性。

2 解決內部網絡安全問題的對策

網絡安全問題作為數字化建設里的重要組成部分也愈發受到重視。內部網絡安全問題已成為當前很多政府機構和企事業單位網絡信息化系統建設的核心問題。在實踐中，很多方法可以有效保障內部網絡安全，以下列舉一些解決這些問題的常用做法，并且對其進一步進行探討。

2.1 內部網絡操作系統的安全

終端用戶的程序和服務器中的應用程序等均可運行在操作系統上，因而保護各個操作系統的安全是維持各終端及服務器中所有應用程序安全運行的基礎。對此技術上我們通常采用漏洞掃描及安全配置類檢測工具去模擬黑客攻擊以測試系統的防御能力，通過對主機進行存活判斷、端口掃描、服務識別、操作系統識別，調用系統漏洞插件掃描目標主機，發現主機（通常包括各類常見數據庫、國產數據庫、移動設備、網絡設備、互聯網應用、中間件、系統應用、惡意程序、大數據組件等）上不同應用對象的弱點和漏洞，進而為修復漏洞、整改主機系統、應用程序以及相關數據庫等的安全缺陷提供依據；同時制定合理的信息系統日常管理制度（如規定每半個月或一個月由專人對相關信息系統進行漏洞安全掃描、發現漏洞按規定的規劃程序進行打補丁、驗證等）、加強運維人員安全防護意思培養、提升運維人員綜合能力。

2.2 使用安全的網絡內部交換機

交換機（路由器）是內部網絡中所有信息傳輸的必經場所，而且都用到了廣播技術。在沒有配置安全策略的情況下，數據包使用廣播技術傳輸很容易被監聽、不法截獲，因此為了加強網絡內部安全，需要采用交換機和虛擬網段相結合的方法實現從物理上隔絕網絡資源，以達到數據包的安全傳輸目的。同時，可利用好交換機對全網絡進行邏輯隔離域的劃分，根據各部門實際訪問需求設置訪問權限，如為單位各個部門網絡創建非軍事區，各網絡非軍事區按實際需求分配需要訪問的資源權限，同時禁止隨意訪問內部網絡的其他資源，避免權限過大、權限不清造成過度訪問、非法交叉訪問等情況。

2.3 USB閃存盤等外設安全防范

合理的管理USB 閃存盤等外設使用是現階段防范USB閃存盤等給內部網絡安全帶來潛在風險最為有效也是成本最低的辦法。具體說來就是，通過部署一套終端管控軟件對移動存儲、終端行為、終端設備監控等進行統一安全管控，實現對所有計算機終端的有效保護。

終端管控軟件可通過統一編制、下發安全策略并監控執行實現對計算機外設如光驅、打印機、調制解調器、網絡適配器、圖形圖像設備、通訊端口、紅外設備、藍牙設備、1394 控制器、PCMCIA 卡、USB 設備進行控制，對移動存儲設備進行標簽化管理，區分內部介質和外部介質、對移動存儲介質讀寫權限進行限定，實時檢測內部網絡（包括物理隔離和邏輯隔離網絡）用戶通過調制解調器、ADSL、雙網卡等設備非法外聯互聯網行為并執行報警、斷開網絡、自動重啟等管控措施等。終端管控軟件通過這樣的方式，可很好的管理終端USB 閃存盤等外設使用，避免USB 閃存盤等外設使用的不合理使用給終端帶來諸如病毒感染、木馬植入等潛在風險。

2.4 基于攻擊設置內部網絡安全防范設計

雖然單位內部網絡相對獨立于互聯網等外部網絡，但這并不代表它就可以免受拒絕服務（Dos）、病毒、僵木蠕等惡意程序的攻擊，對此我們依然需要建立一套完整可行的網絡安全防范設計。

網絡區域邊界作為數據交換的關鍵節點，不僅應能對網絡訪問控制規則進行控制，還應能夠有效的防御網絡攻擊行為、對惡意代碼進行檢測和清除。因此需在安全防護區部署下一代防火墻，并啟用入侵防御及病毒過濾網關模塊，以滿足合規性、安全性要求。下一代防火墻基于傳統五元組、用戶、應用、內容、時間等多元組一體化訪問控制，同時默認規則禁止所有跨邊界的數據訪問，依據實際需求開放業務端口，將能夠有效防止對單位內部的非法訪問。下一代防火墻內置異常流量清洗ADS 引擎能夠檢測與防御流量型DDOS攻擊（如UDP Flood、TCP SYN Flood 等）、應用型DDOS攻擊（如CC、DNS Flood、慢速連接耗盡等）、DOS 攻擊（如Land、Teardrop、Smurf 等）、非法協議攻擊（如IP 流、TCP 無標記、無確認FIN、圣誕樹等）四大類拒絕服務攻擊，實現精準、快速地阻斷攻擊流量，保障單位內部網絡通暢。通過下一代防火墻上的入侵防御模塊，對網絡的流量進行檢測，防止從外部和內部發起的網絡攻擊行為；入侵防御能夠實時檢測和阻斷實時檢測來自不法分子利用網絡和系統自身薄弱點進行的非法入侵和攻擊、產生大量異常訪問導致服務器資源耗盡DoS 攻擊、DDOS 攻擊（如ARP、DHCP 異常包及DHCP Flood、ARP Flood 攻擊防御等），以及非法操作的木馬、蠕蟲等惡意程序，并對檢測到的非法流量進行積極阻斷，包括溢出攻擊、RPC 攻擊、WEBCGI 攻擊、拒絕服務、木馬、蠕蟲、系統漏洞等在內的網絡攻擊行為，有效保護用戶網絡IT 服務資源，使其免受各種外部攻擊侵擾。下一代防火墻上的病毒網關模塊基于內置的病毒檢測引擎，能夠實現網絡層面的惡意代碼（如普通病毒，電子郵件病毒、蠕蟲病毒、特洛伊木馬等）查殺，對不同協議數據流的檢測方向可選雙向、上傳、下載以便靈活對網絡病毒進行查殺，通過病毒過濾網關在病毒未進入內部網絡造成損失之前進行阻斷攔截，有效避免了病毒給用戶帶來的損失與影響。

同時，對于用戶終端病毒防范，可通過部署終端防病毒系統對終端主機進行病毒查殺，實現基于系統層面的病毒防范，有效保障用戶終端免受各類病毒攻擊。

3 在內部網絡環境下重點對單位業務數據的安全保密設計

單位業務數據作為單位最重要的信息資源，直接涉及到單位發展的核心機密，如果發生業務數據信息泄露輕則容易造成不良影響，嚴重的將會影響到單位正常運營。因此，在進行單位內部網絡信息安全保護時，應把重點放在單位業務數據的安全保密設計上，以期防止單位業務數據的外泄。

3.1 運用PDR技術對單位內部網絡中的業務數據進行安全保護

PDR 技術可以有效對單位內部的業務數據的安全保護系統漏洞進行檢測、及時提供防護方案，確保單位業務數據系統能夠正常運行。同時，PDR 技術也可以有效地阻止外部網絡環境對內部網絡系統的入侵，PDR 技術通過加大外界病毒入侵難度、延長入侵所需的時間為管理員贏得更多的系統修復時間，PDR 技術以這樣的方式來減少病毒等對內部網絡環境的侵害，提高單位內部業務系統的安全等級。另外，PDR 作為一項可循環技術，會在一定的固定時間周期內循環進行，并通過實驗計算出系統是否達到了單位信息安全保護的要求等級，只要入侵所需時間大于系統循環時間的最小值，系統就會處于相對安全狀態。因此，技術人員可以運用PDR 技術對單位內部網絡中的業務系統來進行系統安全保護，以提高單位內部網絡的安全性。

3.2 通過網絡技術聯機操作來實現對單位內部網絡環境的安全保護

隨著我國計算機技術的進步，部門間的協助更加密切、跨部門數據交互更加容易、頻繁，但隨之產生的使用上追求便利與管理上則要求安全的沖突和矛盾也不斷凸顯，這在某種程度上阻礙了單位健康、穩定、快速發展。網絡技術的出現給解決這些矛盾帶來了轉機。通過網絡技術的合理使用，可以在保障內部網絡安全的前提下為單位各部門打造一個交互便捷的網絡環境，實現各部門之間的信息及時傳遞與資源的協同，對業務信息及資源進行了集中化、自動化的管理。

通常單位內部網絡環境中各應用系統中存儲的數據具有一定的相互獨立性，正是由于這種獨立性才保障了各應用系統的數據安全。事實上，這種獨立也存在于單位內部網絡與外部網絡之間，其信息的交換、傳輸也存在一定的相互獨立和一定的保密性。在規劃單位網絡時，應充分利用這種獨立，加強對單位內部網絡安全進行嚴格的把控，在內網與外網之間建設牢固的安全防線，對外部危險信息進行安全識別，對病毒侵入進行及時的處理，來確保內部網絡環境的安全。

在實際使用中內部網絡經常需要同外部網絡進行信息交互，尤其是外部網絡經常需要將信息報送至內部網絡，內部網絡與外部網絡實現跨網通信可大大節省信息網絡維護投入的人力物力，但同時也給內部網絡安全帶來了新的安全問題。對此，我們可以在內、外部網絡間通過信息單向傳輸模式來實現跨網的數據的安全傳輸。通過單向網閘技術實現數據安全單向傳輸的連接模式，單位可以實現安全接收、發送不同計算機網絡系統間數據的安全交互，可以利用單向網閘接收、發送外部網中的業務信息，并通過交換機傳輸到單位內部網絡系統當中。這種通過單向數據安全傳輸的模式可以大大提高單位內部業務信息的安全等級，也可以提高各部門的聯機工作效率，降低跨網數據交換而導致的單位內部網絡安全事件發生的概率。

圖2為外部網絡與單位內部網絡實現單向數據交互的網絡架構拓撲示意圖。

圖2：外部網絡與單位內部網絡實現單向數據交互的網絡架構拓撲示意圖

3.3 對單位內部網安全運維進行嚴格的控制

單位內部網絡信息系統中的所有服務器、網絡設備、安全產品、數據庫等帳號的管理混亂往往給非法分子有機可乘，給網絡信息系統帶來了潛在風險。對此，可通過部署一套運維安全審計類產品，集中帳號管理包含所有服務器、網絡設備、安全產品、數據庫等賬號信息，為信息系統運維提供統一的安全運維入口。

運維安全審計系統以單點登錄為核心，通過集中化賬號管理、高強度認證加固、細粒度授權控制和多形式審計記錄，使內部人員、第三方人員的操作處于可管、可控、可見、可審的狀態下，規范運維的操作步驟，避免誤操作和非授權操作帶來的隱患，有效保障組織機構的服務器、虛擬機、網絡設備、安全設備、數據庫、業務系統等資產的安全運行和數據的安全使用，規避了運維操作給信息系統帶來的風險。

3.4 加強單位內部重要數據的識別能力

信息技術快速發展，使得各組織大量的業務數據不斷地遷移到網絡環境中，各單位的業務運行也慢慢的離不開信息技術的支撐。業務數據已然成為各組織的重要資產，業務數據不僅對業務具體價值，同時也是組織作出判斷決策的重要根據，可以說對整個組織戰略規劃都有著十分重要的意義，數據已經成為各組織的核心競爭力。因此，針對數據易復制、易流動、形態各異、難管理等特點，需要配置一套完善的重要（敏感）數據發現體系，以便通過數據識別、內容感知和事務安全關聯分析技術手段來識別、監視和保護靜止的數據、移動的數據以及使用中的數據。數據識別、內容感知技術通過關鍵字檢測、文件類型檢測、正則表達式檢測、數據標識符檢測、數字指紋檢測等方式，可以對單位文件服務器、數據庫、協作辦公平臺、終端設備等進行掃描檢查并標識含有重要（敏感）數據以便單位信息系統維護人員可以有針對性的加強對重要（敏感）數據的統一管理，如對重要（敏感）數據進行統一存儲、嚴格控制重要（敏感）數據的使用人、嚴格管控重要（敏感）數據管控訪問權限等，同時可對傳輸中的數據進行重要（敏感）數據識別，發現非法傳輸、使用重要（敏感）數據的行為時立即作出阻斷傳輸、提示告警等響應，并告警通知信息系統維護人員，以確保重要（敏感）數據在存儲、使用、傳輸等過程中的可管可控。

4 結論

總之，隨著計算機技術的不斷發展，我國各單位的信息化水平也越來越高，網絡安全防護便成為了各單位重點關心的問題。對單位內部網絡環境的安全問題進行分析，提出相應的解決措施，不僅能確保單位把握住計算機技術發展所帶來的機遇，也能充分保護單位自身的業務數據安全和信息安全，最終實現單位的安全、穩定、高速發展。