构建企业内部网（Ｉｎｔｒａｎｅｔ）安全防护

作者：滕荣华　邹文健　宫晓曼

　[摘要] 本文详细分析了企业内部网现有的安全防护体系存在的问题，提出了一种新的网络安全防护体系，并阐述了该体系的构架及工作原理。
　　[关键词] intranet 网络安全防护体系 统一安全管理平台
　　
　　一、前言
　　内部网（intranet）指采用internet技术建立的企业内部专用网络。它以tcp/ip协议作为基础，以web为核心应用，构成统一和便利的信息交换平台。内部网在企业信息发布、销售服务、提高工作群体的生产力、内部交流与支持、员工的培训和数据库开发等方面，发挥着不可缺少的作用。它能够帮助企业协调内部通讯和提高企业生产力。
　　但是，随着intranet在企业的广泛应用，内部网的安全问题也得到越来越多的关注，特别是网络病毒的泛滥、网络黑客的攻击、企业信息的泄密等，无不牵动着企业领导敏感的神经。如果没有一个高效的网络管理系统对网络进行管理，保障内部网络安全有效的运行。将直接影响到企业的正常运作，最终影响到企业的经济效益和社会效益。
　　二、现有内部网安全防护体系存在的问题
　　当前企业内部网普遍采用在网络出口部署ids（intrusion detection system，入侵检测系统）和硬件防火墙，在内部网服务器上安装杀毒、防火墙软件辅以一定的访问控制策略并及时更新补丁等多项安全措施相结合的综合安全防护体系。当发生网络安全问题时，由于大部分交换机以及路由器不具备或只具备较弱的安全防护功能，只能依靠防火墙来抵御攻击和入侵，并由ids 来予以跟踪。但是这种安全体系存在以下几个明显的弱点：
　　1.随着网络流量的持续增长，特别是大型内部网内数据流量的爆炸性增长，单纯的依靠在内部网的某一点安装某一网络安全设备来进行全网的防护已显得力不从心，容易发生单点故障，并且造成内部网整体通信的瓶颈。
　　2.来自于内部的误操作和滥用对内部网的影响是最为致命的，通常的比例高达70%。当攻击者与被攻击者均处于intranet内部时， 如果攻击流不经过ids 的监控点，就不能被ids 捕获，此时ids 无法跟踪，部署在网络出口的硬件防火墙则失去了作用，只能靠服务器以及用户电脑上安装的防火墙来抵御攻击。如果此时用户的攻击为虚拟ip 攻击，则网络管理人员只能依靠将局域网逐片断开的原始方式逐步地进行故障定位，影响的范围大，排查的时间长，过程繁琐。
　　+防火墙的组合模式在进行病毒和攻击方式识别时需要产品厂家的支持，具有一定的滞后性，对新出现的病毒和攻击行为基本无能为力，且误报的情况也是时有发生。
　　4.启用基于802.1x 协议的用户接入认证，能够保障intranet用户接入的合法性，较好地解决ip 地址盗用、用户私自架设代理服务器等一系列困扰内部网管理者的问题，但是基于802.1x 协议的系统对于用户的计算机系统是否安全、用户是否存在网络攻击行为则无法进行判别。
　　基于以上几点，最安全的办法就是采取让所有接入intranet的计算机安装杀毒和防火墙软件并及时更新补丁。但由于用户的网络应用水平参差不齐，作为网络管理部门，只能督促用户及时更新操作系统补丁和安装防火墙及杀毒软件，而且操作系统或者应用程序的补丁更新方式，若直接从互联网上更新则比较慢，若在企业内部架设wsus服务器，则需要用户修改配置，过程相对复杂很多，用户会觉得麻烦。无法从技术层面上强制执行，要保证用户系统的安全和统一非常困难。
　　以上几点充分说明了当前intranet普遍采用的安全体系存在诸多漏洞，已不能很好地满足日益增长的网络安全需求。
　　三、统一安全管理平台的体系架构及工作原理
　　1.统一安全管理平台的架构
　　构建一个统一的安全管理平台，用以实现对intranet内所有网络设备的统一管理和调配，确保接入intranet的所有网络终端设备的安全可信，是在现有网络安全防护体系的基础上发展建立的新的网络安全防护体系设计思想。
　　统一安全管理平台系统具体构架（如图1所示），由三个层面、五个部分组成：

　　(1)后台服务层面
　　身份认证系统——身份认证系统能够提供严格的用户接入控制，通过准确的身份认证和物理定位来确保接入用户的可靠性。用户认证系统针对用户的入网行为，提供入网控制功能，同时，认证系统还可以实现用户帐号、用户ip、用户mac、设备ip、设备端口的静态绑定、动态绑定以及自动绑定，保证用户入网身份的唯一性。
　　安全管理平台——安全管理平台是安全防护体系的管理与控制中心，是统一安全管理平台的核心组成部分。通过安全管理平台，可以对系统内的安全设备与系统安全策略进行管理，实现全系统安全策略的统一配置、分发和管理，并能有效地配置和管理全网安全设备，从而实现全网安全设备的集中管理，起到安全网管的作用。通过统一的技术方法，将系统所有的安全日志、安全事件集中收集管理，实现集中的日志分析、审计与报告。同时通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势，确保安全事件、事故得到及时的响应和处理。

　　安全修复系统——安全修复系统的作用是跟踪安全漏洞的变化，能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。针对不同的安全策略，点到面地自动强制分发部署补丁程序。
　　(2)网络层面
　　安全联动设备——安全联动设备是intranet中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口，同交换机、路由器、防火墙、ids等各类网络设备实现安全联动。
　　(3)用户层面
　　安全客户端——安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息，包括对防病毒软件信息的收集。同时，安全客户端可以评估操作系统的版本、补丁程度等信息，并且把这些信息传递到安全管理平台，没有进行适当升级的主机将被隔离到网络修复区域，从而保障网络的安全运行。与传统的解决方案不同，安全客户端通过对用户终端设备信息的搜集，可预先识别和防止用户对网络的恶意行为，排除潜在的已知和未知的安全风险。
　　2.统一安全管理平台的工作原理
　　统一安全管理平台的工作原理如图2所示。

　　统一安全管理平台系统实现终端用户安全准入的工作流程如下：
　　(1)用户终端试图接入网络时，首先通过安全客户端上传用户信息至用户认证服务器进行用户身份认证，非法用户将被拒绝接入网络。
　　(2)合法用户将被要求进行安全状态认证，由安全管理平台验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区。
　　(3)进入隔离区的用户可以根据企业网络安全策略，通过安全修复系统安装系统补丁、升级病毒库、检查终端系统信息，直到接入终端符合企业网络安全策略。
　　(4)安全状态合格的用户将实施由安全管理平台下发的安全设置，并由安全联动设备提供基于身份的网络服务。
　　四、结束语
　　保障intranet安全、有效运行，是一项复杂的系统工程。它既是一个技术问题，但更是一个管理问题，所谓“三分技术，七分管理”。所以，除了采用上述技术措施之外，加强网络安全的管理：制定有关规章制度；确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施；对工作人员结合机房、硬件、软件、数据和网络等各个方面的安全问题，进行安全教育，提高工作人员的保密观念和责任心；加强业务、技术的培训，提高操作技能等，也将起到十分有效的作用。
　　参考文献：
　　[1]思科系统网络技术有限公司.思科自防御网络[eb/ol]. [2006-04-03]. http:／／／global／cn／solutions／industry／segment_sol／smb／smb_it／security／
　　[2]微软中国技术支持中心.网络访问保护平台体系结构[eb／ol].[2004-11-15]. http:／／／china／windowsserver2003／techinfo／overview／

本文链接：http://www.qk112.com/lwfw/guanlilunwen/dianzishangwuguanlilunwen/39833.html