局域网内网监控 (内网安全)

提起网络安全，人们自然就会想到病毒破坏和黑客攻击，其实不然。常规安全防御理念往往局限在网关级别、网络边界（防火墙、UniNAC网络准入控制、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。

[1]对于国内的网络管理者而言，现有的网络安全防护手段大多强调对来自外部的主动攻击进行预防，检测以及处理，而授予内部主机更多的信任。但是，统计数字表明，相当多的安全事件是由内网用户有意或无意的操作造成的。为保护内网的安全，一些单位将内网与外网物理隔离，或者将内部通过统一的网关接入外网，并在网关处架设防火墙，IPS,IDS等安全监控设备。尽管如上述所示的各类安全措施都得到了实现，众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生，这就充分说明了目前内网安全维护的复杂性。

总体上看，内网主机大多以LAN的方式进行接入，这些主机间以物理互连，逻辑隔离的方式共存，但为实现主机间的资料共享及数据通信需求，又不得不让其之间建立各种互信关系，因此某台主机的有意或无意的误操作都会对整网主机的安全性造成威胁，这些威胁点主要分为以下几类：

内网逻辑边界不完整

无线技术的迅猛发展让随时随地接入internet这一想法成为现实，在惊叹先进的无线技术为我们的生活带来便利的同时，也对我们的网络管理人员提出了更多的要求。在内外网隔离的环境中，如何确保内网边界的完整性，杜绝不明终端穿越网络边界接入是众多管理者面临的一大难题。事实上，国内定义的网络边界防护由于《等保》的诠释往往被理解为网络出口保护，而在现实情况中的边界早已超越了"出口"这一狭隘的概念，而真正扩展到全网，其中的关键就是内网的边界--网络的入口。换言之，边界防护更应该是所有网络边界的防护--并侧重于内网入口的防护。

缺乏有效身份认证机制

对内部主机使用者缺乏特定的身份识别机制，只需一根网线或者在局域网AP信号覆盖的范围之内，即可连入内部网络获取机密文件资料。内网犹如一座空门大宅，任何人都可以随意进入。往往管理者都比较注重终端访问服务器时的身份验证，一时之间，CA、电子口令卡、radius等均大行其道，在这种环境下，被扔在墙角的终端之间非认证互访则成为了机密泄露和病毒传播的源头，而终端之间的联系恰巧就是--网络。

缺乏访问权限控制机制

许多单位的网络大体上可以分为两大区域：其一是办公或生产区域，其二是服务资源共享区域，目前上述两大逻辑网络物理上共存，并且尚未做明确的逻辑上的隔离，办公区域的人员往往可随意对服务器区域的资源进行访问。另外需要的注意的是，来宾用户在默认情况下，只要其接入内部网络并开通其网络访问权限，相应的内部服务资源的访问权限也将一并开通，内网机密文件资源此时将赤裸暴露于外部。

内网主机漏洞

现有企业中大多采用微软系列的产品，而微软系列产品恰巧像蜜糖一样不断吸引着蜂拥而至的黑客做为崭露头角的试金石，调查显示80%以上的攻击和病毒都是针对windows系统而产生的，这也就引发了微软一月一次的补丁更新计划，包括IE补丁、office办公软件、以及操作系统等全系列产品都被纳入这个安全保护之中。但空有微软单方发布的补救文件，也必定只是剃头挑子一头热，如果由于用户处的设置不当导致补丁无法及时更新的话，一旦被黑客所利用，将会作为进一步攻击内网其他主机的跳板，引发更大的内网安全事故，如近年来爆发的各种蠕虫病毒大都是利用这种攻击方式，这也是为什么政府机构的信息安全检查都极其重视操作系统补丁更新的原因。

对于管理者而言，内网安全的管理与外网相比存在一定的难度，究其主要原因就在于，内网的管理面比较大，终端数较多，终端使用者的IT技能水平层次不齐，而这在领导看来往往会归结到管理的层面，因此实施起来压力大，抵触情绪多，并且会形成各种各样的违规对策，单枪匹马的"管理"往往身体悬在半空，心也悬在半空。技术人员往往亟需技术手段的辅助来形成一个立体化的安全模型，也需要有更为开阔的思路看待内网的安全问题。

这些常见的客户端安全威胁随时随地都可能影响着用户网络的正常运行。在这些问题中，操作系统漏洞管理问题越来越凸现，消除漏洞的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危，打好补丁，做好防范工作——补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。

国内知名安全软件厂商北信源公司通过对国内和国外近几年来计算机客户端管理技术和发展趋势的研究，将政府和企业内部网络客户端安全管理概括的从客户端状态、行为、事件三个方面来进行防御，研制出北信源内网安全及补丁分发管理系统软件。

内网管理核心功能

明朝万达Chinasec（安元）数据安全管理平台基于网络和数据的安全管理产品，通过认证、加密、监控和追踪等手段在传统PC终端和移动终端提供系统数据保护、文档加密、应用保护、系统管理、桌面管理和安全通讯等整体解决方案。系统采用C/S架构和B/S架构相结合，内外网相互通的架构思路，对内网安全、互联网安全、物联网安全和数据安全提供全IT架构的多套解决方案。

Chinasec（安元）内网安全管理注重从信息的源头开始抓安全，对信息的存储、交换和使用等环节实现全面保护，通过主动加密、事前控制、事中监视、事后审计等四种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄露，为企事业单位构建了一个可信可控的内网环境。

北信源内网安全及补丁分发管理（VRVEDP）遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案，实现内部网络客户端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。

北信源内网安全及补丁分发管理（VRVEDP）系统强化了对网络计算机客户端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。

金融行业内网安全特点

生产业务网：营业服务器，业务服务器，中间业务服务器汇集到中心交换机。中心交换机多采用双机备份。营业服务器和业务服务器通过中心交换机与各地市行网络中心以及分支网络中心互联。中间业务服务器从中心交换机与移动、联通、金融等相连。另一方面，营业服务器和业务服务器从中心交换机通过前置机为各营业网点通过网络办理正常业务。还有就是通过 INTERNET 公网为公网用户提供网上银行业务。主要应用诸如：储蓄、信用卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等生产业务。

办公业务局域网：主要用于金融总部及下面各级网络的办公自动化系统，为了确保金融网络的安全，办公业务局域网和金融的业务系统隔离，相互独立。金融办公局域网整网结构设计一般为接入、汇聚、核心三层网络结构。办公业务局域网一般与一台中心交换机相连，由若干个 VLAN 组成，是用于正常办公及处理内部业务的系统，它有领导用户、财务部、一般用户等各级别的客户端不同的安全需求。

金融行业内网安全

u 内部合规管理难以落地：金融机构对内部的合规要求、安全操作等都缺乏实质有效的信息化管理手段，比如员工的肆意修改IP地址行为，造成的违规事件无法溯源，无法对员工的行为做有效管理；

u 外部终端缺乏准入控制：终端未经安全认证和授权即可随意接入到内网，导致组织内部重要信息泄露或毁灭，终端接入后对内网的非授权访问难以管理，造成不可弥补的重大损失；

u 移动存储介质疏于管理：移动设备，包括笔记本电脑、便携式PDA等和新增设备未经过安全检查和处理违规接入，非法拷贝内网数据，甚至带来病毒传播、黑客入侵等不安全因素；

u 工具滥用危及网络资源：员工在工作时间内聊天、游戏、赌博、电影下载、登陆色情反动网站等行为大量存在，由于工具滥用行为，还包括客户端发送的违规欺骗包，使内部流量负载增加，影响了工作效率，影响网络正常使用；

u 脆弱风险阻于行为审计：终端的脆弱点和违规溯源，需要对客户端的文件操作审计与控制、打印、网站访问、异常路由、终端Windows登录、在线违规拨号上网、违规离线上网等审计；

u 终端安全水平参差不齐：客户端的漏洞密布、口令简陋、缺少必要的关键补丁，缺乏必要的安全知识，同时无法及时掌握进程运行情况，木马程序可能就混在其中，无从获取管理员的帮助支持；

内网安全怎么管？

针对内网安全管理，远望认为，首先要监测发现内网中存在的各种安全事件和风险，风险只有做到可知才能可控，要利用各种监测方式和手段，对内网中常见存在的各类安全风险如边界安全、网站安全、敏感信息安全、移动存储介质安全、基础安全、运行安全、违规行为等予以第一时间发现，并结合相应的防护手段，予以及时处置，将风险带来的危害降到最低。

其次，内网安全管理一定要结合本单位的实际情况，调动各方积极性，引起领导重视，明确三方责任，要和管理制度和规范有机的结合起来，建立起日常化、常态化的管理机制和平台。内网安全管理绝不仅仅是技术手段的堆积，更不只是安全管理员的责任，内网安全管理是一个系统工程，要通过人、技术、管理等多方面的手段多管齐下。

远望信息与网络安全管理平台，集成了各类信息安全监管、分析技术，实现对网络边界安全、保密安全、网站安全、主机基础安全，以及各类威胁信息安全的违规行为、资源占用行为的全面，有效地监测、处置和管理。同时结合工作流技术，实现了“监测、警示、处置、反馈、考核”五位一体的信息安全管理工作的信息化、网络化、日常化、常态化和长效化。

内网安全平台监管

1、边界安全（级联【远望内网边界检查管理系统】）

对违规外联行为以及网络边界点的实时发现和处置

2、保密安全（级联【远望内网计算机敏感信息监测系统】）

对计算机上存储、处理敏感信息文件的实时发现和处置

3、网站安全：（级联【远望内网网站监管系统】）

对内网网站的全面发现和自动定位；网站的注册管理；网站安全漏洞的实时发现和处置。

4、移动存储介质：（级联【远望内网移动存储介质注册管理系统】）

对内网移动存储介质、外网移动存储介质以及交互式移动存储介质的注册和管理；对移动存储介质上文件的读写行为进行安全审计。

5、主机基础安全：

ü 主机异常账户（弱口令账户、过期账户、无用账户）的实时发现和处置；

ü 未打全系统补丁的实时发现和处置；

ü 未安装杀毒软件的实时发现和处置；

ü CPU和内存等主机资源使用情况的实时发现和处置；

ü 主机风险漏洞的实时发现和处置；

ü 主机硬件变更的实时发现和处置；

6、资源占用行为：

对使用P2P下载工具、流媒体工具等占用网络资源行为的实时发现和处置；

7、安全隐患

对网络上存在的病毒、木马以及黑客攻击等安全隐患的实时发现和处置；

8、违规行为：

对使用聊天工具，运行网络游戏等违规行为的实时发现和处置；

9、偷盗行为和笔记本丢失：

对于偷盗行为，和笔记本丢失等违规行为的预防；

保障内网安全措施

内网是网络应用中的一个主要组成部分，其安全性也受到越来越多的重视。据不完全统计，国外在建设内网时，投资额的15%是用于加强内网的网络安全。在我国IT市场中，安全厂商保持着旺盛的增长势头。运营商在内网安全方面的投资比例不如国外多，但依然保持着持续的增长态势。要提高内网的安全，可以使用的方法很多，本文将就此做一些探讨。

采用安全交换机

由于内网的信息传输采用广播技术，数据包在广播域中很容易受到监听和截获，因此需要使用安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源，以加强内网的安全性。

操作系统的安全

从终端用户的程序到服务器应用服务、以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外，还需要建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度。

对重要资料进行备份

在内网系统中数据对用户的重要性越来越大，实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击，用户的一次错误操作，系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。

为了维护企业内网的安全，必须对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。

对数据的保护来说，选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的，配合各种灾难恢复软件，可以较为全面地保护数据的安全。

使用代理网关

使用代理网关的好处在于，网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关，进而才能访问到Internet ，这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。

在代理服务器两端采用不同协议标准，也可以阻止外界非法访问的入侵。还有，代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。

设置防火墙

防火墙的选择应该适当，对于微小型的企业网络，可从Norton Internet Security 、 PCcillin 、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。

而对于具有内部网络的企业来说，则可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言，都可以通过内置的防火墙防范部分的攻击，而硬件防火墙的应用，可以使安全性得到进一步加强。

信息保密防范

为了保障网络的安全，也可以利用网络操作系统所提供的保密措施。以Windows为例，进行用户名登录注册，设置登录密码，设置目录和文件访问权限和密码，以控制用户只能操作什么样的目录和文件，或设置用户级访问控制，以及通过主机访问Internet等。

同时，可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性，数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径，电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道，如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等，也可以采取相应的保密措施。

从攻击角度入手

目前，计算机网络系统的安全威胁有很大一部分来自拒绝服务(DoS)攻击和计算机病毒攻击。为了保护网络安全，也可以从这几个方面进行。

对付“拒绝服务”攻击有效的方法，是只允许跟整个Web站台有关的网络流量进入，就可以预防此类的黑客攻击，尤其对于ICMP封包，包括ping指令等，应当进行阻绝处理。

通过安装非法入侵侦测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时可以立刻有效终止服务，以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。

防范计算机病毒

从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为，变成依赖互联网传播，集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身的广义的“新病毒”。计算机病毒更多的呈现出如下的特点：与Internet和Intranet更加紧密地结合，利用一切可以利用的方式(如邮件、局域网、远程管理、即时通信工具等)进行传播；所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性大大增强；因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；利用系统漏洞将成为病毒有力的传播方式。

因此，在内网考虑防病毒时选择产品需要重点考虑以下几点：防杀毒方式需要全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵；产品应有完善的在线升级服务，使用户随时拥有最新的防病毒能力；对病毒经常攻击的应用程序提供重点保护；产品厂商应具备快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；厂商能提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性，尽快地让用户了解到新病毒的特点和解决方案。

密钥管理

在现实中，入侵者攻击Intranet目标的时候，90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例，先用“ finger远端主机名”找出主机上的用户账号，然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。

如果这种方法不能奏效，入侵者就会仔细地寻找目标的薄弱环节和漏洞，伺机夺取目标中存放口令的文件 shadow或者passwd 。然后用专用的破解DES加密算法的程序来解析口令。

在内网中系统管理员必须要注意所有密码的管理，如口令的位数尽可能的要长；不要选取显而易见的信息做口令；不要在不同系统上使用同一口令；输入口令时应在无人的情况下进行；口令中最好要有大小写字母、字符、数字；定期改变自己的口令；定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。

结语

以上九个方面仅是多种保障内网安全措施中的一部分，为了更好地解决内网的安全问题，需要有更为开阔的思路看待内网的安全问题。在安全的方式上，为了应付比以往更严峻的“安全”挑战，安全不应再仅仅停留于“堵”、“杀”或者“防”，应该以动态的方式积极主动应用来自安全的挑战，因而健全的内网安全管理制度及措施是保障内网安全必不可少的措施。