企業(yè)內(nèi)部網(wǎng)絡常見安全問題及對策方法

◆薛中偉

（92941 部隊 遼寧 125001）

1 引言

目前，在廣域網(wǎng)中已經(jīng)有了相對完善的安全防御體系，防護墻，ⅠDS 等安全硬件部署在網(wǎng)絡入口處，在這些安全設備的監(jiān)控和防御下，來自外部的網(wǎng)絡威脅大大降低，但在企業(yè)內(nèi)部局域網(wǎng)中，雖然有些企業(yè)已經(jīng)建立了相應的安全防護系統(tǒng)，但在實際使用中，并沒有起到很好的防護效果，系統(tǒng)漏洞、違規(guī)軟件、惡意代碼入侵等現(xiàn)象時有發(fā)生，企業(yè)內(nèi)網(wǎng)安全形勢依舊嚴峻，不容忽視。

2 企業(yè)內(nèi)網(wǎng)常見安全問題

2.1 網(wǎng)絡邊界防護能力弱

部分企業(yè)內(nèi)網(wǎng)的網(wǎng)絡邊界安全環(huán)境相對較差，安全防護手段單一。常用的網(wǎng)絡安全設備主要包括防火墻和入侵檢測兩類，在這兩類設備中，防火墻雖然能夠?qū)崿F(xiàn)對外部網(wǎng)絡攻擊的阻斷，但對于隱藏在應用層的病毒、木馬等惡意行為無法起到防護作用。而入侵檢測設備能夠?qū)?jīng)過核心路由交換設備的行為進行監(jiān)控和記錄，但對計算機病毒的傳播、內(nèi)網(wǎng)非法用戶接入、終端非法行為等缺乏有效的監(jiān)視和管控手段。

2.2 網(wǎng)絡終端管控能力弱

一些企業(yè)內(nèi)網(wǎng)缺少針對性強且行之有效的網(wǎng)絡安全防護監(jiān)控手段。雖然部分內(nèi)部網(wǎng)絡使用了安全隔離、安全檢測、病毒防護、身份識別及終端管控等安全防護設備，在很大程度上提高了內(nèi)網(wǎng)的安全防護等級，但受客觀因素影響，并沒有形成科學有效的安全防護體系，很多設備受使用條件限制并沒有起到安全防護作用。考慮到網(wǎng)絡病毒、主機安全監(jiān)控等設備與內(nèi)網(wǎng)終端應用軟件的兼容性問題，很多網(wǎng)絡防病毒、主機安全監(jiān)控并沒有充分發(fā)揮應用的防護效能。部分內(nèi)網(wǎng)缺少入侵檢測設備，無法對內(nèi)網(wǎng)的網(wǎng)絡事件進行監(jiān)視和記錄。防病毒軟件多為網(wǎng)上下載的免費版本，兼容性差，用戶系統(tǒng)容易出現(xiàn)藍屏、死機等不穩(wěn)定現(xiàn)象。

2.3 網(wǎng)絡運維監(jiān)管能力弱

目前，大部分企業(yè)內(nèi)網(wǎng)安全防護產(chǎn)品采用多廠商的應將設備，各分系統(tǒng)自建資管，缺少統(tǒng)一整合的一體化運維管理平臺和網(wǎng)絡安全監(jiān)管手段。網(wǎng)絡維護人員直接面對設備工作效率低下。使用的安全防護系統(tǒng)能從不同的安全角度嘗試著解決發(fā)現(xiàn)網(wǎng)絡中可能存在的安全問題，一定程度上能抵御來自某個方面的安全威脅，然而各系統(tǒng)卻無法按照統(tǒng)一的安全防護策略進行有效融合。此外，這些復雜的安全系統(tǒng)在運行過程中不斷產(chǎn)生大量的安全日志和事件，形成大量“信息孤島”，運維人員面對這些數(shù)據(jù)量大，彼此割裂的安全信息，且需要操作著各種產(chǎn)品獨立的控制臺界面和窗口，難以發(fā)現(xiàn)真正的安全隱患。

2.4 網(wǎng)絡傳輸層協(xié)議功能弱

數(shù)據(jù)傳輸是企業(yè)內(nèi)網(wǎng)的核心功能，數(shù)據(jù)傳輸協(xié)議是底層運行基礎。傳統(tǒng)的數(shù)據(jù)傳輸協(xié)議在傳輸層主要采用TCP 或UDP 協(xié)議，由于收到TCP 協(xié)議單線程、滑動窗口、確認機制等限制，導致網(wǎng)絡鏈路傳輸實際容量小，帶寬利用率低。而UDP 協(xié)議為非面向連接協(xié)議，缺少確認機制，可靠性低，有時無法滿足使用需求。

3 內(nèi)網(wǎng)安全防護策略

3.1 提高網(wǎng)絡邊界安全

為了提高企業(yè)內(nèi)網(wǎng)邊界安全，建議通過以下手段予以完善：

（1）在網(wǎng)絡邊界接入?yún)^(qū)域部署的防火墻上，指定對特定網(wǎng)絡流量訪問的控制策略，限制非法ⅠP 來訪企業(yè)核心業(yè)務，隔離來自外部區(qū)域的風險。

（2）集成防病毒模塊，通過病毒特征庫以網(wǎng)管設備的形式部署在防火墻上，抵御病毒攻擊，將病毒源阻斷于網(wǎng)絡外部。

（3）在邊界區(qū)域部署入侵防御系統(tǒng)，可以針對緩沖區(qū)溢出、蠕蟲病毒、木馬后門、SQL 注入、漏洞攻擊等攻擊流量，進行精準的檢測和阻斷。

（4）在網(wǎng)絡邊界區(qū)域部署行為管理系統(tǒng)，可以對所有與內(nèi)網(wǎng)有關(guān)的應用進行設置，對帶寬進行優(yōu)化，對外發(fā)布信息進行審計和監(jiān)控，避免企業(yè)敏感信息泄露。

3.2 內(nèi)網(wǎng)終端接入安全

針對這一問題，建議通過以下手段予以完善：

（1）通過在內(nèi)網(wǎng)核心節(jié)點與骨干節(jié)點之間互聯(lián)的接口上一級與其他部門重要局域網(wǎng)、安全管理域、應用服務于等部署防火墻，實現(xiàn)在網(wǎng)絡層對數(shù)據(jù)流的訪問控制，阻止非法數(shù)據(jù)流在企業(yè)內(nèi)網(wǎng)上傳遞，保護重要信息不受干擾。

（2）應用網(wǎng)絡病毒服務器，進行終端應用兼容性測試，網(wǎng)絡內(nèi)所有主機安裝對應的防病毒客戶端軟件，建立病毒同步查殺、特征代碼升級、病毒疫情上報等服務。通過建立漏洞掃描和補丁管理分發(fā)系統(tǒng)，可以實現(xiàn)終端加固，最大程度上降低網(wǎng)絡運行的風險

（3）建立硬件防病毒網(wǎng)關(guān)和殺毒服務器，應用配套殺毒軟件對網(wǎng)內(nèi)病毒進行查殺和控制。

（4）建立證書包括（CA、USBKey 等）、授權(quán)管理系統(tǒng)和應用訪問控制系統(tǒng)，對企業(yè)內(nèi)網(wǎng)用戶建立全網(wǎng)統(tǒng)一的用戶號，用戶終端和服務器只有通過認證和授權(quán)后才能訪問相應的網(wǎng)絡服務和應用。

（5）進行mac 地址綁定。

3.3 一體化網(wǎng)絡運維監(jiān)管

針對這一問題，建議通過以下手段予以完善：

（1）建立一體化態(tài)勢感知運維管理系統(tǒng)，具備對網(wǎng)絡安全數(shù)據(jù)進行采集、存儲、分析等，具備安全態(tài)勢提取，安全評估和威脅預警等功能，為網(wǎng)絡維護管理人員及時掌握企業(yè)內(nèi)部網(wǎng)絡安全狀況提供手段，進而提升安全事件應急響應能力。

（2）在企業(yè)核心網(wǎng)絡安全設備上安裝大容量、高性能的網(wǎng)絡安全和性能分析設備，在所有邊界接入點安裝節(jié)點網(wǎng)絡安全和性能分析設備，從而達到對全網(wǎng)的網(wǎng)絡安全管理和網(wǎng)絡性能檢測，為企業(yè)內(nèi)網(wǎng)的穩(wěn)定、可靠、安全運行提供有效管控手段。

3.4 網(wǎng)絡傳輸層協(xié)議優(yōu)化

以UDP 協(xié)議為底層協(xié)議，在UDP 協(xié)議上進行相關(guān)優(yōu)化設計，提高網(wǎng)絡帶寬利用率和數(shù)據(jù)傳輸速率，同時進行數(shù)據(jù)傳輸加密、一致性校驗、數(shù)據(jù)分段等算法研究和函數(shù)數(shù)據(jù)，滿足數(shù)據(jù)傳輸過程中的安全性和準確性需求。

4 結(jié)束語

本文對企業(yè)內(nèi)部網(wǎng)絡常見的安全問題進行的分析和闡述，并針對問題提出了解決措施和建議，通過采取相應的措施和手段，可以進一步強化企業(yè)內(nèi)網(wǎng)安全，提高網(wǎng)絡安全防護等級。通過本文的研究可以對一些企業(yè)和單位強化內(nèi)部網(wǎng)絡安全起到一定的借鑒作用。